Kim Zetter Stuxnet Книга Перевод

Kim Zetter. Countdown to zero day. Глава 10. Оружие высокой точности.

Ральф Ленгнер сидел в своем офисе в Гамбурге и наблюдал, как два его инженера скармливают поток искусной лжи коду...

Kim Zetter. Countdown to zero day. Глава 10. Оружие высокой точности.

Ральф Ленгнер сидел в своем офисе в Гамбурге и наблюдал, как два его инженера скармливают поток искусной лжи коду Stuxnet, который они установили на свою тестовую машину. Ленгнер, эксперт в области тайной безопасности промышленных систем управления, вот уже как несколько дней работал со своими коллегами, чтобы определить и воссоздать точные условия, при которых упрямый код будет передавать свою полезную нагрузку на их ПЛК, но это оказалась куда сложнее, чем они ожидали.

Несколькими днями ранее команда Ленгнера поставила в лаборатории компьютер с установленным программным обеспечением Siemens Step 7 и подключила его к ПЛК Siemens, который завалялся в их офисе. Они также установили сетевой анализатор для наблюдения за данными, проходящими между машиной со Step 7 и ПЛК. В отличие от исследователей Symantec, Ленгнер и его команда специализировались на ПЛК и точно знали, какой трафик должен проходить между Step 7 и ПЛК. Так что они ожидали, что им не составит труда обнаружить в трафике любые аномалии. Но тогда они заразили машину со Step 7 и… ничего не произошло. Потом они вспомнили, что Stuxnet был нацелен на две конкретные модели Siemens PLC – S7-315 и S7-417 – и у них не было ни одной из этих моделей.

Поэтому они установили на тестовую машину отладчик, пронаблюдали за шагами Stuxnet перед тем, как он освобождает свою полезную нагрузку, и разработали способ обмануть вирус. Задача заключалась в том, чтобы заставить Stuxnet думать, будто он нашел свою цель, хотя на самом деле это было не так. Анализируя конфигурацию зараженной машины, Stuxnet сверялся по длинному контрольному списку, где каждое из требований, сильно сужало выборку подходящих устройств. Команда Ленгнера не знала, что именно было в контрольном списке, но им и не нужно было этого знать. Когда Stuxnet запрашивал в системы необходимые ему данные, исследователи подавали ему серию готовых ответов, пока он не остановился на том варианте, который его удовлетворял. Это был грубый метод, брутфорс, который отнял у них пару дней на подбор правильного ответа. Но когда они наконец подобрали правильную комбинацию ответов и в последний раз прогнали код по всем его шагам, они увидели именно то, о чем писали исследователи из Symantec: Stuxnet внедрил ряд вредоносных блоков кода в их ПЛК. «Вот и все», — вспоминает Ленгнер свои слова, — «Мы поймали этого маленького ублюдка».1

Они заметили вредоносные блоки только потому, что их размер был намного больше, чем он должен быть у не зараженных блоков кода. Прежде чем заразить свою систему Step 7 вредоносом, они передали его блоки кода на ПЛК и перехватили их с помощью инструмента анализа, чтобы описать их основные размеры и характеристики. После заражения компьютера Stuxnet они снова передали те же блоки кода и увидели, что они внезапно сильно увеличились в размере.

Они еще не знали, что конкретно делает код Stuxnet с их ПЛК, но само заражение уже было большой новостью. Это было намного больше того, о чем они когда-либо предупреждали своих клиентов, и намного больше того, что они сами ожидали увидеть от первой известной в мире атаки на ПЛК.

Когда 17 августа Symantec сообщила, что Stuxnet намеренно саботирует ПЛК, Чиену и Фальеру могло показаться, что на эту новость никто не обратил даже малейшего внимания. Но за шесть тысяч миль оттуда, Ленгнер, сидя в своем маленьком офисе в зеленом пригороде Германии, с пребольшим интересом изучал отчеты Symantec. В течение многих лет Ленгнер предупреждал своих клиентов из промышленной сферы о том, что однажды кто-то совершит цифровую атаку, чтобы саботировать их системы управления, и теперь, похоже, этот день настал.

Ленгнер был владельцем совсем небольшой компании из трех человек, которая специализировалась на безопасности промышленных систем управления. Это было единственное, чем занималась компания. Он не интересовался компьютерной безопасностью в целом, и его не волновали новости о последних вирусах, заражающих ПК. Даже эксплоиты нулевого дня не привлекали его. Поэтому, когда Stuxnet впервые попал в заголовки технической прессы и стал предметом ярых дискуссий на форумах кибербезопасности, он не обратил на него особого внимания. Но как только он увидел заголовок сообщения Symantec о том, что Stuxnet саботирует ПЛК Siemens, он немедленно открыл статью и начал жадно изучать ее.

Symantec ничего не написала о том, что Stuxnet делает с ПЛК, а сообщила только то, что он вводил код в так называемую лестничную логику ПЛК – больше ничего антивирусная фирма не говорила.2 Но Ленгнера поразило, что тысячи клиентов Siemens, включая многих его собственных клиентов, теперь находятся под угрозой вируса-убийцы, и с нетерпением ждали когда Siemens или Symantec сообщат им, что именно Stuxnet делает с их ПЛК. Но, как ни странно, сделав свое поразительное заявление, исследователи Symantec затихли.

Ленгнер подозревал, что они уперлись в тупик из-за отсутствия опыта работы с ПЛК и промышленными системами. Любопытно, но Siemens также молчали об этом. «Слишком странно», — подумал Ленгнер. В конце концов, это были контроллеры Siemens, и они подверглись атаке, компания была обязана проанализировать вредоносный код и сообщить своим клиентам, хотя бы, что он может сделать с их системами. Но после нескольких кратких заявлений, сделанных немецкой компанией в июле, она замолчала.3

Ленгнер был возмущен. Хотя Stuxnet, по-видимому, поражал только машины с Siemens Step 7, никто на самом деле не знал, на что способен вредоносный код и может ли он повредить другие ПЛК. Была еще одна большая проблема: уязвимость, которая позволяла Stuxnet внедрить свой код в лестничную логику ПЛК Siemens, также существовала в других контроллерах.4 Образцы Stuxnet уже были доступны для скачивания в интернете. Любой хакер, преступный вымогатель или террористическая группа могли изучить этот код и использовать его в качестве каркаса для разработки более масштабной и разрушительной атаки против других моделей ПЛК.

Молчание Symantec и Siemens также сильно озадачило две другие группы – CERT-Bund, германскую национальную группу реагирования на чрезвычайные компьютерные ситуации, и ICS-CERT в Соединенных Штатах. Перед обеими организациями была поставлена задача помочь обеспечить безопасность критически важных инфраструктурных систем в их странах, но ни одна из сторон не смогла сказать чего-то внятного о Stuxnet. В предупреждении ICS-CERT не было никаких разговоров о внедрении лестничной логики в ПЛК Siemens, или даже каких-либо упоминаний о том, что вирус саботирует ПЛК. Также ничего не говорилось и об опасностях, которые Stuxnet представлял для будущих атак.5 Молчание немецких властей было еще более странным, поскольку контроллеры Siemens были установлены почти на каждом немецком заводе или фабрике, которые мог назвать Ленгнер.

Он обсудил это с двумя своими давними друзьями-инженерами, Ральфом Розеном и Андреасом Тиммом. Ни у кого из них не было опыта реверс-инжениринга вирусов, но раз никому больше не нужно было узнать, что Stuxnet делает с ПЛК Siemens, значит им это предстоит сделать самим. Это означало бы тиски, где с одной стороны на них бы давили поручения от платных клиентов, а с другой – Stuxnet, но они пришли к выводу, что у них не остается выбора.

