Будущая война, возможно, только началась, но вместо того, чтобы быть возвещенной взрывом, она началась без звука и единой жертвы.
Это первый случай такого рода, и он может стать сигналом о том, как с этого момента будут вестись все войны. Это кибероружие настолько точное, что оно может уничтожить цель более эффективно, чем обычная взрывчатка, а затем просто уничтожить себя, оставив жертвам винить самих себя. Это оружие настолько ужасно, что оно может не только повредить физические объекты, но и убить идеи. Это червь Stuxnet, которого многие называют первым в мире настоящим оружием кибервойны, и его первой целью стал Иран.
Рекомендуемые видео
Рассвет кибервойны
Stuxnet почти похож на роман Тома Клэнси. Вместо того, чтобы посылать ракеты для уничтожения атомной электростанции, которая угрожает всему региону и миру и находится под контролем президента, который заявил, что что он хотел бы, чтобы целая раса людей была «стерта с лица земли», можно внедрить простой компьютерный вирус, который сделает эту работу гораздо лучше эффективно. Атака здания ракетами может привести к войне, к тому же здания могут быть перестроены. Но настолько полное заражение системы, что люди, использующие ее, начнут сомневаться в своей вере в свои способности, будет иметь гораздо более разрушительные долгосрочные последствия.
В редкий момент открытости со стороны Ирана страна подтвержденный что вредоносная программа Stuxnet (название происходит от ключевых слов, скрытых в коде), первоначально обнаруженная в июле, нанесла ущерб ядерным амбициям страны. Хотя Иран преуменьшает значение инцидента, некоторые отчеты предполагают, что червь был настолько эффективным, что мог отбросить иранскую ядерную программу на несколько лет.
Вместо того, чтобы просто заразить систему и уничтожить все, к чему она прикасается, Stuxnet гораздо сложнее, а также гораздо более эффективен.
Червь умен и легко адаптируется. Когда он входит в новую систему, он остается в спящем режиме и изучает систему безопасности компьютера. Как только он сможет действовать, не поднимая тревоги, он начинает искать очень конкретные цели и начинает атаковать определенные системы. Вместо того, чтобы просто уничтожать свои цели, он делает нечто гораздо более эффективное — вводит их в заблуждение.
В программе ядерного обогащения центрифуга является основным инструментом, необходимым для очистки урана. Каждая построенная центрифуга имеет одинаковую базовую механику, но немецкий производитель Siemens предлагает то, что многие считают лучшим в отрасли. Stuxnet разыскал контроллеры Siemens и взял на себя управление вращением центрифуги. Но вместо того, чтобы просто заставлять машины вращаться до тех пор, пока они не уничтожат себя (на что червь был более чем способен), Stuxnet внес в машины тонкие и гораздо более коварные изменения.
Когда образец урана помещался в зараженную Stuxnet центрифугу для очистки, вирус приказывал машине вращаться быстрее, чем предполагалось, а затем внезапно останавливался. В результате тысячи машин вышли из строя на годы раньше запланированного срока и, что более важно, испортили образцы. Но настоящая хитрость вируса заключалась в том, что, саботируя работу оборудования, он фальсифицировал показания и создавал впечатление, будто все работает в пределах ожидаемых параметров.
Через несколько месяцев центрифуги начали изнашиваться и ломаться, но, судя по показаниям, все еще казалось, было в пределах нормы, ученые, связанные с проектом, начали сомневаться сами себя. Агенты иранской безопасности начали расследовать провалы, а персонал ядерных объектов жил под облаком страха и подозрений. Это продолжалось больше года. Если бы вирусу удалось полностью избежать обнаружения, он в конечном итоге полностью удалился бы, заставив иранцев задуматься, что же они делают не так.
В течение 17 месяцев вирусу удавалось незаметно проникать в иранские системы, медленно уничтожая жизненно важные образцы и повреждая необходимое оборудование. Возможно, это был хаос, в который погрузилась программа, не только повреждение оборудования и образцов.
