Майбутнє війни, можливо, тільки почалося, але замість вибуху воно почалося без жодного звуку чи жодної жертви.
Це перший у своєму роді і може бути сигналом того, як відтепер ведуться всі війни. Це настільки точна кіберзброя, що вона може знищувати ціль ефективніше, ніж звичайна вибухівка, а потім просто видаляти себе, залишаючи жертвам звинувачувати себе. Це зброя, яка настільки жахлива, що вона, ймовірно, може зробити більше, ніж просто пошкодити фізичні об’єкти, вона може вбити ідеї. Це хробак Stuxnet, який багато хто називає першою в світі реальною зброєю кібервійни, і його першою ціллю був Іран.
Рекомендовані відео
Світанок кібервійни
Stuxnet майже схожий на роман Тома Кленсі. Замість того, щоб надсилати ракети, щоб знищити атомну станцію, яка загрожує всьому регіону та світу і керується президентом, який стверджував що він хотів би, щоб ціла раса людей була «стерта з карти світу», можна запровадити простий комп’ютерний вірус, який виконає цю роботу набагато краще. ефективно. Атака споруди ракетами може призвести до війни, крім того, будівлі можна перебудувати. Але настільки повне зараження системи, що люди, які її використовують, почнуть сумніватися у своїй вірі у власні здібності, матиме набагато руйнівніші довгострокові наслідки.
У рідкісний момент відкритості з боку Ірану нація має підтверджено що зловмисне програмне забезпечення Stuxnet (назва походить від ключових слів, похованих у коді), яке спочатку було виявлено в липні, зашкодило ядерним амбіціям країни. Хоча Іран применшує інцидент, деякі звіти припустити, що хробак був настільки ефективним, що він міг відкинути іранську ядерну програму на кілька років назад.
Замість того, щоб просто заразити систему та знищити все, до чого вона торкається, Stuxnet є набагато складнішим, а також набагато ефективнішим.
Хробак розумний і здатний пристосовуватися. Коли він входить у нову систему, він залишається в стані бездіяльності та вивчає систему безпеки комп’ютера. Як тільки він може діяти без тривоги, він шукає дуже конкретні цілі та починає атакувати певні системи. Замість того, щоб просто знищувати свої цілі, він робить щось набагато ефективніше — вводить їх в оману.
У програмі ядерного збагачення центрифуга є основним інструментом, необхідним для очищення урану. Кожна створена центрифуга має однакову базову механіку, але німецький виробник Siemens пропонує те, що багато хто вважає найкращим у галузі. Stuxnet знайшов контролери Siemens і взяв під контроль обертання центрифуги. Але замість того, щоб просто змусити машини крутитися, поки вони не знищать себе — на що хробак був більш ніж здатний зробити — Stuxnet вніс у машини тонкі та набагато хитріші зміни.
Коли зразок урану вставляли в інфіковану Stuxnet центрифугу для очищення, вірус наказував машині обертатися швидше, ніж вона була розроблена, а потім раптово зупинявся. Результатом стали тисячі машин, які зношувалися на роки раніше запланованого терміну, і, що більш важливо, знищені зразки. Але справжня хитрість вірусу полягала в тому, що, саботуючи механізми, він фальсифікував показання та створював враження, ніби все працює в межах очікуваних параметрів.
Через кілька місяців центрифуги почали зношуватися та ламатися, але показання все одно виявилося в межах норми, вчені, пов’язані з проектом, почали сумніватися себе. Іранські агенти безпеки почали розслідувати збої, а персонал ядерних установок жив під хмарою страху та підозр. Це тривало більше року. Якби вірусу вдалося повністю уникнути виявлення, він би зрештою повністю видалив себе, а іранці змусили б гадати, що вони роблять не так.
Протягом 17 місяців вірусу вдалося тихо пробратися в іранські системи, повільно знищуючи життєво важливі зразки та пошкоджуючи необхідне обладнання. Можливо, більшою мірою, ніж пошкодження обладнання та зразків, був хаос, у який потрапила програма.