Ленгнер и его коллеги составляли довольно странную, но эффективную команду. В его профессии, где все привыкли наблюдать неряшливых, бледных инженеров с длинными хвостиками на голове, он, Лангнер, был энергичным 52-летним мужчиной с короткими темными волосами, лишенными всякой седины, носил строгие деловые костюмы и искусно выделанные кожаные туфли. У него были пронзительные голубые глаза на загорелом после отпуска лице и стройная, подтянутая фигура опытного альпиниста – побочный эффект лыжных экскурсий в Альпах и суровых походов в горы. И если щеголеватая внешность Ленгнера не выделяла его из толпы, то это точно делали его резкие манеры. У него была репутация откровенного индивидуалиста, он часто делал провокационные заявления, чем раздражал своих коллег. В течение многих лет он возмущался проблемами безопасности систем, но его грубая, конфронтационная манера часто отталкивала тех самых людей, которые больше всего нуждались в его речах. Розен и Тимм, напротив, оба были непримечательными айтишниками лет сорока, которые куда спокойней относились к своей спортивной форме и одежде, и в отличие от Ленгнера, заняли более тихую, второстепенную роль.

И хотя эти трое, казалось, во многом не подходили друг другу, скорее всего, лучшей команды, подходящей для анализа Stuxnet не существовало. Тимм проработал у Ленгнера экспертом по системам управления по меньшей мере десять лет, а Розен, и того, на три года больше. За все это время они накопили гигантский опыт и знания о промышленных системах управления в общем, и контроллерах Siemens в частности. Siemens, по сути, была их давним клиентом. Компания покупала программные продукты у фирмы Ленгнера, а он со своими инженерами иногда обучал сотрудников Siemens их собственным системам. Вероятно, было лишь небольшая горстка сотрудников Siemens, которая знала свои системы лучше, чем Ленгнер и его коллеги.

Начало его карьеры в информационной безопасности положила одна программка, которую он написал, чтобы подключить свой домашний компьютер к университетскому мейнфрейму. В колледже Ленгнер владел довольно слабым компьютером, которому не хватало вычислительной мощности, необходимой для проведения статистического анализа. Поэтому всякий раз, когда он хотел проверить данные, полученные в ходе своих многочисленных экспериментов, он должен был отправляться в кампус и подключать свой компьютер к мейнфрейму колледжа. Ленгнер ненавидел ездить в кампус, поэтому он изучил протоколы, необходимые для удаленного взаимодействия с серверами, и написал программу, которая позволяла ему делать это через модем из собственного дома.

 Для него не стало слишком большой проблемой сразу после окончания колледжа открыть свою собственную консалтинговую фирму по программному обеспечению, используя свою программу в качестве основы бизнеса. В то время это считалось прорывным продуктом, и вскоре инженеры систем управления начали искать его, чтобы с помощью его разработки удаленно взаимодействовать со своими датчиками и контроллерами. Методы, которые использовались в то время, часто утрачивали данные, поэтому на их фоне программа Ленгнера выглядела очень надежной.

В 1997 году к нему присоединился Розен, и вместе они разрабатывали индивидуальные системы для клиентов, которые хотели, чтобы компьютеры могли взаимодействовать с их ПЛК Siemens. Когда он и Ленгнер изучали протоколы Siemens и устройство ПЛК, чтобы заставить соединение работать, они были удивлены, обнаружив большое количество проблем безопасности в системах – те самые дыры, которые другие исследователи откроют для себя десятилетиями спустя. Но еще больше их поражал тот факт, что владельцы и операторы промышленных систем управления совершенно не обращали на это внимания, и соответственно не предпринимали никаких действий, чтобы все исправить. Вместо многоуровневых или сегментированных сетей, где критические системы были бы изолированы от повседневных рабочих компьютеров, они использовали обыкновенные сетевые архитектуры, которые обеспечивали доступ к ПЛК с любой машины в сети. У них также имелись системы, которые были напрямую подключены к интернету, и при этом не имели фаерволов или паролей, в лучшем случае это были стандартные, либо вшитые пароли, которые никогда не менялись.

Ленгнер и его команда запустили консалтинговый бизнес, чтобы помочь клиентам перенастроить их сети более надежно. Но концепция повышения безопасности систем управления оказалась тяжело продаваемой. В течение многих лет сообщество кибербезопасности было в значительной степени невосприимчиво к постоянным новостям о новых вирусах и хакерских атаках, которые обрушились на IT сообщество. Как результат, большинство продолжало думать, что они находятся в безопасности. Ленгнер постоянно предупреждал своих клиентов, что в конечном итоге они все равно заплатят за свою самоуверенность, и часто демонстрировал им, как хакер с минимальными навыками может вывести их машины из строя. Но мало кто предпринимал какие-то действия для решения этой проблемы. «Никто не хотел меня слушать», — говорит Ленгнер, — «за исключением очень немногих компаний, которые все-таки инвестировали в безопасность систем управления».

Теперь, десять лет спустя, Stuxnet стал тем камнем преткновения, о котором предупреждал Ленгнер. Но даже он был удивлен силой и масштабами атаки, когда она, наконец, произошла. На протяжении многих лет он разрабатывал разные сценарии возможных атак на ПЛК, как только об их уязвимостях станет известно общественности. Но ни один из его вариантов не предполагал использование лестничной логики ПЛК. Компьютерные атаки, как правило, развивались постепенно. Сначала хакеры проводили относительно простые атаки, которые требовали наименьшего количества усилий и навыков, а фирмы и лаборатории, специализирующиеся на кибербезопасности, в свое время, разрабатывали патчи и антивирусные программы, чтобы останавливать их. Затем взломщики находили альтернативные пути проникновения в системы, пока защитники вновь не залатывали дыры. Каждая последующая атака становилась все более изощренной, как и методы защиты. Такого вот развития событий, собственно, ожидал Ленгнер – постепенного. В случае с системами управления: сначала хакеры начнут с простых атак типа «отказ в обслуживании» посылая ПЛК команду «стоп», чтобы остановить любой процесс, который он контролирует, а затем перейдут к логическим бомбам и другим методам изменения настроек. Однако Stuxnet обошел все эти рудиментарные стадии развития и сразу перешел к одному из самых сложных видов атак, которые кто-либо мог разработать против ПЛК.

Из всего, что Ленгнер видел в коде, по-настоящему его поразила именно атака «человек в середине» на систему безопасности и станции мониторинга операторов. То, как Stuxnet хитро отключал систему безопасности и записывал операции ПЛК, чтобы потом воспроизвести их операторам во время атаки, поразило его – цифровой эквивалент шести тонного циркового слона, выполняющего стойку на одной ноге. Это был настолько высокий уровень изящества и утонченности, который он никогда не то что не видел, а даже не считал возможным.

Это также был самый жестокий сценарий, который он мог себе представить, потому что, как только злоумышленник отключал логику, отвечающие за передачу важных данных в систему безопасности, оставалось вопросом времени, прежде чем кто-то серьезно пострадает или погибнет. Отключите систему безопасности и датчики контроля на каком-нибудь химическом или газоперерабатывающем заводе, и вы можете выпустить ядовитый газ либо легковоспламеняющуюся жидкость, и никто не узнает об этом, пока не станет слишком поздно. Возможно, разработчики Stuxnet не намеревались ранить или убивать людей своей атакой, но хакеры-подражатели, которые набирались знаний у Stuxnet, скорее всего не будут такими осторожными.

