Kim Zetter Stuxnet Книга Перевод

Kim Zetter. Countdown to zero day. Глава 17. Тайна центрифуг

Две недели, предшествовавшие следующей атаке, были бурными для Ирана. 12 июня 2009 года президентские выборы между...

Kim Zetter. Countdown to zero day. Глава 17. Тайна центрифуг

Две недели, предшествовавшие следующей атаке, были бурными для Ирана. 12 июня 2009 года президентские выборы между действующим президентом Махмудом Ахмадинежадом и претендентом Мир-Хоссейном Мусави прошли не так, как ожидалось. Предполагалось, что гонка наконец будет завершена, но, когда были объявлены результаты через 2 часа после закрытия избирательных участков – Ахмадинежад победил с 64 процентами голосов против 34 процентов у Мусави. Электорат возмущенно кричал, и на следующий день толпы разъяренных протестующих вышли на улицы Тегерана, чтобы выразить свое недовольство результатами выборов. По сообщениям СМИ, это был самый крупный гражданский протест, который пережила страна со времен революции 1979 года, когда был свержен шах, и вскоре он обрел насильственный характер. Протестующие громили магазины, поджигали урны с мусором, в то время как полиция и басиджис – лояльные правительству ополченцы в штатном – пытались разогнать народ с помощью дубинок, электрошокеров и резиновых пуль.

В то воскресенье Ахмадинежад выступил с вызывающей победной речью, провозгласив новую эру для Ирана и назвав протестующих никем иным, как футбольными хулиганами, разочарованными проигрышем своей команды. Однако протесты продолжались уже неделю, и 19 июня, пытаясь успокоить толпу, аятолла Али Хаменеи санкционировал результаты выборов, настаивая на том, что перевес – 11 миллионов – слишком велик, чтобы считать выборы поддельными. Однако народ такое заявление не успокоило.

На следующий день 26-летняя женщина по имена Неда Ага-Солтан попала в пробку, вызванную протестующими, и была ранена снайперской пулей в грудь после того, как она и её учитель музыки вышли из машины, чтобы посмотреть, что происходит.

 Два дня спустя, 22 июня, в понедельник, Совет экспертов, который отвечает за выборы президента в Иране, официально объявил Ахмадинежада победителем, и после почти двух недель протестов на улицах Тегерана установилась устрашающая тишина. Для разгона демонстрантов полиция применила слезоточивый газ и боевые патроны, так что большинство из них покинули улицы. В тот же день, около 16:30 по местному времени, пока иранские протестующие зализывали свои раны, сидя по домам, была скомпилирована и выпущена новая версия Stuxnet.

Пока на улицах Тегерана царила полная суматоха, технические специалисты Натанза переживали период относительного затишья. В начале года они снова начали установку новых центрифуг, и к концу февраля у них уже было установлена около 5400 новых машин, что было близко к 6 тысячам, которые Ахмадинежад обещал установить еще в прошлом году. Пока ещё не все центрифуги обогащали уран, но, по прогресс снова пошел, и к июню число центрифуг подскочило до 7052, 4092 из которых уже работали в штатном режиме. В дополнение к восемнадцати каскадам, обогащающим газ в блоке А24, было установлено двенадцать каскадов в блоке А26, которые также занимались обогащением. Еще семь каскадов были установлены в блоке А28 и находились под вакуумом, готовясь к подаче газа.

Производительность центрифуг также улучшалась. Ежедневное производство низкообогащенного урана в Иране увеличилось на 20 процентов и оставалось стабильным на протяжении всего лета 2009 года. Несмотря на проблемы, Иран преодолел технический рубеж и преуспел в производстве 839 кг низкообогащенного урана – количество, достаточное для производства ядерного оружия. Если обогащение будет продолжаться такими же темпами, у Ирана будет достаточное количество обогащенного урана для производства двух ядерных боезапасов в течение года. Однако эта оценка была основана на мощности центрифуг IR-1, в настоящее время установленных в Натанзе. Но Иран уже начал испытания центрифуг IR-2 в небольшом каскаде на экспериментальном заводе, и после того, как их испытания будут завершены, и инженеры начнут их установку в подземных залах, оценку нужно будет пересмотреть. Чтобы произвести достаточное количество урана для ядерного оружия за один год, иранцы использовали 3 тысячи центрифуг модели IR-1. Но для произведения того же количества обогащенного урана за тот же период центрифугами модели IR-2 их понадобиться всего лишь 1200.

Но в дело вмешался Stuxnet 1.001, появившийся в конце июня.

Чтобы доставить цифровое оружие на завод, злоумышленники предприняли нападение на компьютеры четырех компаний. Все компании в той или иной степени участвовали в промышленном контроле и обработке, производили продукцию и собирали компоненты, либо устанавливали системы промышленного контроля. Вероятно, все они были выбраны потому, что имели некоторую связь с Натанзом в качестве подрядчиков и обеспечивали шлюз, через который ни в чем не подозревающие сотрудники могли пронести Stuxnet на завод.

Чтобы добиться большего успеха в доставке кода к целям, у этой версии Stuxnet было два дополнительных способа распространения. Stuxnet 0.5 мог распространяться только путем заражения файлов проекта Step 7 – файлов, используемых для программирования ПЛК Siemens. Однако эта версия также могла распространяться через USB флеш-накопители с помощью функции автозапуска Windows или через локальную сеть с помощью экплоита нулевого дня диспетчера очереди печати, который Лаборатория Касперского и Symantec обнаружат позже.

Судя по файлам журналов Stuxnet, первой жертвой стала компания Foolad Technique. Компания была заражена в 4:40 утра 23 июня, во вторник. И тогда до заражения следующей компании прошла целая неделя.

В следующий понедельник около пяти тысяч участников марша молча прошли по улицам Тегерана к мечети Гоба, чтобы почтить память жертв, погибших во время недавних протестов. Позже тем же вечером, около 23:20, Stuxnet поразил машины, принадлежащие его второй жертве – компании Behpajooh.

Несложно было понять, почему именно Behpajooh стала их следующей жертвой. Это была техническая компания, базирующаяся в Исфахане – месте нового иранского завода по конверсии урана, построенного для превращения измельченной урановой руды в газ для обогащения в Натанзе. В том месте также располагался Иранский центр ядерных технологий, который, как предполагается, был базой для разработки иранской программы развития ядерного оружия. Behpajooh также упоминался в документах федерального суда США в связи с закупочной деятельностью Ирана, находящейся под американскими санкциями.

Behpajooh занимался установкой и программированием промышленных систем управления и автоматизации, включая системы Siemens. На веб-сайте компании Натанз, разумеется, никак не упоминается, но указывается, что компания занимается установкой ПЛК Siemens S7-400, а также программным обеспечением Step 7, WinCC и коммуникационными модулями Profibus на сталелитейном заводе в Исфахане. Конечно же, это было именно то оборудование, на которые был нацелен Stuxnet и которое было установлено в Натанзе.

В пять часов утра 7 июля, через девять дней после атаки на Behpajooh, Stuxnet заразил компьютеры в Neda Industrial Group, а также атаковал компанию, указанную в журналах как CGJ, предположительно Control Gostar Jahed. Обе компании разрабатывали и устанавливали системы промышленного управления производством.