Іранці неохоче визнають певну шкоду
Це зробив президент Ірану Махмуд Ахмадінежад стверджував що Stuxnet «спромігся створити проблеми для обмеженої кількості наших центрифуг», що є зміною Попереднє твердження Ірану про те, що хробак заразив 30 000 комп’ютерів, але не вплинув на ядерну засоби. Деякі звіти пропонувати на заводі в Натанзі, де розміщуються іранські програми збагачення, 5084 із 8856 центрифуг, що використовуються на іранській ядерній об'єкти були виведені з ладу, можливо, через пошкодження, і завод був змушений зупинятися щонайменше двічі через наслідки вірус.
Stuxnet також націлився на парову турбіну російського виробництва, яка живить об’єкт у Бушері, але, схоже, вірус було виявлено до того, як вдалося завдати будь-якої реальної шкоди. Якби вірус не було виявлено, він зрештою запустив би оберти турбін занадто високо і завдав би непоправної шкоди всій електростанції. Системи температури та охолодження також були визначені як цілі, але результати дії хробака на ці системи невідомі.
Відкриття хробака
У червні цього року білоруські антивірусні фахівці VirusBlokAda виявили на комп’ютері іранського клієнта раніше невідому шкідливу програму. Дослідивши його, антивірусна компанія виявила, що він був спеціально розроблений для SCADA Siemens (диспетчерського контролю та збору даних) системи управління, які є пристроями, що використовуються у великих масштабах виробництво. Першою підказкою про те, що з цим хробаком щось змінилося, було те, що після того, як тривога була піднята, кожні Компанія, яка намагалася передати попередження, була згодом атакована та була змушена припинити роботу щонайменше на 24 години години. Методи та причини атак досі залишаються загадкою.
Після того, як вірус було виявлено, такі компанії, як Symantec і Kaspersky, дві з найбільших антивірусних компаній у світі, а також кілька розвідувальних агентств почали досліджувати Stuxnet і знайшли результати, які швидко зробили очевидним, що це не звичайне шкідливе програмне забезпечення.
До кінця вересня Symantec виявила, що майже 60 відсотків усіх заражених машин у світі знаходяться в Ірані. Після того, як це було виявлено, ставало все більш очевидним, що вірус не був створений просто створювати проблеми, як і багато шкідливих програм, але воно мало конкретну мету та a мета. Рівень складності також був значно вищим за будь-який раніше, що спонукало Ральфа Ленгнера, експерта з комп’ютерної безпеки, який першим виявив вірус, заявляти що це було «схоже на прибуття F-35 на поле бою Першої світової війни».
Як це працювало
Stuxnet спеціально націлений на операційні системи Windows 7, яка, не випадково, є тією ж операційною системою, що використовується на іранській атомній електростанції. Черв'як використовує чотири атаки нульового дня та націлений на програмне забезпечення WinCC/PCS 7 SCADA від Siemens. Загроза нульового дня — це вразливість, яка або невідома, або не оголошена виробником. Це, як правило, критичні для системи вразливості, і після їх виявлення негайно виправляються. У цьому випадку два з елементів нульового дня були виявлені та були близькі до випуску виправлень, але два інших ніхто так і не виявив. Як тільки хробак потрапив у систему, він почав використовувати інші системи в локальній мережі, на яку він був націлений.
Коли Stuxnet пробивався через іранські системи, безпека системи заважала надати законний сертифікат. Потім зловмисне програмне забезпечення представило два автентичні сертифікати, один від виробника схем JMicron, а інший від виробника комп’ютерного обладнання Realtek. Обидві компанії розташовані на Тайвані в кількох кварталах одна від одної, і було підтверджено, що обидва сертифікати були вкрадені. Ці автентичні сертифікати є однією з причин, чому хробак так довго залишався непоміченим.