Ленгнер прикинул, что в мире есть, возможно, ну несколько десятков человек, которые обладают уровнем знаний систем управления Siemens, необходимыми для разработки такого рода атаки, и трое из них сидели в его офисе. Но даже они не смогли бы сделать это с такой изощренностью, как это сделали разработчики Stuxnet.

Спустя три недели после изучения Stuxnet, Ленгнер вошел в конференц-зал, где он и его коллеги собирались каждое утро, чтобы обсудить прогресс в анализе кода. Розен и Тимм удивленно посмотрели на него. Обычно он был аккуратно одет и насторожен. Но сегодня он выглядел неряшливым и изможденным после бессоной ночи, проведенной за компьютером, в попытках разобрать код. Он шел от одного следа к другому, от одного к другому, будто пытаясь достать кролика из норы — что атакует Stuxnet? — пока наконец не ухватился за его хвост и не потянул к себе. Когда он поднял руку, то был удивлен тем, что обнаружил. «Я знаю в чем дело, — выпалил он своим друзьям. – Речь идет о ликвидации иранской ядерной программы. Речь идет о ликвидации Бушера».

Бушер, как отмечалось ранее, был атомной электростанцией на юго-западе Ирана, которая строилась в течение нескольких десятилетий. За эти годы он пережил много задержек и отмен и, наконец, должен был начать свою работу в этом месяце. Но незадолго до запуска чиновники заявили о еще одной задержке. Поскольку дата этого заявления совпала с запуском Stuxnet, Ленгнеру показалось логичным, что речь может идти о кибератаке.6

Розен и Тимм недоверчиво уставились на него. Вдвоем они думали об одном и том, не было в мире настолько глупого человека, которому взбрело бы в голову уничтожить гребаную атомную электростанцию. Не рискнут ли они выпустить радиоактивный материал? И зачем использовать ненадежного червя для выполнения столь важной задачи, когда они могли с вероятностью 99% уничтожить завод сбросив на него бомбу? Но когда Ленгнер начал соединять все точки воедино, его безумная теория начала обретать для них смысл.

Вот уже почти как месяц, с тех пор как они впервые увидели вредоносный код Stuxnet, которым они заразили свой ПЛК, Ленгнер и его команда искали в блоках кода Stuxnet улики, которые могли бы подсказать на какие объекты была нацелена атака. Конфигурации систем, на которые нацелен Stuxnet, может рассказать о его намерениях столько же, если не больше, чем сам код. Если бы они могли узнать, какими устройствами управляют ПЛК, и были ли оны настроены каким-либо особым образом, они могли бы значительно сузить диапазон возможных целей.

Несколько недель они ежедневно трудились над расшифровкой блоков, работая в небольшом офисе, который они занимали на верхнем этаже двухэтажного здания. Тихая жилая улица, на которой находился их офис, была густо обсажена деревьями и резко контрастировала с современным бетонно-стеклянным комплексом Symantec. Вместо нескольких этажей, уставленных кабинетами, у них была одна открытая комната, где работали Тимм и Розен, комната для совещаний и клиентов, и кабинет Ленгнера и его ассистента.

Каждое утро они собирались вместе, чтобы обсудить достигнутый прогресс, а затем до конца дня упорно работали над кодом, обсуждая свои догадки во время обеда в конференц-зале и за ужином в близлежащих ресторанах. В промежутках они даже успевали отвечать на звонки своих клиентов, которым требовалась помощь. Но когда клиенты звонили с предложениями новой работы, Ленгнер всем отказывал, так он был полон решимости взломать Stuxnet. Не то чтобы они могли себе позволить отказываться от оплачиваемой работы. У них не было ничего похожего на корпоративные ресурсы Symantec, и ни один внешний клиент не спонсировал их исследования. Вместо этого Ленгнер должен был оплачивать время и труд своих друзей из прибыли компании. Но никто не жаловался. Все они понимали, что Stuxnet это работа всей их жизни. «Мы понимали, что это была самая большая угроза в истории вредоносного программного обеспечения, — вспоминает Ленгнер, — Это была абсолютно фантастическая работа. Это была лучшая работа, которую я когда-либо делал, и я уверен, что уже не смогу найти задачу сложнее и интересней».

После еще нескольких недель кропотливого анализа команда Ленгнера пришла к поразительному выводу. Stuxnet не просто атаковал две конкретные модели ПЛК Siemens, он атаковал конкретный объект, где использовались эти ПЛК. Stuxnet был высокоточным оружием военного класса, нацеленным на единственную цель. Он не просто искал любой ПЛК модели S7-315 или S7-417 – ПЛК должен был иметь исключительную конфигурацию. В код атаки были встроенные подробные данные, описывающие точную техническую конфигурацию ПЛК, которую ищет вирус. Каждый завод, использующий промышленные системы управления имеет индивидуальные настройки для своего оборудования. Даже компании из одной отрасли не могли использовать абсолютно одинаковые конфигурации, а подбирали их соответственно своим потребностям. Но конфигурация, которую искал Stuxnet была настолько точной, что ее, скорее всего, можно было найти только на одном объекте во всем Иране, а если их и было несколько, то эти объекты были настроены абсолютно одинаково, чтобы контролировать идентичный процесс. Любая система, не подходящая под требования вируса, останется невредимой, Stuxnet просто остановит все свои процессы и перейдет к следующей системе в поисках своей цели.

Ленгнера ошеломила мысль о том, что кто-то вложил сколько денег и усилий в оружие, атакующее единственную цель. Это могло означать только одно – цель должна была быть чрезвычайно важной. Теперь им оставалось выяснить, что же это была за цель.

Большинство шагов, связанных с анализом кода, являются систематическими и высокотехническими – изолировать отдельные компоненты, расшифровать код и т.д. Но сопоставление компьютерного кода с реальным миром – это больше искусство, нежели наука. Втроем они перебирали гипотезы о том, какой, по их мнению, объект, был целью, а затем просматривали код в поисках доказательств того или иного предположения. Тем временем Ленгнер также обратился к своим знакомым в различных областях промышленности, чтобы расспросить их об конфигурации их ПЛК, чтобы посмотреть, сможет ли он найти хоть какое-нибудь совпадение. Прошло несколько дней, а успехов в сужении круга возможных целей так и не было. В конце концов Лангнер решил отойти, сделать шаг назад, от технических подробностей и посмотреть на проблему под другим углом, поискать подсказки в новостных статьях и других источниках. После нескольких бессонных ночей, проведенных в интернете, он наконец пришел к своей законченной теории о Stuxnet и Бушере.

Подозрения Ленгнера по поводу завода в Бушере впервые возникли, когда он вспомнил фотографию, которую видел в интернете в прошлом году, якобы сделанную во время пресс-тура в Бушере. На изображении был показан монитор компьютера с всплывающим сообщением, указывающим, что срок действия лицензии на программное обеспечение Siemens WinCC на машине истек. Это было доказательством того, что на заводе используется программное обеспечение именно от Siemens.7 Некоторые знакомые подтвердили для Ленгнера тот факт, что в Бушере используются ПЛК Siemens модели S417. Дальнейшее расследование показало, что российская компания, ответственная за установку оборудования на заводе, также использовала ПЛК Siemens на других объектах, включая завод в Болгарии, предположительно смоделированный по образцу Бушера. Ленгнер также узнал, что на болгарском заводе была установлена паровая турбина, управляемая контроллерами Siemens, что нехотя напомнило ему об испытании генератора Аврора, проведенным Национальной лабораторией Айдахо три года назад. И это испытание показало, что вредоносный код в силах уничтожить такую турбину.

