Невидимий удар

На початку осені стало відомо про одну з найбільших комп’ютерних атак, яка, зважаючи на все, знаменує початок нової доби в міжнародних відносинах — доби кібервійн.

Хакери — Microsoft — 4:0

У середині червня в поле зору фахівців із комп’ютерної безпеки потрапив сітьовий вірус Stuxnet. Першою його виявила білоруська фірма VirusBlokAda в машинах одного іранського клієнта й повідомила про «знахідку» в Microsoft. Через кілька днів фахівці американської компанії підтвердили, що цей дивний вірус заражає в усьому світі комп’ютери під управлінням ОС Windows, які працюють у складі великих систем управління промисловими підприємствами, — від електростанцій і заводського виробництва до нафтопроводів і військових об’єктів.

Комп’ютерники, які вивчали вірус, професійні мисливці на сітьову «живність», довго не могли зрозуміти, що ж це таке — таким складним виявився програмний код Stuxnet. До розшифрування долучилися аси зі знаменитої «Лабораторії Касперського», експерти з Microsoft і Siemens.

Спільними зусиллями вони з’ясували, що Stuxnet використовував для невидимого проникнення в комп’ютерну систему жертви відразу чотири різних досі невідомих і ще не закритих «латками» дір у захисті ОС Windows. Програмісти такі діри називають zero-day-exploit — «уразливість нульового дня». Використовуючи її, хакер може одержати доступ до ресурсів комп’ютера, іноді нічим не обмежений.

Щоб якнайдовше залишатися непоміченим, вірус видавав себе за програми, підписані двома легальними сертифікатами, — компаній Realtek і JMicron («цифровими підписами» виробників). Крім того, був задіяний дуже хитрий механізм самостійного поширення.

Смерть причаїлася на флешці

Починається цей механізм із того, що в комп’ютер вставляється інфікована USB-флешка, звідки вірус копіюється на жорсткий диск і атакує ОС Windows (причому будь-якої модифікації, починаючи від досить старої Win 2000 і до найсучаснішої, приблизно досить безпечної Windows 7). Здавалося б, така здатність проникати всюди свідчить на користь гіпотези про промислове шпигунство. Однак німецький експерт із кіберзахисту промислових систем Ральф Лангнер знайшов у коді вірусу один показовий фрагмент. Виявилося, що Stuxnet насправді цікавиться не всіма системами управління промисловими об’єктами. Він розшукує системи, у яких працює програма людино-машинного інтерфейсу WinCC і PCS 7 SCADA («supervisory control and data acquisition», тобто «диспетчерське управління й збір даних»).

Ця система розробле на компанією «Сіменс» і з 1995 року використовується як своєрідна «панель управління» комплексом засобів промислової автоматизації SIMATIC. Серед функцій SIMATIC — управління буквально всіма виробничими процесами, від збору телеметрії до контролю поточних операцій.

Далі вірус заражає програмувальні логічні контролери (ПЛК, мікропроцесори, які безпосередньо управляють автоматикою). У переліку ПЛК, уразливих для нового вірусу, — дві серії процесорів компанії «Сіменс». Вірус упроваджує в контролер особливий код і перехоплює контроль над виробничими процесами в системи управління підприємством. Якоїсь миті, як відзначив Лангнер, вірус має підмінити стандартну команду управління на код DEADF007. Лангнер вважає, що в результаті підміни якийсь критичний процес на підприємстві повинен піти в рознос і, скоріше за все, завершитися вибухом.

Зброя одного удару

Функціонування Stuxnet розраховане на цілком автономну роботу програми й не вимагає ні підключень до Інтернету для одержання додаткових інструкцій, ні управління з боку людини взагалі. У програмі виявлено так багато різних типів виконуваних функцій, що для експертів очевидно — створенням цього продукту займалася команда фахівців із багатим досвідом у різних галузях. За інформацією компанії Microsoft, програма Stuxnet потрапила в десятки тисяч промислових комп’ютерних систем в усьому світі, але, на щастя, майже жодній із них це нічим не загрожує. Експерти з кібербезпеки переконані, що Stuxnet — це вибіркова зброя, створена для пошуку й знищення єдиної конкретної цілі.

Проаналізувавши код вірусу, експерти «Лабораторії Касперського» вважають, що розробники Stuxnet у своєму розпорядженні неодмінно повинні були мати для тестування саме те реально застосовуване апаратне забезпечення, під яке заточувалася їх кіберзброя. Є всі ознаки, що вони точно й у деталях знали нюанси роботи техніки на конкретному об’єкті, що був вибраний для атаки.

«Stuxnet не краде гроші, не шле спам і не краде конфіденційну інформацію. Він створений, щоб контролювати виробничі процеси, у буквальному значенні управ¬ляти величезними виробничими потужностями. Ще зовсім недавно ми боролися з кіберзлочинцями й інтернет-хуліганами, тепер, бо¬юся, настає час кібертероризму, кіберзброї й кібервійн», — пише у своєму блозі Євген Касперський, генеральний директор «Лабораторії Касперського».

Ціль — іранський реактор?

Майже всі дослідники, які вивчають Stuxnet, одностайні у висновках про те, що він сконструйований надзвичайно вмілим майстром — швидше за все, асами державної спецслужби — і призначений для руйнування чогось великого й важливого. Тому постали два слушних запитання: яка держава стоїть за Stuxnet і проти якого об’єкта була спрямована диверсія?

На сьогоднішній день достатньо фактів і аргументів для того, щоб із високим ступенем вірогідності відповісти на них.

Один із фахівців, які займалися «розкриттям» вірусу, або, інакше кажучи, зворотною інженерною розробкою шкідливої програми, заявив: «Це те, що створює держава, якщо єдиною альтернативою є початок війни». Визначити конкретну країну, проти якої була спрямована атака Stuxnet, виявляється зовсім нескладно. Географія поширення вірусу в серпні цього року виглядала так, що на Іран припадало майже 70% всіх заражених систем. Із великою ймовірністю можна припустити, що саме ця країна стала об’єктом атаки. Два головні й очевидні політичні супротивники Ірану — США та Ізраїль. Обидві країни відомі своєю жорсткою позицією щодо ядерних амбіцій іранської держави й мають у своєму розпорядженні достатній потенціал для створення й застосування кіберзброї типу Stuxnet. Ральф Лангнер припускає, що ціллю вірусу могла бути Бушерська АЕС — найвідоміший об’єкт іранської ядерної програми.

Офіційний пуск АЕС у Бушері відбувся 21 серпня цього року. Напередодні цієї події багато міжнародних спостерігачів чекали на ізраїльський авіаудар по іранських ядерних об’єктах. Нагадаємо, що й попередня атака ізраїльських ВПС у 1981 році, що знищила іракський ядерний реактор, була саме напередодні пуску тамтешньої АЕС. Адже бомбити діючий реактор не можна.

Але 21 серпня минуло, станцію в Бушері начебто офіційно відкрили, однак ізраїльського попереджувального удару не було. «Ізраїльтяни пропустили нагоду», — знизували плечима експерти. Але, як виявилося, станція й досі не працює. Чи не тому, що її відключив вірус? Або іранці, виявивши непрошеного «гостя», про всяк випадок перенесли ввімкнення АЕС для повної перевірки й лікування заражених програм?

Краще запобігти війні, ніж воювати

Тут саме час нагадати, що Ізраїль, схоже, рік тому уже зупиняв уранові центрифуги на секретному заводі, що розташований глибоко під землею, у Натанзі. І теж, певне, через комп’ютерну диверсію. Автор книги «Моссад: найбільші операції», яка вийшла недавно, колишній депутат кнесету, професор Міхаель Бар-Зоар так розповідає про це. Був призначений урочистий запуск нового каскаду центрифуг для збагачення урану. Зібралося багато високопоставлених осіб Ірану. Але щойно натиснули на кнопку «пуск» — весь каскад вибухнув з ефектом доміно. Комплекс був знищений. Зрозуміло, не знайшлося ніяких доказів, що центрифуги загинули через комп’ютерний вірус. Тим більше, стало неможливо встановити, що цей гіпотетичний вірус створили в Ізраїлі.

Відомий і інший приклад застосування кіберзброї Ізраїлем. За допомогою комп’ютерної операції був виявлений, а потім знищений у 2007 році ядерний реактор у Сирії, що будувався за допомогою північнокорейських та іранських фахівців.

Високопоставлений сірійський чиновник приїхав у Лондон, а коли він вийшов із номера пообідати, двоє співробітників Моссада проникли до нього в номер і вставили сирійцеві в лептоп «троянського коня». Шпигунська програма виловила з жорсткого диска креслення, фотографії, програми, імена та координати корейців та іранців, які працювали над проектом. Сім літаків ізраїльських ВПС розбомбили недобудований реактор, по дорозі знищивши радарну установку сирійців. Причому цей радар уперто показував «чисте небо» — у його комп’ютер заздалегідь запустили вірус.

«Нью-Йорк таймс» написала, що збитки від вірусної атаки на комп’ютерні мережі Ірану порівнянні з наслідками удару ізраїльських ВПС. Утім, немає поки ніяких підтверджень, що цей вірус — справа рук ізраїльських фахівців. Тільки здогади.

Кіберкомандос

Про війни майбутнього, у яких супротивники «битимуться бітами й байтами», пише німецька Die Welt, розповідаючи, якими небезпечними є хакерські атаки для хімічних заводів, літаків і систем енергопостачання.

Ізраїльська армія випробувала цю форму ведення війни вже пару років тому, під час нападу на секретний об’єкт у Сирії, повідомляє автор статті Мальті Хервіг.

Із вересня 2009 року в армії США існує кіберкоманда — U.S. Cyber Command. Кіберпідрозділ є й у Китайській народній армії. Два роки тому аналогічний відділ був створений у бундесвері. Тим більше, як показала в лютому 2009 року атака вірусу Conficker, який заразив кілька сотень комп’ютерів німецької армії, «ворог у Мережі не дрімає».

Онлайн-армії мають ще 20 або 30 держав, серед яких Росія, Південна Корея, Індія, Пакистан, Франція та Ізраїль, повідомляє Хервіг із посиланням на Річарда Кларка, радника Білого дому з кібербезпеки. У своїй новій книзі «Cyber War: The Next Threat to National Security and What to Do About it» Кларк пише, що глобальна війна в мережі вже почалася, і численні хакери, які перебувають на службі в різних держав, готують поля для майбутніх боїв.

США, Росія та Китай, говориться далі в статті, «наступально використовують можливості кібершпіонажу». Вони не тільки створюють військові кіберпідрозділи, а й співробітничають із цивільними хакерами.

Китайська армія, технічно програючи американцям в озброєнні, скоротила чисельність своїх військ і почала вкладати гроші в нові технології. При цьому китайці від самого початку зробили ставку на наступальну війну в кіберпросторі.

За часів кібершпіонажу розвідник із плоті й крові йде в минуле, говориться в статті. Нові копіювальні апарати можуть містити мікрочипи, що зберігають кожну копію й відправляють її замовнику. Спеціальні програми здатні відслідковувати всі зміни на жорстких дисках і реєструвати уведення будь-яких даних із клавіатури зараженого комп’ютера.

На Заході, нагадує Хервіг, у Мережі інтегрована не тільки вся економіка, а й системи електропостачання, а також транспорту. Ворожа кібератака може завдати їм збитків більших, ніж ядерний удар, думає Кларк. «Після такої атаки наступна війна, мабуть, знову буде рукопашною — без Інтернету», — підсумовує видання.