Neda разрабатывала и устанавливала системы управления, точные приборы и электрические системы для нефтегазовой промышленности Ирана, а также электростанций, горнодобывающих и технологических предприятий. В 2000 и 2001 годах компания установила ПЛК Siemens S7 на нескольких газопроводах, а также установила системы Siemens S7 на металлургическом комбинате в Исфахане. Как и Behpajooh, Neda была внесена в список наблюдения за распространением ядерного оружия за предполагаемое участие в незаконной закупочной деятельности и фигурировала в обвинительном заключении США за получение контрабандных микроконтроллеров и других компонентов.

Примерно через две недели после взлома Neda, инженер систем управления, работавший в компании, 22 июля появился на пользовательском форуме Siemens с жалобой на проблему, с которой работники его компании столкнулись на своих машинах. Инженер, который разместил пост под никнеймом Behrooz, указал, что на всех ПК в его компании была идентичная проблема с файлом .DLL Siemens Step 7, который продолжал выдавать сообщение об ошибке. Он подозревал, что проблема была в вирусе, который распространился через флеш-накопители.

Когда для передачи файлов из зараженной машины на чистую он использовал DVD или CD диски, все было хорошо, писал он. Но когда для передачи файлов он использовал флешку, на новом ПК начинались те же проблемы, что и на остальных зараженных машинах. USB-накопитель, конечно же, был основным методом распространения Stuxnet. И хотя Behrooz и его коллеги сканировали компьютеры антивирусом, он не обнаруживал никаких вредоносов. В ветке обсуждения не было никаких признаков того, что кто-то когда-то обсуждал эту проблему.

Неясно, сколько времени понадобилось Stuxnet, чтобы достичь своей цели после заражения машин в Neda и остальных компаниях, но в период с июня по август количество центрифуг, обогащающих уран в Натанзе, начало падать. Неизвестно, был ли это результат работы исключительно новой версии Stuxnet, либо же это был остаточный эффект предыдущей версии. Но к августу того же года на заводе работало уже 4592 центрифуги, что на 328 центрифуг меньше, чем в июле. Проблема, опять же, была в блоке А26, где проблемы возникли и в прошлый раз. В июне в этом модуле было двенадцать каскадов. Но к ноябрю газ был выкачан из половины их них, так что только шесть каскадов обогащало уран. Общее количество центрифуг для обогащения в Натанзе упало до 3936, минус 984 центрифуги за пять месяцев. Более того, хотя установка новых центрифуг все так же продолжалась, газ в них подавать не спешили. В блоке А28 также было установлено семнадцать каскадов, но ни одна из этих почти 3 тысяч центрифуг не использовалась для обогащения газа.

Понятно, что с центрифугами творилось что-то неладное, но инженеры никак не могли разобраться, в чём дело. Тем не менее всё шло именно по такому плану, для которого и был создан Stuxnet.

Новая версия Stuxnet, увеличивала частоту вращения роторов центрифуг до 1410 Гц в течение пятнадцати минут – почти 1000 км в час – а затем через три недели снижала ее до 2 Гц на пятьдесят минут. После большого количества циклов центрифуга получала повреждения, а уровень обогащения газа в ней падал.

Но Олбрайт и его коллеги определили, что для набора двигателями центрифуг наиболее разрушительной для них частоты в 1410 Гц – требовалось больше чем пятнадцать минут. Скорее всего за это время они достигали только частоты в 1324-1381 Гц. Но тем не менее, постоянно изменяющаяся скорость и непрервыное ускорение и замедление продолжались на протяжении долгого времени, это всё равно приводило бы к дополнительному напряжению и повреждению роторов центрифуг. Повышенная скорость также вызывала расширение алюминиевых центрифуг и нарушение их баланса.

IR-1 были хрупкими по своей конструкции, и к их повреждению могло привести малейшее неверное движение – например, пыль в камере могла вызвать их самоуничтожение. Глава Организации по атомной энергии Ирана Голам Реза Агазаде в интервью 2006 года доказал это, сообщив, что в первые дни программы обогащения IR-1 и в правду взрывались просто из-за наличия пыли внутри камер. Сначала они не могли понять, почему центрифуги взрываются, но он сказал, что в конечном итоге они приписали вину техническим специалистам, собирающим центрифуги без перчаток. Пыль, оставленная в машинах, буквально разрывала их, как только они начинали вращаться. «Когда мы говорим, что машина была уничтожена», – серьезно говорил он, – «мы имеем в виду, что она разлетается в пыль».

Подшипники, которые помогали центрифугам сохранять устойчивость, находились в верхней и нижней части. Центрифугам требовалось набирать скорость постепенно. Если это происходило так, то запуск центрифуги происходил нормально. Но в мгновение ока все могло пойти не так. Если центрифуга раскачиваться, она быстро выйдет из-под контроля. Сам по себе корпус центрифуги был массивным и не мог разбиться, но он мог расколоться в продольном направлении, как хот-дог в микроволновой печи, или изогнуться, после чего крышки сверху и снизу лопались. Как следствие, все остальные детали внутри корпуса также разваливались.

Повышенная скорость, вызванная Stuxnet, могла вызвать вибрации, которые в конечном итоге изнашивали подшипники после нескольких циклов атаки, вызывая разбалансировку и опрокидывание центрифуг. Но с ложными данными, которые Stuxnet скармливал ни в чем не подозревающим операторам, никто не замечал приближающихся разрушений и в последствии тяжело было выяснить, что именно привело к такому исходу.

Вторая последовательность атаки, которая снижала частоту центрифуг до 2 Гц на пятьдесят минут, дала понять, что нападавшие также пытались снизить производство обогащенного урана, а не только уничтожить центрифуги. Центрифуге, вращающейся с частотой 1064 Гц потребуется некоторое время, чтобы замедлиться до 2 Гц. Олбрайт и его команда также определили, что через пятьдесят минут скорость, вероятно, уменьшится только до 864 Гц, прежде чем саботаж закончится и скорость вернется к норме. Но за счет уменьшения скорости центрифуги даже на 50 или 100 Гц Stuxnet мог снижать обогащение вдвое. При обогащении урана для разделения изотопов U-235 и U-238 в газе, центрифуги должны постоянно вращаться с одной скоростью. Если скорость меняется, особенно если замедляется на пятьдесят минут, это вызывает нарушение процесса разделения. Ядерщики из Натанза ожидали получить из каскада уран одного сорта, но получали нечто другое. Этот прием был гораздо менее результативным, чем непосредственное разрушение центрифуг, и одного его было бы недостаточно, чтобы замедлить иранскую ядерную программу. Но в сочетании с другими эффектами это могло саботировать программу под совсем иначе. В таком сочетании атаки затрагивали не только процент обогащения, но и объем произведенного урана. В феврале 2009 года центрифуги производили около 0,62 единиц разделительной работы, но в мае этот показатель упал до 0,49. А в июне и августе он колебался от 0,51 до 0,55.

Вернувшись в США, Олбрайт и его коллеги из Института науки и международной безопасности прочитали отчеты МАГАТЭ, отметив изменения в Натанзе, и не удивились, увидев, что у Ирана возникли проблемы, учитывая то, как быстро инженеры устанавливали каскады в модуле А26. Из источников он узнал, что техники в Натанзе снизили скорость центрифуг, чтобы решить проблемы, но Олбрайт подозревал, что происходит нечто большее, чем обычные поломки или технические трудности. Он связался с источниками в правительстве и МАГАТЭ, чтобы узнать, что происходит, но не получил исчерпывающего ответа.

С наступлением 2010 года число центрифуг в Натанзе продолжало падать. Число установленных центрифуг составляло 8692, но количество активно обогащающих уран, в настоящее время сократилось до 3772, что на 1148 меньше по сравнению с июнем. До сих пор проблемы были ограничены блоком А26, но теперь, похоже, они распространились также на А24 и А28. Например, был выкачан газ из одного каскада в блоке А24.14

Наиболее показательным был тот факт, что инженеры начали отключать центрифуги от некоторых каскадов. В августе МАГАТЭ, идя в ногу с растущим количеством центрифуг, установило больше камер видеонаблюдения в подземном зале. Теперь эти камеры записывали, как рабочие снуют по цеху, разбирая центрифуги. В январе МАГАТЭ сообщило, что инженеры демонтировали неуказанное количество центрифуги из одиннадцати каскадов в блоке А26, а также демонтировали все 164 центрифуги из каскада в А28. Ни один из оставшихся шестнадцати каскадов в А28 не обогащал газ.15 The Washington Post позже сообщит, что за этот период было заменено 984 центрифуги, что эквивалентно шести полным каскадам.

Но работа Stuxnet всё еще не была завершена.

К концу 2009 года давление на Соединенные Штаты с целью остановить ядерную программу Ирана росло.

В конце сентября, когда цифры в Натанзе начали резко падать, президент Обама объявил на саммите Совета Безопасности ООН по ядерному нераспространению и разоружению, что в Иране был обнаружен новый секретный объект по обогащению урана. Этот был расположен на военной базе, похороненной под 150 футами гор Фордо, примерно в 30 километрах от священного города Кум.

Завод был намного меньше, чем в Натанзе, и был рассчитан всего на 3 тысячи центрифуг против 47 тысяч в Натанзе. Но он был достаточно большим, чтобы при желании, обогащать на нем уран для одной или двух бомб в год, если Иран решит использовать его для такой цели. «Иран имеет право на мирную ядерную энергетику, которая удовлетворит потребности его народа. Но размер и конфигурация этого объекта несовместимы с мирной программой», – сказал Обама в своем заявлении о Фордо.

Иранцы сообщили Мохамеду эль-Барадею из МАГАТЭ, что этот завод был лишь резервной копией Натанза, что угроза военного удара побудила их построить его в качестве непредвиденных обстоятельств. Новый завод все еще строился, и не ожидалось, что он будет завершен до 2011 года, но, по данным разведки США, работы на нем, вероятно, начались где-то между 2002 и 2004 годами, а это означало, что инспекторы МАГАТЭ постоянно проезжали по пути мимо объекта, и даже не подозревали о его существовании. Обама узнал о заводе ранее в том же году во время своего предынаугурационного брифинга в Белом доме, но спецслужбы знали о нем как минимум с 2007 года, когда глава Стражей исламской революции перешел на запад и сообщил ЦРУ, что Иран строит второй секретный обогатительный завод где-то в пределах Натанза. С тех пор спутниковая разведка обнаружила это место в Фордо.

Завод в Фордо, хотя и был меньше Натанза, на самом деле представлял гораздо более серьезную опасность, нежели Натанз. Поскольку инспекторы МАГАТЭ внимательно следят за Натанзом, маловероятно, что Иран сможет тайно перенаправить ядерный материал из этого завода на другой, чтобы довести его до оружейного качества. Однако секретные заводы, такие как Фордо, на которых обогащение оружейного уровня могло производиться без ведома МАГАТЭ, вызывали гораздо большее беспокойство.

Фордо также вызывал особую озабоченность, потому что он строился под более чем сотней футов твердой породы, что делало его недосягаемым для нынешних противобункерных бомб и, возможно, даже нового поколения бомб, разрабатываемых Соединенными Штатами.

Премьер-министр Великобритании Гордон Браун отреагировал на новости о Фордо, назвав ядерную программу Ирана «самой неотложной проблемой распространения, с которой сегодня мог столкнуться мир». Он сказал, что у международного сообщества не остается другого выбора, кроме как «провести черту на песке» в отношении «серийного многолетнего обмана Ирана».

Однако иранские представители, похоже, не были особо обеспокоены разоблачением завода в Фордо, демонстративно заявив, что они планируют построить еще десять заводов по обогащению урана в ближайшие десятилетия, чтобы обеспечить парк атомных электростанций, количество которых они также планируют увеличить.20 По словам главы Организации по атомной энергетике, все обогатительные фабрики будут закопаны глубоко под горами, чтобы защитить их от нападения.

После новостей о Фордо Израиль стал настаивать на том, что с ядерной программой Ирана нужно что-то делать. На ноябрьской встрече в Тель-Авиве израильский военачальник сказал представителям США, что 2010 год будет «критическим годом» в противостоянии с Ираном. Если они не начнут действовать в ближайшее время, откат ядерной программы будет становиться все сложнее и сложнее.22 США уже тайно пообещали Израилю партию противобункерных бомб нового поколения, которые они разрабатывают, но до их производства оставалось еще минимум полгода.

В январе 2010 года давление усилилось, когда в СМИ просочился документ, раскрывающий секретную военную ветвь программы ядерных исследований Ирана, известную как FEDAT. Сообщается, что военное ответвление возглавляет Мохсен Фахризаде, профессор Университета Имама Хоссейна в Тегеране. В следующем месяце МАГАТЭ сообщило, что получило «в целом достоверную» информацию о том, что Иран разрабатывает ядерное оружие. «Это вызывает опасения по поводу возможного существования прошлой или нынешней нераскрытой деятельности, связанной с разработкой ядерной полезной нагрузки для ракет».

Вдобавок к этому провалились переговоры, призванные снизить обеспокоенность по поводу растущих запасов низкообогащенного урана Ирана. В течение многих лет Иран заявлял, что уран нужен ему для производства топливных стержней для своего исследовательского реактора в Тегеране для проведения исследований рака и лечения онкологий, но Соединенные Штаты и другие страны всегда были обеспокоены тем, что в какой-то момент уран может быть обогащен до оружейного качества. Поэтому в середине 2009 года советник Белого дома разработал умный компромисс, чтобы развеять опасения Запада по поводу урана. Согласно плану Белого дома, Иран отправит большую часть низкообогащенного урана в Россию и Францию, чтобы эти две страны произвели для него топливные стержни. Это предложение было гениальным, поскольку в этом случае и Иран был обеспечен топливом, которое, по его словам, требовалось для его реактора, и в то же время иранские чиновники более не имели возможности обогатить свои запасы урана до оружейного качества. В 2009 году иранское правительство заявило, что им нужно время, чтобы обдумать это предложение. Но 19 января они заявили, что отказываются от него. Это еще не все. Они также сообщили, что уже взяли часть низкообогащенного урана, производимого в подземном зале в Натанзе, и начали его дальнейшее обогащение до почти 20 процентов на экспериментальной установке – уровень, который, по их словам, необходим для медицинских исследований.