Пока они втроем сидели в конференц-зале, Ленгнер излагал свою точку зрения, а Розен и Тимм лишь неохотно кивали, соглашаясь с его теорией. Они понимали, что в мире есть не так много объектов, которые бы в полной мере оправдали объем работы, проделанный над Stuxnet. Но если Ленгнер был прав, и Бушер и в правду был целью Stuxnet, а его физическое уничтожение – главной задачей червя, то по сути, это был акт войны.

А если Stuxnet был актом войны, то какой ответ на его открытие последует у Ирана, как только об этом станет известно? Разработчик Stuxnet вполне возможно запустили атаку для того, чтобы предотвратить полномасштабную войну с Ираном, но его разоблачение сейчас может привести как раз к противоположному исходу.

После разговора с Розеном и Тиммом Ленгнер был уверен в том, что он на правильном пути, но просто, чтобы убедиться, что иранская ядерная программа действительно является целью Stuxnet, он позвонил одному из своих клиентов, который располагал достаточными ему знаниями о ядерных заводах. Клиент этот работал в компании Enrichment Technology Company, крупнейшем европейском производителе оборудования для обогащения урана, ранее более известном как Urenco, чьи конструкции центрифуг раннего поколения украл и продал Ирану Хан. Если Stuxnet был нацелен не на турбину, подумал Лангнер, то, возможно, на центрифуги, используемые для обогащения урана для Бушера. (Лангнер ошибочно полагал, что центрифуги для обогащения урана находятся в Бушере).

«У меня есть к тебе один вопрос, — сказал Ленгнер своему другу по телефону. – Можно ли уничтожить центрифугу, просто манипулируя кодом контроллера?»

На другом конце провода ненадолго повисла тишина, прежде чем его друг ответил:

«Я не могу тебе сказать этого, Ральф. Это секретная информация, — отрезал он. Но затем добавил. — Ты знаешь, что центрифуги для обогащения урана используются нами не только в Германии и Нидерландах. Они также используются и в других странах.»

«Да, я знаю, — ответил Лангнер. – Например, в Иране. Именно поэтому я и позвонил тебе. Потому что мы исследуем Stuxnet.»

«Мне очень жаль, — твердо ответил мужчина. – Я ничего не могу рассказать тебе о центрифугах, это все секретная информация.»

Этого было достаточно для Лангнера. Он сказал Розену и Тимму, что они должны немедленно обнародовать эту новость. Если Бушер на самом деле являлся целью, то кто-то должен это подтвердить. Stuxnet и его цель были как ключ и замок. В мире существовал только один замок, который открывался этим ключом, и как только они опубликуют информацию о конструкции ключа, человек, у которого есть замок, должен будет увидеть их соответствие.

13 сентября 2010 года, почти через месяц, после того разоблачения Stuxnet командой Symantec, Лангнер опубликовал короткой пост в блоге под названием «Hack of the Century». В нем он утверждал, что Stuxnet был направленной атакой «против конкретной установки системы управления» и на этом закончил свое сообщение. Но три дня спустя он дополнил свой пост. «В результате расследования очевидно и доказуемо, что Stuxnet – это целенаправленная диверсионная атака, базируемая на больших инсайдерских знаниях, — писал он. – Это то, что сейчас должны знать все.»8

Затем последовал алгоритм с подробным описанием конкретных шагов, предпринимаемых Stuxnet для перехвата и введения своих команд в ПЛК Siemens. «Это вам не какой-то там скрипт-кидди, сидящей в подвале дома своих родителей», — написал Ленгнер. Это были высококлассные хакеры с весьма специфическими знаниями системы, которую они атаковали. Он в общих чертах описал, как вирус внедрял свой вредоносный код в ПЛК, чтобы захватить какой-то неизвестный критический процесс, а затем изложил свои мысли о Бушере, аккуратно обозначив их как свою теорию. Оставалось еще много неизвестных моментов, но доказательства, присутствующие в коде, утверждал он, в конечном счете укажут не только на точную систему, атакуемую Stuxnet, но и, возможно, самих злоумышленников.

С этими словами занавес над Stuxnet был открыт. Кибероружие, на разработку которого ушло годы, и, возможно, миллионы долларов, было полностью раскрыто и уничтожено в течение нескольких недель неизвестной антивирусной фирмой в Беларуси, горсткой исследователей из Калифорнии, которые ничего не знали ни о центрифугах, ни о ПЛК, а также дерзко говорящим немцем и его группой инженеров.

И теперь, когда тайна Stuxnet была раскрыта, Ленгнер начал испытывать те же опасения, что и Чиен, по поводу реакции хакеров. Как только истинная цель была раскрыта, Stuxnet сразу стал бесполезным набором строчек кода. Хакеры, должно быть, предвидели подобный ход развития события, и оставили для себя узкое окошко для возможности завершения своей миссии. Неужели теперь, в последней и отчаянной попытке достичь своей цели, они предпримут последний и решительный шаг? Ленгнер верил, что так и будет. «Мы вполне можем рассчитывать на то, что в скором времени что-то может взорваться, — писал он в своем посте. – Что-то большое.» Он закончил свою речь единственным предупреждением: «Добро пожаловать в кибервойну».

К посту прилагалась фотография трех «громил Stuxnet», сфотографированных перед белой доской в их офисе – Ленгнер, одетый в помятую белую рубашку и расстегнутый пиджак, и Розен с Тиммом позади него, последний дерзко кивав в камеру, стоял в черных очках.

После того, как он написал свой пост, Ленгнер отправил пресс-релиз в несколько ведущих СМИ и ждал взрыва заголовков. Но, к его ужасу, ничего не происходило. Как и предыдущее разоблачение Symantec, его открытие было встречено молчанием. «Все, наверное, подумали, что я спятил», — вспоминает он.

Однако был как минимум один человек, который так не думал. Фрэнк Ригер, технический директор немецкой охранной фирмы GSMK, прочитал рассуждения Ленгнера о Бушере и согласился с тем, что Stuxnet, скорее всего, был создан для саботажа иранской ядерной программы. Но, по правде, он думал, что Натанз, находящийся в нескольких сотнях миль от Бушера, был более вероятной целью.9 Завод в Натанзе, в отличие от Бушера, был запущен и работал с 2007 года. К тому же, он был фактически заполнен тысячами быстро вращающихся центрифуг, что делало его хорошей мишенью для, кто хотел нанести ущерб ядерной программе Ирана с помощью кибератаки. Ригер подробно изложил свои мысли в блоге и статье для немецкой газеты.10 В обоих текстах он ссылался на более раннюю статью Reuters, опубликованную примерно в то же время, когда был выпущен Stuxnet, то есть в 2009 году, описывая «десятилетний проект кибервойны», запущенный Израилем против ядерной программы Ирана. В статье цитировался американский источник, предположивший, что «вредоносное программное обеспечение» может быть использовано для захвата или аварийного управления на обогатительном заводе.11

Была и другая причина подозревать, что все-таки именно Натанз был целью Stuxnet. 16 июля, 2009 года, через три недели после выхода первой версии Stuxnet, основатель WikiLeaks Джулиан Ассанж разместил на своем сайте загадочную записку о возможном несчастном случае в Натанзе. Анонимный источник, утверждающий, что он напрямую связан с ядерной программой Ирана, сообщил Ассанжу, что недавно на АЭС произошла «серьезная» ядерная авария.12 WikiLeaks обычно публикует только документы, а не случайные письма от анонимных источников, но Ассанж нарушил это правило сказав, что у него были основания полагать, что источник заслуживает доверия. Он сослался на статью BBC, опубликованную в тот же день, в которой сообщается об отставке Голама Резы Агазаде, главы иранской Организации по атомной энергетике, который ушел со своего поста двадцатью днями ранее по неизвестным причинам.13 Временные рамки совпадали с выпуском новой версии Stuxnet 2009 года.

Независимо от того, была ли отставка Агазаде связана с аварией на заводе Натанза или нет, «теория Натанза» Ригера привлекла внимание общественности, и наконец, катапультировала Stuxnet в центр внимания. Все американские СМИ, которые до этого момента в основном игнорировали Stuxnet, подхватили рассуждения Ригера и начали распространять его слова. В течение почти десяти лет Натанз был центром растущей политической напряженности из-за неоднократных попыток остановки программы обогащения урана. Теперь, казалось, что это сложное цифровое оружие, подобного которому раньше никто не видел, было частью этих планов. Внезапно история о Stuxnet стала интересной и полной интриг. Там, где раньше была скучная техническая тягомотина, представляющая интерес только для технологической прессы, теперь был загадочный боевик, окутанный ореолом тайны и шпионскими играми преступного мира – и все это разыгрывалось на фоне ядерных разборок.

 Вскоре после того, как Ленгнер опубликовал свой первый пост о Stuxnet, он связался с Джо Вайсом в Соединенных Штатах, чтобы обсудить находки его команды. Ленгнер и Вайс разделяли один и тот же дерзкий стиль общения, который не всегда привлекал их коллег по цеху. В этой битве они были на одной стороне и уже который год пытались донести своим клиентам, владельцам промышленных систем управления, что их системы уязвимы к хакерским атакам. Специалисты из сообщества обычно тяжело вздыхают, когда слышат имя одного из них, но никто никогда не сомневался в их профессионализме. Ленгнер должен был выступить на предстоящей конференции посвященной промышленным системам управления Вайса в Мэриленде по другой теме, и спросил, может ли он вместо этого поговорить о Stuxnet. «Даже не знаю, сказать тебе «да» или «черт возьми, да!»» — ответил Вайс.

На следующей неделе Ленгнер уже был в Мэриленде. Предварительная шумиха вокруг его выступления гарантировала, что зал будет полон. В своем блоге Ленгнер обещал рассказать все подробности расследования его команды на собрании, поэтому аудитория была в предвкушении его речи, особенно после двух презентаций о Stuxnet, проведенными Siemens и кем-то из DHS, которые были лишены какого-либо смысла.

 Вайс выделил на выступление Ленгнера 45 минут, но вместо этого оно заняло полтора часа. И никто не был против. Более 100 участников конференции из водной, химической и электротехнической промышленных сфер внимали словам Ленгнера. «Мы все сидели, разинув рты», — вспоминает Вайс.14 Ленгнер принадлежал к той редкой породе технарей – умелых и харизматичных ораторов, которые умеют преподносить сухие технические детали просто и с юмором. Но его слова не столько позабавили слушающих, сколько потрясли их. Постепенно, на протяжении всей его речи, к владельцам промышленных систем управления доходило, что если завтра будет совершена еще одна атака на ПЛК, подобная Stuxnet, или даже сильнее, то никто не сможет ее не то что остановить, а даже обнаружить. Существовали способы проверить, не заражен ли ПК или ноутбук на базе Windows, но такого же простого способа узнать, заражен ли ПЛК не было. Если вирус использовал тот же метод скрытия вредоносного кода, что и Stuxnet, то не существовало ни одной антивирусной программы для ПЛК, или какого-либо другого способа узнать, изменен ли код контроллера. Единственный способ обнаружения атаки был на стадии заражения Windows, прежде чем вирус достигал ПЛК. Но Stuxnet показал глупость даже этой защиты, так как ни один антивирусный сканер не поймал его, прежде чем вирус достиг ПЛК. Операторы никогда не смогут обнаружить заражение, пока оно само не даст о себе знать.

           По оценкам Ленгнера, хакерам-подражателям потребуется около шести месяцев, до появления их первых пародий на Stuxnet. Они не будут точными копиями Stuxnet, или такими же сложными в разработке, сказал он присутствующим, но они и не должны такими быть. Опасность нападения была не только на такие критически важные объекты как Натанз. Stuxnet ставил под прицел все потенциально уязвимые объекты и системы. И поскольку разработчики Stuxnet умело спланировали свою атаку, они смогли избежать сопутствующего ущерба машинам, которые не являлись их целями, но последующие атаки почти наверняка не будут такими продуманными и контролируемыми. Какая-нибудь террористическая группировка, пожелавшая выкуп за электростанцию, путем захвата контроля над ее ПЛК, вряд ли будет беспокоиться, если их вирус повредит заводу или распространиться на другие системы управления.

После конференции Ленгнер решил провести выходные в Вашингтоне, чтобы встретиться там с Мэлиссой Хэтуэй, бывшим национальным координатором кибербезопасности Белого Дома, чтобы проинформировать ее о том, что нашла его команда. Хэтуэй сразу поняла потенциал возможного ответного удара по критической инфраструктуре США, а также проблему распространения цифрового оружия, с которой теперь столкнется мир – проблему, с которой, как она позже сказала The New York Times, ни одна страна не была готова иметь дело. «У нас около 90 дней, чтобы исправить это, — заявила она в газете, — прежде чем какой-то хакер выпустит свою первую копию Stuxnet».15

В тот уик-энд, когда Ленгнер все еще был в Вашингтоне, иранские представители впервые заявили о том, что компьютеры в Бушере действительно были заражены Stuxnet. Они совсем ничего не упомянули о Натанзе, а подробности атаки на Бушер заставляли сомневаться в том, что полезная нагрузка Stuxnet была развернута именно там. Махмуд Джафари, руководитель завода, заверил журналистов, что в результате атаки пострадали только персональные компьютеры некоторых работников, промышленные системы управления затронуты не были. «Все компьютерные программы на заводе работают нормально и не были повреждены Stuxnet», — сказал он.16 Реза Тагипур, чиновник Министерства связи и информационных технологий, также настаивал на том, что ущерб от вируса был незначительным, а вредоносная программа была «более или менее» локализована.17 Сообщения об небольшом ущербе не были удивительными, учитывая избирательность Stuxnet относительно конфигурации своей жертвы. Скорее всего, он распространился на машины Windows Бушера, а затем просто отключился, не найдя ПЛК, которые он искал.18

Среди заявлений со стороны Ирана, впрочем, была одна странная деталь, которая выделялась из ряда остальных. В одном из своих интервью Махмуд Джафари сказал, что в Иране было обнаружено пять разных версий Stuxnet.19 В то время, как Symantec и остальные исследовательские группы обнаружили только три.

