Viitorul războiului poate că tocmai a început, dar în loc să fie anunțat de o explozie, a început fără niciun sunet sau o singură victimă.
Este primul de acest gen și ar putea fi un semnal al modului în care sunt purtate toate războaiele de acum înainte. Este o armă cibernetică atât de precisă încât poate distruge o țintă mai eficient decât un exploziv convențional și apoi pur și simplu se poate șterge singură, lăsând victimele să se învinuiască. Este o armă atât de teribilă încât ar putea face mai mult decât doar deteriora obiectele fizice, ar putea ucide idei. Este viermele Stuxnet, numit de mulți drept prima armă reală a războiului cibernetic, iar prima sa țintă a fost Iranul.
Videoclipuri recomandate
Zorii războiului cibernetic
Stuxnet este aproape ca ceva dintr-un roman Tom Clancy. În loc să trimită rachete pentru a distruge o centrală nucleară care amenință întreaga regiune și întreaga lume și este supravegheată de un președinte care a susținut că și-ar dori să vadă o rasă întreagă de oameni „șterse de pe hartă”, poate fi introdus un simplu virus de computer care va face treaba mult mai mult în mod eficient. Atacarea unei structuri cu rachete poate duce la război și, în plus, clădirile pot fi reconstruite. Dar pentru a infecta un sistem atât de complet încât oamenii care îl folosesc încep să se îndoiască de încrederea lor în propriile abilități va avea efecte mult mai devastatoare pe termen lung.
Într-un moment rar de deschidere din Iran, națiunea a făcut-o confirmat că malware-ul Stuxnet (numele provine din cuvintele cheie îngropate în cod) care a fost descoperit inițial în iulie, a dăunat ambițiilor nucleare ale țării. Deși Iranul minimizează incidentul, unii rapoarte sugerează că viermele a fost atât de eficient, încât este posibil să fi dat înapoi programul nuclear iranian cu câțiva ani.
În loc să infecteze pur și simplu un sistem și să distrugă tot ceea ce atinge, Stuxnet este mult mai sofisticat decât atât și mult mai eficient.
Viermele este inteligent și adaptabil. Când intră într-un sistem nou, rămâne inactiv și învață sistemul de securitate al computerului. Odată ce poate funcționa fără să dea alarma, apoi caută ținte foarte specifice și începe să atace anumite sisteme. În loc să-și distrugă pur și simplu țintele, face ceva mult mai eficient – le induce în eroare.
Într-un program de îmbogățire nucleară, o centrifugă este un instrument fundamental necesar pentru a rafina uraniul. Fiecare centrifugă construită urmează aceeași mecanică de bază, dar producătorul german Siemens oferă ceea ce mulți consideră a fi cel mai bun din industrie. Stuxnet a căutat controlerele Siemens și a preluat controlul asupra modului în care centrifuga se învârte. Dar, în loc să forțeze pur și simplu mașinile să se învârtească până s-au autodistrus – ceea ce viermele era mai mult decât capabil să facă – Stuxnet a făcut modificări subtile și mult mai ocolitoare ale mașinilor.
Când o probă de uraniu era introdusă într-o centrifugă infectată cu Stuxnet pentru rafinare, virusul comanda mașinii să se rotească mai repede decât pentru care a fost proiectat, apoi se oprea brusc. Rezultatele au fost mii de mașini care s-au uzat cu ani înainte de termen și, mai important, au distrus mostre. Dar adevăratul truc al virusului a fost că, în timp ce sabota mașinile, ar falsifica citirile și ar face să pară ca și cum totul funcționează în parametrii așteptați.
După luni de zile, centrifugele au început să se uzeze și să se spargă, dar citirile încă părea să se încadreze în norme, oamenii de știință asociați cu proiectul au început să ghicească înșiși. Agenții de securitate iranieni au început să investigheze eșecurile, iar personalul de la instalațiile nucleare trăia sub un nor de frică și suspiciune. Acest lucru a durat peste un an. Dacă virusul ar fi reușit să evite complet detectarea, în cele din urmă s-ar fi șters în totalitate și s-ar fi lăsat pe iranieni să se întrebe ce au greșit.
Timp de 17 luni, virusul a reușit să pătrundă în liniște în sistemele iraniene, distrugând încet mostre vitale și dăunând echipamentelor necesare. Poate mai mult decât deteriorarea mașinilor și a mostrelor a fost haosul în care a fost aruncat programul.