Шесть дней спустя команда Stuxnet начала подготовку к новой серии атак.

В течение первого года в должности президента Обама внимательно следил за развитием цифрового оружия. Многое зависело от его успешности, и пока что новости были только положительными. Фактически, дела шли даже лучше, чем ожидалось. Несмотря на то, что Stuxnet был нацелен на ограниченное количество центрифуг, иранцы сами усиливали последствия, отключая целые каскады центрифуг, пытаясь выявить источник проблем, тем самым способствуя дальнейшим задержкам в их ядерной программе. Похоже, что они все еще не догадывались, что проблемы кроются в компьютерах, управляющих каскадами, поэтому на данный момент не было причин останавливать саботаж. Особенно когда нарастало давление с целью принятия военных мер против Ирана.

Итак, 25 января злоумышленники подписали два файла драйверов Stuxnet цифровым сертификатом, украденным у RealTek в Тайване. 1 марта они скомпилировали свой код. Потом они стали ждать.

20 марта, праздник Новруз, и Обама вновь выступил с острым посланием иранскому народу о мирном сотрудничестве, как он сделал это во время предыдущего празднования персидского Нового года. Но на этот раз он прямо говорил о ядерной программе Ирана. «Вместе с международным сообществом Соединенные Штаты признают ваше право на использование ядерной энергии в мирных целях – мы настаиваем лишь на том, чтобы вы выполняли те же обязанности, что и другие страны», – сказал он. «Нам известны ваши обиды прошлого, у нас тоже есть свои обиды, но мы готовы двигаться вперед. Мы знаем против чего вы выступаете, а теперь расскажите, для чего вы есть».

Его тон стал мрачнее, когда он завуалированно упомянул недавний отказ Ирана от компромиссного предложения с ядерным топливом. «Столкнувшись с протянутой рукой», – сказал Обама, – «лидеры Ирана показали лишь сжатый кулак».

В течение нескольких недель до его речи, иранские техники тяжело работали, чтобы оправиться от проблем, созданных Stuxnet, возвращая количество каскадов в блоке А24 обратно ко всем восемнадцати, и запуская их. А также восстанавливая несколько каскадов, демонтированных из блока А26. Они увеличили количество газа, подаваемого в центрифуги, которые еще работали, чтобы наверстать потерянное время и хоть немного увеличить выработку обогащенного газа. Но они понятия не имели, что скоро их ждет новый удар.

Празднование персидского Нового года в Иране длилось тринадцать дней, но только первые четыре из них были официальным государственным праздником. Следующая волна Stuxnet ударила 23 марта, в четвертый день празднования, когда большинство рабочих все еще были дома со своими семьями и друзьями. Полезная нагрузка была идентична той, что использовалась в июне прошлого года, но эта версия включала в себя более крупный набор эксплойтов нулевого дня и других механизмов, способствующих распространению, включая эксплойт .LNK, который в конечном счете и привел к обнаружению червя.

Однако несмотря на все эти дополнительные навороты, на этот раз злоумышленники, похоже, нацелились только на одну цель – Behpajooh. Неизвестно, когда они запустили свой код, но первые машины в Behpajooh он поразил около 6 утра 23 марта. Behpajooh также был поражен во время предыдущей атаки 2009 года, и он же будет поражен вновь в следующей атаке, которая произойдет в следующем месяце, в апреле 2010 года. Фактически, это была единственная известная компания, пострадавшая во всех трех нападениях, что позволяет предположить, что она могла иметь более высокую ценность как канал для достижения целевых машин в Натанзе, чем остальные компании. К сожалению, именно эта жертва и стала причиной тысяч других заражений внутри и за пределами Ирана.

В последующие дни, когда отдыхавшие рабочие вернулись в свои офисы, червь начал стремительно размножаться, сначала распространившись через офисы Behpajooh в Иране, Великобритании и Азии, а затем вырвавшись на свободу и заразив другие компании в этих и других странах. Позже, проанализировав различные образцы Stuxnet, собранные с зараженных компьютеров, исследователи Symantec смогли отследить тысячи случаев заражения до иранской компании Behpajooh.

Почему нападающие решили увеличить свою огневую мощь, чтобы поразить цель именно в тот момент, неясно. Возможно, те два года, которые они провели на машинах в Натанзе сделали их безрассудными и самоуверенными. Но наиболее вероятным объяснением является то, что ранние версии Stuxnet были доставлены через инсайдера или кого-то имеющего доступ к целевым машинам. Если бы разработчики Stuxnet впоследствии потеряли этот доступ, они бы почувствовали необходимость увеличить мощность распространения, чтобы повысить свои шансы на достижение цели. Одним из косвенных доказательств, подтверждающих это объяснение, является различие задержек между составлением данных об атаках и заражением первых машин. Во время атаки в июне 2009 года, между компиляцией червя и его первым поражением прошло всего около двенадцати часов. Но версия от марта 2010 года была скомпилирована утром 1 марта, а заразила свою первую жертву только 23 марта. (Последняя известная версия, которая была выпущена в апреле, имела такую же длительную задержку в двенадцать дней между датой компиляции и первым заражением). Краткий промежуток между компиляцией и первым заражением в 2009 году позволяет предположить, что злоумышленники могли использовать инсайдера или невольную жертву, которая была предварительно выбрана для операции. В случае с последующими версиями Stuxnet, злоумышленникам, возможно, приходилось ждать, пока не появится возможность заразить первую жертву.

По мере распространения Stuxnet сообщал на сервера о тысячах своих заражений – и вскоре чиновники в Вашингтоне поняли, что червь вышел из-под контроля. В этот момент стало ясно, что операция, которая более трех лет была одним из самых больших секретов Вашингтона, внезапно оказалась под угрозой разоблачения.

