Невидимый удар
В начале осени стало известно об одной из крупнейших компьютерных атак, которая, судя по всему, знаменует начало новой эпохи в международных отношениях — эпохи кибервойн.
Хакеры — Microsoft — 4 : 0
В середине июня в поле зрения специалистов по компьютерной безопасности попал сетевой вирус Stuxnet. Первой его обнаружила белорусская фирма VirusBlokAda в машинах одного иранского клиента и сообщила о «находке» в Microsoft. Спустя несколько дней спецы американской компании подтвердили, что этот странный вирус заражает по всему миру компьютеры под управлением ОС Windows, работающие в составе крупных систем управления промышленными предприятиями, — от электростанций и заводского производства до нефтепроводов и военных объектов.
Изучавшие вирус компьютерщики, профессиональные охотники на сетевую «живность», долго не могли понять, что же это такое — настолько сложным оказался программный код Stuxnet. К расшифровке подключились асы из знаменитой «Лаборатории Касперского», эксперты из Microsoft и Siemens.
Общими усилиями они выяснили, что Stuxnet использовал для невидимого внедрения в компьютерную систему жертвы сразу четыре разных доселе неизвестных и еще не закрытых «заплатами» дыр в защите ОС Windows. Программисты такие прорехи называют zero-day-exploit — «уязвимость нулевого дня». Используя ее, хакер может получить доступ к ресурсам компьютера, иногда — ничем не ограниченный.
Чтобы как можно дольше оставаться незамеченным, вирус выдавал себя за программы, подписанные двумя легальными сертификатами, — компаний Realtek и JMicron («цифровыми подписями» изготовителей). Кроме того, был задействован очень хитрый механизм самостоятельного распространения.
Смерть притаилась на флешке
Начинается этот механизм с того, что в компьютер вставляется инфицированная USB-флешка, откуда вирус копируется на жесткий диск и атакует ОС Windows (причем любой модификации, от довольно старой Win 2000 и до наиболее современной, предположительно весьма безопасной Windows 7). Казалось бы, такая способность проникать всюду говорит в пользу гипотезы о промышленном шпионаже. Однако немецкий эксперт по киберзащите промышленных систем Ральф Лангнер обнаружил в коде вируса один примечательный фрагмент. Оказалось, что Stuxnet на самом деле интересуется не всеми подряд системами управления промышленными объектами. Он разыскивает системы, в которых работает программа человеко-машинного интерфейса WinCC и PCS 7 SCADA («supervisory control and data acquisition», т.е. «диспетчерское управление и сбор данных»).
Эта система разработана компанией «Сименс» и с 1995 года используется в качестве своеобразной «панели управления» комплексом средств промышленной автоматизации SIMATIC. Среди функций SIMATIC — управление буквально всеми производственными процессами, от сбора телеметрии до контроля текущих операций.
Далее вирус заражает программируемые логические контроллеры (ПЛК, микропроцессоры, выполняющие непосредственное управление автоматикой). В перечне ПЛК, уязвимых для нового вируса, — две серии процессоров компании «Сименс». Вирус внедряет в контроллер особый код и перехватывает контроль над производственными процессами у системы управления предприятием. В какой-то момент, как определил Лангнер, вирус должен подменить стандартную команду управления на код DEADF007. Лангнер полагает, что в результате подмены некий критический процесс на предприятии должен пойти вразнос и, скорее всего, завершиться взрывом.Оружие одного удараФункционирование Stuxnet рассчитано на полностью автономную работу программы и не требует ни подключений к Интернету для получения дополнительных инструкций, ни управления со стороны человека вообще. В программе выявлено так много разных типов выполняемых функций, что для экспертов очевидно: созданием этого продукта занималась команда специалистов с богатым опытом в самых разных областях. По сведениям компании Microsoft, программа Stuxnet проникла в десятки тысяч промышленных компьютерных систем по всему миру, но, к великому счастью, практически ни одной из них это ничем не грозит. Эксперты по кибербезопасности убеждены, что Stuxnet — это избирательное оружие, созданное для поиска и уничтожения единственной конкретной цели.
Проанализировав код вируса, эксперты «Лаборатории Касперского» полагают, что разработчики Stuxnet в своем распоряжении непременно должны были иметь для тестирования именно то реально применяемое аппаратное обеспечение, под которое затачивалось их кибероружие. Есть все признаки, что они в точности и в деталях знали нюансы работы техники на конкретном объекте, который был избран целью атаки.
«Stuxnet не крадет деньги, не шлет спам и не ворует конфиденциальную информацию. Он создан, чтобы контролировать производственные процессы, в буквальном смысле управлять огромными производственными мощностями. В недалеком прошлом мы боролись с киберпреступниками и интернет-хулиганами, теперь, боюсь, наступает время кибертерроризма, кибероружия и кибервойн», — пишет в своем блоге Евгений Касперский, генеральный директор «Лаборатории Касперского».
Цель — иранский реактор?
Практически все исследователи, изучающие Stuxnet, вполне единодушны в выводах о том, что он сконструирован чрезвычайно изощренным и умелым мастером — скорее всего, асами государственной спецслужбы — и предназначен для разрушения чего-то большого и важного. Поэтому резонно встали два вопроса: что за государство стоит за Stuxnet и против какого объекта была направлена диверсия?
На сегодняшний день имеется достаточное количество фактов и доводов для того, чтобы с высокой степенью достоверности ответить на них.