Iranienii recunosc cu plăcere o parte din pagube
Președintele iranian Mahmoud Ahmadinejad a făcut-o pretins că Stuxnet „a reușit să creeze probleme pentru un număr limitat de centrifugele noastre”, ceea ce este o schimbare față de Afirmația anterioară a Iranului că viermele a infectat 30.000 de computere, dar nu a afectat nuclearul facilităţi. Unele rapoarte sugera la instalația de la Natanz, care găzduiește programele de îmbogățire iraniene, 5.084 din 8.856 de centrifuge utilizate la nuclearul iranian instalațiile au fost scoase din funcțiune, posibil din cauza avariilor, iar fabrica a fost forțată să se închidă de cel puțin două ori din cauza efectelor virus.
Stuxnet a vizat, de asemenea, turbina cu abur de fabricație rusă care alimentează instalația Bushehr, dar se pare că virusul a fost descoperit înainte de a putea fi făcută vreo pagubă reală. Dacă virusul nu ar fi fost descoperit, în cele din urmă ar fi rulat turațiile turbinelor prea mari și ar fi provocat daune ireparabile întregii centrale electrice. Sistemele de temperatură și răcire au fost, de asemenea, identificate ca ținte, dar rezultatele viermelui asupra acestor sisteme nu sunt clare.
Descoperirea viermelui
În iunie a acestui an, specialiștii antivirus din Belarus, VirusBlokAda, au găsit un program malware necunoscut anterior pe computerul unui client iranian. După ce l-a cercetat, compania de antivirus a descoperit că a fost conceput special pentru a viza Siemens SCADA (control de supraveghere și achiziție de date) sisteme de management, care sunt dispozitive utilizate pe scară largă de fabricație. Primul indiciu că ceva era diferit la acest vierme a fost că odată ce alerta a fost ridicată, fiecare Compania care a încercat să transmită alerta a fost ulterior atacată și forțată să se închidă pentru cel puțin 24 de ani. ore. Metodele și motivele atacurilor sunt încă un mister.
Odată ce virusul a fost descoperit, companii precum Symantec și Kaspersky, două dintre cele mai mari companii de antivirus din lume, precum și mai multe agenții de informații, au început să cerceteze Stuxnet și au găsit rezultate care au făcut rapid evident că acesta nu era un malware obișnuit.
Până la sfârșitul lunii septembrie, Symantec a descoperit că aproape 60% din toate mașinile infectate din lume se aflau în Iran. Odată ce acest lucru a fost descoperit, a devenit din ce în ce mai evident că virusul nu a fost conceput pur și simplu pentru a cauza probleme, așa cum sunt multe malware, dar avea un scop foarte specific și a ţintă. Nivelul de sofisticare a fost, de asemenea, cu mult peste orice s-a văzut înainte, făcându-l pe Ralph Langner, expertul în securitate informatică care a descoperit primul virus, să declara că a fost „ca sosirea unui F-35 pe un câmp de luptă din Primul Război Mondial”.
Cum a funcționat
Stuxnet vizează în mod specific sistemele de operare Windows 7, care este, nu întâmplător, același sistem de operare folosit la centrala nucleară iraniană. Viermele folosește patru atacuri zero-day și vizează în mod specific software-ul Siemens WinCC/PCS 7 SCADA. O amenințare zero-day este o vulnerabilitate care este fie necunoscută, fie neanunțată de producător. Acestea sunt în general vulnerabilități critice pentru sistem și, odată ce sunt descoperite, sunt corectate imediat. În acest caz, cele două elemente zero-day au fost descoperite și erau aproape de a fi lansate remedieri, dar alte două nu au fost descoperite niciodată de nimeni. Odată ce viermele a fost în sistem, a început apoi să exploateze alte sisteme din rețeaua locală pe care o viza.
Pe măsură ce Stuxnet își făcea drum prin sistemele iraniene, securitatea sistemului a fost contestată să prezinte un certificat legitim. Malware-ul a prezentat apoi două certificate autentice, unul de la producătorul de circuite JMicron și celălalt de la producătorul de hardware pentru computere Realtek. Ambele companii sunt situate în Taiwan la doar câteva blocuri una de cealaltă și s-a confirmat că ambele certificate au fost furate. Aceste certificate autentice sunt unul dintre motivele pentru care viermele a putut rămâne nedetectat atât de mult timp.
