Stuxnet и възходът на кибер оръжията

Когато мислим за военни оръжия, които нанасят щети на физически неща, представяме си някакви предмети, независимо дали са копия, мечове, пушки, бомби, танкове или самолети. Но през юни 2010 г. група компютърни програмисти се натъкват на едно от най-иновативните оръжия, появявали се скоро. То е съставено от нищо друго освен редове от единици и нули, но може да бъде точно толкова разрушително към определени физически обекти, колкото всяка бомба. Това първа стъпка в нов, сенчест театър на военните действия, който застрашава самите основи на нашето все по-цифрово общество. Това е историята на STUXNET, едно от първите цифрови оръжия в света.

На 24 юни 2010 г. Сергей Уласен и Олег Купреев, анализатори от базираната в Минск фирма VirusBlokAda за борба със зловреден софтуер, получават набор от подозрителни файлове, които са карали компютрите в Иран да влизат в безкраен цикъл на рестартиране. Дори форматирането и преинсталирането на целия софтуер изглежда не помага – файловете по някакъв начин винаги успяват да реинфектират системата. Първоначално Уласен и Купреев не мислят особено за файловете – все пак VirusBlokAda се справя с хиляди нови парчета зловреден софтуер всяка година. Но щом поглеждат по-отблизо, разбират, че това наистина е нещо съвсем различно.

Най-напред, вирусът е доста голям – 500 килобайта в сравнение с 10-15 за повечето вируси. И когато файловете се разкомпресират, те се увеличават до колосалните 1,2 мегабайта. Следващата изненада идва, когато Уласен прехвърля файловете на работния си компютър; те не само се инсталират и стартират автоматично, но го правят, без да задействат никакви аларми или предупреждения. Това би могло да означава само едно: червеят може да проникне дълбоко в операционната система на компютъра и да избегне да бъде открит от софтуера за сканиране за вируси. Но най-големият шок идва, когато Уласен поглежда как червеят се инсталира. Повечето вируси използват функцията на Windows за автоматично стартиране на файлове, който лесно се спира просто с деактивиране на AutoRun опцията. Вместо това този червей използва поредица .LNK файлове, които Windows ползва за автоматично показване на файлове и приложения като икони. Това е дяволски умен подход, какъвто Уласен и Купреев никога не са виждали досега. Бърза проверка на зловредния регистър на VirusBlokAda потвърждава подозренията им: те са попаднали на свещения Граал за ловци на зловреден софтуер – 0-day експлойт.

0-day експлойтът е софтуерна уязвимости, за която нито производителите, нито антивирусните компании все още са наясно. Предвид опасността, която те представляват, тези 0-day експлойти са изключително редки; от 12 милиона нови вируси, открити всяка година, обикновено има под 10 от този вид. Затова можем да си представим шока на Уласен и Купреев, когато откриват не един, не два, а още три 0-day експлойти, скрити в червея. Един-единствен е страхотна рядкост; четири е нечувано.

Siemens Simatic S7-300 Programmable Logic Controller

И изненадите не свършиха дотук. Червеят съдържа четири отделни .LNK файла, които му позволяват да зарази всяка версия на Windows след Windows 2000 и изглежда проектиран да се разпространява не чрез интернет като обикновените вируси, а чрез флаш устройства. Той също така включва оригинални цифрови сертификати, подписани от Realtek Semiconductor в Тайван – изключително ценен елемент за сигурност, почти невъзможен за придобиване от повечето хакери. Но най-странното от всичко е, че червеят е програмиран да търси специално софтуера SIMATIC Step 7 или WinCC на Siemens Programmable Logic Controllers – малки компютри, използвани в индустрията за управление на неща като роботизирани ръце на автоматизирани поточни линии. Ако на заразената машина не е инсталиран този софтуер, червеят ще се изключи и ще остави машината. Уласен и Купреев са объркани; червеят не само е проектиран да търси изключително специфична цел, но самата цел няма смисъл. Повечето зловредни програми са предназначени да крадат номера на кредитни карти, пароли и друга информация с цел да печелят пари, но този червей изглежда е специално проектиран да атакува индустриални системи. Но какви системи и с каква цел? За съжаление по това време Уласен и Купреев са назначени на други проекти и не задълбават повече. Но преди да продължат напред, те обявяват откритието си на уебсайта на компанията и във форум за киберсигурност. Те също така дават име на мистериозния червей, получен от един от системните му файлове: STUXNET.

И тук историята на STUXNET щеше да приключи, ако не беше постоянството на една друга двойка ловци на зловреден софтуер: Лиъм О’Мърчу и Ерик Чиен от калифорнийската фирма Symantec. При получаване на файловете на STUXNET на 16 юли 2010 г. двойката веднага забелязва една необичайна функция: когато STUXNET заразява нов компютър, той изпраща съобщение за потвърждение с IP адреса на машината до двойка IP адреси, маскирани като сайтове за футболни фенове, позволявайки на създателите да проследяват напредъка му, докато скача от машина на машина. О’Мърчу и Чиен пренасочват DNS на тези сайтове към специален сървър в офиса им и виждат как в рамките на четири дни STUXNET заразява над 38 000 машини – 3700 в Индия, 6700 в Индонезия и 22 000 в Иран. Бързо търсене в интернет разкри връзката между тези страни: 2700-километровият тръбопровод за мир, простиращ се от петролното поле South Pars в Иран през Пакистан и Индия. Очевидно атаката започва в Иран и се разпространява по протежение на тръбопровода. Но какво е под прицел в Иран? Въпреки че добиват по-добро разбиране за разпространението и функционирането на STUXNET, О’Мърчу и Чиен не са по-близо до определянето на целта му, отколкото Уласен и Купреев.

Последното парче от пъзела е разкрито от холандския програмист Рон Хулсебос, който през ноември 2010 г. открива в полезния товар на червея приложение, предназначено да атакува два специфични модела честотни преобразуватели – устройства за управление на изключително прецизни електрически мотори. Когато Хулсебос търси тези устройства в интернет, с изненада установява, че те са регулирани за износ от Американската комисия за ядрено регулиране. Събирайки всички парчета, Хулсебос стигна до единствения разумен извод: STUXNET е проектиран да пречи на ядрената програма на Иран. Но как точно? Хулсебос не осъзнава, но отговорът вече беше разкрит преди единадесет месеца.

През януари 2010 г. инспектори от Международната агенция за атомна енергия (на снимката горе служители на МААЕ са при Фукушима) забелязват някаква странна дейност в иранския комплекс за обогатяване на уран Natanz. Комплексът, разположен на 320 километра южно от Техеран, е завършен през 2008 г. на цена от 300 милиона долара. Покривайки 100 000 квадратни метра и заровени на 50 метра под земята, през 2010 г. Natanz експлоатира около 8700 газови центрофуги. Газовите центрофуги са устройства, използвани за отделяне на редкия изотоп Уран-235 – който може да се използва за захранване на ядрени реактори и изграждане на атомни бомби – от по-често срещания Уран-238. Рафинираният уран се превръща в газ от уран хексафлуорид и преминава през набор от концентрични високоскоростни ротори; центробежната сила кара малко по-тежкия U-238 да се придвижва към стената на ротора, докато U235 остава към центъра. След това този малко обогатен газ се прекарва през поредица от центрофуги, като с течение на времето се обогатява все повече и повече в U-235. Газовите центрофуги се въртят с толкова високи скорости, че външната страна на роторите надвишава скоростта на звука, което изисква целия въздух да бъде изпомпан от корпуса. Тази скорост също прави центрофугите изключително деликатни и лесно небалансирани, като теглото на един човешки пръстов отпечатък е достатъчно, за да накара ротора да се разклати. Като се има предвид тази нестабилност, съоръжение като Natanz се очаква да изгаря определен брой центрофуги годишно – в този случай около 10% или 900 единици. Но от ноември 2009 г., камерите на МААЕ, инсталирани извън съоръжението, започват да забелязват рязко увеличение на центрофугите, които се отстраняват и подменят; до януари броят им достига изумителните 2000 единици. Но съгласно споразумението за инспекция на МААЕ с Иран, инспекторите нямат право да питат защо – и по никакъв начин не могат да разберат, че това е дело на STUXNET.