Каким образом цифровое оружие, которое так тщательно создавалось и контролировалось в течение столь долгого времени, было рассекречено так быстро? Сначала всё указывало на Израиль. Весной 2010 года Белый дом, АНБ и израильтяне, как сообщается, «решили зайти за забор», нацелившись на определенную группу из тысячи центрифуг, которые они хотели атаковать. Это, вероятно, была группа из шести каскадов в блоке А26. В предыдущей атаке Stuxnet сократил количество атакованных каскадов в блоке А26 с двенадцати до шести. Скорее всего, именно эти оставшиеся шесть каскадов и хотели добить израильтяне. Шесть каскадов по 164 центрифуги в каждом – это 984 устройства. Очевидно, что израильтяне добавили свои последние штрихи – дополнительные эксплоиты нулевого дня и новые механизмы распространения – чтобы увеличить вероятность успеха. Сэнгер сообщает, что согласно его источникам, червь был запущен в Натанзе, и покинул его территорию, когда иранский ученый подключил свой ноутбук к зараженному компьютеру на заводе, а затем перенес вредонос на своем ноутбуке в интернет. Но это не соответствует данным, обнаруженным в коде. Как отмечалось ранее, каждый образец Stuxnet содержит файл журнала, в котором отслеживалась каждая зараженная машина. Эти файлы показали, что первые заражения произошли на компьютерах в Behpajooh и других компаниях, на компьютерах, которые, казалось, были общими системами, а не промышленными системами внутри Натанза, содержащие файлы Step 7 и программное обеспечение Siemens. Возможно, это были ноутбуки подрядчиков, которые работали внутри Натанза. Но Сэнгер также пишет, что червь должен был распознать, что его окружение изменилось, и он распространился за пределы своей целевой среды. Однако ни в одной версии Stuxnet не было ничего, что могло бы служить механизмом для распознавания целевой среды и предотвращения распространения за пределы Натанза.  Единственные ограничения, которые имел Stuxnet, заключались в запуске его полезной нагрузки, а не в его распространении.

Однако важно отметить, что операторы, управляющие командными серверами, которые взаимодействовали со Stuxnet, действительно имели возможность остановить распространение цифрового оружия, как только они замечали, что оно начинает выходить из-под контроля. В Stuxnet имелась функция лечения, которая позволяла злоумышленникам удалить вирус с зараженной машины. Поскольку Stuxnet начал бесконтрольно распространяться, и злоумышленники начали замечать зараженные машины, отправляющие запросы с Индонезии, Австралии и других стран, они могли отправить команду лечения, чтобы удалить вредоносный код с этих машин. Но почему они не сделали этого? Было ограниченное количество причин. «Либо их не волновало, что он распространяется, либо он начал распространяться быстрее, чем того ожидали хакеры, и они не могли справиться с ним», – предполагает О`Мурчу. Он не думает, что это произошло из-за некомпетентности атакующих. «У них был полный контроль над зараженными машинами, и я думаю, что оставить все на самотек было их осознанным выбором». Даже после того, как новости о распространении дошли до Вашингтона, было принято удивительное решение позволить операции продолжаться без видимых попыток остановить ее распространение. Хотя, опять же, подробности неясны, согласно источникам Сэнгера, после марта было выпущено, по крайней мере, еще две версии Stuxnet, но они были отозваны для устранения «ошибки», которая привела к распространению предыдущей версии.

14 марта злоумышленники скомпилировали еще одну версию Stuxnet, но на этот раз полезная нагрузка была точно такой же, как и у мартовской версии. И хотя в этой версии также были все те же механизмы распространения, она не распространилась на такое количество машин, как мартовская версия. Это была последняя версия вируса, которую удалось обнаружить исследователям.

Вполне возможно, что последующие версии Stuxnet все-таки были выпущены, но находились под гораздо более жестким контролем, так что они остались необнаруженными. Намёк на это был найден в июле 2010 года, когда исследователи случайно обнаружили файл драйвера, который, по их мнению, был связан со Stuxnet. Этот драйвер обнаружила компания ESET, и он был подписан сертификатом J-Micron. Как сообщается, драйвер был найден сам по себе, без сопровождающих его файлов Stuxnet, но предполагается, что он вполне мог быть частью следующей волны атаки Stuxnet.

В апрельской атаке, как и в атаке июня 2009 года, первой пострадавшей жертвой была компания Foolad Technique. Червь поразил компанию 26 апреля и, по-видимому, заразил тот же компьютер, который был заражен годом ранее. Спустя несколько недель, 11 мая, цифровое оружие было обнаружено на трех компьютерах, принадлежащих компании, использующей доменное имя Kala, предположительно Kala Electric или Kala Electronics, подставной компании, которую Иран использовал для управления Натанзом и тайной закупки компонентов для своей ядерной программы – та же компания, которую Алиреза Джафарзаде упомянул на своей пресс-конференции, разоблачающей Натанз, в 2002 году.32 13 мая Behpajooh была поражена той же версией Stuxnet.33

Примечательно, что, хотя Neda Industrial Group не упоминается в файлах журналов версий Stuxnet 2010 года, которые исследовали специалисты, Бехруз, инженер по контролю, который разместил сообщение на пользовательском форуме Siemens в прошлом году, снова появился с жалобой на продолжающиеся проблемы. 2 июня он снова написал пост, в котором говорил, что все компьютеры с ОС Windows в его компании по-прежнему испытывают те же проблемы, что и в прошлом году.

На это раз вмешались работники других компаний, которые жаловались на ту же проблему. Один пользователь, который также столкнулся с похожей проблемой, написал, что проблема, по-видимому, пришла из Ирана. «Потому что вы можете видеть, что многие люди в Иране (на форуме), столкнулись с этой проблемой еще как минимум месяц назад», – писал он. Обсуждение продолжалось весь июль, и Бехруз был настолько разочарован, что часто заканчивал свои сообщения сердитым смайликом с красным лицом. Затем, неожиданно, 24 июля, он опубликовал сообщение, в котором говорилось, что тайна, наконец, раскрыта. Он добавил ссылку на недавно опубликованную новостную статью о Stuxnet, и закончил свое сообщение тремя улыбающимися смайликами. Конечно, пройдет еще несколько месяцев, прежде чем он и весь остальной мир узнают, на что на самом деле был нацелен Stuxnet.

В отношении нападений 2009 года было неясно, какое влияние на Натанз оказали атаки 2010 года. Сэнгер пишет, что после того, как злоумышленники запустили третью версию Stuxnet в 2010 году, 984 центрифуги резко «остановились».33 Как отмечалось ранее, в то время в блоке А26 было ровно 984 центрифуги, обогащающих газ в шести каскадах, но в отчетах МАГАТЭ не было никаких упоминаний о том, что они прекратили свою работу. В сентябре в блоке А26 было шесть работающих каскадов и шесть каскадов, вращающихся под вакуумом. Вполне возможно, что указанные центрифуги действительно остановились, а затем вновь заработали или были заменені в период между посещениями Натанза инспекторов МАГАТЭ. Также возможно, что источники Сэнгера спутали даты и имели в виду тысячу центрифуг, снятых техниками в конце 2009 или начале 2010 года, процесс, который МАГАТЭ запечатлило на свои камеры видеонаблюдения.