Один из специалистов, занимавшихся «вскрытием» вируса, или, выражаясь иначе, обратной инженерной разработкой вредоносной программы, заявил: «Это то, что создает государство, если единственной альтернативой остается начало войны». Вычислить конкретную страну, против которой была направлена атака Stuxnet, оказывается совсем несложно. География распространения вируса в августе этого года выглядела таким образом, что на Иран приходилось почти 70% всех зараженных систем. С большой долей вероятности можно предположить, что именно эта страна стала объектом атаки. Два главных и очевидных политических противника Ирана — США и Израиль. Обе страны известны своей жесткой позицией относительно ядерных амбиций иранского государства и располагают достаточным потенциалом для создания и применения кибероружия типа Stuxnet. Ральф Лангнер предполагает, что целью вируса могла быть Бушерская АЭС — самый знаменитый объект иранской ядерной программы.
Официальный пуск АЭС в Бушере состоялся 21 августа этого года. В преддверии этой даты многие международные наблюдатели ожидали израильского авиаудара по иранским ядерным объектам. Напомним, что и предыдущая атака израильских ВВС в 1981 году, уничтожившая иракский ядерный реактор, имела место как раз накануне пуска тамошней АЭС. Потому что бомбить работающий реактор нельзя.
Но 21 августа прошло, станцию в Бушере вроде официально открыли, однако израильского упреждающего удара не было. «Израильтяне упустили шанс» — пожимали плечами эксперты. Но, как оказалось, станция так и не заработала. Не потому ли, что ее отключил вирус? Или иранцы, обнаружив непрошеного «гостя», на всякий случай перенесли включение АЭС для полной проверки и лечения зараженных программ?
Лучше предупредить войну, чем воевать
Здесь самое время напомнить, что Израиль, похоже, год назад уже останавливал урановые центрифуги на секретном и находящемся глубоко под землей заводе в Натанзе. И тоже, видимо, из-за компьютерной диверсии. Автор вышедшей недавно книги «Моссад: крупнейшие операции», бывший депутат кнессета, профессор Михаэль Бар-Зоар так рассказывает об этом. Был назначен торжественный запуск нового каскада центрифуг для обогащения урана. Собралось много высокопоставленных лиц Ирана. Но едва нажали на кнопку «пуск» — весь каскад взорвался с эффектом домино. Комплекс был уничтожен. Разумеется, не нашлось никаких доказательств, что центрифуги погибли из-за компьютерного вируса. Тем более, стало невозможно установить, что этот гипотетический вирус создали в Израиле.
Известен и другой пример применения кибероружия Израилем. С помощью компьютерной операции был обнаружен, а затем уничтожен в 2007 году ядерный реактор в Сирии, строившийся с помощью северокорейских и иранских специалистов.
Высокопоставленный сирийский чиновник приехал в Лондон, а когда он вышел из номера пообедать, двое сотрудников Моссада проникли к нему в номер и вставили сирийцу в лэптоп «троянского коня». Шпионская программа выловила с жесткого диска чертежи, фотографии, программы, имена и координаты корейцев и иранцев, работавших над проектом. Семь самолетов израильских ВВС разбомбили недостроенный реактор, по дороге уничтожив радарную установку сирийцев. Причем этот радар упорно показывал «чистое небо» — в его компьютер заранее внедрили вирус.
«Нью-Йорк таймс» написала, что урон от вирусной атаки на компьютерные сети Ирана сопоставим с последствиями удара израильских ВВС. Впрочем, нет пока никаких подтверждений, что данный вирус — дело рук израильских специалистов. Только догадки.
Киберкоммандос
О войнах будущего, в которых противники будут «сражаться битами и байтами», пишет немецкая Die Welt, рассказывая, как опасны хакерские атаки для химических заводов, самолетов и систем энергоснабжения.
Израильская армия опробовала эту форму ведения войны уже пару лет назад, при нападении на секретный объект в Сирии, сообщает автор статьи Мальте Хервиг.
С сентября 2009 года в армии США существует киберкоманда — U.S. Cyber Command. Киберподразделение есть и у Китайской народной армии. Два года назад аналогичный отдел был создан в бундесвере. Тем более, как показала в феврале 2009 года атака вируса Conficker, заразившего несколько сотен компьютеров германской армии, «враг в Сети не дремлет».
Онлайн-армии имеют еще 20 или 30 государств, в числе которых Россия, Южная Корея, Индия, Пакистан, Франция и Израиль, сообщает Хервиг со ссылкой на Ричарда Кларка, советника Белого дома по кибербезопасности. В своей новой книге «Cyber War: The Next Threat to National Security and What to Do About it» Кларк пишет, что глобальная война в Сети уже началась, и многочисленные хакеры, находящиеся на службе у различных государств, готовят поля для будущих сражений.
США, Россия и Китай, говорится далее в статье, «наступательно используют возможности кибершпионажа». Они не только создают военные киберподразделения, но и сотрудничают с гражданскими хакерами.
Китайская армия, технически проигрывая американцам в вооружении, сократила численность своих войск и стала вкладывать деньги в новые технологии. При этом китайцы с самого начала сделали ставку на наступательную войну в киберпространстве.
Во времена кибершпионажа разведчик из плоти и крови уходит в прошлое, говорится в статье. Новые копировальные аппараты могут содержать микрочипы, сохраняющие каждую копию и отправляющие ее заказчику. Специальные программы способны отслеживать все изменения на жестких дисках и регистрировать ввод любых данных с клавиатуры зараженного компьютера.
На Западе, напоминает Хервиг, в Сети интегрирована не только вся экономика, но и системы электроснабжения, а также транспорта. Вражеская кибератака может нанести им ущерб больший, чем ядерный удар, полагает Кларк. «После такой атаки следующая война, пожалуй, снова будет рукопашной — безо всякого Интернета», — заключает издание.