Иранцы неохотно признают часть ущерба
Президент Ирана Махмуд Ахмадинежад заявлено что Stuxnet «удалось создать проблемы для ограниченного числа наших центрифуг», что является отличием от Более раннее заявление Ирана о том, что червь заразил 30 000 компьютеров, но не повлиял на ядерную удобства. Некоторые отчеты предлагать на объекте в Натанзе, где реализуются иранские программы по обогащению, 5084 из 8856 центрифуг, используемых на иранской ядерной объекты были отключены, возможно, из-за повреждений, а завод был вынужден останавливаться как минимум дважды из-за последствий аварии. вирус.
Stuxnet также атаковал паровую турбину российского производства, питающую АЭС в Бушере, но, похоже, вирус был обнаружен до того, как удалось нанести какой-либо реальный ущерб. Если бы вирус не был обнаружен, он в конечном итоге привел бы к слишком высоким оборотам турбин и нанес бы непоправимый ущерб всей электростанции. Системы температуры и охлаждения также были идентифицированы как цели, но результаты воздействия червя на эти системы неясны.
Открытие червя
В июне этого года белорусская антивирусная компания VirusBlokAda обнаружила на компьютере иранского клиента ранее неизвестную вредоносную программу. Изучив его, антивирусная компания обнаружила, что он был специально разработан для Siemens SCADA. (диспетчерский контроль и сбор данных) системы управления, которые представляют собой устройства, используемые в крупномасштабных производство. Первым признаком того, что с этим червем что-то не так, было то, что после того, как была поднята тревога, все Компания, которая пыталась объявить тревогу, впоследствии подверглась нападению и была вынуждена закрыться как минимум на 24 часа. часы. Методы и причины атак до сих пор остаются загадкой.
Как только вирус был обнаружен, такие компании, как Symantec и Kaspersky, две крупнейшие антивирусные компании в мире, а также несколько спецслужб начали исследовать Stuxnet и получили результаты, которые быстро показали, что это не обычное вредоносное ПО.
К концу сентября Symantec обнаружила, что почти 60 процентов всех зараженных компьютеров в мире находились в Иране. Как только это было обнаружено, становилось все более и более очевидным, что вирус не был создан просто вызвать проблемы, как и многие другие вредоносные программы, но у него была очень конкретная цель и цель. Уровень сложности также был намного выше всего, что было раньше, что побудило Ральфа Лангнера, эксперта по компьютерной безопасности, который первым обнаружил вирус, объявить что это было «похоже на прибытие F-35 на поле боя Первой мировой войны».
Как это работало
Stuxnet специально нацелен на операционные системы Windows 7, которые, не случайно, являются той же операционной системой, которая использовалась на иранской атомной электростанции. Червь использует четыре атаки нулевого дня и специально нацелен на программное обеспечение Siemens WinCC/PCS 7 SCADA. Угроза нулевого дня — это уязвимость, которая либо неизвестна, либо не объявлена производителем. Как правило, это критически важные для системы уязвимости, и как только они обнаружены, их немедленно исправляют. В данном случае два элемента нулевого дня были обнаружены и были близки к выпуску исправлений, но два других так и не были обнаружены никем. Как только червь оказался в системе, он начал использовать другие системы в локальной сети, на которую он был нацелен.
Когда Stuxnet прошел через иранские системы, система безопасности поставила перед ним задачу предоставить законный сертификат. Затем вредоносная программа представила два подлинных сертификата: один от производителя микросхем JMicron, а другой от производителя компьютерного оборудования Realtek. Обе компании расположены на Тайване, всего в нескольких кварталах друг от друга, и было подтверждено, что оба сертификата были украдены. Эти подлинные сертификаты являются одной из причин того, что червю удавалось оставаться незамеченным так долго.
Вредоносное ПО также имело возможность обмениваться данными через одноранговый доступ при наличии подключения к Интернету, что позволяло ему обновляться по мере необходимости и сообщать о своем прогрессе. Серверы, с которыми общался Stuxnet, находились в Дании и Малайзии, и оба были отключены, как только было подтверждено проникновение червя на объект в Натанзе.
Когда Stuxnet начал распространяться по иранским системам, он стал нацелен только на «преобразователи частоты», отвечающие за центрифуги. Используя частотно-регулируемые приводы в качестве маркеров, червь специально искал накопители двух производителей: Vacon, базирующегося в Финляндии, и Fararo Paya, базирующегося в Иране. Затем он отслеживает указанные частоты и атакует только в том случае, если система работает в диапазоне от 807 Гц до 1210 Гц, что встречается довольно редко. Частота, которая объясняет, как червь мог так целенаправленно атаковать иранские атомные электростанции, несмотря на то, что он распространился по всему миру. Затем Stuxnet приступает к изменению выходной частоты, что влияет на подключенные двигатели. Хотя как минимум 15 других систем Siemens сообщили о заражении, ни одна из них не пострадала от червя.
Чтобы сначала попасть на ядерный объект, червя необходимо было перенести в систему, возможно, на USB-накопителе. Иран использует систему безопасности «воздушный зазор», то есть объект не имеет подключения к Интернету. Это может объяснить, почему червь распространился так далеко, поскольку единственный способ заразить систему — это атаковать обширную территорию и действовать как Троян в ожидании, пока иранский ядерный сотрудник заберет зараженный файл с объекта и физически перенесет его на объект. растение. Из-за этого будет практически невозможно узнать точно, где и когда началось заражение, поскольку его могли занести несколько ничего не подозревающих сотрудников.
Но откуда оно взялось и кто его разработал?
Подозрения относительно происхождения червя широко распространены, и наиболее вероятным подозреваемым является Израиль. После тщательного исследования вируса «Лаборатория Касперского» объявлено что уровень атаки и изощренность, с которой она была осуществлена, могли быть осуществлены только «при поддержке национального государства», что исключает возможность частного хакера группы или даже более крупные группы, которые используют хакерство как средство достижения цели, такие как «Русская мафия», которую подозревают в создании троянского червя, ответственного за воровать 1 миллион долларов от британского банка.
Израиль полностью признает, что считает кибервойну основой своей оборонной доктрины, а группа, известная как Отряд 8200, Силы обороны Израиля, которые считаются грубым эквивалентом АНБ США, будут наиболее вероятной группировкой. ответственный.
Подразделение 8200 является крупнейшим подразделением Сил обороны Израиля, однако большинство его операций неизвестны – даже личность бригадного генерала, возглавляющего это подразделение, засекречена. Среди его многочисленных подвигов один отчет утверждает, что во время израильского авиаудара по предполагаемому сирийскому ядерному объекту в 2007 году подразделение 8200 активировало секретный кибер-выключатель, который отключил большие участки сирийского радара.
Чтобы еще больше подтвердить эту теорию, в 2009 году Израиль перенес дату, когда, по его ожиданиям, у Ирана будет элементарное ядерное оружие, на 2014 год. Это могло быть результатом слухов о проблемах или могло означать, что Израиль знал что-то, чего не знал никто другой.
США также являются главным подозреваемым, а в мае этого года Иран заявил, что арестован По данным организации, 30 человек помогали США вести «кибервойну» против Ирана. Иран также заявил, что администрация Буша профинансировала план стоимостью 400 миллионов долларов по дестабилизации Ирана с помощью кибератак. Иран утверждает, что администрация Обамы продолжила тот же план и даже ускорила реализацию некоторых проектов. Критики заявили, что претензии Ирана являются просто предлогом для искоренения «нежелательных лиц», а аресты являются одним из многих пунктов разногласий между Ираном и США.
Но по мере того, как вирус продолжает изучаться и появляется все больше ответов относительно его функций, возникает все больше загадок о его происхождении.
По данным Microsoft, на написание вируса потребовалось бы не менее 10 000 часов, а команде из пяти или более человек — не менее шести месяцев самоотверженной работы. Многие сейчас предполагают, что для создания червя потребуются совместные усилия разведывательных сообществ нескольких стран. Хотя у израильтян может быть решимость и технические специалисты, некоторые утверждают, что для кодирования вредоносного ПО потребуется уровень технологий Соединенных Штатов. Чтобы знать точную природу оборудования Siemens в той степени, в которой это сделал Stuxnet, можно было бы предположить, что немецкий участие, и русские, возможно, были вовлечены в детализацию характеристик российской техники использовал. Червь был адаптирован для работы на частотах, в которых задействованы финские компоненты, что позволяет предположить, что в нем также замешана Финляндия и, возможно, НАТО. Но есть еще больше загадок.
Червь был обнаружен не из-за его действий на иранских ядерных объектах, а в результате повсеместного заражения Stuxnet. Центральное технологическое ядро иранского завода по переработке атомной энергии расположено глубоко под землей и полностью отрезано от Интернета. Чтобы червь заразил систему, он должен быть занесен на компьютер или флэш-накопитель сотрудника. Все, что потребуется, — это один сотрудник, который заберет работу с собой домой, а затем вернется и вставит что-нибудь в качестве безобидный, как флешка в компьютер, и Stuxnet начнет свой бесшумный марш к конкретному оборудованию. оно хотело.
Но тогда возникает вопрос: почему люди, ответственные за вирус, разработали такое невероятно сложное кибероружие, а затем выпустили его, возможно, таким небрежным методом? Если цель заключалась в том, чтобы остаться незамеченным, выпуск вируса, способного размножаться с продемонстрированной скоростью, будет небрежным. Вопрос был в том, когда, а не в том, будет ли обнаружен вирус.
Наиболее вероятная причина в том, что разработчикам просто было все равно. Более тщательное внедрение вредоносного ПО заняло бы гораздо больше времени, а передача червя в конкретные системы могла бы занять гораздо больше времени. Если страна стремится к немедленным результатам, чтобы остановить то, что она может рассматривать как надвигающуюся атаку, тогда скорость может превзойти осторожность. Иранская атомная станция — единственная зараженная система, сообщившая о реальном ущербе от Stuxnet, поэтому риск для других систем кажется минимальным.
Так, что дальше?
Компания Siemens выпустила инструмент обнаружения и удаления Stuxnet, но Иран все еще столкнувшийся с трудностями чтобы полностью удалить вредоносное ПО. Совсем недавно, 23 ноября, иранский объект в Натанзе был принужденный закрыться, и ожидаются дальнейшие задержки. В конце концов, ядерная программа должна возобновиться и работать.
В другой, но, возможно, связанной истории, ранее на этой неделе двое иранских ученых были убиты в результате разных, но идентичных взрывов бомб в Тегеране, Иран. На пресс-конференции на следующий день президент Ахмадинежад сказал репортеры заявили, что «несомненно, к убийству причастна рука сионистского режима и западных правительств».
Ранее сегодня иранские официальные лица заявлено совершил несколько арестов во время взрывов, и хотя личности подозреваемых не разглашаются, министр разведки Ирана заявил: три шпионских агентства Моссада, ЦРУ и МИ-6 принимали участие в (нападениях), и с арестом этих людей мы найдем новые улики для ареста других элементы»,
Сочетание взрывов и ущерба, нанесенного вирусом Stuxnet, должно серьезно повлиять на предстоящие переговоры. между Ираном и конфедерацией шести стран Китая, России, Франции, Великобритании, Германии и США 6 декабря. и 7. Переговоры призваны продолжить диалог относительно возможных ядерных амбиций Ирана.