Трудно сказать, что именно произошло с центрифугами в 2010 году, потому что в июне того же года правительство Ирана начало обвинять МАГАТЭ в утечке информации, касающейся работы заводы, в прессу. В письме от 3 июня Иран предупредил агентство, что, если конфиденциальная информация о ядерной программе «каким-то образом просочится и/или будет передана средствам массовой информации», это повлечет за собой последствия, первое из которых заключается в отказе Ираном посещать некоторым инспекторам МАГАТЭ их ядерные объекты.34 В том же месяце Иран «ликвидировал угрозу» и убрал два имени из списка примерно 150 инспекторов МАГАТЭ, которые могли посещать ядерные объекты, сославшись на «ложные и неправильные заявления», которое МАГАТЭ допустило в своем майском отчете. В этом отчете утверждалось, что в Иране пропало какое-то оборудование. Затем в сентябре были вычеркнуты еще два инспектора, основанием этому служил слив информации в средства массовой информации до того, как МАГАТЭ опубликовало ее в своем отчете.35

Оказалось, что этот упрек отрицательно сказался на объеме информации о Натанзе, которую после этого публиковало МАГАТЭ. К ноябрю МАГАТЭ и вовсе прекратило указывать информацию о центрифугах в своих квартальных отчетах. Вместо того, чтобы перечислять количество установленных и работающих центрифуг, агентство суммировало числа всех трех блоков – А24, А26 и А28 – в одно число. Это устранило основные средства, которыми общественность пользовалась для определения влияния Stuxnet на завод.36­

Что мы знаем точно, так это то, что в июле 2010 года центрифуги по-прежнему продолжали работать только на 45-66 процентов мощности. Институт науки и международной безопасности впервые в одном из своих отчетов отметил, что «саботаж» мог быть причиной некоторых проблем в Натанзе.37 К тому времени Stuxnet был обнаружен и публично разоблачен, но его связь с ядерной программой Ирана и Натанзом оставалось нераскрытой еще несколько месяцев.

Также известно, что количество установленных и обогащающих центрифуг в 2010 году сильно колебалось. В ноябре 2009 года, на пике производства, в Иране было установлено 8692 центрифуги. Это число упало до 8528 в мае 2010 года (при числе работающих центрифуг в 3936), но увеличилось до 8856 в сентябре (с 3772 работающими центрифугами), и снова упало до 8426 в ноябре (при обогащающих 4816 центрифугах). Возможно причиной колебаний был Stuxnet, который уже как год был обнаружен, но все еще доставлял проблемы иранской ядерной программе. Хотя большой скачок в тысячу центрифуг в период с сентября по ноябрь предполагает, что завод оправился после затяжных последствий Stuxnet, в Иране все еще было установлено 3600 центрифуг, которые просто стояли.38 Это предполагает, что, хотя проблемы и решались, но, очевидно, не все. Вскоре после этого, 16 ноября, правительство Ирана полностью остановило работу завода на шесть дней после того, как Symanteс опубликовала пост, в котором раскрыла, что Stuxnet был разработан для саботажа частотных преобразователей.39 Где-то в этом же месяце они также добавили центрифуг в шесть каскадов. Возможно для того, чтобы помешать полезной нагрузке Stuxnet, изменив конфигурации каскадов.

Возвращаясь к Вашингтону, разговоры о Stuxnet продолжались на протяжении всего 2010 года.  Где-то в начале лета директор ЦРУ Леон Паннета и генерал Джеймс Картрайт сообщили президенту о неконтролируемом распространении червя. Это открытие вызвало у Обамы множество вопросов. Были ли какие-то признаки того, что иранцы уже его обнаружили? Если да, то смогут ли они определить его назначение, или проследить его до источника? Его также беспокоил сопутствующий ущерб зараженных машин за пределами Натанза. И с учетом этого всего, следует ли прямо сейчас отменять операцию? Его советники напомнили ему, что червь являлся высокоточным оружием, который запускал свою полезную нагрузку только на машинах, которые соответствовали множеству определенных критериев. Просто от того, что машина была заражена вирусом, не означало того, что она получала какой-нибудь вред. Удовлетворенный тем, что операция, в большинстве своем, все еще находится под контролем, Обама приказал им продолжать.

Учитывая сложность Stuxnet и маленький шанс того, что его смогут обнаружить или расшифровать, решение должно было казаться в то время совершенно разумным. Действительно, даже первоначальная реакция Symantec и других кибероборонных компаний после раскрытия Stuxnet, казалось, подтвердила, что их тайная операция все еще была в безопасности – все указывало на то, что сообщество специалистов по кибербезопасности, загнанное в тупик сложностью и новизной вредоносного ПО, прекратило свою работу после того, как выпустило сигнатуры для их обнаружения, и двинулось дальше.

Но Вашингтон не рассчитывал на упорную решимость исследователей Symantec докопаться до сути загадочного кода или на обнаружение Ральфом Ленгнером целей цифрового оружия. Шли месяцы, а от Ленгнера и Symantec поступало все больше и больше информации, и все, что могли сделать правительства в Вашингтоне или Тель-Авиве – это сидеть и смотреть, как каждый кусочек головоломки, один за другим, послушно становится на свое место, пока, наконец, картина не соберется воедино.

Сноски, ссылки и используемая литература:

1.      Временная метка версии Stuxnet от июня 2009 года указывает на то, что злоумышленники скомпилировали вредонос 22 июня в 16:31 по местному времени (местное время на компьютере, на котором был скомпилирован код), и что он поразил свою первую жертву на следующий день в 4:40 (местное время жертвы). Очевидная разница в двенадцать часов, в зависимости от часового пояса, в котором код был скомпилирован, и в каком произошло первое заражение. Время заражения было взято из файла журнала, который хранился в каждом образце Stuxnet. Каждый раз, поражая машину, Stuxnet записывал время (основанное на внутренних часах жертвы) в этом журнале. Неизвестно, запускали ли злоумышленники атаку сразу после ее компиляции – зловреду потребовалось двенадцать часов, чтобы добраться до своей первой жертвы, – либо же они отложили запуск до следующего дня.

2.    Дэвид Олбрайт, Peddling Peril: How the Secret Nuclear Trade Arms America’s Enemies (New York: Free Press, 2010), 202–3.

3.    Дэвид Олбрайт и Жаклин Шайр, “IAEA Report on Iran: Centrifuge and LEU Increases; Access to Arak Reactor Denied; No Progress on Outstanding Issues,” 5 июня, 2009, доступно по адресу: http://www.isis-online.org/publications/iran/Iran_IAEA_Report_Analysis_5June2009.pdf.

4.    Дэвид Олбрайт, Peddling Peril, 202–3.

5.    Дэвид Олбрайт и Жаклин Шайр, отчет МАГАТЭ, 5 июня, 2009.

6.     Foolad Technique, похоже, работал под доменным именем ISIE. Возможно, ISIE была приобретена компанией Foolad или являлась ее подразделением.

7.    В 2006 году американец иранского происхождения был обвинен в попытке переправить в Иран запрещенные оружейные технологии. Он приобрел датчики давления у компании в Миннеаполисе и отправил посреднику в Дубае, который должен был передать устройства компании Behpajooh. Смотрите, “Dubai Firm Implicated in Iran ‘Bomb Component’s Investigation in US,” Khaleej Times, 12 мая, 2006.

8.    Одним из других заказчиков Neda была газовая станция на острове Харк в Иране, месте одного из взрывов, привлекших внимание Эрика Чиена в 2010 году после обнаружения Stuxnet. Согласно веб-сайту Neda, в период с 2008 по 2010 год компания модернизировала системы управления турбокомпрессорных агрегатов завода. Нет никаких доказательств тому, что, взрыв на заводе был вызван цифровым саботажем, но тот факт, что Stuxnet заразил компьютеры в Neda, показывает, насколько просто может быть использование цифровых атак против других типов объектов в Иране.

