Новая эпоха кибервойн
Новая эпоха кибервойн началась около года назад, когда некий иранский компьютер безо всякой видимой причины начал непрестанно перезагружаться. Аналитики минской компании «ВирусБлокАда» первыми извлекли вредоносный код из машины и обнаружили неизвестный вирус беспрецедентных размеров и сложности. 17 июня 2010 года минчане предупредили о новой угрозе весь мир. С лёгкой руки Microsoft, работавшей в тесном сотрудничестве с «Лабораторией Касперского», червь получил название Stuxnet.
В отличие от обычных «нехороших программ», которые вредят только в виртуальном мире компьютеров и сетей, Stuxnet мог управлять насосами, клапанами, генераторами и прочим промышленным оборудованием. «Впервые аналитикам попался код, разработанный для реальных повреждений. Он действительно мог вывести из строя оборудование или привести к взрыву», — говорит Лиам О Мурчу, начальник службы кибербезопасности Symantec.
Стало очевидно, что в руках неких групп (а может, и целых государств) оказалось оружие, направленное на жизненно важные инфраструктуры. «Мы только сейчас вступаем в эпоху гонки кибервооружений», — считает Микко Хиппонен, главный научный сотрудник финской антивирусной фирмы F-Secure.
Что ещё хуже, Stuxnet показал, насколько неактуальны средства общественной киберзащиты. Г-н О Мурчу и его сотрудники потратили бездну времени на потрошение червя. Около 15 тыс. строк кода, потребовавших не менее 10 тыс. человеко-часов работы! Два цифровых сертификата подлинности, украденных у уважаемых компаний! Эксплуатация четырёх дотоле не опознанных уязвимостей Windows!
Потом пришло осознание странного поведения вируса. Выяснилось, к примеру, что Stuxnet пытался «поговорить» с программируемыми логическими контроллерами (ПЛК) промышленного оборудования. К тому же червь был очень избирательным: хотя он мог обжить любой компьютер п/у Windows, главная часть исполняемого кода активировалась только при обнаружении Siemens Step7 — программного пакета для управления промышленными процессами.
Многие промышленные системы управления не подключаются к Интернету — как раз для защиты от вредоносных программ и «недружественного поглощения». Поэтому Stuxnet научили тайно устанавливаться на USB.
По сей день никто не знает, что именно должен был сделать Stuxnet с ПО Siemens. Установлено лишь, что вирус собирал информацию о заражённых компьютерах и отправлял её на серверы в Малайзии и Дании — по-видимому, чтобы разработчики могли обновлять его. Специалисты Symantec попросили интернет-провайдеров перенаправлять данные им — так удалось «подслушать», что по крайней мере 60% компьютеров, инфицированных червём, находится в Иране. А началось заражение ещё в 2009 году. Очевидно, что вирус был сознательно направлен против Ирана.
Поскольку в Symantec не разбирались в ПЛК и SCADA, дальнейшим расследованием занялся Ральф Лангнер, частный консультант по вопросам кибербезопасности из Гамбурга (ФРГ). Эксперименты показали, что Stuxnet искал конкретные программные и аппаратные средства, то есть атака была целенаправленной. В сентябре 2010 года г-н Лангнер объявил в своём блоге, что наиболее вероятной целью была АЭС «Бушер». В дальнейшем эксперт и его коллеги стали склоняться к другой цели — предприятию по обогащению урана в Натанзе, где тысячи центрифуг отделяют уран-235 от урана-238. Многие западные страны считают, что там производится топливо вовсе не для атомных электростанций, а для ядерного оружия. Вредоносный код, по мнению г-на Лангнера, был призван изменить скорость центрифуг, в результате чего оборудование вышло бы из строя. Действительно, Международное агентство по атомной энергии зафиксировало резкое падение числа действующих центрифуг в 2009 году — тогда, когда Stuxnet, предположительно, заразил первые иранские компьютеры.
Этот вывод далёк от окончательного, а все доказательства, увы, носят косвенный характер. Инспекция МАГАТЭ в конце 2010 года показала, что мощности по обогащению урана в Иране выше, чем когда-либо. Гипотеза о Натанзе (а также данные о том, что разработчики вируса имели опыт создания вредоносного ПО, разбирались в промышленной безопасности и конкретных типах и конфигурациях промоборудования) заставляет предположить, что Stuxnet — дело рук какого-то правительства.
Запад и прежде пытался саботировать иностранные ядерные программы, напоминает Олли Хейнонен, старший научный сотрудник Бельферского центра науки и международных отношений при Гарвардском университете (США) и экс-заместитель генерального директора МАГАТЭ. В 1980-х и 1990-х, например, спецслужбы проводили кампанию по подсовыванию неисправных частей в сеть поставок ядерных технологий из Пакистана в Иран и КНДР.
Всё время, пока кипела работа по дешифровке кода Stuxnet, Министерство национальной безопасности США хранило странное молчание, хотя в его недрах существует отдел Computer Emergency Readiness Team (CERT), созданный специально для реагирования на подобные угрозы. Правда, он выдал серию предупреждений, но уже после минчан, и в его сообщениях не было ничего нового. «Не может быть, чтобы они пропустили эту проблему», — считает г-н Лангнер.
В коде было также обнаружено слово Myrtus — Мирт. Согласно Библии, это имя (по-еврейски — Хадасса) еврейской жены персидского царя Ахашвероша (вероятно, Ксеркса I) Есфири, данное ей при рождении (имя Есфирь как вариант персидского Сатара — то есть Звезда — она получила, войдя в гарем). Есфирь спасла евреев, живших в Персии, от истребления, и в честь этого появился праздник Пурим. Неужели израильский след?
Увы, всё это не более чем догадки. Фактов по-прежнему нет. Ответа на вопрос «Кто?», скорее всего, никогда не будет. Исследование червя потихоньку сошло на нет к февралю с. г. Symantec опубликовала последний отчёт о его исполнении, линии атаки и способах распространения. Microsoft давно заделала «дыры» в Windows. Антивирусы обновлены.
Экспертов беспокоит другое: по сути, Stuxnet изложил план будущих нападений, и специалисты, дешифровавшие его, невольно сыграли на руку преступникам. «В некотором смысле вы открыли ящик Пандоры, начав эту атаку, — говорит г-н Лангнер, обращаясь к создателям червя. — И в конечном итоге, ребята, это может обернуться против вас».
Кроме того, Stuxnet показал, что эксперты в области кибербезопасности плохо подготовлены к подобным угрозам, ибо не имеют связи с людьми, знающими толк в промышленных системах управления. «Это два совершенно разных мира», — признаётся Эрик Байрс из канадской фирмы Tofino Industrial Security, занимающейся промышленной безопасностью. Пропасть между ними начинается уже в вузах: промышленная безопасность рассматривается как чисто технический вопрос, не достойный внимания академической прикладной математики. К тому же в университетах не учат разбираться с вирусами: для этого необходимы сложные системы безопасности (чтобы самим не заразиться), да и обыватель против: мол, вы там что, хакеров готовите?
Рой Максион из Университета Карнеги — Меллона (США) идёт дальше, утверждая, что кибербезопасность страдает от отсутствия научной строгости. Медицинские работники за 200 лет превратились из поставщиков пиявок в современных учёных с появлением доказательной медицины, отмечает он. «Компьютерная наука и компьютерная безопасность пока не сели на тот же поезд», — сетует эксперт, называя успехи информатики «салонными трюками». Например, на одной конференции было показано, как можно читать экраны мониторов по отражениям в стекле. «С практической точки зрения это полная туфта! — горячится г-н Максион. — В комнатах, где проводятся секретные совещания, нет окон. Но сколько было шума!»
Если предположить, что США не принимали участия в создании Stuxnet, молчание американцев становится ещё одним поводом для беспокойства. Не было замечено никакой реакции на появление нового поколения кибероружия — никаких планов скоординированных ответных мер, никаких консультаций с академическими кругами и бизнесом.
Другие страны отнеслись к угрозе более серьезно. Говорят, китайские и израильские вузы тесно сотрудничают с военными по вопросам кибербезопасности. За несколько месяцев до появления Stuxnet Юваль Эловичи, директор лаборатории Deutsche Telekom Университета Бен-Гуриона (Израиль), предупреждал, что следующая волна кибератак будет направлена на физическую инфраструктуру: «Думаю, это будет гораздо серьёзнее, чем падение нескольких атомных бомб». Он был далеко не первым, но киберобщественность, похоже, не верила в реалистичность таких прогнозов...
Дмитрий Целиков