Malware-ul avea, de asemenea, capacitatea de a comunica prin partajare peer-to-peer atunci când era prezentă o conexiune la Internet, ceea ce i-a permis să facă upgrade după cum era necesar și să raporteze progresul său. Serverele cu care comunica Stuxnet erau situate în Danemarca și Malaezia și ambele au fost închise odată ce viermele a fost confirmat că a intrat în instalația Natanz.
Pe măsură ce Stuxnet a început să se răspândească în sistemele iraniene, a început să vizeze doar „convertoarele de frecvență” responsabile pentru centrifuge. Folosind unități cu frecvență variabilă ca markeri, viermele a căutat în mod special unități de la doi furnizori: Vacon, care are sediul în Finlanda, și Fararo Paya, care are sediul în Iran. Apoi monitorizează frecvențele specificate și atacă doar dacă un sistem rulează între 807 Hz și 1210 Hz, o situație destul de rar întâlnită. frecvență care explică modul în care viermele ar putea viza atât de specific centralele nucleare iraniene, în ciuda răspândirii în întreaga lume. Stuxnet se apucă apoi de modificarea frecvenței de ieșire, care afectează motoarele conectate. Deși cel puțin alte 15 sisteme Siemens au raportat infecție, niciunul nu a suferit daune de la vierme.
Pentru a ajunge mai întâi la instalația nucleară, viermele trebuia adus în sistem, eventual pe o unitate USB. Iranul folosește un sistem de securitate „decalaj de aer”, ceea ce înseamnă că instalația nu are conexiune la internet. Acest lucru ar putea explica de ce viermele s-a răspândit până acum, deoarece singura modalitate prin care acesta poate infecta sistemul este să vizeze o zonă largă și să acționeze ca un Troian în timp ce așteaptă ca un angajat nuclear iranian să primească un fișier infectat departe de instalație și să-l aducă fizic în plantă. Din această cauză, va fi aproape imposibil de știut exact unde și când a început infecția, deoarece este posibil să fi fost adusă de mai mulți angajați nebănuiți.
Dar de unde a venit și cine l-a dezvoltat?
Suspiciunile de unde a provenit viermele sunt rampante, iar cel mai probabil suspect este Israelul. După ce a cercetat amănunțit virusul, Kaspersky Labs a anunţat că nivelul de atac și sofisticarea cu care a fost executat ar fi putut fi efectuate doar „cu sprijinul statului național”, ceea ce exclude hackerul privat grupuri, sau chiar grupuri mai mari care au folosit hacking ca mijloc pentru a atinge un scop, cum ar fi mafia rusă, care este suspectată că a creat un vierme troian responsabil pentru furând peste 1 milion de dolari de la o bancă britanică.
Israelul admite pe deplin că consideră că războiul cibernetic este un pilon al doctrinei sale de apărare, iar grupul cunoscut sub numele de Unitatea 8200, un Forța de apărare israeliană considerată a fi echivalentul aproximativ al NSA a Statelor Unite, ar fi grupul cel mai probabil responsabil.
Unitatea 8200 este cea mai mare divizie din Forța de Apărare Israeliană și, totuși, majoritatea operațiunilor sale sunt necunoscute – chiar și identitatea generalului de brigadă responsabil de unitatea este clasificată. Printre multele sale exploatații, una raport susține că, în timpul unui atac aerian israelian asupra unei suspecte instalații nucleare siriene, în 2007, Unitatea 8200 a activat un comutator secret cibernetic de ucidere care a dezactivat secțiuni mari ale radarului sirian.
Pentru a da mai mult credibilitate acestei teorii, în 2009, Israelul a amânat data la care se așteaptă ca Iranul să aibă arme nucleare rudimentare până în 2014. Acesta poate fi rezultatul auzirii unor probleme sau ar putea sugera că Israelul știa ceva ce nimeni altcineva nu știa.
SUA este, de asemenea, un suspect principal, iar în mai a acestui an, Iranul a susținut că o are arestat 30 de persoane despre care susține că au fost implicate în a ajuta SUA să ducă un „război cibernetic” împotriva Iranului. Iranul a susținut, de asemenea, că administrația Bush a finanțat un plan de 400 de milioane de dolari pentru a destabiliza Iranul prin utilizarea atacurilor cibernetice. Iranul a susținut că administrația Obama a continuat același plan și chiar a accelerat unele dintre proiecte. Criticii au afirmat că afirmațiile Iranului sunt pur și simplu o scuză pentru a elimina „indezirabilii”, iar arestările sunt unul dintre multele puncte de dispută între Iran și SUA.
Dar, pe măsură ce virusul continuă să fie studiat și au apărut mai multe răspunsuri cu privire la funcția sa, se ridică mai multe mistere despre originile sale.
Potrivit Microsoft, virusul ar fi luat cel puțin 10.000 de ore de codare și ar fi luat o echipă de cinci persoane sau mai mult, cel puțin șase luni de muncă dedicată. Mulți speculează acum că ar necesita eforturile combinate ale comunităților de informații ale mai multor națiuni care lucrează împreună pentru a crea viermele. În timp ce israelienii ar putea avea hotărârea și tehnicienii, unii susțin că ar fi nevoie de nivelul de tehnologie al Statelor Unite pentru a codifica malware-ul. A cunoaște natura exactă a mașinilor Siemens în măsura în care a făcut-o Stuxnet ar putea sugera limba germană implicarea, iar rușii ar fi putut fi implicați în detalierea specificațiilor mașinilor ruse folosit. Viermele a fost adaptat pentru a opera pe frecvențe care au implicat componente finlandeze, ceea ce sugerează că Finlanda și, probabil, NATO sunt implicate. Dar sunt încă mai multe mistere.
Viermele nu a fost detectat din cauza acțiunilor sale la instalațiile nucleare iraniene, ci mai degrabă ca urmare a infecției pe scară largă cu Stuxnet. Miezul central de procesare al uzinei de procesare nucleară iraniană este situat adânc în subteran și este complet deconectat de internet. Pentru ca viermele să infecteze sistemul, trebuie să fi fost introdus pe computer sau pe o unitate flash a unui membru al personalului. Tot ce ar fi nevoie este ca un singur angajat să ia munca acasă cu ei, apoi să se întoarcă și să introducă ceva ca inofensiv ca o unitate flash în computer, iar Stuxnet își începea marșul tăcut către mașina specifică a vrut.
Dar întrebarea devine atunci: de ce oamenii responsabili pentru virus au dezvoltat o armă cibernetică atât de incredibil de sofisticată și apoi au lansat-o într-o metodă atât de neglijentă? Dacă scopul a fost să rămână nedetectat, eliberarea unui virus care are capacitatea de a se replica la viteza pe care a arătat-o este neglijentă. Era o chestiune de când, nu dacă, virusul va fi descoperit.
Motivul cel mai probabil este că dezvoltatorilor pur și simplu nu le-a păsat. Plantarea malware-ului cu mai multă atenție ar fi durat mult mai mult timp, iar transmiterea viermelui în sistemele specifice ar fi durat mult mai mult. Dacă o țară caută rezultate imediate pentru a opri ceea ce ar putea vedea ca un atac iminent, atunci viteza ar putea învinge precauția. Centrala nucleară iraniană este singurul sistem infectat care a raportat orice daune reale de la Stuxnet, așa că riscul pentru alte sisteme pare să fie minim.
Deci ce urmează?
Siemens a lansat un instrument de detectare și eliminare pentru Stuxnet, dar Iranul este încă chinuindu-se pentru a elimina complet malware-ul. Recent, pe 23 noiembrie, a fost instalația iraniană de la Natanz forţat să se închidă și sunt așteptate noi întârzieri. În cele din urmă, programul nuclear ar trebui să fie din nou în funcțiune.
Într-o poveste separată, dar posibil legată, la începutul acestei săptămâni doi oameni de știință iranieni au fost uciși în urma unor atacuri cu bombă separate, dar identice, la Teheran, Iran. La o conferință de presă a doua zi, președintele Ahmadinejad spuse reporterii că „Fără îndoială, mâna regimului sionist și a guvernelor occidentale este implicată în asasinat”.
Mai devreme astăzi, oficialii iranieni pretins să fi efectuat mai multe arestări în timpul atentatelor și, deși identitățile suspecților nu au fost dezvăluite, ministrul iranian de informații a spus „ trei agenții de spionaj ale Mossad, CIA și MI6 au avut un rol în (atacuri) și, odată cu arestarea acestor persoane, vom găsi noi indicii pentru a aresta alte persoane. elemente,”
Combinația dintre bombardamentele și daunele cauzate de virusul Stuxnet ar trebui să cântărească foarte mult peste discuțiile viitoare între Iran și o confederație formată din șase națiuni din China, Rusia, Franța, Marea Britanie, Germania și SUA pe 6 decembrie și 7. Discuțiile sunt menite să continue dialogul cu privire la posibilele ambiții nucleare ale Iranului.