Зловмисне програмне забезпечення також мало можливість спілкуватися через одноранговий спільний доступ, коли було підключення до Інтернету, що дозволяло оновлюватись за необхідності та звітувати про свій прогрес. Сервери, з якими спілкувався Stuxnet, були розташовані в Данії та Малайзії, і обидва були закриті, коли було підтверджено, що хробак проник на об’єкт у Натанзі.
Коли Stuxnet почав поширюватися в іранських системах, він став націлюватися лише на «перетворювачі частоти», відповідальні за центрифуги. Використовуючи приводи зі змінною частотою як маркери, хробак спеціально шукав диски від двох постачальників: Vacon, який базується у Фінляндії, та Fararo Paya, який базується в Ірані. Потім він відстежує вказані частоти та атакує, лише якщо система працює між 807 Гц і 1210 Гц, що є досить рідкісним частота, яка пояснює, як хробак міг так конкретно націлитися на іранські атомні станції, незважаючи на поширення по всьому світу. Потім Stuxnet починає змінювати вихідну частоту, яка впливає на підключені двигуни. Хоча щонайменше 15 інших систем Siemens повідомили про зараження, жодна з них не зазнала жодної шкоди від хробака.
Щоб спершу дістатися до ядерного об’єкта, хробака потрібно було ввести в систему, можливо, на USB-накопичувачі. Іран використовує систему безпеки «повітряного проміжку», тобто об’єкт не має підключення до Інтернету. Це може пояснити, чому хробак поширився так далеко, оскільки єдиний спосіб заразити систему — це націлитися на широку територію та діяти як Троян під час очікування, поки працівник іранської атомної станції отримає заражений файл із об’єкта та фізично перенесе його в Рослина. Через це буде майже неможливо точно знати, де і коли почалося зараження, оскільки його могли занести кілька нічого не підозрюючих співробітників.
Але звідки він узявся і хто його розробив?
Підозри щодо того, звідки походить хробак, поширені, і найбільш імовірним єдиним підозрюваним є Ізраїль. Після ретельного дослідження вірусу Лабораторія Касперського оголосив що рівень атаки та складність, з якою вона була виконана, могли бути здійснені лише «за підтримки національної держави», що виключає приватного хакера груп або навіть більших груп, які використовували хакерство як засіб досягнення мети, як-от російська мафія, яку підозрюють у створенні троянського хробака, відповідального за перекрадання 1 мільйон доларів від британського банку.
Ізраїль повністю визнає, що вважає кібервійну опорою своєї оборонної доктрини, а група, відома як Підрозділ 8200, Сили оборони Ізраїлю, які вважаються приблизно еквівалентом АНБ Сполучених Штатів, були б найбільш імовірною групою відповідальний.
Підрозділ 8200 є найбільшим підрозділом ізраїльських сил оборони, але більшість його операцій невідомі, навіть особа бригадного генерала, який керує підрозділом, засекречена. Серед багатьох подвигів один звіт стверджує, що під час ізраїльського авіаудару по ймовірному сирійському ядерному об’єкту в 2007 році блок 8200 активував секретний кіберперемикач, який дезактивував великі частини сирійського радара.
Щоб ще більше підтвердити цю теорію, у 2009 році Ізраїль переніс очікувану дату, коли Іран матиме елементарну ядерну зброю, до 2014 року. Це могло бути наслідком почуттів про проблеми, або це могло припустити, що Ізраїль знав те, чого ніхто інший не знав.
США також є головним підозрюваним, і в травні цього року Іран заявив, що підозрював заарештований 30 осіб, як стверджується, брали участь у допомозі США вести «кібервійну» проти Ірану. Іран також стверджував, що адміністрація Буша профінансувала план дестабілізації Ірану вартістю 400 мільйонів доларів за допомогою кібератак. Іран стверджував, що адміністрація Обами продовжила той самий план і навіть прискорила деякі проекти. Критики заявили, що претензії Ірану є просто приводом для викорінення «небажаних», а арешти є одним із багатьох пунктів суперечок між Іраном і США.
Але оскільки вірус продовжує вивчатися і з’являється більше відповідей щодо його функції, виникає більше таємниць щодо його походження.
За словами Microsoft, на кодування вірусу знадобилося б щонайменше 10 000 годин, а команда з п’яти або більше людей зайняла б щонайменше шість місяців відданої роботи. Зараз багато хто припускає, що для створення хробака знадобляться об’єднані зусилля розвідувальних спільнот кількох країн. Хоча ізраїльтяни можуть мати рішучість і техніків, деякі стверджують, що для кодування зловмисного програмного забезпечення знадобиться рівень технологій Сполучених Штатів. Знати точну природу механізмів Siemens такою мірою, як Stuxnet, могло б свідчити про німецьку мову причетність, і росіяни, можливо, брали участь у деталізації специфікацій російської техніки використовується. Хробак був налаштований для роботи на частотах, які залучали фінські компоненти, що свідчить про те, що Фінляндія та, можливо, НАТО також залучені. Але є ще більше загадок.
Черв'як був виявлений не через його дії на іранських ядерних об'єктах, а в результаті масового зараження Stuxnet. Центральне технологічне ядро іранського ядерного заводу розташоване глибоко під землею та повністю відрізане від Інтернету. Щоб черв'як заразив систему, він повинен бути занесений на комп'ютер або флешку співробітника. Все, що потрібно, це один працівник, щоб взяти роботу з собою додому, потім повернутися і вставити щось як нешкідливий, як флешка в комп’ютері, і Stuxnet розпочне свій тихий марш до конкретної машини воно хотіло.
Але тоді виникає запитання: чому люди, відповідальні за вірус, розробили таку неймовірно складну кіберзброю, а потім випустили її, мабуть, таким неохайним методом? Якщо мета полягала в тому, щоб залишитися непоміченим, випуск вірусу, який має здатність розмножуватися з указаною швидкістю, буде недбалим. Справа була в тому, коли, а не в тому, чи буде виявлено вірус.
Найімовірніша причина в тому, що розробникам просто було все одно. Ретельніше встановлення шкідливого програмного забезпечення зайняло б набагато більше часу, а передача хробака в конкретні системи могла б зайняти набагато більше часу. Якщо країна шукає негайних результатів, щоб зупинити те, що вона може сприйняти як неминучий напад, тоді швидкість може переважати над обережністю. Іранська атомна станція є єдиною зараженою системою, яка повідомляє про реальні збитки від Stuxnet, тому ризик для інших систем виглядає мінімальним.
Тож що далі?
Siemens випустив інструмент виявлення та видалення для Stuxnet, але Іран все ще випускає борючись щоб повністю видалити зловмисне програмне забезпечення. Нещодавно 23 листопада іранський об'єкт Натанз був вимушений закрити, і очікуються подальші затримки. Згодом ядерну програму слід відновити.
В окремій, але, можливо, пов’язаній історії, раніше цього тижня двоє іранських вчених були вбиті різними, але ідентичними бомбовими атаками в Тегерані, Іран. Наступного дня на прес-конференції президент Ахмадінежад розповів репортерів, що «безсумнівно, рука сіоністського режиму та західних урядів причетна до вбивства».
Раніше сьогодні офіційні особи Ірану стверджував здійснив кілька арештів під час вибухів, і хоча особи підозрюваних не були оприлюднені, міністр розвідки Ірану сказав: три шпигунські служби Моссаду, ЦРУ та МІ-6 брали участь у (нападах), і після арешту цих людей ми знайдемо нові підказки для арешту інших елементи»,
Комбінація вибухів і шкоди, завданої вірусом Stuxnet, має вплинути на майбутні переговори між Іраном і конфедерацією шести країн Китаю, Росії, Франції, Великої Британії, Німеччини та США 6 грудня і 7. Переговори покликані продовжити діалог щодо можливих ядерних амбіцій Ірану.