9.    В 2004 году торговая компания в Дубае заказала 7,5 тысяч микроконтроллеров у фирмы в Аризоне и перенаправила партию в Neda, очевидно, для использования иранскими военными. Дело находится в Окружном суде США, Mayrow General Trading et al., обвинительное заключение от 11 сентября 2011 года, доступно по адресу: http://www.dodig.mil.iginformation/Mayrow%20Mayrow%20Superseding%20Indictment.pdf.

10. Хотя он размещал свои комментарии под никнеймом Behrooz, он подписывал свои сообщения снизу «М.Р. Таджалли». Поиск по Behrooz и другому имени привел к профилю в LinkedIn и другим пользователям, которые идентифицировали его как Мохаммада Резу Таджалли, инженера по контролю, который работал на Neda с 2006 года. Согласно его профилю в LinkedIn, Таджалли специализировался на системах контроля для нефтяной промышленности. На сообщения автора он не ответил.

11. Смотрите главу 13.

12. Уильям Броуд, “A Tantalizing Look at Iran’s Nuclear Program,” New York Times, 29 апреля, 2008.

13. На каждом конце центрифуги находятся крышки, которые ненадежно балансируют на шарикоподшипнике, прикрепленному к штифту. Верхняя часть штифта прикреплена к колпаку, а нижняя половина штифта с подшипником вставлена в чашу, прикрепленную к пружине. Вся эта установка позволяет центрифуге слегка раскачиваться во время вращения, но при этом сохраняет ее устойчивость. Однако слишком большое движение может дестабилизировать центрифугу и привести к износу деталей.

14. В интервью с несколькими источниками они предположили, что центрифуги в блоке А24 могли быть сконфигурированы иначе, чем в А26 – что преобразователи частоты, используемые для их управления, были другой модели. Если это правда, то возможно, что Stuxnet 0.5, предназначенный для клапанов центрифуг и каскадов, использовался против А24, а последующие версии Stuxnet, нацеленные на преобразователи частоты, использовались против каскадов в А26. Это объясняло, почему у каскадов в блоке А24 были проблемы в 2008 году, когда был выпущен Stuxnet 0.5, но было меньше проблем в 2009 году, когда саботаж осуществляли более поздние версии вируса.

15. МАГАТЭ, “Implementation of the NPT Safeguards Agreement and Relevant Provisions of Security Council Resolution 1737 (2006), 1747 (2007), 1803 (2008) and 1835 (2008) in the Islamic Republic of Iran,” February 18, 2010, доступно по адресу: https://www.iaea.org/Publications/Documents/Board/2010/gov2010-10.pdf.

16. “Statements by President Obama, French President Sarkozy, and British Prime Minister Brown on Iranian Nuclear Facility,” 25 сентября, 2009, в Питтсбургском конференц-центре в Питтсбурге, штат Пенсильвания, доступно по адресу: http://www.whitehouse.gov/the-press-office/2009/09/25/statements-president-obama-french-president-sarkozy-and-british-prime-minister-Brown-on-Iranian-Nuclear-Facility.

17. Сначала на спутниковых снимках было запечатлено нечто похожее на туннели и подземные сооружения, а затем в 2008 году на них были запечатлены рабочие, укладывающие большие бетонные площадки у входа в туннель. Площадки напоминали те, которые используются на обогатительных заводах для крепления центрифуг. Соединенные Штаты думали о том, чтобы тайком направить в Иран группу специальных людей, которые смонтировали площадки так, чтобы они в последствии привели к уничтожению центрифуг, но дальше обсуждений ничего не зашло. Смотрите Дэвид Э. Сэнгер, Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power (New York: Crown, 2012), 152, 155.

18. Совет по оборонным наукам, который в 2004 году посоветовал Пентагону создать это оружие, написал, что сооружение, закопанное глубоко в горах Фордо, может создать «серьезную проблему» даже для нового поколения бомб. «Чтобы взорвать противовзрывные двери и распространить смертельный взрыв необходимо использовать несколько тысяч фунтов взрывчатки», – писали они. Уильям Броуд, “Iran Shielding Its Nuclear Efforts in Maze of Tunnels,” New York Times, 5 января, 2010.

19. “Statements by President Obama, French President Sarkozy, and British Prime Minister Brown on Iranian Nuclear Facility,” Белый дом.

20. Год спустя, в сентябре 2010 года, когда исследователи Symantec и Ральф Ленгнер все еще расшифровывали полезную нагрузку Stuxnet, иранская группа диссидентов, разоблачившая Натанз, заявила, что у нее есть информация об еще одном секретном заводе по обогащению урана, строящемся недалеко от Абьека, примерно в 120 километрах к западу от Тегерана. Смотрите Дэвид Э. Сэнгер, “Dissidents Claim Iran Is Building a New Enrichment Site,” New York Times, 9 сентября, 2010.

21. Уильям Броуд, “Iran Shielding Its Nuclear Efforts.”

22. Телеграмма Госдепартамента США, “40th Joint Political-Military Group: Executive,” November 18, 2009, опубликованная на WikiLeaks по адресу: http://www.wikileaks.org/cable/2009/11/09TELAVIV2500.html.

23. Дитер Беднарц, Эрих Фоллат и Хольгер Старк, “Intelligence from Tehran Elevates Concern in the West,” Der Spiegel, 25 января, 2010.

24. Эрих Фоллат и Хольгер Старк, “The Birth of a Bomb: A History of Iran’s Nuclear Ambitions,” Der Spiegel, 17 июня, 2010.

25. Олли Хейнонен, “Iran Ramping Up Uranium Enrichment,” блог «Power and Policy,» 20 июля 2011 года, опубликован Белферским центром Гарвардской школе Кеннеди, 20 июля 2011 года, доступен по адресу: http://www.powerandpolicy.com/2011/07/20/Iran-ramping-up-uranium-enrichment/#.UtM6Z7SYf8M.

26. “Remarks of President Obama Marking Nowruz,” Белый дом, 20 марта, 2010, доступно по адресу: https://www.whitehouse.gov/the-press-office/remarks-president-obama-marking-nowruz.

27. Он провел почти месяц, пробираясь через компьютеры в Behpajooh, и добился успеха, когда попал в компьютер, названный «Менеджер 115». Stuxnet зафиксировал, что этот компьютер содержит zip-папку с файлами проекта Step 7, хранящимися в ней. В течение следующих нескольких месяцев вредонос вырвался из сетей Behpajooh и распространился на другие компании. Компании идентифицируются в файле журнала только по их доменным именам, которые могут не совпадать с названием компании. Например, к ним относится MSCCO, Medal и S-Adari.

28. В пяти зараженных компаниях было десять «нулевых пациентов». То есть целью злоумышленников были десять машин этих пяти компаний. С этих десяти машин исследователи Symantec смогли составить карту из примерно 12 тысяч зараженных. Из пяти этих компаний Behpajooh была ответственна за 69 процентов этих 12 тысяч заражений.

29. Время компиляции и заражения не всегда указывается точное время. Системные часы на компилирующей машине или машине-жертве могли быть устаревшими, или код мог быть скомпилирован в часовом поясе, отличном от часового пояса жертвы. Сравнивая время, прошедшее между компиляцией трех версий Stuxnet и заражением их первых машин, исследователи предположили, что компилирующая машина и машины-жертвы находились в одном часовом поясе.

30. Дэвид Э. Сэнгер, Confront and Conceal, 204.

31. Хотя некоторые компании атаковали по несколько раз, каждый раз это была не одна и та же машина. Возможно, злоумышленники каждый раз искали машины, которые имели более выгодное расположение или предоставляли разные маршруты доступа к цели. Непонятно, почему апрельская версия не распространилась так же сильно, как и мартовская, поскольку они обе имели идентичные механизмы распространения, она также поразила Behpajooh, компанию, пострадавшую от мартовской атаки, в результате которой Stuxnet широко распространился по всему миру. Возможно, машины, пострадавшие во время апрельской атаки, были связаны не так сильно, как машины, пораженные в марте, что снижет распространение.

32. Доменное имя компьютера иногда может идентифицировать имя компании, которой он принадлежит, но не всегда.

33. Дэвид Э. Сэнгер, Confront and Conceal, 206. Сэнгер пишет, что АНБ перехватило разведывательные данные, свидетельствующие о том, что центрифуги остановились.

34. Иран обвинил МАГАТЭ в утечке информации в Reuters для статьи от 14 мая и в Associated Press для статьи от 30 мая.

35. Фарейдун Аббаси, который после покушения на его жизнь в 2010 был назначен главой Организации по атомной энергетике Ирана, обвинил Запад в использовании отчетов МАГАТЭ о ядерной деятельности Иран для «калибровки» его саботажа против иранской ядерной программы, и «оценки уровня разрушений, который они нанесли» ядерному оборудованию Ирана после каждой атаки Stuxnet. «Получив доступ к просочившимся данным из наших отчетов, они могут сказать, сколько центрифуг работает на иранских ядерных объектах, сколько их еще будет установлено и какие при этом будут использоваться запчасти», – сказал он. Когда Иран предоставляет МАГАТЭ отчеты о конструкции своих ядерных объектов и оборудовании, которое страна планирует закупить для программы, спецслужбы используют эту информацию для «заминирования устройств» и «установки вирусов в их системы контроля», добавил Аббаси. Со временем иранцы стали более осторожными в отношении предоставления точной информации о оборудовании инспекторам МАГАТЭ, и в какой-то момент они даже начали переклеивать наклейки марок оборудования, чтобы инспекторы не могли идентифицировать точную модель. Они также следили за инспекторами по камерам, чтобы знать все, что они делают. Аббаси также сказал, что Stuxnet не был первой или последней подобной атакой США и Израиля на ядерную программу, и что они неоднократно проникали в цепочку поставок ядерной программы Ирана, чтобы вывести из строя вакуумные клапаны, клапанные насосы и другое оборудование. «Шпионские агентства корректируют свои атаки в соответствии с нашими потребностями; они препятствуют нашим закупкам по обычным каналам и оставляют открытыми только те, над которыми они имеют полный контроль, чтобы передавать свои модифицированные материалы на наши предприятия», – сказал Аббаси, обвинив Siemens в причастности к американо-израильской операции. «Вот как они проникли в нашу электронную инфраструктуру, взломали нас и установили вредоносные программы, такие как Stuxnet. Они внедрили вирус в измерительные приборы, которые мы приобрели у Siemens, а также поместили в некоторое оборудование взрывчатку,» Смотрите “How West Infiltrated Iran’s Nuclear Program, Ex-Top Nuclear Official Explains,” Iran’s View, March 28, 2014, доступно по адресу: http://www.iransview.com/west-infiltrated-irans-nuclear-program-ex-top-nuclear-official-explains/1451/.

36. Бывший сотрудник МАГАТЭ сказал мне, что причина, по которой изменился объем информации в отчетах в конце 2010 года, не имела ничего общего с обвинениями со стороны Ирана, а была связана с неуверенностью в точности собранных данных. После того, как иранцы выкачали газ из некоторых центрифуг в 2009 и 2010 годах и вывели из эксплуатации ряд других центрифуг, они продолжили эксплуатацию некоторых каскадов с менее чем 164 работающими центрифугами в них. По его словам, это заставило администрацию МАГАТЭ понять, что у них нет возможности точно узнать, сколько центрифуг в каждом каскаде фактически функционируют и обогащают газ в данный момент времени. В прошлом они просто предполагали, что, если каскад обогащает уран, значит все 164 центрифуги в каскаде участвуют в обогащении урана.

37. Дэвид Олбрайт, Пол Браннан и Андреа Стрикер, “What Is Iran’s Competence in Operating Centrifuges?” Институт науки и международной безопасности, 26 июля, 2010, доступно по адресу: http://www.isis-online.org/isis-reports/detail/what-is-irans-competence-in-operating-centrifuges/8.

38. Иван Олрич из Федерации американских ученых отмечает, что на самом деле на этом этапе было большее количество центрифуг для обогащения, но они работали только на 20% своей эффективности.

39. Дэвид Олбрайт и др., “Natanz Enrichment Site: Boondoggle or Part of an Atomic Bomb Production Complex?” Институт науки и международной безопасности, 21 сентября, 2011, доступно по адресу: http://www.isis-online.org/isis-reports/detail/natanz-enrichment-site-boondoogle-or-part-of-an-atomic-bomb-production-comp.

40. Где-то в ноябре 2010 года технические специалисты Натанза увеличили количество центрифуг в шести каскадах со 164 до 174. Смотрите Совет управляющих МАГАТЭ, “Implementation of the NPT Safeguards Agreement and the Relevant Provisions of Security Council Resolutions in the Islamic Republic of Iran” (отчет, 23 ноября, 2010), доступно по адресу: http://www.iaea.org/Publications/Documents/Board/2010/gov2010-62.pdf. Хотя некоторые наблюдатели считают, что Иран увеличил количество центрифуг, чтобы увеличить количество газа, которое они могли бы обогатить в каскадах – возможно, чтобы компенсировать потерянное из-за Stuxnet время – источник в МАГАТЭ сообщил мне, что центрифуги были добавлены на последней ступени каскадов, что не поможет увеличить количество газа, которое может быть обогащено в каскаде. Он предположил, что дополнительные центрифуги были предназначены для изменения конфигурации каскадов, чтобы предотвратить влияние устаревших версий Stuxnet.

41. Сэнгер отмечает, что встреча Паннеты и Обамы произошла в середине лета, а должна была произойти где-то в июле, как во время разоблачения Stuxnet. Но он также говорит, что спустя несколько недель после этой встречи злоумышленники запустили две другие версии червя. Это говорит, что новые версии Stuxnet были выпущены сразу после того, как антивирусные компании выпустили сигнатуры для обнаружения предыдущей версии. Как уже отмечалось, более поздних версий Stuxnet обнаружено не было.

Очень злой админ
Очень злой админ Автор статьи

Админ сайта. Публикует интересные статьи с других ресурсов, либо их переводы. Если есть настроение, бывает, что пишет и что-то своё.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *