STUXNET и рост цифрового оружия

Когда мы думаем о военном оружии, наносящем ущерб физическим вещам, мы склонны думать о твердых объектах, будь то копья, мечи, пистолеты, бомбы, танки или самолеты. Но в июне 2010 года группа программистов наткнулась на один из самых инновационных видов недавно появившегося оружия: оружие, состоящее из ничего более существенного, чем ряды единиц и нулей, но столь же точное и разрушительное. к определенным физическим объектам, как любая бомба с лазерным наведением. Это был первый выстрел на новом, темном театре военных действий, который угрожает самим основам нашего цифрового, связанного общества. Это история STUXNET, одного из первых в мире цифровых оружий.

24 июня 2010 года Сергей Уласен и Олег Купреев, аналитики минской антивирусной компании VirusBlokAda, получили набор подозрительных файлов, из-за которых компьютеры в Иране входили в бесконечный цикл перезагрузки. Даже очистка компьютеров и переустановка всего программного обеспечения, похоже, не помогли; файлам каким-то образом всегда удавалось повторно заразить систему. Поначалу Уласен и Купреев мало думали об этом задании; в конце концов, VirusBlokAda каждый год имеет дело с тысячами новых вредоносных программ. Но как только они внимательно посмотрели на код, они поняли, что это действительно нечто совсем другое.

Во-первых, он был большим: 500 килобайт против 10-15 у большинства вирусов. А когда файлы были распакованы, размер увеличился до колоссальных 1,2 мегабайт. Следующий сюрприз произошел, когда Уласен перенес файлы на свой рабочий компьютер; Они не только устанавливались и запускались автоматически, но и делали это без каких-либо сигналов тревоги или предупреждений. Это могло означать только одно: у червя был руткит уровня ядра, который позволял ему глубоко проникать в операционную систему компьютера и уклоняться от обнаружения антивирусным программным обеспечением. Но самый большой шок случился, когда Уласен увидел, как червь устанавливался. Большинство вирусов используют функцию автозапуска Windows, которая автоматически обнаруживает и открывает флэш-накопители и другие устройства. Но этот эксплойт легко предотвратить, просто отключив AutoRun. Вместо этого этот червь использовал серию файлов .LNK, используемых Windows для автоматического отображения файлов и приложений в виде значков. Это был чертовски хитрый поступок, которого Уласен и Купреев никогда раньше не видели. Быстрая проверка реестра вредоносных программ VirusBlokAda подтвердила их подозрения: они наткнулись на священный Грааль для охотников за вредоносным ПО – эксплойт нулевого дня.

Эксплойты нулевого дня — это уязвимости программного обеспечения, о которых пока не знают ни производители, ни антивирусные компании. Названные так потому, что такие компании будут предупреждать об атаке за нулевой день, системы нулевого дня очень востребованы хакерами, киберпреступниками и спецслужбами, и при заказе на незаконных рынках они могут стоить довольно дорого. Учитывая опасность, которую они представляют, настоящие эксплойты нулевого дня встречаются крайне редко; из 12 миллионов новых вирусов, обнаруживаемых каждый год, вы вообще можете посчитать на двух руках количество вирусов нулевого дня из этого числа. Итак, попробуйте представить себе шок Уласена и Купреева, когда они обнаружили не один и не два, а еще три эксплойта нулевого дня, спрятанных в черве. Один нулевой день был достаточно редок; о четырех было неслыханно.

И на этом сюрпризы не закончились. Червь содержал четыре отдельных файла .LNK, что позволяло ему заражать все версии Windows, начиная с Windows 2000, и, судя по всему, был предназначен для распространения не через Интернет, как обычные вирусы, а через флэш-накопители. На нем также присутствовали подлинные цифровые сертификаты, подписанные тайваньской компанией Realtek Semiconductor — очень ценная функция безопасности, которую большинству хакеров практически невозможно получить. Но что самое странное, червь был запрограммирован специально на поиск программного обеспечения SIMATIC Step 7 или WinCC на программируемых логических контроллерах Siemens (ПЛК) — небольших компьютерах, используемых в промышленности для управления такими устройствами, как роботизированные руки, на автоматизированных сборочных линиях. Если на машине, зараженной червем, не было установлено это программное обеспечение, червь отключился и оставил машину в покое. Уласен и Купреев были сбиты с толку; Мало того, что червь был разработан для поиска чрезвычайно конкретной цели, но сама цель не имела смысла. Большинство вредоносных программ предназначены для кражи номеров кредитных карт, паролей и другой информации с целью заработать деньги, но этот червь, похоже, специально создан для атак на промышленные системы. Но какие системы и для какой цели? К сожалению, к этому времени Уласен и Купреев были заняты в других проектах. Но прежде чем двигаться дальше, они объявили о своем открытии на сайте компании и на форуме по кибербезопасности. Они также дали таинственному червю имя, полученное из одного из его системных файлов: STUXNET.

Читайте также:   20 идей новогодних подарков мужчине 2024: презенты на Новый год

И на этом история STUXNET закончилась бы, если бы не настойчивость еще одной пары охотников за вредоносным ПО: Лиама О’Мерчу и Эрика Чиена из калифорнийской фирмы Symantec. Получив файлы STUXNET 16 июля 2010 года, пара сразу же заметила необычную особенность: всякий раз, когда STUXNET заражал новый компьютер, он отправлял подтверждающее сообщение с IP-адресом машины на пару IP-адресов, маскирующихся под сайты футбольных фанатов, позволяя создатели могли отслеживать его прогресс при переходе с машины на машину. О’Мурчу и Чиен перенаправили DNS этих сайтов на воронку – выделенный сервер в их офисе – и наблюдали, как пинги начали наводнять. За четыре дня STUXNET заразил более 38 000 компьютеров – 3700 в Индии, 6700 в Индонезии и 22 000 в Иране. Быстрый поиск в Интернете выявил связь между этими странами: Трубопровод Мира длиной 2700 километров, протянувшийся от нефтяного месторождения Южный Парс в Иране через Пакистан и Индию. Атака, очевидно, началась в Иране и распространилась через зараженные флэш-накопители, расположенные по трубопроводу. Но что было целью Ирана? Несмотря на лучшее понимание того, как STUXNET распространялся и работал, О’Мурчу и Чиен были не ближе к определению его цели, чем Уласен и Купреев.

Последнюю часть головоломки STUXNET раскрыл голландский программист Рон Халсебос, который в ноябре 2010 года обнаружил в полезной нагрузке червя приложение, предназначенное для атаки на две конкретные модели преобразователей частоты — устройств для управления чрезвычайно точными электродвигателями. Когда Халсебос проверил эти устройства, он, к своему удивлению, обнаружил, что их экспорт регулируется Комиссией по ядерному регулированию США. Собрав все воедино, Халсебос пришел к единственному разумному выводу: STUXNET был создан для вмешательства в ядерную программу Ирана. Но как именно? Халсебос мало что осознавал, но ответ уже был открыт примерно одиннадцать месяцев назад.

В январе 2010 года инспекторы Международного агентства по атомной энергии начали замечать странную активность на иранском комплексе по обогащению урана в Натанзе. Комплекс, расположенный в 320 километрах к югу от Тегерана, был построен в 2008 году и обошелся в 300 миллионов долларов. В 2010 году в Натанзе, занимающем площадь 100 000 квадратных метров и погребённом на глубине 50 метров, эксплуатировалось около 8700 газовых центрифуг. Газовые центрифуги — это устройства, используемые для отделения редкого изотопа урана-235, который можно использовать в качестве топлива для ядерных реакторов и создания атомных бомб, от более распространенного урана-238. Очищенный уран преобразуется в газообразный гексафторид урана и проходит через набор концентрических высокоскоростных роторов; центробежная сила заставляет немного более тяжелый U-238 двигаться к стенке ротора, в то время как U-235 движется к центру и отбивается. Этот слегка обогащенный газ затем пропускают через ряд каскадов центрифуг, становясь все более и более обогащенным U-235. Газовые центрифуги вращаются с такой высокой скоростью, что внешняя поверхность роторов превышает скорость звука, что требует откачки всего воздуха из корпуса. Такая скорость также делает центрифуги чрезвычайно хрупкими и легко разбалансированными: веса одного человеческого отпечатка пальца достаточно, чтобы ротор расшатался. Учитывая эту хрупкость, ожидается, что такой объект, как Натанз, будет сжигать определенное количество центрифуг в год – в данном случае около 10% или 900 единиц. Но начиная с ноября 2009 года камеры МАГАТЭ, установленные снаружи объекта, начали наблюдать резкое увеличение количества демонтируемых и заменяемых центрифуг; к январю их число достигло ошеломляющих 2000 единиц. Но в соответствии с соглашением об инспекциях МАГАТЭ с Ираном инспекторы не имели права спрашивать, почему – и не было возможности узнать, что то, что они стали свидетелями, было делом рук не кого иного, как STUXNET.

Основываясь на том, что было известно о STUXNET за последние 10 лет, давайте познакомим вас с тем, как это сложное цифровое оружие выполнило свою коварную миссию.

Читайте также:   Самые старые люди в мире: Рейтинг долгожителей

Где-то в июне 2009 года STUXNET был внедрен в компьютерные системы пяти компаний, тесно связанных с ядерной программой Ирана. Создатели червя предполагали, что в какой-то момент инженер одной из этих компаний поедет в Натанц и с помощью зараженного флэш-накопителя запрограммирует ПЛК, управляющий газовыми центрифугами, что позволит STUXNET проникнуть на борт. Затем STUXNET затаился, отслеживая и записывая поток данных между ПЛК, центрифугами и операторами установки. Затем, через 13 дней, червь проделал трюк прямо из «Одиннадцати друзей Оушена», перекрыв поток данных от центрифуг к операторам завода и заменив их данными, собранными за последние 13 дней. Когда операторы поверили, что все работает нормально, STUXNET приступил к работе, раскрутив центрифуги до 1410 Гц в течение 15 минут, прежде чем вернуться в нормальное состояние. Затем червь снова впал в спячку, подождав 26 дней, прежде чем снизить частоту до 200 Герц. Эти резкие колебания частоты вызвали вибрации и искажения в роторах центрифуг, что в конечном итоге привело к их разрушению. В течение года STUXNET постепенно изнашивал до одной пятой центрифуг в Натанзе, в то время как операторы завода не обращали внимания на происходящий цифровой хаос.

Но остается вопрос: кто создал STUXNET и почему? Почему это довольно просто. С момента Исламской революции 1979 года, когда дружественный Западу режим шаха был свергнут и заменен теократией аятоллы Комейнея, западные державы и соседние страны, такие как Израиль, опасались, что Иран может использовать свою ядерную инфраструктуру для создания атомной бомбы. Эти опасения, казалось, подтвердились, когда в 1987 году Иран тайно начал программу обогащения урана с использованием конструкций центрифуг, украденных из Пакистана. Напряженность еще больше усилилась в 2005 году с избранием Махмуда Ахмадинежада, под руководством которого был построен крупный обогатительный завод в Натанзе. Однако, учитывая медленный характер и время атаки STUXNET, считается, что червь был предназначен не для полного уничтожения обогатительных мощностей Ирана, а, скорее, для того, чтобы задержать их до тех пор, пока не будет найдено дипломатическое решение иранской ядерной проблемы. Это решение, наконец, пришло в 2015 году с подписанием Совместного всеобъемлющего плана действий, более известного как Иранская ядерная сделка.

Что касается того, кто создал STUXNET, то его создатели, возможно, оставили подсказки в самом коде червя. Одна строка кода, служащая прививочным значением (защитным устройством, предотвращающим заражение STUXNET компьютера его создателя), по-видимому, относится к 9 мая 1979 года, дате, когда известный еврейско-иранский бизнесмен Хабиб Эганян был расстрелян в Тегеране. Другой файл называется «myrtus», что, возможно, является отсылкой к библейской истории об Эстер, спасшей еврейский народ от истребления персами. Это указывает на то, что по крайней мере некоторые программисты STUXNET были из Израиля. Однако большинство данных указывает на то, что STUXNET в основном был запрограммирован в Соединенных Штатах при сотрудничестве Израиля, Германии, Франции, Великобритании и Нидерландов. Основываясь на типах используемых эксплойтов и других сигнатурах в коде, «Лаборатория Касперского», известная российская организация по кибербезопасности, пришла к выводу, что STUXNET, скорее всего, является работой Equation Group, подразделения по кибератакам Агентства национальной безопасности США или АНБ.

Но важность STUXNET выходит далеко за рамки того, кто его создал и какой конкретный ущерб он причинил. Его создатели продемонстрировали, что с помощью всего лишь нескольких строк кода можно атаковать физическую инфраструктуру так, как раньше требовался воздушный удар или диверсант-человек, и все это без того, чтобы злоумышленники когда-либо ступали на территорию объекта в Натанзе. В прошлом такая атака была бы практически невозможна, поскольку большинство компаний использовали собственные ПЛК с проприетарным программным обеспечением. Но сегодня широко распространено использование готовых ПЛК под управлением Windows, и эти устройства контролируют пугающую часть нашей современной инфраструктуры — от очистных сооружений до электрических сетей и атомных электростанций. И что еще более тревожно, многие из этих систем подключены к Интернету, а это означает, что цифровое оружие в чужих руках может нанести гораздо больший ущерб, чем любая обычная террористическая атака. В древнем мире война переместилась с суши на море, а в двадцатом веке она перешла в воздух и в космос. В XXI веке война выйдет на неизведанные рубежи киберпространства.

Читайте также:   Девушки Калутрона: женщины, которые помогли создать бомбу

Бонусный факт

4 марта 2007 года Национальная лаборатория Айдахо провела испытание генератора «Аврора», запустив прототип червя, состоящий всего из 21 строки кода, против ПЛК, управляющего дизельным генератором мощностью 5000 лошадиных сил. За три минуты код превратил гигантскую машину в дымящиеся руины, наглядно продемонстрировав потенциал такой цифровой атаки на физическую инфраструктуру.

Но история цифровых атак на физическую инфраструктуру уходит еще дальше. В 2003 году вирус Собиг нарушил работу железнодорожной системы сигнализации вдоль восточного побережья США, а вирус Slammer заставил атомную электростанцию Дэвис Бесс в Огайо остановиться на 5 часов. В 2000 году разгневанный сотрудник Витек Боден взломал очистную станцию в графстве Маручи, Австралия, выпустив 750 000 галлонов неочищенных сточных вод в городское водоснабжение. Еще раньше, в марте 1997 года, хакер, известный как «Шут», взломал коммутационную систему Bell Atlantic в аэропорту Вустер, штат Массачусетс, вынудив прекратить авиасообщение на 6 часов.

Но, как сообщается, самая старая цифровая атака в истории произошла в 1982 году. Годом ранее подполковник Владимир Ветров из Технологического управления линии X КГБ перебежал на Запад, привезя с собой коллекцию секретных документов, известных как «Прощальный документ». Досье.» Досье выявило существование советской шпионской сети, занимавшейся кражей западных технологий, в том числе программного обеспечения для промышленного контроля. По словам бывшего министра ВВС Томаса Рида, в ответ ЦРУ создало специальное программное обеспечение для управления газопроводами с намерением скопировать его и использовать Советский Союз. Как и ожидалось, программное обеспечение было украдено и установлено на Транссибирском трубопроводе. Через определенное время скрытый в программном обеспечении «троянский конь» начал действовать, закрывая клапаны и увеличивая скорость работы насосов, создавая чрезвычайно высокое давление. ЦРУ планировало, что это вызовет только поломки сварных швов, утечки и другие незначительные повреждения, но вместо этого трубопровод начал взрываться, создав мощный взрыв мощностью в 3 килотонны, достаточно яркий, чтобы его могли уловить американские спутники-шпионы.

Но хотя эта история и выглядит забавной, версия событий Рида была поставлена под сомнение. Ни одна разведывательная служба независимо не подтвердила существование взрыва, а бывший сотрудник КГБ Василий Пчелинцев отмечает, что, хотя взрыв трубопровода и произошел в 1982 году, он был гораздо меньшим по масштабу и в другом месте, чем сообщает Рид. Более того, в то время Советский Союз не использовал цифровое управление своими трубопроводами, что делало такую кибератаку невозможной.

Зеттер, Ким, Обратный отсчет до нулевого дня: STUXNET и запуск первого в мире цифрового оружия, Broadway Books, Нью-Йорк, 2014.

Андерсон, Нейт, Подтверждено: США и Израиль создали STUXNET, потеряли контроль над ним, Are Technica, 1 июня 2012 г. https://arstechnica.com/tech-policy/2012/06/confirmed-us-israel-created-stuxnet- потерял контроль над этим/

Фаллиер, Николя и др. Досье W.32 Stuxnet, Symantec, ноябрь 2010 г. https://www.wired.com/images_blogs/threatlevel/2010/11/w32_stuxnet_dossier.pdf

Кушнер, Дэвид, Реальная история Stuxnet, IEEE Spectrum, 26 февраля 2013 г. https://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet

Группа Equation: Вопросы и ответы, «Лаборатория Касперского», февраль 2015 г. https://web.archive.org/web/20150217023145/https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

Маркофф, Джон, Старый трюк угрожает новейшему оружию, The New York Times, 26 октября 2009 г., https://www.nytimes.com/2009/10/27/science/27trojan.html?_r=1&ref=science&pagewanted=all