Хотя вполне возможно, что Джафари ошибся, но его слова все равно породили интригующую возможность того, что по крайней мере две другие версии Stuxnet все еще остаются не обнаруженными. И если эти две версии все-таки существуют, то они могут содержать дополнительные улики и подсказки о Stuxnet и его разработчиках. К сожалению, однако, шанс того, что западные исследователи увидят эти новые версии вируса были крайне малы, так как иранское правительство вряд ли предоставило копии кода кому-то за пределами Ирана.20

 После выступления на конференции Вайса и встречи с Хэтуэй, Ленгнеру требовалось время, чтобы разобраться во всем том, что произошло с ним за последние недели. В тот уик-энд он пошел в National Mall и часами сидел на ступеньках мемориала Линкольна, глядя на отражающийся бассейн, пока вокруг него, то и дело, фотографировались туристы. Он думал об отчетах ICS-CERT и Siemens и их молчании по поводу лестничной логики инъекции в Stuxnet, а также о рисках для критически важных объектов инфраструктуры, исходящих от хакеров, которые наверняка будут использовать исходный код Stuxnet. Затем последовали мысли об ошеломляющем молчании общественности и Конгресса, которые, казалось, вовсе не были обеспокоены ящиком Пандоры, который открыл Stuxnet буквально узаконив использование кибероружия для разрешения политических споров. Они также не казались встревоженными по поводу цифровой гонки вооружений, которую запустил Stuxnet, процесс которой остановить будет уже невозможно. Сложилось такое чувство, подумал Ленгнер, что никто не хотел обсуждать эти вещи просто потому, что это вызовет вопросы об инициаторах атаки.

Ленгнер решил, что если молчание так и будет продолжаться дальше, то он будет вынужден выступить с дополнительной информацией о коде. Поэтому, как только он вернулся в Германию, он опубликовал новый пост, в котором излагал технические детали, которые ранее раскрывал только за закрытыми дверями конференц-зала Вайса. Как только пост был опубликован, блог был осажден трафиком со всего мира, включая также правительственные и военные домены США. Ленгнер надеялся, что теперь, когда важность Stuxnet стала очевидной, другие компании по кибербезопасности подхватят эстафету с того места, на котором остановилась его команда. Несмотря на большой объем проделанной роботы, впереди ее было еще больше. Они обнаружили то, что Stuxnet намеревался саботировать единственный объект, вероятно Натанз, — но они все еще не имели ни малейшего представления о том, что вирус в конечном счете должен сделать с заводом. Информация об этом все еще оставалась скрытой в коде.

В течение следующих трех недель Ленгнер и его команда были заняты несколькими проектами от платных клиентов, чтобы хоть как-то компенсировать деньги, которые они потеряли, работая над Stuxnet. Но когда ни от Symantec, ни от кого-либо еще за эти три недели не последовало никакой новой информации о коде, Ленгнер собрался с мыслями и решил, что им стоит продолжить с того места, где они остановились.

«Ребята, — обратился он к Розену и Тимму, — я думаю, нам нужно снова взяться за одно старое дельце».

Вопреки убеждению Ленгнера, некоторые элементы американского правительства все-таки не игнорировали Stuxnet – хоть и за завесой тайны. На самом деле группа аналитиков из DHS завершила бо́льшую часть своего собственного исследования Stuxnet в течение нескольких дней после того, как он был обнаружен в июле, и знали, что вирус саботирует ПЛК, еще до того, как к этому пришли Symantec и Ленгнер.

Stuxnet впервые появился в Национальном центре интеграции кибербезопасности и коммуникаций Министерства национальной безопасности США (NCCIC) в Арлингтоне, штат Вирджиния, утром 15 июля 2010 года, в то самое время, когда исследователи по всему миру впервые взглянули на код. Исходники кода поступили от CERT-Bund после того, как Siemens связался с командой компьютерного реагирования на чрезвычайные ситуации, чтобы сообщить о вредоносной атаке, нацеленной на их ПЛК.

NCCIC, или как их обычно называют, N-Kick, был открыт всего девять месяцев назад и являлся частью новой правительственной системы мониторинга и координации за киберугрозами в отношении критической инфраструктуры и гражданских правительственных систем. Когда в центр пришли исходники Stuxnet, Шон МакГарк, по иронии судьбы, был в разгаре планирования предстоящих правительственных учений Cyber Storm III, трехдневных учений, которые будут имитировать компьютерную атаку на критическую инфраструктуру США. Это должно было стать первым настоящим испытанием координационных способностей с момента открытия центра круглосуточного наблюдения. Но реальная угроза Stuxnet быстро взяла верх над планами имитированной атаки.

Дежурный этаж, на котором, к слову, отсутствовали окна, представлял собой алфавитный суп из сокращенных названий агентств: аналитики из ЦРУ и АНБ сидели рядом с агентами из ФБР, Секретной службы и экспертами по компьютерной безопасности из US-CERT и ICS-CERT. На этаже также присутствовали представители всех ведущих телекоммуникационных компаний и других отраслей, имеющих важнейшее значение для развития инфраструктуры страны.

МакГарк отправил копию Stuxnet в лабораторию ICS-CERT в Айдахо-Фолз, где аналитики и определили, что код атаки высвобождал свою полезную нагрузку только на конкретных моделях ПЛК Siemens. Двумя годами ранее они проводили оценку уязвимости того же программного обеспечения Step 7, которое атакует Stuxnet, но ПЛК, который использовали для испытаний, был возвращен Siemens. Теперь они должны были попросить Siemens прислать еще один, прежде чем смогут посмотреть, где Stuxnet освобождает свою полезную нагрузку. Спустя три недели ПЛК прибыл, с ним прибыла и группа инженеров из Siemens.

Тем временем исследователи в Айдахо расшифровывали код полезной нагрузки. Параллельно им, аналитики из Вирджинии корпели над ракетной частью, документируя каждую из ее функций в обширной блок-схеме. После двух дней работы, говорит МакГарк, его команда каталогизировала около 4 тысяч функций – больше, чем содержалось в большинстве коммерческих программ, — а также обнаружили четыре эксплойта нулевого дня, которые позже нашли Symantec и Kaspersky.

20 июля ICS-CERT выпустила рекомендацию, в которой объявила владельцам систем управления об обнаружении вредоносного ПО, нацеленного на систему Siemens Step 7. Но они не предоставили никаких подробностей о работе вируса, сказав только, что «полные возможности вредоносного ПО и его намерения… еще не известны». В последующих заявлениях добавилось немного подробностей об эксплоитах нулевого дня, используемых Stuxnet, а также информация о том, как обнаружить и удалить код, но мало говорилось о целях атаки, и совсем ничего не было написано о саботаже.21 МакГарк говорит, что задача правительства состояла в том, чтобы помочь владельцам критической инфраструктуры обнаружить и удалить Stuxnet, а не обеспечить его всесторонний анализ.22

Через несколько дней после того, как группа завершила анализ, МакГарк провел селекторное совещание с несколькими правительственными учреждениями и представителями частной промышленности, чтобы обсудить то, что им удалось обнаружить. В большинстве дискуссий о вредоносном ПО и уязвимостях, в разговоре всегда находилось несколько критиков, которые утверждали, что опасность уязвимостей значительно преувеличена, и что часть исходного кода Stuxnet не является новой. Иногда в роли скептиков выступали другие федеральные агентства, иногда это были владельцы и операторы критических инфраструктур, или поставщики, создавшие системы контроля. Но пока МакГарк излагал детали Stuxnet, в трубке стояла тишина. «У всех был этот момент «оу, черт», вы знаете, при чем в одно и то же время», — вспоминает МакГарк.23

Как ни странно, разработчик Stuxnet до сих пор неизвестен. МакГарк говорит, что, когда исходник вируса только попал к ним в руки, аналитики разведки из различных агентств на этаже искали в своих секретных источниках любую информацию или отчеты, связанные с червем, но ничего не нашли. Он также говорит, что на дежурном этаже никто вслух не задавался вопросом о том, мог ли Stuxnet быть разработанным в США. Посторонний мог бы вполне задаться вопросом, почему никто на дежурном этаже не повернулся к аналитикам из ЦРУ или АНБ, сидящим в соседней комнате, и спросить: «ну это же был один из ваших?». Но МакГарк настаивает на том, что атрибуция вируса не входит в их обязанности, поэтому они об этом даже не думали. Их задача состояла в том, чтобы раскрыть возможности вредоносного кода и определить наилучший способ защиты американских сетей.

«Сначала, когда вы посмотрите на вирус… вы вряд ли подумаете о том, что это может быть огонь по своим. Вы же не подумаете, что снайпер, стоящий на соседней крыше будет стрелять по вам», — говорит он. «Это может оказаться… Но в пылу этого, в самом начале, вы не слишком обеспокоены, и, естественно, отказываетесь верить в это.»

Но очень скоро Stuxnet стал «темой повышенного интереса» в Вашингтоне. В течение следующих нескольких месяцев МакГарк провел множество брифингов для ряда высокопоставленных людей – от Министерства обороны Джанет Наполитано, Джона Бреннана и других сотрудников аппарата национальной безопасности Белого Дома, до комитетов Сената и Палаты представителей по разведке, Министерства обороны и разведывательного управления обороны. Он даже отправился в Форт-Мид, чтобы поговорить с генералом Китом Александром, директором Киберкомандования США и АНБ – к тем самым организациям, которые, как подозревало большинство в сообществе кибербезопасности, стояли за атакой.

В Форт-Миде дюжина высокопоставленных военных правительственных и разведывательных руководителей внимательно слушали МакГарка, в то время, как он описывал, что обнаружила его команда. Но вопрос о том, стояли ли за этим нападением Соединенные Штаты так и не прозвучал. Они спросили МакГарка, был ли Stuxnet направлен против американских систем управления и сколько систем в стране были уязвимыми для вируса.24 Им также было любопытно узнать, сможет ли команда МакГарка определить, что являлось конечной целью Stuxnet. И, наконец, они спросили его, есть ли в коде какие-либо зацепки, на основании которых можно было бы найти разработчиков вредоносного ПО. На последний вопрос МакГарк ответил «нет», нет никаких улик, хоть как-нибудь указывающих на создателей вируса. В коде не было даже «отличительных знаков», которые можно было бы сопоставить с почерком некоторых известных хакерских групп или национальных шпионов.

МакГарк утверждает, что никогда, ни на секретных брифингах, ни в публичных выступлениях, никто не озвучивал вопрос, стоящий у всех на уме. «Я не думаю, что даже в шутку, кто-то сказал бы на официальной встрече что-то в роде «Эй, это сделали мы?»». Потому что подобные встречи проходят совсем не так. Я уверен, что в других местах велись рассуждения на эту тему, но они точно не прозвучат на нашем уровне».

МакГарк также уверен, что Stuxnet – это не тот вирус, который написали в гараже какого-нибудь из неприметных домиков в спальном районе. «Когда я выступал, независимо от того, кто сидел в аудитории, были ли это старшие сотрудники разведки, либо кто-то еще, у меня никогда не возникало впечатления, что моя речь была хоть сколько-то интересна им», — говорит он. «То же самое происходило и в Министерстве внутренней безопасности, когда я проводил брифинг на уровне секретариата. У меня никогда не было такого чувства, вы знаете, что они знакомы с темой разговора… они просто надеялись, что я поскорее уйду».

Никто также не предлагал МакГарку отлучить свою команду от работы над Stuxnet. «Никто не говорил: «Эй, прекрати, оставь это дело, оно того не стоит»», — говорит он. «На самом деле все эти организации активно сотрудничали с нами… помогали с анализом и подбрасывали свои идеи насчет того, какой тип угрозы из себя представляет собой этот Stuxnet».

Но даже если чиновники в Вашингтоне открыто не задавали очевидный вопрос, эксперты, и просто наблюдатели, почти не сомневались в том, что за этим нападением стоят Соединенные Штаты – в одиночку, либо с Израилем – и казалось лишь времени, когда подробности атаки всплывут на поверхность.

Утверждение Ральфа Ленгнера о том, что Stuxnet – это высокоточное оружие, направленное на ядерную программу Ирана, должно быть, вызвало большой ужас и панику в залах Белого Дома и Пентагона, поскольку заговор, тщательно планируемый и осуществляемый ими на протяжении многих лет прямо сейчас раскрывался общественности прямо у них на глазах.

Сноски, ссылки и используемая литература:

1.    Все цитаты Ленгнера были взяты из интервью автора, проведенных в 2010, 2011 и 2012 годах.

2.    «Лестничная логика» — это общий термин для описания структуры команд, используемых для кодирования систем управления. Это название походит от лестничной структуры программирования, которая описывает каждый процесс поэтапно, последовательно.

3.    В своем первоначальном заявлении, Siemens заявила, что собрала команду экспертов для оценки опасности Stuxnet, и начнет предупреждать своих клиентов в случае, если их машины будут в зоне риска заражения вирусом. Позже компания заявила, что вирусом Stuxnet было заражено менее двух десятков их клиентов. Второе объявление компании было связано с зашифрованным паролем базы данных в программном обеспечении Siemens, которое Stuxnet использовал для распространения. Команда Siemens предупредила своих клиентов о недопустимости изменения пароля в связи с возможным нарушением критических функций в их системах. «В ближайшее время мы опубликуем руководство для клиентов, но оно не будет включать в себя рекомендации по изменению настроек по умолчанию, поскольку это может плохо повлиять на работу некоторых заводов, использующих нашу продукцию», — сказал представитель компании спустя неделю после того, как был разоблачен Stuxnet. Смотрите Роберт МакМиллиан, “After Worm, Siemens Says Don’t Change Passwords”, PCWorld.com, 19 июля, 2010.

4.    Эта уязвимость частично связана с тем, что в системе Siemens отсутствовала аутентификация, что позволяло отправлять на ПЛК вредоносную лестничную логику. Если бы система требовала от кода цифровую подпись, ПЛК бы не принял его.

5.    Смотрите ICS-CERT Advisory ICSA-10-201-01C, “USB Malware Targeting Siemens Control Software”, с последующими обновлениями можно ознакомиться по адресу: http://www.ics-cert.us-cert/gov/advisories/ICSA-10-201-01C. Смотрите также ICS-CERT Advisory ICSA-10-238-01B, “Stuxnet Malware Mitigation,” 15 сентября, 2010, доступно по адресу: http://www.ics-cert.us-cert/gov/advisories/ICSA-10-238-01B.

6.    Через пару недель иранские представители начали отрицать вину Stuxnet, и вместо этого объяснили задержку утечкой в бассейне рядом с реактором.

7.    Снимок экрана, сделанный фотографом United Press International, имеет подпись, идентифицирующую его как снимок экрана в Бушере, и говорит, что изображение было получено в феврале 2009 года. Некоторые критики оспаривают правдивость подписи, говоря, что изображение, по-видимому, показывает какое-то водоочистное сооружение, а не Бушер, но водоочистные сооружения являются частью работы атомной станции, что говорит о том, что и то, и другое мнение может быть правдой. Изображение можно посмотреть по адресу: http://www.upi.com/News_Photos/Features?The-Nuclear-Issue-in-Iran/1581/2/.

8.    “Stuxnet logbook, Sept 16, 2010, 1200 hours MESZ”, доступно по адресу: http://www.langner.com/en/2010/09/16/stuxnet-logbook-sep-16-2010-1200-hours-mesz.

9.    Статья появилась в немецкой газете Frankfurter Allgemeine Zeitung 22 сентября 2010 года. Статья написана на немецком языке, но автор описывает ее содержание на английском в блоге, опубликованном на его сайте, доступном по адресу: http://www.frank.geekheim.de/?p=1189.

10. В то время, когда он строил теорию о Бушере, Ленгнер не знал, что на атомной станции еще не было центрифуг. Когда он узнал об этом, он не отказался от мысли о том, что целью был именно Бушер, но думал, что оборудованием, которое атакует Stuxnet, было турбиной либо генератором. Только позже, с появлением дополнительной, более точной информации о конфигурациях целей Stuxnet, он пришел к выводу, что, Натанз является более очевидной целью, нежели Бушер.

11. Дэн Уильямс, “Wary of Naked Force, Israelis Eye Cyberwar on Iran”, 7 июля, 2009, доступно по адресу: http://www.reuters.com/article/2009/07/07/us-israel-iran-cyberwar-analysis-idUSTRES663EC20090707.

12. Пост на WikiLeaks можно посмотреть по адресу: http://www.mirror.wikileaks.info/wiki/Serious_nuclear_accident_may_lay_behind_Iranian_nuke_chief%27s_mystery_resignation/.

13. История была опубликована по адресу: http://www.news.bbc.co.uk/2/hi/8153775.dtm. Хотя вполне возможно, что отставка Агазаде была связана с тем, что произошло в Натанзе в конце июня 2009 года, столь же вероятно, что это произошло в связи с какими-то политическими обстоятельствами. В дополнение к тому, что Агазаде был главой иранской Организации по атомной энергетике, он также являлся вице-президентом Ирана. Он одновременно ушел с этих двух должностей, через две недели после жарко оспариваемых президентских выборов в Иране 12 июня 2009 года. Агазаде присоединился к политическому сопернику президента Ахмадинежада – мир-Хосейну Мусави, и ходили слухи, что яростные протесты против легитимности результатов выборов не позволили Агазаде сохранить свои правительственные посты после того, как Ахмадинежад победил на выборах. Также ему не очень повезло с обстоятельствами, поскольку как раз в июне 2009 года вышла первая версия Stuxnet. Согласно сообщениям BBC, Агазаде подал в отставку примерно 26 июня. Но июньская версия Stuxnet 2009 года была выпущена 22 июня, и как только она оказалась бы на нужном ей ПЛК, вирусу потребовалось бы две недели, чтобы начать саботаж. Поэтому время начала работы вируса и отставки Агазаде не совпадают.

14. Интервью автора, сентябрь, 2010. 

15. Джон Маркофф, “A Silent Attack, but Not a Subtle One”, New York Times, 26 сентября, 2010.

16. Лоран Майяр, “Iran Denies Nuclear Plant Computers Hit by Worm”, Agence France-Presse, 26 сентября, 2010, доступно по адресу: http://www.iranfocus.com/en/index.php?option=com_content&view=article&id=21820.

17. Дэвид Э. Сэнгер, “Iran Fights Malware Attacking Computers”, New York Times, 25 сентября, 2010.

18. Шесть месяцев спустя, доклад иранской Организации пассивной обороны, военной организации под председательством генерала Революционной гвардии Голама-Резы Джалали, которая отвечает за защиту ядерных объектов Ирана, опроверг эти заявления. Он сообщил, что Stuxnet насколько основательно заразил компьютеры в Бушере, что работу на заводе пришлось приостановить на неопределенный срок. В отчете утверждалось, что, если бы Бушер вышел в сеть, червь мог бы «внезапно остановить генераторы, а вместе с ними и электричество по всей стране». Однако было много причин сомневаться в выводах отчета, поскольку он содержал ряд преувеличенных заявлений относительно возможностей Stuxnet – таких как утверждение, что червь может «уничтожить аппаратное обеспечение машины шаг за шагом» — и тот факт, что конфигурация, которую искал Stuxnet, не соответствовала оборудованию, находящемуся на атомной электростанции. Все это наводило на мысль, что Иран, возможно, использует Stuxnet в качестве предлога для объяснения задержек в Бушере. Но также существовала вероятность, что другая цифровая атака – возможно модифицированная версия Stuxnet – могла быть разработана отдельно для Бушера. Смотрите Кен Тиммерман, “Computer Worm Wreaking Havoc on Iran’s Nuclear Capabilities”, Newsmax, 27 апреля, 2011, доступно по адресу: http://www.newsmax.com/KenTimmerman/iran-natanz-nuclear-stuxnet/2011/04/27/id/394327.

19. Лоран Майяр, “Iran Denies Nuclear Plant Computers Hit by Worm”.

20. Были и другие заявления официальных лиц, которые предполагали, что существуют и другие версии Stuxnet. Махмуд Лиайи, глава совета по информационным технологиям министерства промышленности, сказал журналистам, что, когда Stuxnet был активирован, «системы промышленной автоматизации начали передавать данные о производственных линиях» на внешние источники. Генерал Голам-Реза Джалали заявил на пресс-конференции в 2011 году, что червь был обнаружен во время взаимодействия с системами связи, находящимися в Израиле и Техасе. Дальше данные о зараженных машинах обрабатывались разработчиками червя, которые затем создавали планы атаки на ядерную программу. (Смотрите “Iran Military Official: Israel, US Behind Stuxnet Computer Worm”, Associated Press, 16 апреля, 2011, доступно по адресу: http://www.haaretz.com/news/world/iran-military-official-israel-u-s-behind-stuxnet-computer-worm-1.356287.) Но три обнаруженные исследователями версии Stuxnet взаимодействовали с серверами в Дании и Малайзии. Это не отрицает того факта, что согласно другой версии, сервера связи каким-то образом были обнаружены в Техасе, поскольку с помощью определенных инструментов можно было бы перенаправлять трафик на Техас. Но хотя у АНБ действительно есть элитная хакерская команда, базирующаяся в штате Одинокой Звезды, кажется маловероятным, что они допустили бы ошибку, позволившую червю выйти на них.

21. ICS-CERT Advisory ICSA-10-201-01, “USB Malware Targeting Siemens Control Software” и ICS-CERT Advisory ICSA-10-238-01B, “Stuxnet Malware Mitigation”.

22. Рекомендации ICS-CERT действительно содержали ссылку на веб-сайт Symantec для получения информации о вредоносном коде, но они не уточняли читателям, какая именно информация находится на их сайте.

23. Все цитаты из МакГарка были взяты из интервью автора, сентябрь 2012.

24. Система Siemens Step 7, как оказалось, занимала менее 10 процентов рынка систем управления в США. Аналитики NCCIC определили это, просмотрев базу данных, используемую исследовательскими компаниями, которая предоставляет статистику о наличии на рынке различных продуктов, включая количество промышленных систем управления, произведенных конкретными поставщиками, которые были проданы в Соединенных Штатах. Они определили, что большинство систем Step 7, используемых в Штатах, были задействованы на производственных предприятиях, хотя они также были обнаружены в сферах сельского хозяйства, водоочистных сооружений и электроэнергетике. 

Очень злой админ
Очень злой админ Автор статьи

Админ сайта. Публикует интересные статьи с других ресурсов, либо их переводы. Если есть настроение, бывает, что пишет и что-то своё.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *