Przyszłość działań wojennych mogła dopiero się rozpocząć, ale zamiast zwiastować ją eksplozją, zaczęła się bez dźwięku i jednej ofiary.
Jest to pierwsze wydarzenie tego rodzaju i może być sygnałem, w jaki sposób odtąd toczy się wszystkie wojny. Jest to cyberbroń tak precyzyjna, że może zniszczyć cel skuteczniej niż konwencjonalny materiał wybuchowy, a następnie po prostu się usunąć, pozostawiając ofiary z winą siebie. Jest to broń tak straszna, że może wyrządzić coś więcej niż tylko uszkodzenie obiektów fizycznych, ale może zabić pomysły. Jest to robak Stuxnet, przez wielu nazywany pierwszą na świecie prawdziwą bronią w cyberwojnie, a jego pierwszym celem był Iran.
Polecane filmy
Początek cyberwojny
Stuxnet przypomina niemal powieść Toma Clancy’ego. Zamiast wysyłać rakiety w celu zniszczenia elektrowni jądrowej, która zagraża całemu regionowi i światu i jest nadzorowana przez prezydenta, który twierdził, że że chciałby, aby cała rasa ludzi została „wymazana z mapy”, można wprowadzić prostego wirusa komputerowego, który wykona to znacznie lepiej efektywnie. Atak na konstrukcję rakietami może doprowadzić do wojny, a poza tym budynki można odbudować. Jednak zainfekowanie systemu tak całkowicie, że używający go ludzie zaczną wątpić w swoją wiarę we własne możliwości, będzie miało znacznie bardziej niszczycielskie długoterminowe skutki.
W rzadkim momencie otwartości ze strony Iranu, naród to zrobił potwierdzony że szkodliwe oprogramowanie Stuxnet (nazwa pochodzi od słów kluczowych ukrytych w kodzie), które pierwotnie wykryto w lipcu, zaszkodziło nuklearnym ambicjom kraju. Chociaż Iran bagatelizuje ten incydent, niektórzy raporty sugerują, że robak był tak skuteczny, że mógł cofnąć irański program nuklearny o kilka lat.
Zamiast po prostu infekować system i niszczyć wszystko, czego dotknie, Stuxnet jest o wiele bardziej wyrafinowany i znacznie skuteczniejszy.
Robak jest inteligentny i potrafi się przystosować. Kiedy wchodzi do nowego systemu, pozostaje w stanie uśpienia i uczy się systemu bezpieczeństwa komputera. Kiedy już będzie mógł działać bez wzbudzania alarmu, wyszukuje bardzo konkretne cele i zaczyna atakować określone systemy. Zamiast po prostu niszczyć swoje cele, robi coś o wiele skuteczniejszego — wprowadza ich w błąd.
W programie wzbogacania jądrowego wirówka jest podstawowym narzędziem niezbędnym do rafinacji uranu. Każda wirówka zbudowana jest w oparciu o tę samą podstawową mechanikę, ale niemiecki producent Siemens oferuje to, co wielu uważa za najlepsze w branży. Stuxnet odszukał sterowniki Siemensa i przejął kontrolę nad sposobem wirowania wirówki. Zamiast jednak po prostu zmuszać maszyny do wirowania, aż same się zniszczą – do czego robak był więcej niż zdolny – Stuxnet dokonał subtelnych i znacznie bardziej przebiegłych zmian w maszynach.
Kiedy próbkę uranu wkładano do wirówki zakażonej Stuxnetem w celu udoskonalenia, wirus wydawał polecenie maszynie, aby obracała się szybciej, niż została zaprojektowana, a następnie nagle się zatrzymywała. W rezultacie tysiące maszyn zużyło się wiele lat przed terminem, a co ważniejsze, zniszczone próbki. Jednak prawdziwa sztuczka wirusa polegała na tym, że sabotując maszynę, fałszował odczyty i sprawiał wrażenie, jakby wszystko działało zgodnie z oczekiwanymi parametrami.
Po miesiącach wirówki zaczęły się zużywać i pękać, ale odczyty nadal pozostawały niezmienione wydawało się mieścić w normach, naukowcy związani z projektem zaczęli wątpić sobie. Irańscy agenci bezpieczeństwa zaczęli badać awarie, a personel obiektów nuklearnych żył w atmosferze strachu i podejrzeń. Trwało to ponad rok. Gdyby wirusowi udało się całkowicie uniknąć wykrycia, w końcu sam by się całkowicie usunął, a Irańczycy zastanawialiby się, co robią źle.
Przez 17 miesięcy wirusowi udało się po cichu przedostać do systemów irańskich, powoli niszcząc istotne próbki i uszkadzając niezbędny sprzęt. Być może większym niż uszkodzenie maszyn i próbek był chaos, w który wpadł program.
Irańczycy niechętnie przyznają się do części szkód
Prezydent Iranu Mahmoud Ahmadineżad tak zrobił przejęte że Stuxnet „udał się stworzyć problemy dla ograniczonej liczby naszych wirówek”, co jest zmianą Wcześniejsze twierdzenie Iranu, że robak zainfekował 30 000 komputerów, ale nie miał wpływu na energetykę jądrową udogodnienia. Niektóre raporty sugerować w zakładzie w Natanz, w którym odbywają się irańskie programy wzbogacania, 5084 z 8856 wirówek używanych w irańskiej elektrowni jądrowej zakłady zostały wyłączone, prawdopodobnie z powodu uszkodzeń, a zakład był zmuszony do zamykania co najmniej dwukrotnie ze względu na skutki awarii wirus.
Stuxnet obrał także za cel rosyjską turbinę parową, która napędza obiekt w Bushehr, ale wygląda na to, że wirus został wykryty, zanim zdążył wyrządzić jakiekolwiek rzeczywiste szkody. Gdyby wirus nie został wykryty, ostatecznie spowodowałby zbyt wysokie obroty turbin i spowodowałby nieodwracalne szkody w całej elektrowni. Jako cele zidentyfikowano także systemy temperatury i chłodzenia, ale działanie robaka na te systemy nie jest jasne.
Odkrycie robaka
W czerwcu tego roku białoruska firma antywirusowa VirusBlokAda znalazła nieznany wcześniej szkodliwy program na komputerze irańskiego klienta. Po zbadaniu go firma antywirusowa odkryła, że został on zaprojektowany specjalnie z myślą o SCADA firmy Siemens systemy zarządzania (kontrola nadzorcza i akwizycja danych), które są urządzeniami stosowanymi na dużą skalę produkcja. Pierwszą wskazówką świadczącą o tym, że z tym robakiem jest coś innego, było to, że po podniesieniu alarmu każdy firma, która próbowała przekazać ostrzeżenie, została następnie zaatakowana i zmuszona do zawieszenia działalności na co najmniej 24 godziny godziny. Metody i przyczyny ataków nadal pozostają tajemnicą.
Po wykryciu wirusa firmy takie jak Symantec i Kaspersky, dwie największe firmy antywirusowe na świecie, a także kilka agencji wywiadowczych rozpoczęło badania Stuxneta i uzyskało wyniki, które szybko pokazały, że nie jest to zwykłe złośliwe oprogramowanie.
Pod koniec września Symantec odkrył, że prawie 60 procent wszystkich zainfekowanych maszyn na świecie znajduje się w Iranie. Kiedy już to odkryto, stawało się coraz bardziej oczywiste, że wirus nie został zaprojektowany po prostu powodować problemy, jak wiele złośliwych programów, ale miał bardzo konkretny cel i a cel. Poziom zaawansowania był również znacznie wyższy niż wszystko, co zaobserwowano wcześniej, co skłoniło Ralpha Langnera, eksperta ds. bezpieczeństwa komputerowego, który jako pierwszy odkrył wirusa, do ogłosić że było to „jak przybycie F-35 na pole bitwy I wojny światowej”.
Jak to działało
Stuxnet atakuje w szczególności systemy operacyjne Windows 7, czyli nieprzypadkowo ten sam system operacyjny, który jest używany w irańskiej elektrowni jądrowej. Robak wykorzystuje cztery ataki typu zero-day, a jego celem jest oprogramowanie SCADA WinCC/PCS 7 firmy Siemens. Zagrożenie dnia zerowego to luka, która jest nieznana lub niezapowiedziana przez producenta. Są to zazwyczaj luki krytyczne dla systemu, które po ich wykryciu są natychmiast łatane. W tym przypadku dwa elementy dnia zerowego zostały odkryte i były bliskie wydania poprawek, natomiast dwa inne nigdy nie zostały odkryte przez nikogo. Gdy robak znalazł się w systemie, zaczął wykorzystywać inne systemy w sieci lokalnej, na którą był celem.
Gdy Stuxnet przedostał się przez irańskie systemy, bezpieczeństwo systemu stanęło przed wyzwaniem przedstawienia prawidłowego certyfikatu. Szkodnik przedstawił następnie dwa autentyczne certyfikaty, jeden od producenta obwodów JMicron, a drugi od producenta sprzętu komputerowego Realtek. Obie firmy mają siedziby na Tajwanie, zaledwie kilka przecznic od siebie i potwierdzono, że oba certyfikaty zostały skradzione. Te autentyczne certyfikaty są jednym z powodów, dla których robak mógł tak długo pozostać niewykrytym.
Szkodnik potrafił także komunikować się poprzez udostępnianie w trybie peer-to-peer, gdy dostępne było połączenie internetowe, co umożliwiało mu aktualizację w razie potrzeby i raportowanie postępów. Serwery, z którymi komunikował się Stuxnet, znajdowały się w Danii i Malezji i oba zostały wyłączone po potwierdzeniu przedostania się robaka do obiektu w Natanz.
Gdy Stuxnet zaczął rozprzestrzeniać się w irańskich systemach, jego celem zaczęły być wyłącznie „przetwornice częstotliwości” odpowiedzialne za wirówki. Wykorzystując dyski o zmiennej częstotliwości jako znaczniki, robak szukał w szczególności dysków od dwóch dostawców: Vacon z Finlandii i Fararo Paya z Iranu. Następnie monitoruje określone częstotliwości i atakuje tylko wtedy, gdy system działa w zakresie od 807 Hz do 1210 Hz, co jest dość rzadkie. częstotliwości, która wyjaśnia, w jaki sposób robak mógł tak konkretnie atakować irańskie elektrownie jądrowe, mimo że rozprzestrzeniał się po całym świecie. Następnie Stuxnet przystępuje do zmiany częstotliwości wyjściowej, co ma wpływ na podłączone silniki. Chociaż co najmniej 15 innych systemów firmy Siemens zgłosiło infekcję, żaden nie odniósł żadnych uszkodzeń spowodowanych przez robaka.
Aby najpierw dotrzeć do obiektu nuklearnego, robak musiał zostać wprowadzony do systemu, najlepiej na dysku USB. Iran stosuje system bezpieczeństwa „szczeliny powietrznej”, co oznacza, że obiekt nie ma połączenia z Internetem. Może to wyjaśniać, dlaczego robak rozprzestrzenił się tak daleko, ponieważ jedynym sposobem zainfekowania systemu jest zaatakowanie dużego obszaru i działanie jako Trojan czekający, aż irański pracownik nuklearny otrzyma zainfekowany plik z obiektu i fizycznie przeniesie go do zakład. Z tego powodu prawie niemożliwe będzie dokładne ustalenie, gdzie i kiedy rozpoczęła się infekcja, ponieważ mogła zostać przeniesiona przez kilku niczego niepodejrzewających pracowników.
Ale skąd się wziął i kto go opracował?
Istnieje wiele podejrzeń co do pochodzenia robaka, a najbardziej prawdopodobnym pojedynczym podejrzanym jest Izrael. Po dokładnym zbadaniu wirusa Kaspersky Lab ogłoszony że poziom ataku i wyrafinowanie, z jakim został przeprowadzony, mogły zostać przeprowadzone jedynie „przy wsparciu państwa narodowego”, co wyklucza prywatny haker grupy, a nawet większe grupy, które wykorzystują hakowanie jako środek do osiągnięcia celu, takie jak rosyjska mafia, podejrzana o stworzenie robaka trojańskiego odpowiedzialnego za kradzież 1 milion dolarów z brytyjskiego banku.
Izrael w pełni przyznaje, że uważa wojnę cybernetyczną za filar swojej doktryny obronnej, a grupa znana jako Jednostka 8200, Najbardziej prawdopodobną grupą byłyby izraelskie siły obronne, uważane za przybliżony odpowiednik amerykańskiej NSA odpowiedzialny.
Jednostka 8200 to największa dywizja Sił Obronnych Izraela, a jednak większość jej operacji jest nieznana – nawet tożsamość generała brygady dowodzącego jednostką jest tajna. Wśród wielu exploitów jeden raport twierdzi, że podczas izraelskiego nalotu na podejrzany syryjski obiekt nuklearny w 2007 r. Jednostka 8200 uruchomiła tajny cyberprzełącznik, który dezaktywował dużą część syryjskiego radaru.
Aby jeszcze bardziej uwiarygodnić tę teorię, w 2009 roku Izrael przesunął datę, w której spodziewa się, że Iran będzie dysponował podstawową bronią nuklearną, na rok 2014. Mogło to wynikać z usłyszenia o problemach lub sugerować, że Izrael wiedział coś, czego nie wiedział nikt inny.
Głównym podejrzanym są także Stany Zjednoczone, co w maju tego roku twierdził Iran aresztowany Według niej 30 osób było zaangażowanych w pomoc Stanom Zjednoczonym w prowadzeniu „cyberwojny” przeciwko Iranowi. Iran twierdził również, że administracja Busha sfinansowała plan destabilizacji Iranu za pomocą cyberataków o wartości 400 milionów dolarów. Iran utrzymuje, że administracja Obamy kontynuowała ten sam plan, a nawet przyspieszyła niektóre projekty. Krytycy stwierdzili, że roszczenia Iranu są po prostu pretekstem do wyeliminowania „niepożądanych”, a aresztowania są jednym z wielu punktów spornych między Iranem a USA.
Jednak w miarę kontynuowania badań nad wirusem i pojawiania się coraz większej liczby odpowiedzi na temat jego funkcji, pojawia się coraz więcej tajemnic na temat jego pochodzenia.
Według Microsoftu kodowanie wirusa zajęłoby co najmniej 10 000 godzin zespołowi składającemu się z pięciu lub więcej osób, co najmniej sześć miesięcy oddanej pracy. Wiele osób spekuluje obecnie, że stworzenie robaka wymagałoby połączonych wysiłków społeczności wywiadowczych kilku krajów. Chociaż Izraelczycy mogą mieć determinację i techników, niektórzy twierdzą, że do kodowania szkodliwego oprogramowania potrzebny byłby poziom technologii Stanów Zjednoczonych. Znajomość dokładnej natury maszyn Siemensa w takim stopniu, w jakim znał ją Stuxnet, mogłaby sugerować język niemiecki zaangażowania, a Rosjanie mogli być zaangażowani w opracowywanie szczegółowych specyfikacji rosyjskich maszyn używany. Robak został przystosowany do działania na częstotliwościach obejmujących komponenty fińskie, co sugeruje, że w sprawę zaangażowana jest także Finlandia i być może NATO. Ale jest jeszcze więcej tajemnic.
Robak został wykryty nie ze względu na jego działania w irańskich obiektach nuklearnych, ale raczej w wyniku powszechnej infekcji Stuxnetem. Centralny rdzeń przetwórczy irańskiego zakładu przetwórstwa nuklearnego znajduje się głęboko pod ziemią i jest całkowicie odcięty od Internetu. Aby robak mógł zainfekować system, musi zostać wprowadzony na komputer lub pendrive pracownika. Wystarczy, że jeden pracownik zabierze pracę do domu, a następnie wróci i włoży coś jako nieszkodliwy jak pendrive w komputerze, a Stuxnet rozpocząłby swój cichy marsz do konkretnej maszyny chciało.
Powstaje jednak pytanie: dlaczego ludzie odpowiedzialni za wirusa opracowali tak niesamowicie wyrafinowaną cyberbroń, a następnie wypuścili ją w prawdopodobnie niechlujny sposób? Jeżeli celem było pozostanie niewykrytym, wypuszczenie wirusa zdolnego do replikacji z pokazaną szybkością jest niechlujstwem. To była kwestia tego, kiedy, a nie czy, wirus zostanie wykryty.
Najbardziej prawdopodobnym powodem jest to, że programiści po prostu się tym nie przejęli. Ostrożniejsze umieszczenie szkodliwego oprogramowania zajęłoby znacznie więcej czasu, a transmisja robaka do określonych systemów mogłaby zająć znacznie więcej czasu. Jeśli kraj szuka natychmiastowych rezultatów, aby powstrzymać to, co może postrzegać jako zbliżający się atak, prędkość może zwyciężyć nad ostrożnością. Irańska elektrownia jądrowa jest jedynym zainfekowanym systemem, który zgłosił jakiekolwiek rzeczywiste szkody spowodowane przez Stuxnet, więc ryzyko dla innych systemów wydaje się minimalne.
Więc, co dalej?
Firma Siemens udostępniła narzędzie do wykrywania i usuwania Stuxneta, lecz Iran nadal to robi zmagający się aby całkowicie usunąć złośliwe oprogramowanie. Jeszcze 23 listopada w irańskiej placówce w Natanz wymuszony zostać zamknięty i spodziewane są dalsze opóźnienia. Ostatecznie program nuklearny powinien zostać wznowiony i uruchomiony.
Osobna, ale prawdopodobnie powiązana historia, na początku tego tygodnia dwóch irańskich naukowców zginęło w oddzielnych, ale identycznych atakach bombowych w Teheranie w Iranie. Następnego dnia na konferencji prasowej prezydent Ahmadineżad powiedział reporterom, że „niewątpliwie w zabójstwo zaangażowana jest ręka reżimu syjonistycznego i rządów zachodnich”.
Dziś rano irańscy urzędnicy przejęte dokonał kilku aresztowań w związku z zamachami bombowymi i chociaż tożsamość podejrzanych nie została ujawniona, irański minister wywiadu powiedział: „ trzy agencje szpiegowskie Mossadu, CIA i MI6 odegrały rolę w (atakach), a wraz z aresztowaniem tych osób znajdziemy nowe wskazówki umożliwiające aresztowanie innych elementy,"
Połączenie zamachów bombowych i szkód spowodowanych przez wirusa Stuxnet powinno mieć duży wpływ na nadchodzące rozmowy między Iranem a konfederacją sześciu narodów Chin, Rosji, Francji, Wielkiej Brytanii, Niemiec i Stanów Zjednoczonych w dniu 6 grudnia i 7. Rozmowy mają być kontynuacją dialogu na temat ewentualnych ambicji nuklearnych Iranu.
