Мир готовится вступить в новую гонку вооружений. То, что раньше
считалось уделом маргинальных полукриминальных групп и малобюджетным
способом выражения собственной социопатии, наконец-таки встало на
промышленные рельсы: созданием средств атаки на компьютерные системы
всерьез заинтересовались правительства.
Если раньше все эти бесчисленные "армейские киберкомандования" и
прочие синекуры занимались не очень понятно чем, то в последние 2-3 года
начали появляться очень неприятные следы настоящей работы, потенциально способной изменить облик привычного нам мира.
"Ни с чем подобным мы еще не сталкивались"
Именно такой была первая реакция аналитиков компании Symantec, когда
те начали всерьез разбираться с непонятными заражениями компьютеров
червем, получившим кличку Stuxnet. Было отмечено две крупные волны распространения: лето 2009 года (первая версия червя) и весна 2010 года (вторая и третья).
Перед разработчиками был так называемый руткит
(комплекс зловредных программ, интегрирующийся в систему и скрывающий
свое присутствие в ней). Но какой! Взорам экспертов открылся системный
шедевр: продуманный и изощренный образец настоящего кибероружия. По
оценкам специалистов, полный цикл разработки этого программного
комплекса мог потребовать затрат на полмиллиона евро.
Червь был уникален во всем: использовал для своего темного дела сразу
четыре (!) неизвестные ранее уязвимости Windows, оперировал двумя
подлинными сертификатами безопасности. При этом основной сценарий работы
(внедрение, анализ окружающей обстановки и дальнейшее распространение)
осуществлялся максимально тихо и незаметно.
А в качестве своей конечной цели червь искал вполне конкретные
системы управления промышленным оборудованием. Причем очень и очень
конкретные. Речь шла об определенной марке промышленных контроллеров
компании Siemens, а заодно руткит содержал процедуры управления
преобразователями частотно-регулируемых приводов двух вполне
определенных марок (финского и иранского производства).
Притом, по сообщению вирусных аналитиков, червь не кидался на приводы
с шашкой наголо, а постепенно внедрялся в промышленную сеть, собирал
информацию о задействованных режимах, полностью брал под контроль
систему компьютерного мониторинга и только потом начинал легонько
"крутить" уставки параметров, ненадолго выводя их за пределы допустимых
значений, чтобы нарушить работу оборудования. Исходя из ареала распространения червя,
эксперты назвали потенциальную цель атаки: установки по обогащению урана
в иранском Натанзе – программно-управляемые центрифуги.
К слову, в конце ноября 2010 года президент Ирана Махмуд Ахмадинежад
публично признал, что у "ограниченного" числа центрифуг возникли
"проблемы" из-за "кибератак". Естественно, это вызвало мгновенную
реакцию сообщества и прессы, приписавших червю Stuxnet успешный вывод из
строя иранского обогатительного производства.
Ваша работоспособность – не ваша заслуга, а их недоработка
Есть, однако, немалые сомнения в том, что атака Stuxnet вообще имела
место (или по крайне мере привела хоть к каким-то заметным результатам).
Спецы по компьютерной и промышленной безопасности били тревогу, но
атомщики оставались спокойными.
Во всяком случае, эксперты МАГАТЭ, непосредственно отвечавшие за
мониторинг Натанза, решительно отвергали версию о каких-то нарушениях в
работе завода, заметив, впрочем, что теоретически проникновение червя в
компьютерную сеть предприятия возможно.
Оно и понятно: никаких следов падения объема наработки урана на якобы атакованном червем заводе в Натанзе не наблюдалось.
Темпы выхода из строя центрифуг несколько ускорились между ноябрем 2009
и январем 2010 годов и действительно выглядят аномальными, однако
вполне могут объясняться массовой заменой изношенного или
некачественного оборудования иранского производства. Следов каких-то ЧП
на заводе не зафиксировано.
Более того, разработчики вируса, похоже, сами себя перехитрили. В
работе с параметрами частотных преобразователей они использовали не
соответствующие действительности значения, вброшенные иранцами через
экспертов МАГАТЭ. Непонятно, имела ли место издевательская дезинформация
Тегерана, или "компьютерные гении" просто взяли первые же сведения,
показавшиеся им правдоподобными, и не стали их проверять.
То есть вдумчивых антиядерных хакеров попросту
подвело незнание того "железа", которым они собирались управлять. Кроме
того, не факт, что на центрифугах Натанза стояло именно то оборудование,
под которое якобы был "заточен" червь.
Однако иранцам, можно сказать, повезло. Вирус в сетях вскрыли очень
быстро, что позволило избежать ненужных последствий. Возможно, именно
поэтому не удается обнаружить значимых физических следов атаки: слишком
уж медленным, "подпороговым" было выбрано воздействие на установки, его
явно рассчитывали на длительный период, чтобы вызвать повышенный износ
центрифуг.
Улыбнитесь, вас записывают
Тем временем, "неизвестный доброжелатель" иранской ядерной программы
продолжал работать. После Stuxnet мир почтили с официальным визитом еще
два интереснейших руткита – Duqu, обнаруженный в сентябре 2011 года, и Flame, попавшийся аналитикам на исходе мая 2012 года.
Эти системы, в отличие от шаловливого Stuxnet, тянувшего ручонки к
регуляторам промышленных установок, вели себя более "конвенционально".
Однако от этого не становились менее опасными.
Оба руткита можно охарактеризовать как
комплексные системы слежения. Он собирали данные с зараженных
компьютеров: перехватывали пароли, отслеживали нажатия клавиш,
записывали звук со встроенного микрофона, делали скриншоты, собирали
информацию о файлах, обрабатываемых на машинах, анализировали сетевой
трафик. Собранная информация в зашифрованном виде сбрасывалась на
внешний командный сервер.
По мнению аналитиков,
подходы к разработке Duqu и Stuxnet настолько сходны, что можно
говорить фактически о единой "платформе". Во всяком случае,
высоковероятным считается тот факт, что оба эти руткита создавались
одной и той же группой.
Flame считается самостоятельным произведением, однако следы решений, характерные для него, обнаруживаются в Stuxnet первой версии (образца 2009 года).
Как считается, это может свидетельствовать о том, что на проекте
задействовано минимум две группы разработчиков, частично использовавших
наработки друг друга.
"Олимпийские игры" для Ирана
"Интуитивно очевидная" догадка о том, чья перед нами работа, получила
подтверждение не так давно. В июне 2012 года The New York Times прямо сообщила,
что Stuxnet и Flame были совместно разработаны двумя "электронными"
спецслужбами – Агентством национальной безопасности США и
"Подразделением 8200" военной разведки Израиля.
По информации источников газеты, работы в этом
направлении начались еще по приказу Джорджа Буша, не позднее 2007 года.
Заметим, что это совпадает с оценкой времени разработки Stuxnet и Flame.
Барак Обама, сменив Буша в Белом доме, не только не остановил работы, а
наоборот, потребовал их ускорить. Целью называлось замедление ядерной
программы Ирана. Все работы по направлению носили шифр "Олимпийские
игры".
Буквально на пятый день поступила официальная реакция на публикацию: по данным The Wall Street Journal, ФБР начало расследование обстоятельств "раскрытия секретной информации". Комментировать здесь что-либо уже излишне.
Не играйте спичками на бензоколонке
Удалась ли Stuxnet "физическая" атака на иранские центрифуги, или
дело ограничилось внедрением в заводские сети с последующим провалом
из-за неподготовленности, – вопрос не в этом.
Перед нами – модельный образец оружия,
направленного уже не столько против чисто "виртуальных" объектов
(частной информации или работоспособности информационных систем),
сколько против совершенно реальной инфраструктуры, которую можно
пощупать руками.
Первый блин, безусловно, комом, но, как говорил герой известного
советского фильма, "что один человек собрал, другой завсегда разобрать
сможет".
Промышленные контроллеры применяются очень широко: на них опирается
вся автоматизация современного производства, в том числе опасного.
Компьютерные системы используются для управления объектами энергетики,
газокомпрессорными станциями и транспортными потоками.
Создание по-настоящему эффективного образца
кибероружия, способного вывести из строя такие системы, может привести к
самым катастрофическим последствиям.
В этом смысле мы находимся примерно на той же стадии, в которой мир
пребывал между 16 июля и 6 августа 1945 года, когда американцы испытали
первую ядерную бомбу близ Аламогордо, но еще не сбрасывали "изделия" на
японские города.
За новыми, еще неуклюжими образцами кибероружия, чье создание
спонсируется ведущими державами, придут другие, более эффективные и
изощренные. Проблема в том, что такое оружие потенциально способно
принести больше вреда развитым "критическим инфраструктурам", которых
куда как больше в тех же США и в Западной Европе, чем в Азии.
В этом смысле люди, де-факто запустившие гонку кибервооружений, по-настоящему швыряются камнями, живя в стеклянном доме.
и еще кратко:
"
В итоге из-за маленькой уязвимости в популярной программе и
невнимательности отдельных корпоративных системных администраторов, все
мы через два-три года вполне можем прочитать в новостях о том, что у
какой-нибудь азиатской или арабской страны появился свой F-35 или аналог
другой гордости национального ВПК США, хоть Lockheed Martin и
утверждает, что ничего не украдено."
| 
