Kim Zetter Stuxnet Книга Перевод

Ким Зеттер. Отсчёт к нулевому дню (Kim Zetter – Countdown to Zero Day). Эксклюзивный перевод на русский

Ким Зеттер. Отсчёт к нулевому дню (Kim Zetter – Countdown to Zero Day). Эксклюзивный перевод на русский

Пролог

Кейс с центрифугами

В январе 2010 должностные лица Международного агентства по атомной энергетике (МАГАТЭ), органа Организаций Объединенных Наций, которому поручено следить за ядерной программой Ирана, впервые заметили что-то странное, происходящее на заводе по обогащению урана неподалёку от городка Натанз в центральном Иране.

В большом зале, зарытом под более чем пятьюдесятью футами пустыни, тысячи сверкающих алюминиевых центрифуг, вращающались со сверхзвуковой скоростью, обогащая газообразный гексафторид урана на протяжении вот уже последних двух лет. Но за последние недели работникам завода пришлось заменить эти центрифуги на новые. И делалать это очень быстро.

Каждая центрифуга, известная как IR-1, имеет срок службы около 10 лет. Даже при нормальных условиях Иран должен заменять до 10% центрифуг каждый год из-за дефектов оборудования, проблем с техническим обслуживанием и неполадками на производстве.

По состоянию на ноябрь 2009 года, в Иране было около 8700 центрифуг установленных в Натанзе, и считалось бы совершенно нормальным, если технические специалисты в течении года выводили из эксплуатации около 800 центрифуг, поскольку устройства выходили из строя по тем или иным причинам. Однако, как только должностные лица МАГАТЭ подсчитали центрифуги, снятые с эксплуатации за несколько недель в декабре 2009 года и в начале января 2010, они поняли, что Иран заменяет их намного быстрее чем положено.

Инспекторы Департамента гарантий МАГАТЭ посещали Натанз в среднем 2 раза в месяц – иногда по предварительной записи, иногда без уведомления – для отслеживания обогатительной деятельности и ядерного прогресса Ирана. Каждый раз, когда работники завода выводили из эксплуатации поврежденные или непригодные для использования центрифуги, они должны были выстраивать их в контрольной зоне около дверей комнат, где машины находились до тех пор, пока инспекторы МАГАТЭ не приедут осматривать их в следующий раз. Инспекторы тестировали каждую центрифугу ручным гамма-спектрометром, чтобы убедиться в отсутствии контрабанды ядерного материала, затем утверждали непригодные центрифуги и отмечали их количество в отчетах, отправляемых в штаб-квартиру МАГАТЭ в Вене.

Цифровые камеры наблюдения МАГАТЭ, установленные за дверью каждой комнаты с центрифугами, для контроля обогатительной деятельности Ирана, фиксировали техников, бегающих в белых халатах, синих бахилах на ногах вокруг блестящих цилиндров, каждый из которых был около шести футов в длину и около половины фута в диаметре. По соглашению с МАГАТЭ, рабочие должны были проносить все устройства открыто, чтобы камеры регистрировали каждый предмет, который попадал в комнаты.

Камеры наблюдения, которые не могли находится в помещениях, где были центрифуги, хранили изображения для их последующего просмотра инспекторами. Каждый раз, когда те посещали Натанз, они проверяли записи, чтобы убедиться, что Иран не убрал дополнительные центрифуги или не сделал чего-либо запрещенного во время их отсутствия. Но по прошествии нескольких недель после того, как инспекторы отправили отчеты в Вену, тамошние чиновники поняли, что количество убранных центрифуг намного превышает допустимые значения.

Официально МАГАТЭ не сообщает сколько центрифуг Иран заменил в этот период. Но в новостях со ссылкой на европейских “дипломатов” их число составляет от 900 до 1000. Однако бывший высокопоставленный чиновник МАГАТЭ считает, что фактическое число было намного больше. “Моё обоснованное предложение состоит в том, что это число было ближе к двум тысячам”, – говорит Олли Хейнонен, бывший заместителем директора отдела гарантий, пока тот не ушел в отставку в октябре 2010 года.

Независимо от числа, было ясно, что с центрифугами происодит что-то не так. К сожалению, Иран не был обязан сообщать инспекторам, почему они их заменили, а инспекторы МАГАТЭ не имели права уточнять детальные подробности. Задача агентства заключалась в том, чтобы следить за тем, что на обогатительной фабрике происходит с ураном, а не отслеживать неисправное оборудование.

Что инспекторы не знали, так это то, что ответ на их вопрос был у них прямо под носом, скрываемый в битах и памяти компьютеров в промышленном диспетчерском пункте Натанза. Месяцами ранее в июне 2009 года, кто-то незаметно запустил разрушительное цифровое оружие на компьютерах по всему Ирану, откуда оно незаметно проскользнула в критические системы Натанза, с единственной цель – саботировать иранскую программу по обогащению урана и предотвратить создание Ираном ядерной бомбы.

Ответ скрывался совсем рядом, на компьютерах в Натанзе, однако пройдёт около года, прежде чем инспекторы узнают правду. И то только после того, как более дюжины экспертов по компьютерной безопасности со всего мира потратят месяцы на разбор кода, в конечном итоге станет известным, что виновником всего этого был один из самых сложных из когда-либо обнаруженных вирусов – настолько уникальное программное обеспечение, которое войдет в историю как первое в мире цифровое оружие, открывшее новую эпоху цифровых войн.

Глава 1. Раннее предупреждение.

Важно: ссылки и сноски находятся в конце текста главы. Чтение сносок необходимо для концептуального понимания текста

Знакомьтесь, Сергей Уласень. Это не тот человек, которого вы ожидаете увидеть в эпицентре международного скандала. У тридцати однолетнего белоруса с коротко подстриженными волосами, стройной мальчишеской фигурой, открытым лицом и приветливым характером, мало врагов и ещё меньше внутренних противоречий. Он любил проводить выходные в загородном доме его бабушки под Минском. Там Сергей отдыхал от стресса, перенесенного в будние дни, отключив свой сотовый и интернет. Но судьба распорядилась так, что в июне 2010 года именно Уласень столкнулся с кое-чем необычным, что вскоре привлекло к его фирме пристальное внимание международного сообщества.

На дворе стоял тёплый летний четверг. Сергей, возглавлявший небольшое антивирусное подразделение белорусской компьютерной компании VirusBlokAda, сидел со своим коллегой Олегом Купреевым в маленьком захламленном офисе. Это было одно из многочисленных зданий советской эпохи в центре Минска, недалеко от реки Свислочь. Один за одним они проверяли подозрительные компьютерные файлы, обнаруженные ими на одном из компьютеров в Иране. В этот момент Купреев столкнулся с чем-то подозрительным. Переведя дыхание и откинувшись на спинку стула, он тихо позвал коллегу взглянуть на находку. Окинув взглядом содержимое экрана, Уласень прокрутил код ещё раз, не веря увиденному. Этот код они разбирали уже несколько дней и считали его заурядным вирусом. Только вот этот “заурядный вирус” всё больше и больше походил на по истине гениальное творение самого дьявола.

Малварь, изучаемая ими, не просто использовала искусно написанный руткит, чтобы скрыть себя от антивирусных движков. В программе использовался ещё и эксплоит нулевого дня для распространения с машины на машину. Эксплоит, атаковавший столь фундаментальную для Windows функцию , что это подвергало риску заражения миллионы компьютеров по всему миру.

Эксплоиты – это специально созданный код, которые хакеры используют для атаки и установки вирусов и других вредоносных программ на компьютеры. Компрометируя уязвимости в браузерах, таких как Internet Explorer или приложених, например, как Adobe PDF Reader, они внедряют в систему вирус или троян, подобно грабителю, использующему лом, чтобы открыть окно и ворваться в дом. Заходя на вредоносный веб-сайт, скрывающий эксплоит, или щелкая на вложения электронной почты, жертва открывает лазейку в безопасности программного обеспечения для внедрения вредоносных файлов в систему. Когда производители программного обеспечения узнают о таких дырах в своих продуктах, они выпускают так называемые патчи, исправляющие уязвимость. А антивирусные компании, такие как компания Уласеня, добавляют сигнатуры эксплоитов к своим сканерам.

Однако с эксплойтами нулевого дня – все намного сложнее. Это самые ценные ресурсы хакерского мира, поскольку они атакуют дыры, которые до сих пор неизвестны производителям программного обеспечения или антивирусов, а это значит, что для них пока нет никаких антивирусных сигнатур и доступных патчей, которые бы исправляли уязвимость.

Эксплойты нулевого дня встречаются редко. Хакерам требуется время и навыки, чтобы найти новые бреши в системах и написать работоспособный код, чтобы атаковать их, поэтому большинство хакеров просто используют старые уязвимости и эксплойты для распространения своих программ, рассчитывая на то, что большинство пользователей не часто обновляют свои компьютеры или на них не установлены новейшие антивирусы. А также на то, что производителям могут понадобиться недели или месяцы, чтобы создать исправления для своих продуктов. Ежегодно обнаруживают более 12 миллионов вирусов и других вредоносных программ, но среди них не найдется и десятка, содержащих 0day. Тем не менее, на экране Уласень ясно видел, что в этом коде был использован чрезвычайно ценный эксплойт нулевого дня и искусно созданный руткит. Такая комбинация до сих пор была обнаружена только на машине в Иране. Что-то не складывалось.

Файлы привлекли их внимание неделей ранее, когда реселлер программного обеспечения безопасности VirusBlokAda в Иране сообщил о проблеме с клиентскими компьютерами. Компьютеры несколько раз давали сбой и перезагружались несмотря на всяческие усилия технических специалистов исправить проблему.2 Служба технической поддержки VirusBlokAda удаленно из Минска просканировала систему, чтобы найти вредоносные программы, которые мог пропустить их антивирус, но ничего не обнаружила. Это и был тот момент, когда они обратились к Уласеню.

Сергей Уласень был нанят антивирусной фирмой еще во время учебы в колледже. Его приняли на должность программиста, но персонал VirusBlokAda был таким маленьким, а его навыки были настолько сильными, что через три года, Сергей возглавил команду, которая разработала и продвигала антивирусный движок. Иногда он сотрудничал с исследовательской группой, искавшей новые вредоносы. Эта часть работы ему очень нравилась, хоть это и случалось редко. И когда команда технической поддержки обратилась к нему, он был не против помочь.

Сергей предположил, что проблема заключается в неправильной конфигурации программного обеспечения или несовместимости между приложением установленным на машине и операционной системой. Но затем он узнал, что сбой давали сразу несколько машин, в том числе те, которые администраторы уже почистили и восстановили, переустановив операционную систему. Таким образом, он подозревал, что виновником проблемы может быть червь, скрывающийся в сети и повторно заражающий обновленные машины после каждой их чистки.

Получив разрешение на подключение к одному из компьютеров в Иране и дистанционно изучив его, Уласень и Купреев сосредоточились на шести подозрительных файлах, которые, как они решили, являются источником проблемы.4 Затем, с несколькими коллегами из их лаборатории, они потратили следующие несколько дней, разбирая эти файлы и пытаясь расшифровать то, что оказалось на удивление сложным кодом. Купреев определил , что руткит предназначен для скрытия четырёх вредоносных файлов. Проблема состояла в том, что для небольшой фирмы, разрабатывавшей антивирусные продукты для государства, они не привыкли к таким сложным задачам. Большую часть своего времени они проводили предоставляя техническую поддержку клиентам, а не анализируя вредоносный код. Тем не менее, они продвигались вперёд и в итоге определили, что один из модулей, драйвер, на самом деле был руткитом уровня ядра, как и предполагал Уласень..

Руткиты бывают нескольких разновидностей, но наиболее сложными для обнаружения являются руткиты уровня ядра, которые внедряются глубоко в систему, чтобы установить себя на тот же уровень, на котором работают антивирусы. Если вы представите структуру компьютера как мишень для стрельбы из лука, то ядро – это яблочко. Ядро – это часть операционной системы, которая заставляет всё работать. Большинство хакеров пишут руткиты, которые работают на внешних уровнях системы – на уровне пользователя, где запускаются приложения – потому что это намного проще. Но антивирусные сканеры могут их обнаружить. Поэтому опытные хакеры размещают свой руткит на уровне ядра системы, где он может блокировать антивирус. Там он служит прикрытием для вредоносных файлов, мешая антивирусам и позволяя вредоносной программе выполнять работу беспрепятственно и незаметно. Руткиты уровня ядра являются редкостью. Для их создания требуется глубокие знания и серьезные технические навыки..

Купреев определил, что руткит предназначен для сокрытия четырёх вредоносных файлов .LNK, которые они обнаружили в системе в Иране. Было похоже, что вредоносная программа использовала эксплоит, состоящий из этих 4 файлов, для распространения через зараженные USB-накопители, а руткит скрывал их на USB-флэшке. Именно на это Купреев позвал взглянуть своего коллегу Сергея Уласеня.

Эксплойты, распространяющие вредоносные программы через USB-устройства, не так распространены, как эксплоиты, передающие их через веб-сайты или вложения электронной почты. USB-эксплойты, которые два исследователя видели ранее, использовали функцию автозапуска операционной системы Windows, которая позволяла запускать вредоносные программы на USB-накопителе сразу после его подключения к компьютеру. Но этот эксплойт оказался куда сложнее.

Файлы Windows .LNK отвечают за отображение иконок содержимого USB-накопителя или другого мультимедийного устройства, когда оно подключено к ПК. Вставьте флэшку в компьютер, и Windows Explorer или аналогичный файловый менеджер автоматически будет сканировать её на наличие файлов .LNK, чтобы автоматически отобразить иконку для музыкального файла, документа Word или программы, хранящейся на флешке. И в этом случае создатели малваря внедрили эксплоит в специально созданный файл .LNK, так что, как только Windows Explorer сканировал файл, он исполнял эксплоит, который незаметно “сбрасывал” вредоносную нагрузку с USB на компьютеры, подобно военному самолету, который сбрасывает замаскированный десант на территорию противника.

.LNK атаковал такую фундаментальную особенность системы Windows, что Уласень удивился тому, что никто не заметил этого раньше. Этот эксплоит был намного совершеннее, чем эксплоиты Autorun, ведь их действие можно было легко предотвратить, отключив функцию Autorun на компьютере – шаг, который многие сетевые администраторы предпринимают как само собой разумеющейся. Но способа легко отключить функцию .LNK, не создавая других проблем для пользователей, не существовало.

Сергей тщетно искал в онлайн-реестре эксплоитов любые другие, которые в прошлом использовали файлы .LNK. Именно тогда он понял, что смотрит на 0day.

Он взял зараженную USB-флэшку и подключил её к тестовому компьютеру, работающему на новейшей версии операционной системы Microsoft Windows 7. Машина была полностью укомплектована всеми последними обновлениями безопасности. Если эксплоит .LNK уже был известен Microsoft, то патчи в системе предотвратят загрузку вредоносных файлов на компьютер. Но если эксплоит .LNK был 0day, его ничто не остановит. Он подождал несколько минут, потом осмотрел компьютер, и, разумеется, там были вредоносные файлы.

Кибераналитик не мог в это поверить. Крошечная антивирусная фирма VirusBlokAda, о которой мало кто слышал, только что обнаружила один из самых редких трофеев для охотника за вирусами. Это был не просто 0day, это был код, работающий на любой версии Windows, начиная с Windows 2000. Злоумышленники объединили вместе четыре версии эксплоита в четыре разных .LNK файлах, чтобы быть уверенными, что их “связка” сработает на любой версии Windows7.

Уласень попытался представить потенциальное количество машин, которые могут быть заражены. Но его поразила еще одна деталь: вредоносный модуль драйвера и сам код, сбрасываемый на целевые машины, загружалась на тестовом компьютере без всяких предупреждений об установке. В Windows 7 была функция безопасности, сообщающая пользователям, когда устанавливался неподписанный драйвер или драйвер, подписанный ненадлежащим сертификатом. Но эти два драйвера загрузились без проблем. Уласень с тревогой понял, что это произошло потому, что они были подписаны, как оказалось, действительным цифровым сертификатом компании RealTek Semiconductor..

Цифровые сертификаты являются надежным средством безопасности. Производители программного обеспечения используют их для подписи своих программ, чтобы аутентифицировать их как продукты своей компании. Microsoft не является исключением и подписывает свои программы и обновления программного обеспечения цифровой подписью. Также это делают и антивирусные фирмы. Системы на которых происходит установка проверяют, чтобы файл был подписан действительным цифровым сертификатом, а значит, заслуживает доверия. Но если злоумышленники смогут украсть, например, сертификат Microsoft и личный криптографический ключ, который Microsoft использует с сертификатом для подписи своих файлов, то они могут обойти проверку и компьютер установит ПО, полагая, что вредоносный код – это код Microsoft.

Раньше злоумышленники уже использовали цифровые сертификаты для подписи вредоносных файлов. Но они использовали поддельные, самоподписанные сертификаты, маскируя их под действительные, или получали действительные сертификаты путем мошенничества, создавая подставные компании, и получая сертификат на имя этой компании8. В обоих случаях для злоумышленников есть риск, что компьютеры сочтут такой сертификат подозрительным и отклонят файл. Но сейчас неизвестные хакеры использовали действующий сертификат от RealTek – надежного тайваньского производителя оборудования, и таким образом заставляли компьютеры полагать, что вредоносное ПО – это сертифицированные драйверы RealTek.

О таком Уласень никогда прежде не слышал, и хотел понять, как хакерам удалось это провернуть. Вероятно, они похитили компьютеры разработчика программного обеспечения RealTek и использовали его машину и учетные данные, чтобы незаметно подписать свой код..

А может быть, злоумышленники просто украли ключ подписи и сертификат. В целях безопасности компании хранят свои сертификаты и ключи на автономных серверах или в аппаратных модулях безопасности, обеспечивающих дополнительную защиту. Но это делают не все, и вероятно, злоумышленники просто украли ключ подписи и сертификат компании RealTek, получив доступ к сети компании. Временная метка на сертификатах показывала, что оба драйвера были подписаны 25 января 2010 года. Один из драйверов был скомпилирован годом ранее, 1 января 2009 года, а другой за шесть минут до его подписания цифровым сертификатом. На последнее у злоумышленников ушло совсем немного времени, что говорит о том, что у злоумышленников мог быть ключ и сертификат RealTek.

Последствия были тревожными. Использование действительного цифрового сертификата для подписания вредоносных файлов подрывало веру в надежность фундаментальных основ электронной подписи и ставило под сомнение легитимность любого файла, подписанного цифровыми сертификатами. Это был лишь вопрос времени, когда другие злоумышленники начнут использовать эту тактику и воровать сертификаты9.

Обычно, исследователи, обнаружившие уязвимости в программном обеспечении, уведомляют поставщиков ПО, прежде чем сделать свою находку публичной, чтобы дать поставщикам время для исправления дыр, поэтому Уласень отправил электронные письма как в RealTek, так и в Microsoft, уведомив их о находках своей команды.

Но не получив ответа ни от одной из компаний, в течении двух недель Уласень и Купреев решили, что молчать бесполезно10. Сообщество безопасности должно было узнать об эксплойте .LNK. Они уже добавили соответствующие сигнатуры в антивирусное ядро VirusBlokAda для обнаружения вредоносных файлов и видели, как на компьютерах по всему Ближнему Востоку и за его пределами обнаруживался этот малварь. Вирус распространялся очень быстро . Они должны были обнародовать новости11.

12 июля Сергей Уласень опубликовал короткое сообщение о 0day на сайте своей компании и на англоязычном онлайн форуме, предупреждая о том, что вот-вот может разразиться настоящая компьютерная эпидемия в.12 Он также обнародовал несколько подробностей об уязвимости, которую атаковал вирус.

Три дня спустя технический журналист Брайан Кребс, перехватил инициативу и написал об этом пост в своём блоге, в котором кратко излагал то, что было известно об уязвимости и эксплойте на то время. Новость разнеслась по сообществу безопасности, заставив всех готовиться к волне компьютерных заражений, ожидаемых от обнаруженного червя и подражателей с использованием одного и того же эксплойта. Тем временем глава института в Германии, который исследовал и тестировал антивирусные программы, выступил посредником между Уласенем и Microsoft, что побудило компанию-разработчика программного обеспечения начать работу над патчем. С появлением новостей Microsoft решили выпустить предупреждение о критической уязвимости, а также несколько советов, которые помогут снизить риск заражений. Однако в отсутствии патча, который не выпускался еще две недели, проблема была далека от решения.

Индустрия компьютерной безопасности также взялась за дело, разбирая червя, у которого теперь появилось имя – “Stuxnet”, составленное из букв в названии одного из файлов драйвера (mrxnet.sys) и ещё одной части кода. По мере того, как ИБ компании добавляли сигнатуры в свои антивирусы, на зараженных компьютерах клиентов начали определяться тысячи вредоносных файлов.

Почти сразу же появился еще один сюрприз. 17 июля антивирусная компания в Словакии под названием ESET обнаружила еще один вредонос, который, по-видимому, был связан со Stuxnet.

Драйвер был обнаружен на компьютере, без каких-либо других файлов Stuxnet, но все полагали, что он должен быть связан со Stuxnet, поскольку имеет общие черты с драйверами, обнаруженными VirusBlokAda. В дате компиляции этого драйвера было что-то примечательное. Когда хакеры запустили свой исходный код через компилятор, чтобы преобразить его в двоичный, который может прочитать машина, компилятор помещает метку времени в двоичный файл. Однако злоумышленники могли манипулировать временной меткой, чтобы сбить с толку исследователей и выдать свои действия за легитимные. Там указывалось, что драйвер был скомпилирован 14 июля, через два дня после того, как VirusBlokAda заявила всему миру о Stuxnet. Хакеры Stuxnet запустили новую атаку, совершенно не обращая внимания на тот факт, что неизвестная антивирусная фирма в Беларуси только что раскрыла их. Вероятно они поняли, что их схема была практически раскрыта и спешили распространить Stuxnet на как можно большее количество машин, прежде чем его полностью ликвидируют. Были догадки, что хакеры подписали драйвер с помощью еще одного сертификата от JMicron, что наводило на мысль о том, что они действительно торопились.19 Было ясно одно: злоумышленникам нужен был новый сертификат для подписи их драйвера, поскольку срок действия сертификата RealTek истёк месяцем ранее, 12 июня. Цифровые сертификаты имеют ограниченный срок службы, и после истечения срока действия сертификата RealTek злоумышленники более не могли использовать его для подписи новых файлов. Сертификат также был аннулирован центрами сертификации после того, как Stuxnet был разоблачен, а это означало, что машины под управлением Windows теперь будут отклонять любые файлы, которые уже были подписаны этим сертификатом..

Обнаружение второго сертификата заставляло еще больше задуматься о том, как хакеры получили к ним доступ. Компании RealTek и JMicron располагались всего в двух кварталах друг от друга в Научно-промышленном парке Синьчжу в одноименном городе Тайвани. Учитывая их географическую близость, некоторые предположили, что злоумышленники, возможно, физически взломали два офиса, чтобы украсть ключи цифровой подписи и сертификаты. Другие предположили, что Китайская Народная Республика стояла за атакой Stuxnet и взломала две тайваньские компании, чтобы получить ключи цифровой подписи и сертификаты.

Каким бы ни был сценарий, это означало, что у злоумышленников в арсенале могли быть и другие украденные цифровые сертификаты. И если они приложили столько усилий, чтобы убедиться, что их атака сработает, это означало, что у них была серьезная цель и значительные средства для её реализации. Многие в сообществе безопасности чувствовали себя очень растеряно. “Мы редко встречаем такой профессионализм”, – отметил исследователь ESET Пьер-Марк Бюро.20

Когда антивирусные компании исследовали файлы Stuxnet , поступающие от клиентов, их ждал ещё один сюрприз. Судя по датам в некоторых файлах, оказалось, что Stuxnet был запущен еще в начале июня 2009 г., это означало, что он скрывался на компьютерах в течение как минимум года, прежде чем VirusBlokAda обнаружила его. Также оказалось, что злоумышленники провели уже три волны атак – в июне 2009 г., а также в марте и апреле 2010 г.

Однако назначение Stuxnet по прежнему оставалось загадкой. Исследователи не могли обнаружить никаких признаков того, что Stuxnet воровал пароли к банковским счетам или другие учетные данные, как делали многие другие вредоносные программы. Также они не могли найти признаков какого-либо другого очевидного мотива в коде. Так продолжалось пока исследователь из Германии не нашел возможную подсказку, определяющую цель Stuxnet.

“Привет, ребята”, – написал Фрэнк Болдевин на онлайн-форуме, где Сергей Уласень впервые опубликовал свое сообщение о Stuxnet, – “кто-нибудь вообще разбирал вредоносное ПО?” Болдевин развернул один из файлов Stuxnet и обнаружил внутри необычные ссылки на программное обеспечение, созданное немецкой фирмой Siemens. Похоже, что злоумышленники искали компьютеры, на которых была установлена одна из проприетарных программ Siemens – SIMATIC Siemens Step 7 либо SIMATIC WinCC. Обе программы являются частью систем промышленного управления, предназначенной для работы с программируемыми логическими контроллерами (ПЛК) Siemens – небольшими компьютерами, размером с тостер, которые используются на заводах по всему миру для управления такими вещами, как руки робота и конвейерные ленты на сборочных линиях.

Болдевин никогда до этого не видел вредоносных программ, нацеленных на системы промышленного контроля. Не было никакой очевидной финансовой выгоды от взлома заводского оборудования, такого как ПЛК. По крайней мере извлечь быструю прибыль, например такую, которую можно было бы получить, ломая банковские счета и системы кредитных карт. Для него это могло означать только одно. “Похоже что Stuxnet был создан для шпионажа”, написал он. Злоумышленники, должно быть, пытались украсть дизайн с фабрики конкурента или чертежи их продукта.

Это была оценка, которую многие в техническом сообществе были рады принять. Похоже, Stuxnet предназначался только для систем с установленным программным обеспечением Siemens, а это означало, что любой компьютер, не использующий ПО Siemens, был вне опасности. Уласень обнаружил, что в системах в Иране, с которыми изначально возникли проблемы с перезагрузкой, программное обеспечение Siemens установлено не было, и несмотря на произошедшие сбои системы, Stuxnet не нанес им серьезного вреда.

Спустя неделю после краткого упоминания таинственного червя, казалось, что о нём все забыли. Microsoft всё еще работала над патчами, залатывая дыру в безопасности, атакуемую эксплоитами .LNK. Большинство компаний, занимающиеся интернет безопасностью, добавили сигнатуры в свои сканеры для обнаружения вредоносных файлов червя и Stuxnet теперь не представлял особой опасности. История первого в мире цифрового оружия вполне могла бы закончиться, вот только некоторые исследователи в области безопасности не совсем были готовы с этим мириться.

Cноски, ссылки и используемая литература:

1. Уласень и его команда обнаружили вредоносную программу 24 июня 2010 года.

2. Уласень никогда не раскрывал имя торгового посредника, но ссылка на веб-сайте VirusBlokAda для его дистрибьютора в Иране указывает на сайт vba32-it.com, принадлежащий Deep Golden Recovery Corporation, фирме по восстановлению данных в Иране.

3. Информация о столкновении VirusBlokAda с вредоносными программами взята из интервью с Сергеем Уласенем и Олегом Купреевым, а также из записи, опубликованной «Лабораторией Касперского» в 2011 году, после того как российская антивирусная фирма наняла Уласеня. Это интервью “The Man Who Found Stuxnet—Sergey Ulasen in the Spotlight,” было опубликовано 2 ноября 2011 г, доступно по адресу: http://www.eugene.kaspersky.com/2011/11/02/the-man-who-found-stuxnet-sergey-ulasen-in-the-spotlight.

4. Модуль является автономным компонентом. Он часто взаимозаменяем и может использоваться с различными программами.

5. Драйверы – это программы, которые используются в качестве интерфейсов между устройством и компьютером для обеспечения работы устройства с машиной. Например, драйвер необходим для связи компьютера с принтером или подключенной к нему цифровой камерой – для разных операционных систем доступны разные драйверы, поэтому одно и тоже устройство будет работать с любым компьютером. В этом случае драйверы были фактически руткитами, предназначенными для установки и сокрытия вредоносных файлов на компьютере.

6. Проблема перезагрузки не возникала на других компьютерах, которые впоследствии были обнаружены зараженными вредоносным ПО. Поэтому некоторые исследователи подозревают, что проблема, возможно, заключалась в несовместимости одного из драйверов вредоносного ПО и антивирусного программного обеспечения VirusBlokAda. Злоумышленники использовали сам драйвер для установки, и исследователи из Лаборатории Касперского заподозрили, что драйвер загружал основной файл вредоносного ПО прямо в память машин в Иране, что и привело к сбою некоторых машин. Исследователи из Лаборатории Касперского позже попытались воспроизвести проблему, но получили противоречивые результаты – иногда машина выходила из строя, иногда нет. Ирония заключается в том, что злоумышленники приложили немало усилий, чтобы протестировать свои вредоносные программы на антивирусных сканерах Kaspersky, Symantec, McAfee и других, именно для того, чтобы убедиться, что их код не будет обнаружен антивирусными сканерами.

7. Автозапуск – это удобная функция в Window, которая позволяет программам на USB-накопителе, компакт-диске или DVD-диске автоматически запускаться, когда устройства вставляются в компьютер. Однако это известная угроза безопасности, поскольку она также позволяет запускаться вредоносным программам.

8. Если автозапуск отключен по соображениям безопасности, то вредоносный код на флэшке, использующий эту функцию, не сможет запускаться автоматически, и запустится только если пользователь щелкнет по файлу, чтобы открыть его.

9. Эксплойт работал з семью версиями Windows: Windows 2000, WinXP, Windows2003, Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2.

10. В Windows Vista и Windows 7, драйвер, который не подписан доверенным цифровым сертификатом, который распознает Microsoft, будет иметь проблемы при установке на компьютер. На 32-битных компьютерах, на которых установлена Vista или Windows 7, отобразится предупреждение, сообщающее пользователю, что файл не подписан доверенным сертификатом, заставляя пользователя принять решение о том, разрешить ли ему установку. На 64-битных компьютерах с ОС Windows, драйвер, не подписанный доверенным сертификатом, не будет установлен вообще. Вредоносное ПО, обнаруженное VirusBlokAda работает только на 32-битных компьютерах с Windows.

11. Центры сертификации выдают сертификаты подписи, которые компании используют для подписи своего кода и веб-сайтов. Предполагается, что центры сертификации должны подтвердить, что объект, запрашивающий сертификат, обладает полномочиями сделать это – например, чтобы предотвратить получение сертификата для подписи от имени Microsoft кем-либо кроме Microsoft, – и убедиться, что тот, кто подает заявку на сертификат подписи для компании, которую они утверждают, принадлежит им, что это настоящая компания, производящая код. Однако некоторые центры сертификации не проявляют должной осмотрительности, и сертификаты иногда выдаются злоумышленникам. Есть также компании, которые за определённую плату будут использовать свой ключ и сертификат для подписи кода для других. Хакеры использовали эти компании в прошлом, чтобы подписать свои вредоносные программы.

12. В сентябре 2012 года именно это произошло с Adobe.. Программный гигант, распространяющий популярные программы Adobe Reader и Flash Player, объявил, что злоумышленники взломали его сервер, чтобы подписать два вредоносных файла с помощью сертификата Adobe. Adobe хранил свои закрытые ключи подписи на устройстве, которое называется аппаратным модулем безопасности, что должно было предотвратить доступ злоумышленников к ключам для подписи их вредоносных файлов. Но они взломали сервер сборки – сервер, используемый для разработки программного обеспечения – которые взаимодействует с системой подписи кода, и подписывали свои файлы.

13. По иронии судьбы, 12 июля 2010 года, когда Уласень обнародовал новости о вредоносном ПО, исследователь финской компании по безопасности F-Secure опубликовал презентацию на конференции о цифровых сертификатах, заявив, что на тот момент вредоносное ПО, использующее украденные сертификаты все еще не обнаружено. Однако он отметил, что это неизбежно произойдет сейчас, когда новые версии Windows будут относиться к неподписанным драйверам с подозрением, заставляя хакеров делать себе новые легитимные сертификаты для подписи своих вредоносных программ (См. Ярно Нимела, “It’s Signed, Therefore It’s Clean, Right?” представленный на конференции CARO в Хельсинки, Финляндия доступен по адресу (https://archive.fsecure.com/weblog/archives/Jarno_Niemela_its_signed.pdf). На самом деле, вскоре после того, как VirusBlokAda обнаружила сертификат RealTek, другие хакеры уже пытались использовать эту же тактику. В сентябре 2010 года антивирусные фирмы открыли Infostealer Nimkey, троянский конь, специально разработанный для кражи закрытых ключей сертификатов с компьютеров. Последующие два года за этим последовало несколько вредоносных программ, подписанных сертификатами, которые были украдены у различных доверенных компании.

14. Уласень связался с Microsoft по электронной почте, Но группа по безопасности Microsoft получает более 100 000 электронных писем в год, поэтому было понятно. что письмо от неизвестной белорусской антивирусной фирмы, отправленное на общий электронный адрес, просто потерялось.

15. Исследователи позже обнаружат, что вредоносная программа представляет собой комбинацию червя и вируса. Часть червя позволяла ему распространяться автономно без действий пользователя, но как только он был в системе, другие компоненты заражали файлы, как вирус, и требовали действий пользователя для распространения.

16. Уласень опубликовал свою заметку на сайте своей компании и на форуме по безопасности Wilders, доступно по адресу: https://www.wilderssecurity.com/threads/rootkit-tmphider.276994/#post-1712146.

17. Кребс – бывший репортер Washington Post, ведет блог KrebsonSecurity.com, посвященный компьютерной безопасности и киберпреступности. Он опубликовал свой пост 15 июля 2010 года. Доступно по адресу: https://krebsonsecurity.com/2010/07/experts-warn-of-new-windows-shortcut-flaw/.

18. Ленни Зельцер, “Preempting a Major Issue Due to the .LNK Vulnerability—Raising Infocon to Yellow,” опубликовано 19 июля 2010 года, доступно по адресу: http://www.isc.sans.edu/diary.html?storyid=9190.

19. Андреас Маркс, глава av-test.org в Германии, выступил посредником во вступлении со своими прямыми контактами в Microsoft.

20. Советы Microsoft появляются на сайте http://www.technet.microsoft.com/en-us/security/advisory/2286198.

21. Большинство антивирусных компаний имеют автоматизированные системы отчетности, которые уведомляют их, когда на компьютере клиента обнаруживается вредоносный файл, если клиент выбрал эту функцию. В большинстве случаев все, что отправляется в компанию, это “хэш” файла – криптографическое представление содержимого файла, состоящего из последовательности букв и цифр, полученных при запуске файла через алгоритм – без указания того, кто жертва, кроме IP адреса отправителя. Но в других случаях компании могут получить вредоносный файл, если жертва решит отправить его, или антивирусная фирма определит через IP- адрес жертвы, и запросит копию файла.

22. Исследователи предположили, что драйвер мог использоваться с новой версией Stuxnet, которую злоумышленники выпустили после настройки кода, чтобы антивирусные сигнатуры не могли его обнаружить. Более поздняя версия Stuxnet никогда не была обнаружена, для дальнейшего обсуждения более поздней версии Stuxnet смотрите сноску 41 главы 17.

23. См. Костин Г. Раю и Алекс Гостин, “Повесть об украденных сертификатах”, опубликованная в SecureView, второй квартал 2011 года, ежеквартальный бюллетень “Лаборатории Касперского”. Ошибки появляются в блоке цифровой подписи на сертификате, где компания предоставляет информацию о себе. В этом случае если бы злоумышленники неправильно набрали URL для JMicron, и он возвратил ошибку “сервер не найден”, если кто-то попытался зайти на сайт. Им также не удалось заполнить несколько полей для названия компании, авторских прав других данных. В восьми полях вместо информации появилось “измени меня”.

24. Сертификат RealTek действовал с 15 марта 2007 года по 12 июня 2010 года. Сертификат JMicron был действителен до 26 июля 2012 года, но как только он был отозван центрами сертификации, злоумышленники больше не могли его использовать.

25. Пьер-Марк Бюро, “Win32/StuxNet Signed Binaries,” опубликовано 9 августа 2010 года в блоге Eset.com, доступно по адресу: http://www.blog.eset.com/2010/07/19/win32stuxnet-signed-binaries.

26. Болдевин опубликовал свое сообщение на форуме, доступно по адресу: https://www.wilderssecurity.com/threads/rootkit-tmphider.276994/#post-1712146.

Глава 2. 500 килобайт загадки.

За все 6 лет, пока Лиам О’Мурчу анализировал вирусы и червей, он не встречал ничего подобного тому коду, который оказался перед ним сейчас. В нем использовались техники, выходящие за пределы всего того, что он когда либо видел во вредоносных программах. Накануне его коллеги из Европы прислали ему файлы нового вируса. Но садясь за свой компьютер в офисе Symantec в северной Калифорнии и открывая файлы вируса Stuxnet, он этого не ожидал увидеть то, что оказалось перед его глазами.

Была пятница, 16 июля. Прошел всего день после того, как новость о Stuxnet ворвалась в техническое сообщество. О’Мурчу готовился к тому, что должно было быть обычным обзором обычного кода. Тридцатитрехлетний ирландец был руководителем операций по безопасности в офисе Symantec в городе Калвер-Сити в Калифорнии. Его обязанностью было делать обзор новых вредоносных программ, и проводить их детальный анализ, если это требуется.

Аналитики компании из офиса в Дублине, Ирландия, получили файлы Stuxnet поздно вечером и имели в своем распоряжении лишь пару часов на их анализ, пока не настало время передать их офису О’Мурчу в Калифорнии, где только наступало утро. Группа Symantec, занимающаяся анализом угроз, разбросана по разным континентам для того, чтобы в любой момент, когда появлялась опасность, нашелся тот, кто не будет спать и сразу же займется анализом вредоноса. Затем, когда заходит солнце для одного офиса и встает для другого, работники из одного часового пояса, закрывают свои наработки и, как борцы сборной команды, пересылают их другому.

Далеко не каждому малварю приходится “следовать за солнцем” вот таким вот образом.

Из более чем миллиона вредоносных файлов, которые каждый месяц обнаруживаются такими компаниями как Symantec, занимающиеся защитой информации, большинство являются копиями уже известных вредоносов, которые хакеры просто перешифровывают, меняя таким образом их цифровые отпечатки. Эти стандартные малвари обнаруживаются с помощью алгоритмов распознающих типичное поведение, присущее вредоносной программе. Необычный код исследователи рассматривают в ручную. Вредонос, который потенциально может содержать уязвимость нулевого дня всегда детально изучается вручную, что и являлось единственной причиной, по которой Stuxnet попал на рабочий стол к О’Мурчу.

O’Мурчу – приверженный сноубордист, мужчина с мелодично звучащей поэтичной речью, яркими каштановыми волосами и резко закрученной челкой. Совсем недавно переехав из Дублина в Штаты, он только устраивался в офисе Symantec в Калифорнии, и провел там около двух лет перед тем, как появился Stuxnet. Но с Symantec он работал с 2004 года. Он управлял командой первоклассных аналитиков и реверс-инженеров, которые были вовлечены в постоянную битву против против цифровых угроз, каждая из которых, как правило, была более продвинутой, чем предыдущая. Ни одна из них не была похожа на Stuxnet.

О’Мурчу думал, что анализ кода будет рутинной операцией подтверждения наличия 0day, которую к тому моменту уже обнаружили Уласень и Купреев. Поэтому он скинул этот код младшему инженеру, рассчитывая, что это будет для него неплохой практикой и лишь мельком пробежался по коду, уверяясь, не упустил ли он чего важного. Но, стоило ему открыть файлы, сразу стало понятно, что это очень необычный код.

Основной файл Stuxnet оказался невероятно большим – 500 килобайт, вместо обычных 10-15. Даже Conficker, вирус-монстр, который заразил свыше 6 миллионов устройств за прошедшие пару лет, весил всего 35 Кб. Любой малварь, крупнее этого в размере, обычно содержал в себе тяжелый файл с изображением, увеличивающим её общий вес, как например, фейковая страничка онлайн-банка, которая выскакивала в браузере зараженного устройства, чтобы одурачить жертву и выманить её банковские данные. Но в Stuxnet не было файла-изображения и никаких посторонних дополнений. И когда О’Мурчу стал открывать и разбирать файлы, он понял, что код был намного сложнее, чем кто-либо мог предположить.

Когда ты повидал столько малварей, как О’Мурчу, ты можешь лишь взглянув на код программы понять наверняка весь её функционал – вот эта содержит кейлогер и записывает всё, что печатает жертва, а это банковский троян, который крадёт данные для онлайн входа в банковский счет. Так же легко было понять, где код был написан как попало, а где был собран искусно и с пониманием дела. Stuxnet явно относился ко второму варианту. Он оказался обширной, грамотно скомпонованной программой с огромнейшим функционалом. Что это были за функции, все еще оставалось загадкой, но вирус мгновенно пробудил интерес О’Мурчу.

Первая встреча О’Мурчу с вирусами произошла ещё в 1996, когда он изучал компьютерные науки в Университетском колледже Дублина, и однокурсник запустил самодельный вирус, заразивший все компьютеры в учебных классах. В тот день вредонос захватил контроль над всеми устройствами и их. Пользователи могли авторизоваться, лишь ответив на ряд из 10 вопросов, которые один за другим всплывали на экране. Большинство были раздражены этим вторжением, но О’Мурчу хотелось раздобыть себе копию этого вируса, чтобы его разобрать. Анализ был заложен у него на клеточном уровне. Еще ребенком, росшим в деревне неподалеку от Атае, маленького торгового городка в графстве Килдэр, в Ирландии, он был одним из тех мальчишек, кому больше нравилось не играть с машинками, а разбирать их на части, чтобы понять их устройство.

Но О’Мурчу не намеревался становиться борцом с вирусами. Он начинал свою карьеру в колледже, прилежно изучая физику и химию, ради научной степени, которую он планировал получить, но, записавшись на один курс по компьютерам, он стал ими просто одержим и быстро променял лабораторию химиков на компьютерный класс. Хакинг был усиливающейся проблемой в университете, но О’Мурчу не рассматривал компьютерную безопасность в качестве возможной ступени своей карьеры, до тех пор, пока хакеры не взломали серверы, принадлежащие компьютерному клубу, и команде студентов было поручено их спасти. О’Мурчу был увлечен игрой в кошки-мышки, завязавшейся в результате работы, видя как злоумышленникам вновь и вновь удается перехитрить защитников и ворваться обратно.

Тот урок по преодолению цифровых барьеров пришелся кстати, когда он с группой друзей путешествовали по Штатам после колледжа, и с легкостью нашли себе заработок, тестируя интернет-киоски для стартапа в Сан-Диего. Их наняли на работу для того, чтобы проверить, смогут ли они обхитрить систему оплаты в киосках и получить к ним интернет доступ. Но вместо обычных пользователей интернета, компания получила группу продвинутых хакеров. O’Мурчу и его друзья должны были тестировать систему в течении нескольких недель перед тем, как компания установит эти киоски на улицах. Но команда друзей продолжала находить все новые и новые пути взлома платежной системы еще два месяца.

Следующую пару лет О’Мурчу провел путешествуя по свету, катаясь на сноуборде, вынашивая в себе желание попасть в сферу безопасности, но не имея ни малейшего плана о том, как это можно осуществить. Затем, в 2002 он получил работу в Брайтмейл, компании, занимающейся антиспам – фильтрацией, в Дублине. Он взялся за это лишь ради заработка на новые путешествия. Но когда в 2004 году Symantec выкупила эту компанию, у него появился шанс. Шанс попасть в сферу киберобороны. Во время базовой тренировки, которую офис Symantec в Дублине устроил для сотрудников Брайтмейл, О’Мурчу уже не терпелось познакомиться с разными департаментами компании. Больше всего он хотел увидеть команду исследователей вирусов, в которую он и надеялся попасть. Но в итоге, когда он встретил Эрика Чиена, американца, возглавлявшего команду исследователей, его мечта попасть туда резко рухнула. Он думал что, Symantec размещает сотни своих аналитиков по всему миру, и попасть в их число не так уж сложно. Но Чиен сказал, что в команде работают лишь шесть человек и все они находятся на этом месте уже долгие годы. “Никто не уходит” – сказал Чиен, – “Все любят свою работу”.

Это очень огорчило О’Мурчу. Он обучался аналитике и расшифровке вредоносного кода и писал крипторы, и когда через пару месяцев появилось большое количество новых шпионских и рекламных вредоносов, он был готов к тому моменту, когда Symantec решила расширить команду. Далее последовали 4 года его стажировки в Дублине – в том офисе, где компания до сих пор держит свою самую большую исследовательскую группу – пока не был переправлен в Калвер-Сити в Калифорнии в 2008.

За эти годы О’Мурчу и команда Symantec не раз работали над высококлассными и сложными угрозами. Но ни одна из них не была столь захватывающей и бросающей вызов, какой оказался Stuxnet.

При изучении главного файла Stuxnet, О’Мурчу столкнулся с несколькими уровнями шифрования и маскировки множества частей кода и внутреннего ядра. К счастью, первым уровнем оказался обычный упаковщик который было легко взломать.

Упаковщик – это инструмент для сжатия и искажения кода, который позволяет слегка усложнить задачу антивируса определить сигнатуру вируса, а эксперту мешает быстро понять, что именно делает код. Малварь проходит через упаковщик, где видоизменяется каждый раз. Один и тот же код, прогнанный через упаковщик тысячу раз создаст тысячу разных версий программы, хотя внутри это будет один и тот же код, выполняющий одними и те же функции. Антивирусные движки могут определить, был ли вредоносный файл пропущен через упаковщик, и на лету распаковать его, определяя реальную сигнатуру содержимого. Чтобы это обойти, более опытные программисты могут настроить обычный упаковщик так, чтобы сигнатуры распознавались сложнее. Но создатели Stuxnet не стали утруждать себя. Они использовали готовый упаковщик под названием UPX (Ultimate Packer for eXecutables), упаковщик исполняемых файлов, поддерживающий несколько различных платформ и форматов файлов. Это был пожалуй самый легкий шаг в анализе Stuxnet.

Однако, казалось странным: сделать одну часть малваря такой сложной – эксплоит нулевого дня и похищенные цифровые сертификаты, а другую содержащую обычный, самый распространенный упаковщик.

О’Мурчу предположил, что изначально цель использования упаковщика – просто сжать файлы и сделать их менее заметными. После распаковки основной модуль увеличился в размерах до 1.18 Мб.

После распаковки, О’Мурчу легко обнаружил строчки, касающиеся оборудования Siemens, которые до этого заметил Фрэнк Болдуин. Но важнее то, что он нашел основную зашифрованную часть кода, которой оказался большой файл .DLL в которой было тридцать шесть других .DLL файлов и компонентов внутри, упакованных в разных слоях шифрования, как матрешки. Также он нашел массивный файл конфигурации, в котором было более чем 400 конфигураций, в которых хакеры могли менять все, что угодно, от URL для командно-контрольных серверов, с которыми взаимодействовал Stuxnet, до количества устройств, которые вредонос должен заразить через USB флэшку перед тем, как USB эксплоит прекратит работу.1

Любопытно, что О’Мурчу так же нашел в файле дату окончания распространения вируса – 24 июня 2012 года. Каждый раз, встречая новое устройство, Stuxnet должен был проверять календарь на случай, не наступила ли эта дата. Если да, то Stuxnet должен был остановиться и более не заражать устройства. День остановки распространения был установлен на дату, через три года после того, как Stuxnet заразила свою первую цель – машину в Иране. К моменту установленной даты, цель злоумышленников предположительно должна была быть достигнута.2

Что показалось О’Мурчу наиболее интересным, так это сложный метод, которым Stuxnet скрывал свои файлы и вмешивался в работу зараженных машин.

О’Мурчу потребовался почти целый день, чтобы разобрать все эти детали. Закончив, он был поражен.

В ОС Windows код для выполнения простых операций, таких как открытие, чтение файлов или их запись на диск, хранится в .DLL файле операционной системы. Когда операционной системе или другим приложениям необходимо такое действие – программы запрашивают соответствующий код из системного .DLL, и код выполняется в памяти устройства. Обычные хакеры для своих целей могут попытаться сохранить код в .DLL Windows, но антивирусы распознают код, которого там не должно быть. Поэтому Stuxnet пошел дальше и помещал свой код прямо в память устройства, где его навряд ли бы нашла какая-либо антивирусная программа. Само по себе такое поведение не было чем-то особенным, ведь многие смышленые хакеры так уже делали – хранили свой код в памяти устройства. Но то, как это делал Stuxnet, по-настоящему удивляло.

Малварь, прячущийся в памяти, все равно вынужден запрашивать у системы дополнительный код из файлов, хранящихся на диске компьютера. Но антивирусные движки отлавливают эти запросы. В Stuxnet вся необходимая для функционирования информация хранилась внутри него самого, как виртуальные файлы с особыми именами. В обычной ситуации это бы не сработало, потому что, когда Stuxnet попытался вызвать этот код, операционная система не распознала бы имена или искала эти странно названные файлы на диске. Но Stuxnet “хукала”, то есть перехватывала запросы к части API Windows, интерфейсу между операционной системой и программами, поэтому, каждый раз, когда она искала эти файлы со странными именами – ОС просто отправляла запросы в Stuxnet, содержавшуюся в памяти и получала требуемый код. Если бы антивирусный движок что-то заподозрил в файлах из памяти и попытался бы их проверить, Stuxnet был готова и к этому. Так как он контролировала часть API Windows, ответственную за отображение файлов, он просто обводил сканер вокруг пальца, чтобы тот думал, что файлы пустые, по сути, сообщая ему: “Тут нечего смотреть, иди дальше”.³

Но и это было еще не все. Обычный малварь выполняет свой код довольно прямолинейно – просто запрашивает его и запускает. Но для Stuxnet это было слишком просто. Stuxnet создавался как машина Руба Голдберга, и вместо того, чтобы вызывать и использовать свой код напрямую, он “внедрял” его в другой блок кода, уже исполняемого процесса, затем брал код, который был запущен в этом процессе и помещал его в блок кода из другого процесса, чтобы скрыть свою работу.

О’Мурчу был изумлен объемом труда, который злоумышленники вложили в своё творение. С этим и рядом не стояли даже самые сложные малвари, которые он встречал за последние годы. Обычный создатель вирусов делал минимум работы, достаточной, чтобы запустить свой вирус и избежать его обнаружения, а здесь каждая деталь была продумана и работала, как швейцарские часы. Даже продвинутые китайские инструменты онлайн шпионажа рядом не стояли с теми технологиями, которые он увидел в Stuxnet. Изучив лишь первые 5 Кб из более чем мегабайта кода O’Мурчу начал волноваться все больше и больше.

Было ясно, что это был не обычный малварь и он требовал детального изучения. Но объем и запутанность кода означали, что потребуется целая группа людей для его расшифровки. И главный вопрос, который сейчас был на уме у О’Мурчу – должны ли они вообще заниматься этим? Никто не станет обвинять Symantec, если исследователи забросят этот код и займутся другими вещами. В конце концов, первостепенная задача любой антивирусной фирмы – это останавливать вирусы до того, как они запустятся или избавлять от них системы клиентов, если те оказалась заражены. А что именно вредоносный код делал с компьютером, оказавшись там – дело второстепенное.

Но даже при этом, их первостепенная задача сейчас застопорилась на этапе обнаружения, а любой клиент, заразившийся Stuxnet, все равно захочет узнать, что вирус сделал с его системой, даже если Symantec уже обнаружили и удалили все вредоносные файлы. Сумел ли она украсть учетные данные или важные документы? Изменил или удалил критически важные записи? О’Мурчу считал, что в его обязанности входило это выяснить.

Но то была не единственная причина, по которой он продолжил разбирать код. По правде, Stuxnet привлек его тем, что был огромной загадкой. Вирус был намного более сложным, чем просто инструмент для шпионажа. И намного более продуманным, чтобы быть творением обычных компьютерных жуликов.

К концу первого дня, О’Мурчу внес в свои заметки все, что уже выяснил и переслал это в офис Symantec в Токио, сожалея, что не имел в запасе больше времени. Команда из Токио проработала с кодом в отведенное им время, выявляя компоненты Stuxnet и проделывая высококлассный анализ кода, поэтому каждый приложил руку к общему делу.

Вернувшись в свой дом в Калифорнии, где он жил со своей девушкой-британкой рядом с пляжем в Марина дель Рэй, О’Мурчу попытался выкинуть код из головы, но не мог. Мысли о том, каким хитрым путем вирус захватывал систему, крутились у него в голове, не давая покоя. Его разум отказывался верить в то, что он видел это всё своими глазами. Чтобы успокоить свои сомнения, он вернулся в офис, хотел ещё раз взглянуть на код снова и убедиться во всем том, что он это действительно видел.

К утру понедельника ему не терпелось попасть в офис, встретиться с коллегой Эриком Чиеном и рассказать о том, что он нашел. Как и О’Мурчу, Чиен перебрался из офиса Symantec в Дублине в Калвер Сити и теперь был техническим директором команды безопасности Symantec. Чиен решил, что им следует позвать Николаса Фальера, молодого старшего инженера-программиста и аналитика из офиса Symantec в Париже, который был хорош в разборе кода. Втроем они разработали собственный план.

Stuxnet был огромен, с разными частями и компонентами. Но то, с чего очевидно стоило бы начать – это серверы управления и контроля. Поэтому, пока Фальер знакомился с той частью Stuxnet, которую O’Мурчу уже осмотрел – Чиен и О’Мурчу сконцентрировались на серверах.

Каждый раз, когда Stuxnet заражал систему, он “отзванивался” одному или двум интернет доменам, замаскированным под сайты для фанатов футбола – mypremierfutbol.com и todaysfutbol.com.

Названия доменов были зарегистрированы на фейковые имена и поддельные кредитки, указывающие на сервисы в Дании и Малайзии, которые выступали в качестве командно-контрольных станций в процессе атаки. Каждый раз, когда Stuxnet заражал устройство, он связывался с серверами, чтобы анонсировать свое достижение и передать разведданные о жертве. Эта коммуникация была зашифрована, чтобы предотвратить возможное прочтение кем-либо, но шифрование, которое использовали хакеры, было на удивление простым и легко вскрывалось. Как только О’Мурчу и Чиен его взломали они смогли увидеть, как Stuxnet передавала хакерам название устройства, доменное имя, так же как и внутренний IP-адрес, версию Windows, на которой работает устройство, и установлено ли на него целевое программное обеспечение Siemens.4

Все эти данные, по-видимому, помогали хакерам определить, приближалась ли Stuxnet к своей цели. Это было важно, потому что в ходе своей атаки действовали они, по сути, вслепую. Однажды запущенный, самораспространяющийся вирус типа Stuxnet жил сам по себе, и у хакеров не было бы никакого контроля над его перемещением. Данные, приходившие от него на сервер помогали хоть как-то отследить его путь, пока он пробирался сквозь сеть в поисках своей жертвы.

Из всей информации, которую Stuxnet докладывал своим хозяевам, самой важной были данные Siemens, поскольку как только становилось известно, что на устройстве, где оказалась Stuxnet не установлено программное обеспечение Siemens, он прекращал свою деятельность. Он заражал новые устройства, но не производил каких-либо действий на устройстве, где не было установлено программное обеспечение Siemens. Любая система без этого программного обеспечения становилась концом для Stuxnet.⁵

O’Мурчу связался с провайдерами сервиса DNS (системы доменных имен) насчет двух командно-контрольных доменов и попросил их остановить весь трафик, идущий к этим доменам и вместо них перенаправить его в “воронку” – компьютер Symantec, предназначенный для приема такого трафика. Провайдеры DNS – это “регулировщики” интернета, отвечающие за то, чтобы e-mail и браузеры достигают своего назначения, поэтому каждый раз, когда кто-то набирает “ny-times.com” в своем браузере или кликает на ссылку, DNS подсказывает какой именно IP адрес стоит за тем или иным именем.⁶

Путем перенаправления трафика в эту воронку, специалистам можно было получить актуальные данные, которые Stuxnet, отправлял своим хозяевам. К утру вторника 20 июля поток трафика уже отправлялся в воронку.

С того момента, как каждое зараженное устройство стало “отзваниваться” и передавать данные, О’Мурчу и Чин начали сопоставлять домены и страны, откуда шла информация, которую теперь можно было изучить, выделить сходства и закономерности, определить количество жертв, использующих программное обеспечение Siemens. К концу недели более 38 000 зараженных устройств из десятков стран передали данные в воронку и со скоростью 9 тысяч новых зараженных в день, это число продолжало расти. В конце концов они могли отслеживать более ста тысяч вирусов в более чем ста государствах.⁷ Stuxnet по-прежнему распространялся, несмотря на то, что антивирусные организации уже выявили и начали “засекать” сигнатуру этого вируса, а во многих зараженных устройствах еще не было установлено новейшее антивирусное обеспечение. Среди зараженных устройств, “отзванивающихся” в “воронку”, попался ПК из одной антивирусной фирмы-конкурента, где исследователи все еще запускали Stuxnet на своих испытательных стендах.

С тех пор, как О’Мурчу и Чин стали отмечать географическое расположение каждого зараженного устройства, проявилась любопытная закономерность. Из 38 000 зараженных машин, которые изначально были отслежены, 22 000 располагались в Иране. На втором месте шла Индонезия со 6700 зараженными, а затем следовала Индия с цифрой в 3700. В Штатах было обнаружено менее 400 зараженных, а у остальных эта цифра была и того ниже. И лишь небольшое число устройств среди всех зараженных имели установленное обеспечение Siemens, которое так же преобладало в Иране – 217, в сравнении с США – там было всего 16. ⁸

Ситуация с этим вирусом не совпадала с предыдущими моделями вспышек во всем мире – Иран никогда не был впереди всех.

Даже во вспышках, которые начинались на Ближнем Востоке или в Центральной Азии, Иран никогда не поднимался в топ чарта. Становилось понятным, что это была целенаправленная атака, ориентированная на Исламскую Республику. Но, если атакующие были нацелены на устройства с установленным обеспечением Siemens, то получается, что Stuxnet ушел далеко за пределы своей цели. И почему он распространялся глубже в Индию и Индонезию, чем в Соединенные Штаты или в Европу? Что эти три государства могли иметь общего, что заставило вирус сконцентрироваться именно там? Имея деньги и время, которые очевидно были затрачены на разработку вируса, эти ребята были явно не из тех, кто собирался красть рецепты лекарств или секреты производства с какого-нибудь автомобильного завода, как предположил Болдевин. Атакующие, должны были нацеливаться на кражу сведений о критической инфраструктуре, или , возможно, стратегически важной для региона политической информации. Программное обеспечение Siemens, которое искал Stuxnet, использовалось на промышленных заводах и в системах критической инфраструктуры. Чиен провел небольшой поиск в Google касаемо Ирана и Индии, чтобы понять, что же в них может быть общего и обнаружил недавние новости о газопроводе, проложенном специально, чтобы соединить эти два государства. Газопровод “Мир”, включающий в себя 1700-мильный газопровод, проложенный через Южный Парс, крупнейшее нефтегазовое месторождение на юге Ирана, и идущий из Пакистана в Индию, он сильно противоречил планам и интересам США. Этот проект преодолел множество взлетов и падений за все годы смен политических настроений и вопросов финансирования, от которых Индия в 2009 году отстранилась под давлением США, но в мае 2010, лишь за два месяца до обнаружения Stuxnet, Индия вновь присоединилась к проекту. В тот же месяц Иран должен был начать проектирование и строительство завершающей части газопровода.

Но и еще кое-что пестрило в заголовках об Иране – их быстро расширяющаяся ядерная программа. Иран собирался запускать свой ядерный реактор в Бушере, на юге страны, что уже на протяжении многих лет было источником сильного напряжения между Израилем и странами Востока. Но даже более противоречивым, чем ядерный реактор был уранообогатительный завод в городе Нетанз, который был построен для того, чтобы снабжать реактор ядерным топливом. ООН голосовала за санкции против завода в Иране, и здесь даже шли разговоры о возможной воздушной атаке против строительства этого завода.

В связи с этим стала вырисовываться тревожная геополитическая картина. Загадочная сущность самого кода, плюс кража данных, а так же лидерство Ирана в числе этой вспышки зараженных наводило на мысли о том, что все это продукт тайного правительственного шпионажа, который явно вышел из-под контроля. С пониманием того, что что-то в Иране являлось мишенью, можно было определить небольшой список вероятных подозреваемых – Израиль, Китай, Россия или США.

Чиен попытался представить возможные последствия. Если Stuxnet был продуктом тайной правительственной организации, а конкретно Соединенных Штатов, это делало наличие их “воронки” для сбора данных чем-то особенно дерзким. Отлавливая те данные из зараженных устройств из Ирана, которые предназначались атакующим, они, вероятно, попали в эпицентр международного события и даже могли поспособствовать срыву секретной операции. Потенциальные последствия были просто пугающими.

Но Чиен не мог просто остановиться на этом. В работу Symantec не входила помощь в защите скрытых государственных операций, какая бы страна за этим не стояла. Их задачей было защитить устройства своих клиентов. И не важно, кто запустил этот код, и какая цель преследовалась. Если этот код продолжает заражать клиентов, он должен быть остановлен. Несмотря на то, что устройства, зараженные в Иране, где у Symantec не было клиентов, были основной мишенью этого вируса, Stuxnet так же добрался до сотен машин в других странах, и по-прежнему, оставался на воле, продолжая заражать все больше и больше жертв. Так же непонятным все еще оставалось то, как этот малварь мог воздействовать на нецелевые устройства.

Нельзя было исключать вероятность и того, что Иран мог сам быть источником атаки, а не целью. Возможно, иранские инженеры создавали Stuxnet, чтобы проникнуть в компьютеры США, но потеряли контроль над своей же разработкой, из-за чего произошли все эти заражения в самом Иране. Если он доберется до критических систем в Штатах – до электростанции, системы управления плотиной или железной дорогой – что тогда может произойти?

O’ Мурчу и Чин решили, что должны поторопиться.

Какими бы не оказались политические последствия, надо было еще раз это всё рассмотреть.

Сноски, ссылки и используемая литература:

1. Эксплоит .LNK на USB флэшке был распространял Stuxnet лишь на три новых устройства, а затем останавливался и стерал файлы с этой флэшки.

2. Доказательства, обнаруженные в Stuxnet, которую исследовал Symantec, указывали на то, что первое заражение в Иране произошло 23 июня 2009 г.

3. Николас Фальер, Лиам О’Мурчу и Эрик Чин, “W32. Stuxnet Dossier” (отчет, февраль 2011) 13-15, доступно на symantec.com/content/en/us/enter-prise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf. Детальный отчет от Synantec, описывающий технические функции Stuxnet, и на что направлена каждая функция кода.

4. Доменное имя устройства и внешний IP-адрес, выходящего в интернет – может резолвится в название организации или компании, владеющей зараженным устройством, основываясь на том, кому принадлежит блок IP адресов, куда входит и адрес этого устройства. Это помогало специалистам определять, как быстро и как далеко распространяется Stuxnet. С другой стороны, внешние IP адреса – те адреса, которые компании устанавливают на устройства намеренно, чтобы обозначить их самих и трафик, проходящий между ними. Эти IP адреса могли бы оказаться очень полезными, если бы у атакующих была схема компании, на которую осуществилась атака, которая могла бы быть украдена из устройства системного администратора, на которой отображались бы внешние IP адреса каждого устройства из этой сети. Если бы это был как раз такой случай, хакеры могли бы прокладывать дорогу для Stuxnet, которая продвигалась бы по сети, заражая устройство за устройством, подключенным к сети, докладывая каждый раз в коммандно-контрольные серверы о каждом новом заражении. Что же касается имен компьютеров, они могли бы помочь хакерам определять, какому работнику или рабочей группе в компании, владеющей этими компьютерами, принадлежал тот, что удалось заразить. Например, одно устройство называлось GORJI-259E4B69A, а другое PEYMAN-PC. Но некоторые компьютеры обьединялись под одним одинаковым именем: “ADMIN-PC”, “USER-PC”, или “home-laptop”, что усложняло процесс их идентификации.

5. Александр Гостев, главный антивирусный эксперт лаборатории Касперского в России, обнаружил, что Stuxnet отправила в коммандный сервер файл – под названием Oem6c.pnf – который указывал не только, какая программа Siemens была установлена на компьютере (Siemens Step 7 программное обеспечение или WinCC программа, которую операторы используют, чтобы отображать данные на программируемых логических контроллерах), но так же отображала список проектных файлов Step7 на устройстве и строку пути, показывающую, где именно на компьютере эти файлы расположены. Проектные файлы Step7 содержали команды программирования для ПЛК (программируемых логических контроллеров). Гостев подозревал, что каждый раз, когда хакеры находили проектные файлы на устройстве, они могли посылать отдельный инструмент в это устройство, чтобы похитить файлы и исследовать их на наличие данных конфигурации и понимать, добралась ли Stuxnet до того устройста, которое им было нужно.

6. Провайдеры DNS уже перенаправили трафик, идущий двум главным доменам, таким образом, что он отправлялся в никуда на тот момент, когда Symantec к ним обратилась. Они направляли трафик на IP адрес 127.0.0.1, который обычно используется, для пересылки обратно к отправителю.

7. Цифра в 100 000 – это то число, которое Symantec отследила за первые шесть месяцев после обнаружения Stuxnet. Но итоговое число заражений, основанное на цифрах, которые обнаруживали другие антивирусные компании, превосходит 300 000, согласно лаборатории Касперского.

8. На слушаниях в Сенате США в ноябре 2010 Дин Тернер, директор подразделения Symantec Security Response Global Intelligence Network, заявил, что число заражений в Штатах на тот момент достигло 1600. Из них 50 устройств имели установленное ПО Siemens WinCC.

Глава 3. Натанз.

       В то время как Чиен и О’Мурчу размышляли о своей новой роли на международной политической арене, в тысячах километров от их уютных офисов, в Иране, лучшие технические специалисты страны все еще боролись с проблемами, случившимися с их центрифугами. Несмотря на то, что тысячу из них были заменены всего месяц назад, они работали только на 45-66 процентов мощности, а количество подаваемого уранового газа было много меньше того, что они могли обогащать. Инспекторам МАГАТЭ было неясно, были проблемы вызваны естественным проблемами расширения завода, его совершенствованием – все-таки Натанз начал обогащать уран еще в 2007, и с тех пор работники только увеличивали количество центрифуг – или происходило что-то по истине зловещее. Последнее не оказалось бы сюрпризом. Натанз был объектом пристального международного внимания, и ни для кого не было секретом то, что многие делали все возможное, чтобы закрыть завод. По правде говоря, они пытаются сделать это в течении последних десяти лет.

Древний город Натанз расположен примерно в двухстах милях на юг от Тегерана, и является домом для святилища суфийского шейха тринадцатого века Абд Аль-Самада Исфахани, модели ранней персидской архитектуры с элегантными терракотовыми кирпичами и причудливыми узорами, вымощенными кобальтовой плиткой. Несмотря на то, что он находится на краю пустыни Деште-Кевир в тени гор Каркас, возвышенный город-сад имеет бодрящий горный климат и полон природных источников. Он давно известен своими плодородными садами, и в частности сочными грушами. Но 14 августа 2002 его начали узнавать не по чудо-садам. В этот день Национальный совет сопротивления Ирана (NCRI), коалиция иранских оппозиционных групп в изгнании, созвали пресс-конференцию в отеле Willard InterContinental в Вашингтоне, округ Колумбия, в двух кварталах от Белого дома, чтобы объявить о начале строительства Ираном тайного ядерного объекта вблизи Натанза.

 Около двух десятков журналистов и членов остальных неправительственных организаций собрались в комнате этажом ниже, чтобы услышать, о чем будет идти речь. Среди них была 29 летняя блондинка по имени Кори Хиндерштейн, работавшая в Институте Науки и Международной Безопасности (ISIS), в некоммерческой группе по запрету распространения ядерного оружия, которая отслеживала ядерную деятельность как в Иране, так и в других странах.

Когда гости расселись, а оператор из C-SPAN занял свою позицию в задней части комнаты, Алиреза Джафарзаде, представитель иранской группы, не терял времени на длинные разглагольствования. «Хотя на поверхности основная ядерная деятельность Ирана вращается вокруг АЭС в Бушере…» – он тихо говорил в микрофон, – «на самом деле, многие секретные ядерные программы работают без какого-либо разглашения. Сегодня, я собираюсь раскрыть вам два сверхсекретных объекта иранского режима, которые нам удалось сохранить в секрете до сегодняшнего дня.»

Хиндерштейн и остальные замерли во внимании.

Ядерный энергетический реактор в Бушере, старинном прибрежном городе с видом на Персидский залив, строился на протяжении 30 лет. Это был один из трех объектов, которые Иран определил как ядерный, в соответствии с соглашением о гарантиях МАГАТЭ, которое отслеживает ядерную деятельность по всему миру, дабы убедиться что такие страны как Иран не используют промышленные ядерные объекты для тайного производства ядерного оружия.

В течении многих лет Иран настаивал на том, что его программа в Бушере, которая должна была начаться в 2005 году, носила исключительно мирный характер.2 Но уже продолжительное время в Иране ходят слухи об использовании секретного ядерного оборудования, в том числе о его использования в целях создания материала для ядерного оружия. В 2001 году источники правительства США и других иностранных правительств сообщили коллегам Хиндерштейн, что в Иране существуют секретные ядерные объекты. К сожалению, они не предоставили никаких подробностей, которые хоть как-то помогли бы им провести расследование. Теперь было похоже на то, что Джафарзаде и его группа сами могут подкинуть доказательств, в которых так нуждался ISIS.

 Джафарзаде, его верхнюю губу покрывали густые темные усы, раскрыл названия тех самых двух секретных ядерных объектов, они оба находились далеко к северу от Бушера. Одним из них оказался завод по производству тяжелой воды, построенный на берегу реки Кара-Чай (Qara-Chai) недалеко от Арака. «Любой, кто имеет какие-либо планы в отношении ядерного оружия, определенно хотел бы иметь подобный завод» – продолжал говорить он.

Другим был завод по производству ядерного топлива, построенный недалеко от старого шоссе, соединяющее город Натанз с городом Кашан. Это было совместное дело рук Иранской организации по атомной энергетике (AEOI) и Высшего совета национальной безопасности Ирана. С целью скрыть истинное предназначение завода, были созданы подставные компании, которые тайно закупали необходимые материалы и оборудование. Одной из них была компания Kala Electric (также известная как Kalaye Electric Company), которая позже, предположительно, была заражена компьютерным червем Stuxnet.

Строительство комплекса в Натанзе, который, по словам Джафарзаде, охватывал 100 тысяч квадратных метров земли и стоил 300 миллионов долларов, началось в 2000 году и должно было завершиться через 3 месяца, после чего, должен быть готов к установке оборудования. История для прикрытия завода заключалась в том, что якобы, это был проект по ликвидации пустыни. Но если бы это было правдой, то это был, видимо, чрезвычайно важный проект по ликвидации пустыни, иначе зачем бы это место месяцем ранее посещал бывший премьер-министр, а глава Организации по атомной энергетике Ирана(ОАЭИ) совершал ежемесячные визиты, чтобы следить за проектом. Рабочим на заводе также не разрешили обсудить проект с местными чиновниками. По словам Джафаразаде, недавно, между ОАЭИ и канцелярией губернатора Кашана разгорелся серьезный спор, поскольку ОАЭИ отказалась обсуждать информацию об объекте с офисом. Также, когда заместитель генерал-губернаторства провинции попытался посетить строительную площадку в Натанзе, его туда не пропустили.

Во время того, как Джафаразаде раскрывал подробности проекта, указывая на плакаты у входа в комнату, показывающие сеть подставных компаний и отдельных лиц, которые руководили проектом, Хиндерштейн не отрывалась от своего блокнота. С учетом общего расположения указанных объектов, а также названий и адресов подставных компаний, это были первые убедительные доказательства, полученные ISIS в отношении незаконной ядерной программы Ирана, которые можно было бы проверить.

           Хиндерштейн продолжала внимательно слушать. Иран подписал Договор о нераспространении ядерного оружия, и в соответствии с соглашением о гарантиях с МАГАТЭ он был обязан сообщить о создании любого ядерного объекта за 180 дней до ввода ядерных материалов на площадку, чтобы инспекторы могли начать мониторинг. Если завод в Натанзе должен был открыться через 90 дней, то группа Джафаразаде как раз вовремя раскрыла информацию для инспекторов МАГАТЭ, чтобы те получили доступ к объекту перед его открытием.

Все это вызвало вопросы о том, как NCRI получила в свои руки сверхсекретные сведения, которые, казалось бы, сколько лет ускользали от ведущих шпионских агентств мира. На это Джафарзаде отвечал тем, что его группа получала информацию от людей из Ирана, которые были непосредственно связаны с проектом, а также путем обширных исследований его группы. Но более вероятно, что информация исходила от американских или израильских спецслужб.5 С Израилем уже была история утечки разведданных, вероятно, чтобы повлиять на общественное мнение в стране, не впутывая туда политику. Естественно, Израиль был страной, которая больше всего боялась ядерного оружия Ирана, но у него были очевидные проблемы, поскольку он сам долгое время поддерживал свою собственную секретную программу создания ядерного оружия, которую он никогда публично не признавал.6 По этой и другим причинам Израиль проводил свои политические махинации, что называется, за кулисами, передавая информацию западным правительствам, МАГАТЭ и таким группам как группа Джафарзаде.

Если слитая информация поступала все-таки из Соединенных Штатов или Израиля, то группа Джафаразаде была довольно странным выбором для предоставления им информации. NCRI была политическим рычагом моджахедов Халк (Khalq), или МЕК, иранской оппозиционной группы, когда-то известной за свою антиизраильскую и антиамериканскую позицию. Их обвиняли в убийстве шести американцев в Иране в 1970-х годах, а также подрыве бомб в Иране в 1981 году, в результате чего погибло более 70 человек, включая иранского президента и премьер-министра. Эта группа вошла в список террористических организаций Госдепартамента США в 1997 году, но с тех пор пыталась восстановить свой имидж, с целью выйти из этого списка. Помощь в раскрытии секретных ядерных объектов в Иране, несомненно, сыграет большую в роль в достижении этой цели. 7

В прошлом, NCRI предъявляла провокационные претензии в отношении ядерной программы Ирана, но многие из них все же оказались ложными. Так что теперь к их заявлениям имелось много вопросов. Джафарзаде определил объект в Натанзе как завод по производству топлива, но это вообще не имело смысла для Хиндерштейн и ее коллег из ISIS. Иран уже планировал построить завод по производству топлива недалеко от Натанза, поэтому было бы нелогично располагать два топливных завода так близко. Тем не менее, журналисты были готовы принять эту информацию как истинную. Однако, Хиндерштейн все-таки желала удостовериться в информации, решив позже просмотреть снимки со спутников, сможет ли она найти на них хоть какие-то доказательства строительства, которые соответствуют описанию Джафарзаде.

 Хиндерштейн работала в ISIS вот уже как 6 лет – она пришла туда сразу после окончания колледжа – и скоро стала ее постоянным экспертом по спутниковым изображениям, новому инструменту, который недавно стал доступен для таких групп, как ее. На протяжении десятилетий спутниковые снимки, а особенно изображения с высоким разрешением, были доступны лишь правительству и спецслужбам. Единственная возможность, по которой кто-либо мог посмотреть на изображения из космоса, предоставлялась лишь когда правительственные агентства или исследовательские институты решили обнародовать их лично, что, в принципе, случалось очень редко. Изображения стали доступными широкой публике лишь в середине 90-х, но и те были в плохом качестве. И лишь еще несколько лет спустя, стали появляться изображения с разрешением 1.6 метра – разрешение, с которым можно было четко рассмотреть детали фото.

ISIS был первой неправительственной организацией, которая инвестировала большие средства в дорогостоящее программное обеспечение, необходимое для анализа изображений, с самого начала осознавая важную роль, которую оно могло сыграть в их работе. Первый опыт анализа спутниковых изображений для Хиндерштейн состоялся в 1998 году, сразу после того, как Пакистан провел 6 подземных ядерных испытаний в ответ на подземные ядерные взрывы, проведенные Индией. Работая на первых порах со специалистом по спутниковым изображениям, она обрела ценный опыт – распознавать пиксельные объекты, интерпретировать тени и градации, чтобы на основании этих данных понимать глубину ландшафта на двухмерных изображениях.

Через приблизительно 2 месяца после пресс-конференции, вооруженная словами Джафарзаде и обширными дополнительными   исследованиями, Хиндерштейн вошла в свою учетную запись в Digital Globe, один из двух коммерческих провайдеров спутниковых изображений в Соединенных Штатах, чтобы просмотреть архивы с доступными изображениями со спутников.8 Сегодня спутники сделали снимки абсолютно всей поверхности Земли, а все они доступны через такие интернет-сервисы как, например, Google Earth. Но в 2002 все было куда труднее, чтобы посмотреть спутниковые изображения, например, компании Digital Globe, нужно было, чтобы одна из правительственных спецслужб поручила компании сфотографировать какой-то участок, или чтобы Digital Globe сделала снимки по собственной инициативе, например, Ниагарского водопада или Гранд-Каньона, то есть изображения, которые точно будут хорошо продаваться. Заказ изображения, которого не было в архиве стоил порядка 10 тысяч долларов, но если нужное изображение уже имелось, то приобрести его можно было в половину, либо треть цены.

Интерфейс Digital Globe, который использовала Хиндерштейн, чем-то напоминал Google Maps, при наведении курсора на место с уже существующим снимком всплывали небольшие серые квадратики. Если щелкнуть на серый квадратик вы получите изображение для предпросмотра, никуда не годящееся по качеству. Чтобы лицезреть полное изображение с разрешением 1.6 метра, что означало что 1 пиксель показывал 1.6 метра земли, вам пришлось бы его купить.

           Хиндерштейн зашла в Digital Globe и начала искать на карте мира нужный ей Иран. Она не могла поверить своей удаче, когда обнаружила на месте необходимых ей Натанза и Арака серые квадратики, изображения этих мест уже имелись в архиве. Джафарзаде в своем спиче не назвал точных координат, поэтому Хиндерштейн пришлось сначала найти на карте Digital Globe Арак, а затем, понемногу отдаляя камеру, медленно двигаться подальше города, пока над ним не появился тот самый серый квадратик. Нажав на изображение, стало сразу ясно, что на нем изображен именно завод по производству тяжелой воды, как и описывал Джафарзаде. В ISIS уже видели такой завод в Пакистане, еще пару лет назад, и этот был очень на него похож.

Когда она исследовала район Натанза, она нашла два возможных места, где были доступны изображения. Приближая камеру на каждый из участков, всплывало еще по 3 серых квадратика, что означало что на этот участок имелось несколько изображений. Это выглядело как будто кто-то нарисовал ей огромную стрелку, направляющую ее к этим местам. По датам на изображениях, 16 и 26 сентября было ясно, что они были сделаны спустя 1-2 недели после конференции Джафарзаде. Было очевидно, что кто-то другой искал ту же информацию, что и она. Хиндерштейн подозревала, что это дело рук МАГАТЭ. В прошлом году МАГАТЭ создало собственную лабораторию анализа спутниковых изображений, и для агентства имело бы смысл сделать эти снимки после откровений Джафарзаде.9

Хиндерштейн кликнула на серые квадратики на одном из объектов и быстро поняла, что на ядерный объект это место мало смахивает. В районе 100 тысяч квадратных метров вокруг ничего не было, как и говорил Джафарзаде, но здание на фото было больше похоже на какое-либо очистное сооружение, водоочистное, скорее всего. Ядерному топливу там нечего делать. Другой объект, однако, был куда более подозрительным. Он был много больше предыдущего, а на его территории были явные знаки продолжающихся раскопок. Несмотря на довольно плачевное качество изображений, Хиндерштейн все-таки смогла увидеть там несколько сгруппированных вместе зданий и пару больших насыпей недавно выкопанной земли, все это было окружено двумя секциями забора

Она также подметила тот факт, что к объекту ведет только одна дорога, а значит, скорее всего, доступ в этот район ограничен.

Эти изображения Хиндерштейн приобрела и начала изучать их, уже в куда более хорошем качестве. Теперь она также видела многочисленные трубы, выложенные на земле и большие кучи гравия для замешивания бетона. На территории также была кольцевая развязка, которую уже успели частично проложить. Но изучив изображение еще тщательнее она заметила что-то по-настоящему подозрительное. По словам Джафарзаде, это был завод по производству топлива, но производство топлива представляет собой сугубо промышленный процесс, и как правило, на таких заводах должны быть наземные сооружения с большими дымовыми трубами. На этом же участке, дымовых труб не было вовсе, и кроме того, было три больших здания, которые были построены глубоко под землей, с туннелем, соединяющим их. Здания были на финальной стадии строительства. Мимо ее глаз также не прошел и ряд круглых бетонных площадок, расположенных по всему периметру, предположительно для установки туда зенитных орудий.

 Изображения были получены в самый подходящий момент, чтобы как раз поймать иранских рабочих, которые все еще находились на процессе покрытия крыш подземных зданий несколькими чередующимися слоями земли и цемента. Будь эти снимки сделаны буквально несколько недель спустя, и их уже не было видно сверху, не было бы никаких признаков их существования. Кто-то тщательно спланировал съемку Натанза как раз в тот момент, чтобы собрать максимально компрометирующие улики.

Два из трех подземных зданий были размером с полдюжины футбольных полей, и были сильно укреплены бетонными стенами толщиной от 6 до 8 футов. Иранцы явно пытались защитить здания от возможного авиаудара. Туннель, соединяющий здания, был построен в форме U вместо просто прямой линии – обычный прием, таким образом предотвращается попадание осколков ракет из одного здания в другое.

С этими изображениями Хиндерштейн явилась к своему боссу, Дэвиду Олбрайту, физику и бывшему инспектору по вооружению в Ираке, который и основал ISIS. Теперь они оба убедились в том, что объект не являлся заводом по производству топлива. У Ирана не было никаких оснований строить его под землей, поскольку ни у кого не было бы особой заинтересованности в его бомбардировке. Они пришли к выводу, что единственное логическое заключение, которое объяснило бы подземное строительство и бетонные площадки для зенитных орудий, было то, что это был скрытый завод по обогащению урана, который они и искали.

Это был обычный тихий день в Вене, пока новости с пресс-конференции Джафарзаде не попали к Олли Хайеонену в штаб-квартиру МАГАТЭ, которая имела красивый вид на реку Дунай. В августе большая часть Европы была в отпуске, и Вена не была исключением. Босс Хайнонена, доктор Мохаммед аль Барадей, генеральный директор МАГАТЭ, был в отпуске в Египте, да и большинство сотрудников также в городе не было. Так что Хайнонен, финн пятидесяти лет, с очками в тонкой проволочной оправе и мальчишеской шевелюрой из рыжевато-коричневых волос, был один в своем кабинете, когда читал новости. Он был начальником отдела Б департамента охраны, и работал с делом Ирана всего 3 месяца, перед этим несколько лет будучи главным инспектором агентства в Северной Корее и других частях Азии. Для него это дело было словно возвращение домой, поскольку он управлял кейсом МАГАТЭ в Иране в период с 1992 до 1995 года. Шикарный персидский ковер, отмечавший тот период его жизни, все еще украшал его кабинет.

Ветеран ядерной инспекции Хайнонен состоял в МАГАТЭ с 1983 года, куда он пришел после центра ядерных исследований в Финляндии. Имея докторскую степень по радиохимии в Государственном университете Хельсинки, он имел куда более высокий уровень знаний, нежели его предшественники в МАГАТЭ, которые, как правило, имели лишь небольшую научную подготовку. Он также имел репутацию довольно уверенного и твердого решимости человека, который давал понять странам, которые он инспектировал, что он не очень любил игры в кошки-мышки.

Когда он увидел в новостях откровения Джафарзаде, он был поражен уровнем детализации раскрытых данных. Хайнонену как раз нужна была информация на подобие этой. Как и его коллеги из ISIS он сразу же заподозрил в объекте, строящемся в Натанзе, завод по обогащению урана. Двумя годами ранее правительственные источники сообщили МАГАТЭ о попытке Ирана тайно закупить детали из Европы для производства центрифуг для обогащения урана.10 Исходя из этого, Хайнонен предположил, что на территории Ирана должен быть завод по изготовлению центрифуг, но он и знать и не знал о его местоположении, да еще и МАГАТЭ не могло предъявить иранцам, не раскрывая источника разведданных. К тому же МАГАТЭ опасалось действовать на основании информации, полученной из правительственных источников, с тех пор, как разведывательное агентство сообщило МАГАТЭ в 1992 году, что Иран тайно закупал запрещенное ядерное оборудование, но при этом не уточняло никаких подробностей. В личной стычке МАГАТЭ и Ирана, представители последнего отвергали все претензии в свою сторону, предлагая инспекторам посетить их ядерные объекты, дабы убедиться в невиновности Ирана. Но так как у инспекторов не было никаких веских доказательств, те в итоге улетели с Ирана с пустыми руками.

Однако в этот раз информация немного отличалась. Она была обнародована, поэтому Хайнонену не нужно было скрывать источник данных, а сама информация включала в себя точные и конкретные детали с указанием реальных объектов и их местоположений. Это означало только одно, теперь МАГАТЭ сможет лично проверить объекты и потребовать, чтобы Иран открыл их для инспекции.12

Хайнонен поднял трубку рабочего телефона и позвонил боссу в Египет, который дал согласие на немедленное отправление письма Али Ахбару Салехи, послу Ирана, с требованием объяснить, что Иран делает в Натанзе. Салехи был возмущен обвинительным тоном письма, особенно тем, что МАГАТЭ ссылается на непроверенные данные, которые поступили от известной террористической группировки. Голамреза Агазаде, вице-президент Ирана и глава его Организации по атомной энергетике, сказал МАГАТЭ, что страна никак не скрывает объект в Натанзе, а просто планировала сообщить о его существовании на более позднем этапе строительства.13 «Если бы МАГАТЭ было немного терпеливее, вы бы скоро и сами все узнали», – писал он. Пока что, он скажет лишь то, что Иран планирует построить несколько атомных электростанций в течении следующих 20 лет, и нуждается в ядерном топливе для их эксплуатации. Он не уточнил, что Натанз это завод по обогащению урана, который нужен для производства такого топлива, об этом он, видимо, хотел заявить позже.

МАГАТЭ настаивало на том, чтобы Иран немедленно открыл Натанз их инспекторам, и после небольших терок иранские представители неохотно согласились, назначив встречу на октябрь. Но как так только агентство собралось вылетать, Иран отменил визит, заявив, что на данный момент, это невозможно, в итоге, встречу перенесли на декабрь. И вот наступил декабрь, а иранцы все так же отклоняли инспекцию объекта в Натанзе. Хайнонен подозревал, что Иран таким способом выигрывает для себя время, дабы очистить завод от возможных улик.

Когда об оттягивании Ираном времени уведомили основателя ISIS Дэвида Олбрайта, тот решил передать спутниковые снимки в СМИ, оказав таким образом давление на Иран, в надежде, что те все-таки откроют Натанз для инспекции. Неудобные изображения секретных объектов уже транслировались по всему миру. 12 декабря CNN опубликовала сюжет с изображениями со спутников, предоставленными ISIS, заявляя, что Иран, как они полагают, уже заканчивает строительство завода по обогащению урана в Натанзе, который может быть использован для производства некоего расщепляющегося элемента, необходимого для ядерного оружия. С того момента в правительстве Ирана на распорядке дня стоял лишь один вопрос: как дать отпор этим заявлениям. Посол Ирана в ООН отрицал любые факты существования в стране программы создания ядерного оружия, и сообщил CNN что «все объекты, изображенные на спутниковых изображениях, предназначены для мирных программ создания ядерной энергии, а не вооружения».14

И все-таки многочисленные новостные репортажи дали желаемый результат: иранские представители власти обязались открыть объект для инспекции МАГАТЭ в феврале.

Ядерная деятельность Ирана фактически началась более сорока лет назад. Ее корни уходят далеко в прошлое, еще во время режима шаха Мохаммеда Раза Пахлави, в то время Соединенные Штаты и другие западные страны полностью поддерживали ядерные устремления Ирана.

Иран начал свою публичную и утвержденную многими странами ядерную программу в 1957 году, более чем десять лет спустя после того, как США взорвали свои первые атомные бомбы над Японией. Это было еще то время, когда все стремились вступить в ядерный «клуб», основанный Америкой. Стремясь перенаправить амбиции этих стран, администрация Эйзенхауэра продвигала так называемую программу «Атом для Добра», в рамках которой страны получат помощь в разработке ядерных технологий, при условии, что они будут использовать их в исключительно мирных целях. В рамках этой программы, Иран подписал соглашение с США о получении помощи в строительстве легководного исследовательского ядерного реактора в Тегеранском университете. Соединенные Штаты также согласились поставлять обогащенный уран для его работы.15

Но, несмотря на усилия США ограничить разработку ядерного оружия другими странами, после войны в элитный ядерный клуб вступили еще четыре страны – Советский Союз, Великобритания, Франция и Китай. Дабы как-нибудь контролировать безумный процесс наращивания ядерной силы, в 1960-х годах был разработан Договор о нераспространении ядерного оружия. Согласно ему, свободные от ядерных разработок страны не следовали примеру ядерного клуба, и работали над сокращением вооружения, если таковое в стране все же имелось.

В соответствии с договором мир поделился на ядерные и неядерные страны. Последним будет оказана в разработке промышленных ядерных программ, в случае если они откажутся от разработки ядерного оружия, а также согласятся на регулярные инспекции МАГАТЭ для обеспечения уверенности в том, что материалы и оборудование, предназначенные для промышленных программ, не были направлены на разработку ядерного вооружения. Однако проблема в этом механизме заключалась в следующем, многие компоненты и установки для промышленных ядерных программ имели двойное назначение и могли также использоваться в программе создания ядерного вооружения, что значительно затрудняло контроль над страной. Как однажды сказал Ханнес Альвен, шведский лауреат Нобелевской премии по физике: «Атомы мира и атомы войны – сиамские близнецы».

Иран стал одной из первых стран, подписавших договор в 1968, и к 1974 году он создал собственную Организацию по атомной энергетике и разработал грандиозную схему строительства 20 ядерных реакторов, заручившись при этом поддержкой Германии, Соединенных Штатов и Франции, которые так же выигрывали в этой сделке, продавая огромные партии необходимого оборудования шахскому режиму. Первые два реактора должны были строиться в Бушере. В 1975 году немецкие инженеры дочерней компании Siemens Kraftwerk Union начали реализацию проекта общей стоимостью 4.3 миллиарда долларов, который должен был завершиться в 1981 году.17

Уже в то время были опасения, что ядерное оружие может стать эндшпилем Ирана.  Сам шах намекал на то, что его ядерные цели носят не только мирный характер, утверждая в интервью, что Иран получит ядерное оружие «без сомнения… раньше, чем можно подумать», если условия на Ближнем Востоке сделают это необходимым.18 Но американские лидеры не слишком беспокоились сложившейся ситуацией, ибо считали шаха другом, и видимо, считали что конец его режима не настанет никогда.19

Однако этот день наступил довольно быстро, когда в 1979 году разразилась Исламская революция. Как раз достраивалось одно из реакторных зданий в Бушере. Революционеры, свергшие шаха и захватившие власть во главе с Рухоллой Мусави Хомейни, присматривались к реакторам-гигантам, строящимся с Бушере, как к символу союза шаха с Западом. Соединенные Штаты, встревоженные нестабильной политической ситуацией, отказались от поддержки проекта, как и правительство Германии, которое в конечном итоге вынудило Kraftwerk Union отказаться от своего контракта в Бушере.20

Последующая ирано-иракская война не была благосклонна к заброшенным реакторам. На протяжении восьмилетней войны, которая длилась в период с 1980 по 1988 года, Ирак бомбил две башни до 10 раз, оставив на их месте руины.21 Во время войны командир Революционной гвардии Ирана призвал Аятоллу Хомейни начать программу создания ядерного оружия, с целью отбить нападки Ирака и его западных союзников. Но Хомейни отказался от таких серьезных мер, полагая, что ядерное оружие является анафемой для ислама и нарушением его основных моральных принципов. Однако он, все же, изменил свое мнение после того, как Саддам Хусейн обрушил свое химическое оружие на иранские войска и мирных жителей, убив около 25 тысяч, и нанесши увечья более чем 100 тысячам человек. Разъяренный пассивной реакцией ООН и обеспокоенный слухами о том, что Иран пытается создать собственное ядерное оружие, Хомейни решил возобновить ядерную программу Ирана. Она включала в себя и разработку программы по обогащению урана.22

Чтобы запустить программу, Иран обратился за помощью к пакистанскому металлургу по имени Абдул Кадир Хан. Хан уже помог своему государству в создании программы ядерного оружия в середине 1970-х годов, используя технологию центрифуг, которую он украл, работая в Европе. Он работал в голландской компании, которая проводила исследования и разработки центрифуг для Urenco, консорциума, образованного Германией, Великобританией и Нидерландами, который разрабатывал центрифуги для атомных электростанций в Европе. В рамках своей работы Хан имел доступ к наиболее важным чертежам конструкций центрифуг, которые он скопировал и забрал з собой в Пакистан. Вместе с чертежами Хан прихватил и список поставщиков, многие из которых были готовы тайно продавать Пакистану оборудование и материалы для изготовления своих центрифуг.

Центрифуги представляют собой металлические цилиндры с роторами внутри, вращающиеся со скоростью более чем 100 тысяч оборотов в минуту, которые обогащают гексафторид урана, полученный из урановой руды, которую добывают с земли и морской воды. Гексафторидный газ попадает в «каскад» центрифуг – группу центрифуг, соединенных между собой трубами с клапанами. Вращающиеся внутри центрифуг роторы создают центробежную силу, которая отделяет немного легший изотоп U-235 – делящийся изотоп, необходимый в атомной энергетике – от более тяжелого изотопа U-238, в процессе, подобному промыванию золота.23 Газ, содержащий более тяжелые изотопы выталкивается к наружной стенке, тогда как содержащий более легкие изотопы газ собирается ближе к центру. Заполненные горячей водой большие спирали, находящиеся вокруг внешней части центрифуги, создают переменную температуру, которая приводит газ в вертикальное движение в виде овала вдоль стенки центрифуги для дальнейшего разделения изотопов. Трубы направляют газ, содержащий концентрацию более легких изотопов отправляется в центрифуги на более «высокий» уровень каскада, где происходит их дальнейшее разделение. В то время как более тяжелый газ, обедненный уран, отводится во второй набор центрифуг на более «низкие» уровни каскада. Когда от этого газа отделяются дополнительные изотопы U-235, он возвращается на более высокие ступени для рекомбинации там с другими изотопами U-235, а обедненный газ направляется в «отходы», то есть в хвостовую часть каскада, где они и выбрасываются. Этот процесс продолжается до тех пор, пока в газе не будет достигнута необходимая концентрация изотопов U-235.24

В 1987 году, после того как Иран возобновил свою ядерную программу, правительство связалось с бывшим немецким инженером, который теперь стал барыгой, эдаким черным купцом, основным поставщиком оборудования для незаконной ядерной программы Пакистана. Именно он помог организовать в Дубае секретную встречу между представителями Ирана и членами сети снабжения Хана. В обмен на 10 миллионов долларов иранцы получили 4 чемодана, заполненные всем необходимым для старта собственной программы по обогащению урана – техническими проектами по изготовлению центрифуг, парой разобранных прототипов и чертежами для небольшой центрифуги, содержащей шесть «каскадов».25 В качестве бонуса, Хан добавил 15-страничный документ, описывающий, как превратить обогащенный уран в металлический уран, из которого изготовляются «полусферы», основной компонент ядерных бомб.26 Позже, Хан рассказал пакистанскому телевидению, что он помог Ирану с его ядерной программой, ибо считает, что если и Пакистан, и Иран станут ядерными державами, они «нейтрализуют силу Израиля».27

Прототип разобранной центрифуги, полученный иранцами, был создан на основе одного из проектов, который Хан любезно позаимствовал у европейцев, работая в Urenco. В Пакистане эта центрифуга была известна как P-1, в Иране же ее стали называть IR-1. Изначально, у Ирана не было денег на реализацию полученных проектов, но вот, в 1988 году, ирано-иракская война закончилась, и у страны освободились ресурсы. Они начали вкладывать деньги в программу обогащения, закупая высокопрочный алюминий и другие материалы для построения своих первых центрифуг. Также Иран тайно импортировал почти две тонны природного урана, включая гексафторидный газ, из Китая.

Позже Хан помог иранцам и передал компоненты для пятисот центрифуг IR-1, а также инструкции для их качественного изготовления и испытания. Последние были очень кстати, ибо Иран уже поимел проблем с центрифугами, которые Хан создал им из прототипов пакистанских центрифуг. Иногда они выходили из-контроля и попросту приходили в негодность, а иногда случае и вовсе не запускались.29 К 1994 году у Ирана получилось успешно эксплуатировать лишь одну центрифугу на «почти полной скорости».30

В результате иранцы обвинили Хана в передачи им низкокачественной информации по сборке. Так, в 1996 году он передал пакистанцам чертежи центрифуги P-2, более совершенной центрифуги, основанной на другой конструкции, украденной опять же в Urenco.31 P-2 была гораздо более эффективной, чем IR-1, и могла обогатить примерно в два с половиной раза больше урана за то же количество времени. В ней также использовался ротор, изготовленный из мартенситной стали – более упругого материала, чем подверженные частым поломкам алюминиевые роторы IR-1.

Пока Иран занимался разработкой своей секретной программы по обогащению урана, его публичная ядерная программа развивалась параллельно. В 1995 году страна подписала с Россией контракт на 800 миллионов долларов на возобновление строительства реактора в Бушере. Обе страны также обсуждали строительство завода по обогащению урана для производства топлива для бушерского реактора, но в переговоры вмешалась администрация Клинтона, и убедила Россию отказаться от этой задумки. Поэтому Иран решил построить секретный обогатительный завод самостоятельно.32

Примерно в это же время Европа начала ужесточать контроль за экспортом материалов и компонентов двойного ядерного назначения. Разумеется, Иран это не остановило, они просто перешли в подполье. С целью как-то замаскировать исследовательские и производственные объекты от всевозможных инспекций и просто лишних глаз, правительство раскидало их по всей стране, некоторые теперь работали на охраняемых военных территориях, другие расположились в непримечательных офисах и заброшенных складах. Так же были перенесены производственные мощности центрифуг из Тегеранского центра ядерных исследований, где они были запущены, на фабрики, некогда принадлежащие Kalaye Electric Company, бывшей фабрике часов в промышленной части Тегерана, которые Организация по атомной энергетике приобрела до начала развертывания ядерной программы.

Примерно в 1999 году Иран провел свои первые успешные испытания по обогащению урана на фабрике Kalaye с использованием небольших центрифуг и гексафторидного урана, закупленного в Китае.33 Это был тот самый научный прорыв, который раз и навсегда доказал жизнеспособность иранской ядерной программы, и пускай даже на нее ушли десятилетия. Именно это событие доказало иранским ученым что все это было не зря, и администрация Организации по атомной энергетике Ирана полностью поменяла свой курс работы – рабочим был отдан приказ начать работу над производством 10 тысяч центрифуг для будущего завода по обогащению урана в Натанзе. В тоже время Иран активно начал искать поставщиков необходимого сырья и оборудования в Европе.34 В 2000 году, на срезе двух веков, иранские рабочие начали строительство ядерного комплекса в Натанзе, по его завершению Иран пополнит список ядерных держав.

Сноски, ссылки и используемая литература:

1.    С речью Алирезы Джафарзаде можно ознакомиться в архиве C-SPAN по адресу: c-spanvideo.org/program/172005-1. Неофициальная стенограмма его комментариев также доступна по адресу: https://www.iranwatch.org/library/ncri-new-information-top-secret-nuclear-projects-8-14-02.

2.    Специалистов по ядерному нераспространению не слишком волновал факт использования плутония в легководном реакторе в Бушере, поскольку тот являлся плохим материалом для создания ядерного оружия, к тому же он вызывал некоторые проблемы с реактором. 29 июля 2002 года Заместитель министра обороны Маршалл Биллингсли заявил сенату, что у других стран могут возникнуть опасения насчет создания ректора в Бушере, «он является предлогом для создания инфраструктуры, призванной помочь Тегерану обрести ядерное оружие». Имеется ввиду, что сырье, закупленное для Бушера, может использоваться Ираном для секретных ядерных разработок.

3.    Тяжелая вода – это вода с большим количеством изотопов водорода – дейтерия. Может использоваться в качестве хладагента или замедлителя на электростанциях, а также в исследовательских реакторах для производства медицинских изотопов. Но, отработанное топливо таких заводов содержит в себе плутоний, а также другие элементы, которые при переработке могут использоваться для создания ядерного оружия. Заводы по производству тяжелой воды являются лучшим источником плутония, нежели легководные заводы, как в Бушере.

4.    Для большей информации читайте главу 6.

5.    Джафарзаде сказал, что NCRI получила информацию за несколько дней до его пресс-конференции, и что она была получена от членов сопротивления внутри Ирана. «Это были люди, непосредственно связаны с этим, они имели доступ к информации об этих видах деятельности», – говорил он журналистам в зале. «Разумеется эти люди имели доступ к этой информации в рамках политического режима». На вопрос, поделилась ли группа Джафарзаде информацией с властями США, он тщательно взвешивал каждое свое слово. «Данные были предоставлены…», – начал говорить он, – «были доступны соответствующим органам власти страны. Я еще не осведомлен об реакции США». Два года спустя директор ЦРУ Джордж Танет сказал об этих и других откровениях NCRI: «Я хочу заверить вас, что недавние подтверждения Ирана в отношении их ядерной программы подтверждают наши предположения. Совершенно неправильно говорить, что мы были «удивлены» заявлениями иранской оппозиции в прошлом году». Он выступал в Джорджтаунском университете 5 февраля 2004 года. Стенограмма его речи доступна по адресу: https://www.cia.gov/news-information/speeches-testimony/2004/tenet_georgetownspeech_02052004.html.

6.    Израиль тайно вступил в ряды ядерных держав в 1967 году.

7.    Лоббистская кампания NCRI сработала. При поддержке ряда американских законодателей, а также бывших лидеров ФБР и ЦРУ, эта группа была удалена из списка террористов в 2012 году. Сторонники назвали эту группу лояльным союзником Соединенных Штатов и назвали ее роль в оказании помощи в раскрытии секретной ядерной программы Ирана в качестве одной из причин ее исключения из списка.

8.    Другой компанией была GeoEye.

9.    Источник в МАГАТЭ подтвердил мне, что агентство действительно заказало изображения.

10. Дэвид Олбрайт, Peddling Peril: How the Secret Nuclear Trade Arms America’s Enemies (New York: Free Press, 2010), 187.

11. Интервью автора с Хайноненом в июне 2011 год.

12. Есть разные заявления о том, что на самом деле знало МАГАТЭ. По словам Марка Хиббса, бывшего ведущего журналиста по ядерным вопросам, который сейчас является политическим аналитиком, примерно за два месяца до пресс-конференции NCRI Соединенные Штаты предоставили МАГАТЭ координаты подозрительных объектов в Иране, которые Штаты отслеживали с начала 2002 года (Hibbs, “US Briefed Suppliers Group in October on Suspected Iranian Enrichment Plant,” Nuclear Fuel, 23 декабря 2001 год. Однако Дэвид Олбрайт из ISIS, говорит, что, хотя американцы и предоставили МАГАТЭ координаты объектов, но они не сообщали о том, что завод в Натанзе являлся заводом по обогащению урана. Мохаммед аль Барадеи в своей книге «Эпоха обмана» признает, что в середине 2002 года МАГАТЭ и в правду получило информацию об объекте в Натанзе, но не говорит, что МАГАТЭ знало о том, что это был завод по обогащению урана.

13. Позднее иранское правительство заявят, что единственной причиной, по которой оно скрывало свою деятельность в Натанзе, было то, что Запад попытался бы сорвать их попытки по созданию гражданской ядерной программы.

14. Стенограмма стати CNN доступна по адресу: http://transcripts.cnn.com/TRANSCRIPTS/0212/13/lol.07.html.

15. Цифровой Архив Национальной Безопасности, “US Supplied Nuclear Material to Iran,” 29 января 1980 год, доступно на: http://www.nsarchive.chadwyck.com/ (требуется регистрация). Также смотрите Дитер Бернанц и Эрих Фоллат, “The Threat Next Door: A Visit to Ahmadinejad’s Nuclear Laboratory,” Spiegel Online, 24 июня 2011 год, доступно на: https://www.spiegel.de/international/world/the-threat-next-door-a-visit-to-ahmadinejad-s-nuclear-laboratory-a-770272.html.

16. Анна Хессинг Кан, “Determinants of the Nuclear Option: The Case of Iran”. Onkar Marway and Ann Shulz (Cambridge: Ballinger Publishing Co., 1975), 186.

17. Али Ваез, “Waiting for Bushehr”, 11 сентября 2011 год.

18. Джон Кули, “More Fingers on Nuclear Trigger?”, 25 июня 1974 год. Позднее иранские чиновники начали отрицать, что Кули сделал это заявление.

19. По факту, Иран обсуждал с Израилем планы по адаптации ракет класса «земля – земля» для оснащения их ядерными боеголовками. Смотрите Пол Мишо “Iran Opted for N-bomb Under Shah: Ex-Official”, 23 сентября 2003 года. Также, по словам Акбара Этемада, главы Иранской организации по атомной энергетике при шахе, ему было поручено создать специальную команду, отслеживающую последние ядерные исследования в мире, чтобы Иран при необходимости был готов создать бомбу. Он раскрыл эту информацию в интервью c Ле Фигаро в 2003 году, по словам Элейн Сколино, “The World’s Nuclear Ambitions Aren’t New for Iran”, 22 июня 2003 год.

20. Джон Геддес, “German Concern Ends a Contract”, New York Times, 3 августа 1979 года. Смотрите также Джудит Перера “Nuclear Plants Take Root in the Desert”, New Scientist, 23 августа 1979 год.

21. Ваез “Waiting for Bushehr”.

22. Институт Науки и Международной Безопасности, “Excerpts from Internal IAEA Document on Alleged Iranian Nuclear Weaponization”, 2 октбря 2009 года. Доклад ISIS основанный на внутреннем документе МАГАТЭ под названием «Possible Military Dimensions of Iran’s Nuclear Program», который доступен по адресу: http://www.isisnucleariran.org/assets/pdf/IAEA_info_3October2009.pdf

23. Изотоп U-235 имеет на 3 нейтрона меньше, чем у U-238, что делает его легче.

24. Чарльз Фергюсон, Nuclear Energy: What Everyone Needs to Know (New York: Oxford University Press, 2011).

25. Деннис Франц и Кэтрин Коллинз, The Nuclear Jihadist: The True Story of the Man Who Sold the World’s Most Dangerous Secrets (New York: Free Press, 2007), 156. Эти предметы были перечислены в рукописном документе, который был написан в Совете управляющих МАГАТЭ, “Director General, Implementation of the NPT Safeguards Agreement in the Islamic Republic of Iran, GOV/2005/67”, (отчет от 2 сентября 2005 год).

26. В ноябре 2007 года по данным Совета управляющих МАГАТЭ, Иран предоставил МАГАТЭ копию 15 страничного документа «Implementation of the NPT Safeguards Agreement and relevant provisions of Security Council resolutions 1737 (2006) and 1747 (2007) in the Islamic Republic of Iran», (отчет от 22 февраля 2008 года). Иран заявил, что не запрашивал документ, а получил его от подпольных продавцов.

27. Эрих Фоллат и Хольгер Старк, “The Birth of a Bomb: A History of Iran’s Nuclear Ambitions”, 17 июня 2010 год.

28. Совет управляющих МАГАТЭ, “Implementation of the NPT Safeguards Agreement in the Islamic Republic of Iran”, (отчет от 10 ноября 2005 года).

29. В 1987 году он помог заключить сделку между Ираном и Ханом, в результате которой Иран получил первые центрифуги для своей программы по обогащению урана. В 1992 году бывший глава Организации по атомной энергетике Ирана Масуд Нараги покинул Иран и предоставил ЦРУ некоторую информацию о ядерной программе Ирана. Например, он сообщил управлению, что у иранских ученых возникли проблемы с центрифугами IR-1, которые они пытались построить по чертежам Хана. Смотрите Франц и Коллинс, Nuclear Jihadist, 202. А также, Олбрайт, Peddling Peril, 76–81.

30. Nuclear Jihadist, 213.

31.Совет управляющих МАГАТЭ, “Director General, Implementation of the NPT Safeguards Agreement”, (отчет от 2 сентября 2005 года).

32. Считается, что проекты для отдельного завода в Исфахане – для превращения измельченной урановой руды в газ – могли быть получены из Китая. В 1997 году администрация Клинтона объявила, что она приостановила сделку, но Иран все равно получал чертежи для завода от китайцев. Смотрите Джон Помфрет, “U.S. May Certify China on Curbing Nuclear Exports”, Washington Post, 18 сентября 1997 год.

33. Иран постепенно раскрывал подробности своей ядерной истории на протяжении нескольких лет, в отчетах они были переданы в МАГАТЭ, агентство начало получать их начиная с 2004 года. Однако детали из Ирана не всегда совпадали с информацией, которую МАГАТЭ получало от журналистов и других источников.

34. Олбрайт, Peddling Peril, 185.

Глава 4. Stuxnet разоблачен.

В первые дни после выхода новостей о разоблачении Stuxnet, с дюжину исследователей из Symantec на трех континентах были вовлечены в первичный анализ кода вируса.Очень быстро их количество сократилось всего до трех – Чиена, О`Мурчу и Фальере – поскольку остальные специалисты рассредоточились на новые поступающие угрозы. Теперь, спустя почти неделю как обнаружен Stuxnet, трое аналитиков все еще копались с «ракетной» частью червя, пока что так и не начав изучать принцип его работы.

Как и классическое оружие, цифровое оружие состоит из двух частей – ракетной и системы доставки, которые отвечают за распространение вредоносной полезной нагрузки и ее установки на компьютер, и за саму полезную нагрузку, которая и выполняет фактическую атаку, например, кражу данных или выполнение других действий на зараженном компьютере. Конкретно в данном случае, полезной нагрузкой был вредоносный код, предназначенный для программного обеспечения ПЛК от Siemens.

           Поскольку над Stuxnet предстояло проделать еще очень много работы, Чиен должен был убедить своих коллег, что вместе, командой, они должны продолжать исследовать код, пускай даже червь уже стал вчерашней новостью. Каждую среду он проводил видеоконференцию со специалистами по компьютерной безопасности с компаний по всему миру, чтобы рассмотреть исследуемые ими вопросы и поговорить о стратегии на следующую неделю. В первую среду после раскрытия Stuxnet, загадочная атака была вопросом номер один на повестке дня.

Офисы Symantec в Калвер-Сити занимают громадное здание в бизнес-кампусе площадью 36 тысяч квадратных метров, сплошь и рядом усеянном пальмами и пустынными кустами. Сделанная на современный манер пятиэтажка ярко контрастирует с тесным офисом VirusBlockAda, построенным по всем коммунистическим канонам, с просторным атриумом с высокими потолками и полом с цементной плиткой, которая при ходьбе по ней издает глухой звук полого стекла, вероятно из-за того, что под ней находятся силовые конструкции и вентиляционные системы здания. Офисный комплекс Symantec имеет золотой сертификат LEED – за свою экологическую архитектуру, со светоотражающей крышей, защищающей от палящего солнца южной Калифорнии, и стеклянный фасад, позволяющий каждому мимо проходящему человеку заглянуть внутрь довольно странного соседа торговым центрам и скоростным шоссе, которые расположились недалеко от аэропорта Лос-Анджелеса.

Комната для видеоконференций представляла собой небольшое помещение без окон, спрятанное в забытом районе третьего этажа здания, куда можно было добраться по обходному пути из компьютерной лаборатории. Внутри комнаты, стены украшали лишь установленные на стене на уровне глаз три больших монитора, которые создавали впечатление, как будто виртуальные коллеги сидели прямо напротив Чиена.

Чиен кратко изложил сделанные ранее открытия О`Мурчу для своих коллег – необычайно большой размер кода, его сложный метод загрузки и скрытия файлов, и таинственную полезную нагрузку, которая, казалось, предназначалась только для ПЛК Siemens. Он также показал причудливую географическую структуру зараженных данных. Однако о своих подозрениях в возможном политическом подтексте атаки он решил промолчать.

«Мы хотим поставить Нико на полный рабочий день», – сказал Чиен своим менеджерам, имея ввиду Фальера из Франции. «И я считаю, что нам с Лиамом стоит продолжать работать дальше». Однако было одно «но». Он понятия не имел о том, сколько времени потребуется, чтобы закончить полный анализ кода.

В среднем исследовательские команды компании анализировали около 20 вредоносных файлов в день, поэтому посвящать силы трех топовых аналитиков одной угрозе на неопределенный срок не имело для бизнеса никакого смысла. Так случалось, чтобы сразу несколько главных аналитиков компании работали над анализом одного вредоноса, лишь однажды, с червем Conficker в 2008 году. Но Conficker был изменяющим форму червем, который заразил миллионы компьютеров по всему миру и оставил множество безответных и по сегодняшний день вопросов, в первую очередь, почему он вообще был создан.1 Stuxnet, напротив, заразил относительно небольшое количество машин на еще меньшем подмножестве – ПЛК компании Siemens. Тем не менее, загадочный код требовал дальнейшего изучения, и руководители Чиена согласились, что пока что не должны бросать эту работу. «Но держите нас в курсе того, что вам удастся обнаружить», – добавили они, даже не подозревая, что на их еженедельных встречах на протяжении нескольких следующих месяцев в главной роли всегда будет выступать Stuxnet.

Воспользовавшись возможностью, Чиен и его коллеги с головой погрузились в код, восприняв его как личную одержимость. Но как только они начали работу, то поняли, что зашли на неизведанную территорию с тем минимумом знаний, который лишь примерно будет направлять их.

Symantec – крупная международная корпорация, Чиен и О`Мурчу работали в ее небольшом дочернем офисе, занимаясь делами грубо говоря в одиночку, по минимуму прибегая к помощи компании. Они работали в лаборатории аналитики компьютерных угроз, филиале Symantec, кибер-эквиваленте лаборатории биологической защиты, где исследователи могли использовать вредоносный код в «красной» сети – изолированной системе бизнес сети Symantec – чтобы наблюдать за его поведением в контролируемой среде. Чтобы попасть в лабораторию, которая располагалась на первом этаже, рабочим проходилось проходить несколько проверочных пунктов, каждый из которых все более ужесточал правила прохода. Последний пункт не пропускал никого, за очень редким исключением, и физически изолировал красную сеть от компьютеров, подключенных к внешнему интернету. Портативные носители были строго запрещены – никаких DVD, CD-ROM или USB – чтобы предотвратить бездумные желания работников вынести опасный вредоносный софт за границы лаборатории.

Термин «лаборатория аналитики компьютерных вирусов» это вовсе не о стерильных кабинетах с учеными в белых халатах, согнутых над микроскопами и чашками Петри. Лаборатория Symantec была просто неописуемым офисным пространством, заполненным в основном пустыми кабинетами и горсткой рабочих, которые целыми днями пристально смотрели на свои мониторы, под частую в полной тишине, выполняя методическую и, казалось, довольно утомительную работу. Не стенах не висело картин; не было автоматов Nerf или других глупых офисных игрушек, к которым прибегают работяги с целью выпустить пар и отдохнуть; никаких растений, искусственных либо каких-нибудь других, чтобы придать помещению домашний уют. Единственный клочок природы был виден только через окна – поросший травой и деревьями холм – вид, который бизнес-парки имитировали, чтобы хоть как-то симулировать природу для запертых внутри рабочих.

Кабинет О`Мурчу был лишен каких-либо личных предметов, кроме одинокой панорамной фотографии Гранд-Каньона, залитого розовыми и лиловыми волнами закатного солнца, куда он ездил в прошлом году со своим отцом. На его столе было два рабочих компьютера, подсоединенных к красной сети, и третий, личный, для чтения эмеилов и серфинга в интернете, состоящий лишь из самого необходимого – монитора, клавиатуры и мыши, подключенных извилистыми кабелями к системнику, находящемуся вне лаборатории в шкафу сервера, надежно защищенный от всех вредоносов лаборатории.

Кабинет Чиена был соседним с О`Мурчу, и был лишь немного более украшен странной коллекцией художественных открыток и пиратским флагом рядом с дверью, на котором было написано ЧИЕН ЛУНАТИК – каламбур на его имени. В переводе с французского это означало «Осторожно, собака», но Чиен предпочитал более буквальный перевод «бешенная собака».

Чиен был 39-летним мужиком, но выглядел лет на 10 моложе. Высокий, в очках, с длинной, проволочной оправой, у него была широкая привлекательная улыбка с ямочками, которые глубоко врезались ему в щеки каждый раз, когда он смеялся или волновался в обсуждаемой теме. Чиен провел долгую и успешную карьеру в сфере компьютерной безопасности, в высоко конкурентной области, где профессионалы часто всячески рекламировали свой опыт и скилы, дабы выделиться среди конкурентов. Но Чиен был скромным и всегда преуменьшал свои заслуги, предпочитая сосредоточиться на экспертизе, нежели на понтах.

Из них троих он работал в Symantec дольше всех. Это была его первая работа после окончания колледжа, на которую он попал по счастливому стечению обстоятельств. В начале 90-х он обучался в Калифорнийском университете, где изучал смесь генетики, молекулярной биологии и электротехники, и, подобно О`Мурчу, был на пути к светлой научной карьере. Но после окончания учебы в 1996 году он, с несколькими своими друзьями, пошел работать в Symantec, намереваясь поработать там пару лет, чтобы заработать денег на аспирантуру. Но несколько лет слишком затянулись.

Кибербезопасность в то время все еще была зарождающейся областью, поэтому можно было легко получить работу без соответственного образования и опыта. Тогда Чиен не знал о вирусах абсолютно ничего, но ему было достаточно выучить ассемблер, язык, на котором написано большинство вредоносных программ, и его взяли на работу. В любом случае, тамошние лучшие аналитики не были компьютерными гиками. Инженеры старательно писали все новые и новые программы, но хакеры рвали их потуги на куски, запуская очередной вирус. И хотя компьютерная безопасность является признанной профессией, основанной на учебных курсах и сертификатах, Чиен предпочитал кандидатов, у которых не было опыта, но было неугасимое любопытство и острая потребность в решении задач, путем разбивания их на подзадачи. Можно легко научить кого бы то ни было писать собственный вредоносный софт, но нельзя привить человеку любопытство или страсть к изучению неизвестных вещей. У каждого хорошего специалиста есть та самая навязчивая черта, которая заставляет их изучать конкретный кусок кода до тех пор, пока он не передаст им свои секреты.

Когда Чиен присоединился к команде Symantec, его коллеги, занимавшиеся исследованием антивирусов, были похожи на ремонтников MayTag из этой культовой рекламы – у них постоянно был простой. Вирусы все еще были довольно редким явлением и распространялись с очень небольшой скоростью, посредством дискет или «sneaker net» – переносились из одного компьютера на другой вручную. Клиенты, считавшие что их машина заражена вирусом, отправляли подозрительный файл на гибком диске в лабораторию Symantec, где он мог пролежать неделю или больше, прежде чем Чиен, или один из его коллег не возьмется за его анализ. В большинстве случаев файлы оказывались чистыми. Но иногда попадались и не совсем безобидные экземпляры. В таком случае, специалист подбирал несколько сигнатур для его обнаружения, бросал их на другую дискету и отправлял по почте клиенту вместе с инструкциями по обновлению своего антивирусного сканера.

Прошло не так много времени прежде чем вредоносное ПО эволюционировало, и ситуация изменилась. Представление Microsoft Windows 98 и Office, наряду с расширением интернета и, соответственно, распространением электронной почты, породило быстро распространяющиеся вирусы и сетевые черви, которые заражали компьютеры миллионами за считанные минуты. Одним из самых печально известных вирусов того времени стал вирус Мелисса, выпущенный в 1999 году.2 Запущен 32-летним программистом из Нью-Джерси по имени Дэвид Смит, он встраивался в документ Word, который Смит публиковал в группе новостей alt.sex.usenet. Смит хорошо понимал свою целевую аудиторию, поэтому заманивал их открыть файл под предлогом того, что в нем имеются записи с логинами и паролями для доступа к порно сайтам. После открытия документа, Мелисса, воспользовавшись уязвимостью в макро-функции Microsoft Word, автоматически рассылала письмо с этим же документом первым 50 контактам в адресной книге Outlook. Через три дня первый в мире вирус массовой рассылки распространился на более чем 100 тысяч машин, что было впечатляющим показателем, учитывая время его запуска. В дополнение к автоматической рассылке через Outlook, Смит вставил в зараженные документы ссылку на занудный Скраббл: «двадцать два, плюс оценка по трем словам, плюс пятьдесят баллов за использование всех моих писем. Игра окончена. Меня здесь нет». Мелисса была довольно безобидной, но она открыла дорогу всем остальным быстро распространяющимся вирусам и червям, которые будут располагаться на главных страничках газет на протяжении многих лет.3

По мере расширения области угроз, Symantec поняла, что нужно как можно быстрее останавливать заражение, прежде чем оно распространится на другие машины. Когда компания только вошла в антивирусный бизнес, то обнаружить и обезвредить угрозу в течении одной недели считалось хорошим временем отклика. Но Symantec стремилась сократить это значение к одному дню, и даже меньше. Чтобы добиться подобного результата, компании требовались специалисты сразу в нескольких часовых поясах, дабы выявлять вирусы в первые часы их появления и предоставлять сигнатуры клиентам из США, прежде чем те проснуться и начнут кликать на вредоносные вложения в письмах электронной почты.

К тому времени Чиен уже работал в Symantec дольше двух лет. Он накопил достаточно денег для обучения в аспирантуре и планировал вскоре переехать в Колорадо, чтобы как следует отдохнуть перед предстоящей учебой – заняться сноубордингом и катанием на велосипеде. Но Symantec подкинула ему заманчивое предложение – вакансию в Нидерландах. Компания имела отдел технической поддержки и отдел продаж за пределами Амстердама, но теперь ей также требовалась команда аналитиков вредоносного ПО. Чиен не смог отказаться. Он приземлился в Нидерландах за пару дней до того, как будет запущен червь Love Letter в мае 2000 года. Червь изначально был создан как проект на урок одного из филлипинских студентов, но быстро распространился на миллионы машин по всему миру. Это была идеальная возможность для Symantec проверить дееспособность новой европейской команды реагирования на вредоносные программы, пускай даже эта команда состояла из одного человека. В течении рекордных 20 минут Чиен проанализировал код и создал сигнатуры для его обнаружения. (К сожалению, это достижение было совершенно напрасно, поскольку Love Letter использовал настолько большую пропускную способность интернета, что клиенты попросту не могли зайти на сайт Symantec чтобы скачать сигнатуры). Как только кризис прошел, Чиен нанял еще четырех специалистов, тем самым создав свою собственную команду в Амстердаме, которая и встретила появление в следующем году большой угрозы под названием Code Red.

Он ненадолго переехал в Токио, чтобы открыть еще один исследовательский офис. Затем, в 2004 году, Symantec перенесла свою европейскую штаб-квартиру из Амстердама в Дублин, и Чиен отправился вместе с ними. Вскоре после чего он пополнил свою команду еще десятком новых сотрудников, включая О`Мурчу.

В настоящее время в Калвер-Сити им двоим и Фальеру предстояла грандиозная задача по разбору Stuxnet.

Первое препятствие, с которым столкнулись исследователи, произошло при попытке расшифровать код Stuxnet. Как уже выяснил О`Мурчу, ядром Stuxnet был большой файл .dll, который загружался на машину жертвы. Внутри него было упаковано с десяток .dll файлов поменьше и некоторых других компонентов, которые нужно было взломать и удалить, прежде чем они выполнят свой код. К счастью, ключи для разблокировки были в самом коде. Каждый раз, когда Stuxnet оказывался на компьютере под управлением Windows, он использовал ключи для расшифровки и извлечения компонентов из .dll файла по мере необходимости, в зависимости от условий, которые он обнаруживал на компьютере. По крайней мере, О`Мурчу так предполагал. Некоторые ключи не были активированы на их тестовом компьютере – последние, необходимые для разблокировки полезной нагрузки.

           О`Мурчу копался в коде, пытаясь найти причину, и именно тогда он обнаружил ссылки на конкретные модели ПЛК от Siemens. Stuxnet не просто охотился за системами с установленным программным обеспечением Siemens Step 7 или WinCC, ему нужна была конкретная линейка ПЛК Siemens – программируемые логические контроллеры S7-315 и S7-417. Только эта комбинация программного и аппаратного обеспечения активировала ключи для разблокировки полезной нагрузки.

Единственной проблемой было то, что у Чиена и О`Мурчу не было ни софта Siemens, ни их ПЛК. Без них ученые должны были использовать отладчик, чтобы найти ключи и вручную разблокировать полезную нагрузку.

Программа отладки, главный инструмент реверс-инженеров, позволяет шаг за шагом пройтись по коду – подобно стоп-кадрам на камере – чтобы рассмотреть каждую функцию по отдельности и задокументировать ее деятельность. Используя данный метод, они разбили весь код на секции, которые содержали команды для расшифровки вредоносных компонентов и следовали им, чтобы найти ключи. Но найти ключи было лишь полдела. Заполучив себе все ключи, они должны были найти алгоритм шифрования, который разблокировал бы каждый ключ. Копание в коде заняло в аналитиков несколько дней, но, когда все кусочки паззла собрались воедино, они наконец могли увидеть каждый шаг, который совершал Stuxnet на начальных этапах заражения.4

Первое, что делал Stuxnet, это определял, является зараженная машина 32 или 64 разрядной. Это связано с тем, что он работал только с 32 разрядными операционными системами. Также он проверял компьютер на то, не заражен ли он уже. Если система уже была заражена, вирус просто уверялся, что текущие вредоносные файлы обновлены до последней версии и, если нужно, заменял старые файлы на новые. Но если Stuxnet оказывался на новой машине, он начинал свой тщательно продуманный танец с вредоносными файлами, быстро перескакивая из директории в директорию, в поисках наилучшего пути заражения.

Во время этого процесса, один из его руткитов быстро оседал в системе, чтобы скрыть файлы Stuxnet от системы. Это происходило благодаря захвату системы, так что антивирусные программы впритык не могли увидеть вредоносные файлы, то же самое что занести файлы в «белый» список антивируса. Если антивирус все-таки пытался прочитать файлы Stuxnet, руткит перехватывал команды и возвращал модифицированный список без файлов вируса. Но все же были исключения, и некоторые антивирусные сканеры таким образом обвести вокруг пальца не получалось. Вирус знал, какие сканеры являются проблематичными и соответственно изменял свои методы, если обнаружил один из таких на машине. В случае если Stuxnet понимал, что он вообще не сможет обойти антивирус, он останавливал заражение и отключался.

           Если Stuxnet удавалось пройти защиту, он продолжал свою работу, и затем активировался второй процес. Этот процес состоял из двух задач – первая заключалась в том, чтобы заразить любой USB-накопитель, вставленный в компьютер для последующего заражения других машин, вирус на USB накопителе «жил» 21 день.5 Вторая, и наиболее важная задача заключалась в расшифровке и загрузке обширного .dll файла и его различных компонентов в память машины, используя уникальные методы, которые уже успел задокументировать О`Мурчу. Сначала распаковывался главный .dll файл, чтобы освободить меньшие .dll внутри него, а затем загрузить их в память. Поскольку файлы находились в оперативной памяти, каждый раз, когда машина перезагружалась, файлы стирались из нее, поэтому процессу необходимо было перезагружать их в оперативную память после каждой перезагрузки.

Как только главный .dll файл и его содержимое были распакованы и загружены в память, Stuxnet начинал искать новые машины для заражения и вызывал серверы управления и контроля, чтобы сообщить о новом завоевании, но, если он попадал на систему под управлением Siemens Step 7 или WinCC, он резко останавливал все свои процессы после этих действий.

Таким образом, исследователи из Symantec теперь знали, как Stuxnet распространял и загружал свои файлы, но оставался еще один вопрос: почему его создали, и для чего он был предназначен? Ответ на этот вопрос все еще был спрятан в его полезной нагрузке.

Когда О`Мурчу размышлял над тем, что они обнаружили в ракетной части кода, он не мог не восхищаться искусной работой, которую злоумышленники вложили в свой вирус – умными способами решения проблем, с которыми они ожидали встретиться, и многочисленные сценарии, которые они должны были предвидеть перед запуском Stuxnet. Безусловно, вирус не был идеальным, и не каждая его функция впечатляла, но он был написан компетентными людьми, и в целом атака представляла огромную угрозу.

 Помимо сложных способов, которыми Stuxnet загружал свои файлы и обходил защитное программное обеспечение, он использовал обширный контрольный список, чтобы убедиться, что все условия на машине были идеальными, прежде чем разблокировать его полезную нагрузку. Stuxnet также тщательно отслеживал все ресурсы, которые он использовал на машине, и обеспечивал их разгрузку, как только в них пропадала нужда – если вирус потреблял слишком много ресурсов, появлялся риск замедления скорости работы машины и соответственно его обнаружения. Он также перезаписывал многие временные файлы, созданные на машине, если они больше не были нужны. Абсолютно все программы создают временные файлы, но далеко не все заботятся об их удалении, поскольку они просто перезаписываются временными файлами, создаваемыми другими приложениями. Однако мошенники не хотели, чтобы файлы Stuxnet надолго задерживались в системе, это увеличивало риск, что их увидят.

Но, несмотря на все усилия, которые прохвосты вложили в свой код, было несколько моментов, которые казались очевидно недоделанными. О`Мурчу был не единственным, кто увидел эту деталь. Когда спустя пару недель исследователи Symantec начали делиться своими выводами о Stuxnet, члены сообщества безопасности начали ворчать о многих недостатках кода, настаивая на том, что разработчики вируса являлись далеко не «элитой хакеров» как их называли в первые дни атаки. Некоторые исследователи говорили, что их техническое мастерство было непоследовательным, и они допустили ряд ошибок, которые и позволили специалистам легко раскрыть их намерения.

Например, Stuxnet было бы гораздо сложнее анализировать, если бы разработчики применяли лучшие способы обфускации, чтобы помешать работе ученых, такие как более сложные методы шифрования, которые не позволили бы никому, кроме целевой машины разблокировать полезную нагрузку или даже идентифицировать, что Stuxnet был нацелен на Siemens Step 7 и ПЛК. Вирус также использовал слабое шифрование и стандартный протокол для связи со своими серверами контроля и управления вместо кастомных, что значительно бы затруднило исследователям установление допущенных в коде ошибок и считывание трафика вредоносного ПО.

Криптограф Нейт Лоусон не без презрения позже комментировал в своем блоге, что авторы Stuxnet «должны быть смущены своим аматорским подходом к сокрытию полезных данных» и использованием устаревших методов, которые уже давно не использует преступный мир. «Я действительно надеюсь, что это не было написано в США, – писал он, – потому что я хотел бы быть уверен в том, что наши элитные разработчики кибероружия хотя бы что-то слышали о том, что делали болгарские подростки в начале 90-х».6 Согласно современным способам разработки и техникам из Hacker 101 Stuxnet выглядел как Франкенштейн, слепленный из устаревших методов, а не как топовый проект элитного разведывательного агентства.7

Но у О`Мурчу были другие мысли насчет несоответствий в Stuxnet. Он полагал, что злоумышленники сознательно использовали слабое шифрование и стандартный протокол для связи с серверами, потому что хотели, чтобы данные, передаваемые между зараженными машинами и серверами, ничем не отличались от всех остальных, и не привлекали к себе внимания. А поскольку связь с серверами была минимальной – вредоносная программа передавала только необходимую информацию о каждой зараженной машине – хакерам не требовалось более совершенное шифрование, чтобы скрыть ее. Что касается лучшей защиты полезной нагрузки, то, возможно, существуют ограничения, которые не позволяют им использовать более сложные методы, такие как шифрование с помощью ключа, полученного из обширных данных конфигурации на целевых машинах, чтобы его могли разблокировать только эти машины.8 Целевые машины, например, могут не иметь одинаковую конфигурацию, что затрудняет использование одного ключа шифрования полезной нагрузки, или могут быть опасения, что конфигурация на машинах может измениться, что сделает такой ключ бесполезным и полезную нагрузку уже будет не разблокировать.

Сбои в работе Stuxnet также могли быть следствием нехватки времени – возможно, что-то заставило злоумышленников запустить свой код в спешке, потому экспертам и показалась эта работа сделанной небрежно и непрофессионально.

Но было и другое возможное объяснение небрежной техники написания кода: Stuxnet, вероятно, был создан разными командами программистов с разным уровнем скиллов и талантов. Модульная природа вредоносного ПО означала, что разработку вполне могли осуществлять разные команды, которые работали над разными частями программы одновременно или даже в разное время. По оценкам О`Мурчу, для кодирования Stuxnet понадобилось как минимум три команды – элитная, высококвалифицированная команда первоклассных хакеров, которая работала над полезной нагрузкой, ориентированной на программное обеспечение и ПЛК Siemens; группа второго уровня отвечала за механизмы распространения и установки, и также частично за разблокировку полезной нагрузки; и третья, наименее квалифицированная команда, настраивала серверы управления и контроля и обрабатывала шифрование и протокол связи для Stuxnet. Возможно, что разделение обязательств было настолько четким, а команды настолько разделены, что они никогда не взаимодействовали между собой.

Но хотя у каждой из команды был разный уровень умений и опыта, все они были едины, по крайней мере, в одном – никто из них не оставил никаких следов в коде, которые можно было бы легко использовать для их отслеживания. По крайней мере так казалось.

Атрибуция – это постоянная проблема, когда дело доходит до криминалистических расследований хакерских атак. Компьютерные атаки могут быть запущены из любой точки мира и направлены через подставные машины или прокси-сервера, чтобы скрыть доказательства их настоящего происхождения. Часто хакера невозможно разоблачить с помощью одних лишь цифровых доказательств, если он должным образом относится к сокрытию своих следов.

Но так бывает далеко не всегда, и как правило, вирусописатели оставляют небольшие подсказки в своем коде, намеренно или нет, которые могут рассказать о том, кто написал этот код или откуда он, если напрямую не идентифицировать человека. Следы, оставленные, казалось бы, в ничем не связанных вирусах, часто помогают следователям связывать семейства вредоносных программ и даже выслеживать их до общего автора, как способ действия серийного убийцы связывает его с чередой преступлений.

Код Stuxnet был куда более стерильным, чем те вредоносные программы, с которыми обычно встречались Чиен О’Мурчу. Но все-таки из общей картины выделялись две мелкие детали.

Однажды Чиен уже в который раз просматривал записи, сделанные во время анализа Stuxnet, когда на глаза ему попалось нечто интересное – маркер заражения, который не позволял вирусу устанавливаться на определенные машины. Каждый раз, когда Stuxnet стыкался с потенциальной жертвой, перед тем, как он начать процесс распаковки и загрузки своих файлов, он проверял реестр Windows на наличие «магической» строки», состоящей из набора букв и цифр – 0x19790509. Если таковая имелась, вирус остановит свое заражение и оставит машину.

Чиен встречался с подобными «прививками» раньше. Хакеры помещали их в раздел реестра своих собственных компьютеров, чтобы после запуска кода их не заразил их же вирус, таким образом защищая собственную машину, либо другие компьютеры, которые они хотели оставить незараженными. Значение такой «прививки» могло быть абсолютно любым. Как правило, это была просто строка со случайным набором чисел и букв. Но эта строка, очевидно, была датой – 9 мая 1979 года – сначала указывался год, затем месяц и день, общий формат даты для Unix. Другие числовые строки, которые встречались в коде Stuxnet, почти наверняка, также были датами, написано все в том же формате. 

Чиен быстро зашел в Google, и вбил все произошедшие события за 9 мая 1979 года. Каково же было его удивление, когда один из результатов был связан с конфликтом Ирана и Израиля. В тот день 1979 года в Тегеране был расстрелян известный иранский еврей, бизнесмен Хабиб Элганян, после того как новое правительство захватило власть после исламской революции. Пока его не убили в подозрении за шпионаж в пользу Израиля, он был богатым филантропом и уважаемым лидером еврейской общины Ирана. Его убийство стало поворотной точкой в отношениях между еврейской общиной и иранским государством. В течении почти 40 лет, пока у власти находился Мохаммед Реза Шах Пахлави, иранские евреи имели довольно дружественные отношения со своими соседями-мусульманами, как и исламская нация с государством Израиль. Но казнь Элганяна всего через три месяца после того, как революция свергла шаха, для многих персидских евреев стала «Хрустальной ночью», дав им ясно понять, что их жизнь более не будет прежней. Это событие вызвало массовую эмиграцию евреев из Ирана в Израиль и способствовало разжиганию вражды между двумя народами, которая сохраняется и по сегодняшний день.

Была ли майская дата в Stuxnet посланием «Помни Аламо» Израилю от Ирана – что-то вроде ракет, которые американские солдаты рисовали на бомбы, сброшенные на вражескую территорию? Или это сделано специально, чтобы сбить следователей с цели? Или это просто больное воображение Чиена, которое видит отсылки там, где их нет? Все что можно было сделать, это только догадываться.

Но затем команда Symantec нашла еще одну зацепку, которая также имела возможную связь с Израилем, хотя для установления требовалось немного постараться. Она заключалась в двух словах – «myrtus» и «guava», которые можно было найти в пути к файлу, который хакеры оставили в одном из файлов драйвера. Путь к файлу показывает множество папок и подпапок, где находится файл или документ. Путь к файлу для документа под названием «мое резюме», хранящегося в папке «Документы» на диске С: будет выглядеть так: С:\Documents\моерезюме.doc. Иногда, когда программисты запускают исходный код через компилятор – инструмент, который переводит читаемый человеком язык программирования в машиночитаемый двоичный код – путь к файлу, указывающий, где программист сохранил код на своем компьютере, помещается в скомпилированный двоичный файл. Большинство вирусописателей настраивают свои компиляторы таким образом, чтобы путь к файлу не попадал в скомпилированный код, но разработчики Stuxnet этого не сделали, специально или нет, никто не знает. Исследователи увидели путь: b:myrtus\src\objfre_w2k_x86\i386\guava.pdb, указывая, что драйвер был частью проекта, который программист назвал «guava», который в свою очередь был сохранен на компьютере в директории под названием «myrtus». Миртус это семейство растений, которое включает в себя несколько видов гуавы. Интересно, программист был одновременно и ботаником? Или это значило что-нибудь другое?

Чиен продолжил искать информацию о «myrtus» и нашел косвенную связь с другим выдающимся событием в истории евреев, когда королева Эстер помогла спасти евреев древней Персии от расправы в четвертом веке до нашей эры. Обращаясь к истории, известно, что Эстер была еврейкой, которая вышла за замуж за персидского короля Ахешуреса, но сам король не знал истинного происхождения своей жены. Когда она узнала о заговоре премьер-министра Амана, который хотел убить всех евреев в Персидской империи, она пошла к королю, и рассказала о своих еврейских корнях, умоляя его спасти ее и еврейский народ. Тогда король казнил Амана, и позволил евреям сразится против приспешников бывшего премьер-министра. Все закончилось победой народа королевы и 75 тысячами мертвых врагов. Праздник Пурим, ежегодно отмечаемый еврейскими общинами по всему миру, ознаменовывает освобождение персидских евреев от неминуемой смерти.

На первый взгляд, казалось, история не имела ни малейшего отношения к червю Stuxnet. За исключением одного, Чиен нашел возможную связь с вирусом в еврейском имени Эстер. Прежде чем сменить имя и стать королевой Персии, Эстер была известна под именем Гадасса. На иврите ее имя означает мирт, либо же миртус(myrtus).

В свете текущих событий провести параллель между древней и современной Персией не составит никакого труда. В 2005 году в новостях сообщалось, что президент Ирана Махмуд Ахмадинежад призывал стереть Израиль с карты мира. И хотя в последующих отчетах было установлено, что его слова были неправильно переведены, не было секретом, что Ахмадинежад желал, чтобы современное еврейское общество исчезло. Он хотел сделать то, что много столетий назад не вышло у Амана.9 И 13 февраля 2010 года, примерно в одно время с подготовкой разработчиками Stuxnet новой атаки против Ирана, Рав Овадия Йосеф, бывший главный раввин Израиля, провел прямую линию между древней Персией и современным Ираном в проповеди, которую он произнес перед Пуримом. Ахмадинежад, из его слов, был «Аманом современности».

«Сегодня в Персии есть новый Аман, который угрожает нам своим ядерным оружием», – сказал Йосеф, – «Но, как и Аман с его приспешками, Ахмадинежад со сторонниками вскоре увидят, что их луки будут сломаны, а мечи обернуты против них, чтобы “поразить их в собственные сердца”».10

Конечно ничто из этого не указывало на прямую связь «myrtus» в коде Stuxnet и Книгой Эстер. Особенно если брать в расчет тот факт, который позже обнаружили другие исследователи, что миртус можно легко интерпретировать как «my RTUs» – «мои удаленные терминалы». Удаленные терминалы, как и ПЛК, являются элементами промышленного управления, используемыми для управления и контроля оборудования и процессов. Учитывая, что Stuxnet был нацелен на ПЛК Siemens, эта версия казалась много правдоподобней теории заговора Чиена.11 Но кто бы мог сказать наверняка?

           Специалисты из Symantec старались не делать поспешных выводов из этих данных. Вместо этого в своем блоге, Чиен и его коллеги просто сказали: «Да начнутся предположения».

Сноски, ссылки и используемая литература:

1.    Несмотря на то, что Conficker распространился так быстро и успешно, он так ничего и не сделал с большинством зараженных машин, навсегда оставив загадку о мотивах его создания и запуска в сеть. Некоторые аналитики считают, что злоумышленники пытались создать гигантский ботнет для распространения спама или атак типа «отказ в обслуживании» на веб-сайты, согласно более поздней версии, Conficker использовался для того, чтобы напугать некоторых пользователей загрузкой вредоносной антивирусной программы.  Другие опасались, что вирус может установить «логическую бомбу», которая в будущем приведет к самоуничтожению данных с компьютера. Когда прошло много времени, и ни один из этих сценариев не материализовался, большинство людей начали думать, что Conficker использовали в качестве проверки, чтобы посмотреть на реакцию правительства. Код вируса со временем модифицировался, и использовал все более изощренные методы, постоянно оставляя исследователей на шаг позади, не давая им его уничтожить. Это позже заставило думать, что таким образом хакеры проверяли специалистов по кибербезопасности. После раскрытия Stuxnet, Джон Бумгарнер, эксперт по компьютерной безопасности в ЦРУ, заявил, что и Conficker, и Stuxnet были созданы одними людьми, и что Conficker использовался в качестве «дымовой завесы», «выбивающего двери» для Stuxnet. В качестве доказательств Бумгарнер привел время запуска обеих атак и тот факт, что Stuxnet использовал ту же уязвимость, что и Conficker. Но Symantec и другие исследователи, изучавшие Stuxnet и Conficker, сказали, что они не нашли доказательств, подтверждающих его слова. Кроме того, первая версия Conficker избегала заражения любых машин в Украине, на основании чего можно предположить, что это и есть страна происхождения вируса.

2.    На самом деле, Меллиса была не первой результативной атакой. Честь быть самой первой выпала червю Морриса, само распространяющейся программе, созданной 23-летним аспирантом Робертом Моррисом-младшим, сыном специалиста по кибербезопасности в АНБ. И хотя многие из методов Stuxnet было совершенно современными и уникальными, своими корнями он обязан именно червю Морриса, так как они имеют некоторые общие характеристики. Моррис запустил своего червя в 1988 году на ARPAnet, сети, построенной Агентством перспективных исследований Министерства обороны в конце 1960-х годов, которая была предшественником современного интернета. Как и Stuxnet червь Морриса совершал ряд вещей, чтобы скрыть себя, например, помещая файлы в память и удаляя свои временные файлы, в которых он более не нуждается. Но также, как и Stuxnet, у червя Морриса было несколько недостатков, которые заставили его неконтролируемо распространиться на 60 тысяч машин, и в следствии быть обнаруженным. Всякий раз как вирус натыкался на уже зараженную машину, он должен был останавливать свои процессы, и двигаться дальше. Однако Моррис забыл принять во внимание взаимосвязь ARPAnet, поэтому червь неоднократно совершал заражение одних и тех же машин, заражая некоторые из них сотни раз, пока они не отказывали работать под тяжестью нескольких версий вируса. Компьютеры в университете Пенсильвания были атакованы 210 раз за 12 часов. Завершение работы или перезагрузка убивали червя, но только временно. Пока машина была подключена к сети интернет, она заново заражалась другими компьютерами.

3.    Самореплецирующиеся черви – исключение составляют Stuxnet и Conficker – гораздо реже, чем когда-либо, в значительной степени уступают фишинговым атакам, когда ПО попадает на машину через вложения электронной почты либо вредоносные веб-сайты.

4.    Как только специалисты кибербезопасности извлекают ключи и сопоставляют их с алгоритмами, они пишут программу дескриптор, чтобы они могли быстро расшифровать другие блоки памяти, использующие тот же алгоритм. Например, когда они только получают в руки новую версию Stuxnet или даже другие вирусы, которые могут быть написаны одним хакером, они используют все те же алгоритмы, что значительно сокращает процесс отладки кода – они могут просто запустить свой дескриптор.

5.    В некоторых версиях Stuxnet хакеры увеличили период времени до 90 дней.

6.    Нейт Лоусон, “Stuxnet Is Embarrassing, Not Amazing”, 17 января 2011 год, доступно по адресу: http://www.rdist.root.org/2011/01/17/stuxnet-is-embarrassing-not-amazing/#comment-6451

7.    Джеймс Фарвелл и Рафал Рохозинский, “Stuxnet and the Future of Cyber War,” Survival 53, no. 1 (2011): 25.

8.    Один из способов сделать это, как отмечает Нейт Лоусон в своем блоге, – взять подробные данные конфигурации на целевом компьютере и использовать их для получения криптографического хэша ключа, который разблокирует полезную нагрузку. Ключ бесполезен, если только вредоносная программа не обнаружит машину с точно такой же конфигурацией или кто-то сможет получить ключ путем воспроизведения всех известных комбинаций, пока одна из них не сработает – брут форс. Но последний может быть предотвращен путем получения хэша из обширного выбора данных конфигурации, что делает брут форс невозможным. Stuxnet обладал более простой версией техники, описанной Лоусоном. Он использовал базовые данные конфигурации об оборудовании, но сам ключ был получен не из данных конфигурации и не зависел от них. Поэтому, как только специалисты найдут ключ, они могут просто разблокировать полезную нагрузку с его помощью, без необходимости знать фактическую конфигурацию. Однако позже специалисты из Лаборатории Касперского столкнулись с вредоносным ПО, которое использовало более сложную технику для блокировки своей полезной нагрузки. Как результат, эту полезную нагрузку расшифровать так и не получилось.

9.    Профессор Мичиганского университета Хуан Коул и другие отметили, что у персидского языка нет такой идиомы, как «стереть с лица земли», и что Ахмадинежад на самом деле сказал, что он надеялся, что еврейские/сионистские оккупационные силы будут повергнуты и стерты со страниц истории.

10. “Rabbi Yosef: Ahmadinejad a New Haman,” Israel National News, 14 февраля 2010 год, доступно на: http://www.israelnationalnews.com/News/Flash.aspx/180521#.UONaAhimWCU

11. Джон Бумгарнер, эксперт по кибербезопаности в ЦРУ, поддерживает эту интерпретацию и также утверждает, что «guava» в пути к файлу Stuxnet, вероятно, относится к проточному цитометру, изготовленному компанией под названием Guava Technologies. Проточные цитометры – это устройства, которые используются для подсчета и исследования микроскопических частиц и также используются, среди прочего, для измерения изотопов урана. Бумгарнер считает, что они могли использоваться в Натанзе, для измерения уровня обогащения газа гексафторида урана, поскольку изотопы U-238 отделены от изотопов U-235, которые необходимы для ядерных реакторов и бомб. Guava Technologies выпускает проточные цитометры под названием Guava EasyCyte Plus, который можно интегрировать с ПЛК, чтобы предоставлять операторам данные об уровне изотопов в уране в режиме реального времени. Проточные цитометры являются контролируемым продуктом, и должны быть зарегистрированы в соответствии с Законом о торговых санкциях и расширении экспорта от 2000 года, прежде чем быть проданными Ирану. Смотрите Джон Бумгарнер, “A Virus of Biblical Distortions”, 6 декабря 2013 год, доступно по адресу: http://www.darkreading.com/attacks-breaches/a-virus-of-biblical-distortions/d/d-id/1141007?.

 Патрик Фицджеральд и Ерик Чиен, “The Hackers Behind Stuxnet”, Symantec, 21 июля 2010 год, доступно по адресу: https://community.broadcom.com/symantecenterprise/communities/community-home/librarydocuments/viewdocument?DocumentKey=4f9aa8d9-2eb5-40f8-8997-10a258055c61&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments.

Глава 5. Расцвет Ахмадинежада.

Караван черных бронированных седанов Mercedes мчался на юг от Тегерана, в сторону Натанза, со скоростью 90 миль в час. В трех машинах по отдельности сидели Олли Хайнонен, его начальник, директор МАГАТЭ Мухаммед эль-Барадеи и еще один их коллега из агентства. Это было ясное зимнее утро конца февраля 2003 года, спустя шесть месяцев после того, как группа Алирезы Джафарзаде снесла крышку с тайного ларца в Натанзе, и инспекторы, наконец, ехали на первый осмотр. Рядом с эль-Барадеи сидел элегантный мужчина профессорского вида с седыми волосами и тщательно подстриженной бородой – Голам Реза Агазаде, бывший вице-президент Ирана и президент его Организации по атомной энергетике.

Двумя неделями ранее иранский президент Сейид Мохаммад Хатами наконец признал, что объект в Натанзе это завод по обогащению урана, подтвердив подозрения ISIS и остальных организаций. Со слов президента, Иран разрабатывал ряд объектов для каждого из этапов цикла производства топлива, и Натанз был лишь одним из них. Но он бурно настаивал на том, что ядерные устремления Ирана имели сугубо мирный характер.1 Опять же, с его слов, Ирану, великой нации обладающей множеством преимуществ, просто незачем оружие массового уничтожения. Однако, он не сказал, почему, если Ирану нечего скрывать, он построил завод в Натанзе глубоко под землей. Если там не происходит ничего противозаконного, зачем нужно было прятать завод под толщей бетона и земли? И зачем вообще самим обогащать уран, если топливо для иранских ядерных реакторов можно закупать у других стран, как это делает большинство, к тому же у Ирана уже был контракт с Россией. Эти и другие вопросы витали в головах представителей МАГАТЭ, когда их машины въезжали в Натанз.

МАГАТЭ прошло большой путь с момента его открытия в 1957 году, когда его создали с целью содействия мирному развитию ядерных технологий. Вторая роль агентства в качестве сторожевого ядерного оружия – обеспечение того, чтобы страны тайно не применяли ядерные наработки для разработки оружия – должна была стать второстепенной. Но за пять десятилетий, прошедших с момента создания агентства, одна из, казалось бы, самых маловажных задач постепенно стала проблемой №1, поскольку ядерные кризисы наступали один за другим. К сожалению, способность агентства выполнять эту роль зачастую ограничивалась их узкими полномочиями по расследованию и наказанию стран, нарушивших соглашение.

Поскольку у агентства не было собственного разведывательного подразделения для самостоятельного расследования подозрительной деятельности, оно должно было полагаться на сведения из 35 стран, входивших в его правление, таких как Соединенные Штаты – что делало его уязвимым для манипуляций – или на информацию, которую инспекторы могут лично извлечь из посещений ядерных объектов. Но поскольку инспекторы, в большинстве своем, посещали лишь включенные в список страны и их ядерные объекты, страны-изгои вполне могли свободно осуществлять незаконную ядерную деятельность. Даже в случае наличия прямых доказательств нарушения соглашений, МАГАТЭ не имели какой-либо власти, дабы как-то сильно повлиять на соблюдение странной указанных договоренностей. Все что было в силах агентства, это направить страну-нарушителя в Совет Безопасности ООН, который затем мог проголосовать за необходимость введения санкций.2

Эти слабости стали очевидным в 1991 году, после окончания первой войны в Персидском заливе, когда инспекторы посетили послевоенный Ирак с целью осмотреть останки его некоторых ядерных объектов, и неожиданно обнаружили, что Саддам Хуссейн создал передовую программу по созданию ядерного оружия прямо у них перед носом. До войны агентство заявляло, что сотрудничество Хуссейна с МАГАТЭ можно было назвать «образцовым».3 Поэтому инспекторы были шокированы, обнаружив после войны, что все это время им просто вешали лапшу на уши. По некоторым оценкам, Ираку оставался примерно год к тому моменту, как у них появится необходимое количество расщепляющего материала для создания ядерной бомбы, и еще один-два года до создания полномасштабного ядерного арсенала.4 Самое неприятное в этой ситуации заключалось в том, что незаконная ядерная деятельность проводилась в соседних от задекларированных зданиях, которые посещали инспекторы, но согласно правилам, они не могли проводить самопроизвольные проверки зданий, не включенных в список.5

Взволнованное лицемерием правительства Ирака, МАГАТЭ разработало так называемый Дополнительный протокол для дополнения соглашения о гарантиях, которые подписали страны. Дополнительный протокол значительно расширял виды деятельности, о которых страны должны были сообщать МАГАТЭ, а также предоставил агентству свободу действий, чтобы получать больше интересующей инспекторов информации, запрашивать доступ к записям о закупке оборудования и материалов, а также более легко инспектировать места, которые подозревались в проведении незаконной ядерной деятельности. Правда имелась одна загвоздка. Протокол распространялся лишь на те страны, которые его ратифицировали, и в 2003 году, когда инспекторы приехали в Натанз, Иран не был в этом списке. В результате инспекторы попросту не могли предъявить большую часть требований Ирану, так как он не ратифицировал Дополнительный протокол.6

Трехчасовая дорога от Тегерана в Натанз закончилась, и ранним февральским утром инспектора попали в место назначения. По пути они проезжали мимо озера Хоз-э-Солтан, соленого озера, которой испарялось летом, а зимой было примерно по колено наполнено солоноватой водой, и города Кум, священного города шиитов.

           Проехав Кум, колонну Мерседесов ожидали 60 миль распростертой во все стороны пустыни, пока она не достигла города Кашан. Проехав еще 12 миль мимо уже несколько побуревших песков коричневых оттенков, на горизонте замаячил комплекс зданий, как будто возникших из недр пустыни.

По приезду в Натанз, Хайнонен был поражен масштабами все еще продолжавшегося строительства. В дополнение к подземным коридорам был возведен лабиринт из наземных зданий, в том числе комплекс из пяти сборных конструкций с алюминиевым сайдингом, которые разветвлялись друг от друга, как разбитый по диагонали крест. Была достроена большая электрическая подстанция для питания зданий и центрифуг. Одно из пяти зданий оказалось тестовым заводом по обогащению топлива –  исследовательский центр, где технические специалисты могли тестировать новые модели центрифуг и каскадов, прежде чем устанавливать их в подземных производственных цехах. Ожидалось, что после установки центрифуги под землю, она будет работать год, или около того, поэтому тестовый завод имел важное значение для предварительной проверки работоспособности какой-то новой технологии и процесса обогащения в целом.

Хотя подземные цехи были еще далеки до их полноценного использования, у ученых уже было около 160 центрифуг, вращающихся на экспериментальном заводе, там же находились и компоненты для сборки еще нескольких сотен центрифуг.7 Экспериментальный завод должен был начать свою работу в июне, через четыре месяца, но Иран планировал установить тысячу центрифуг до конца года, а первую партию обогащенного урана, полученную в результате их работы, ожидалось получить еще через полгода.

Когда Агазаде водил представителей МАГАТЭ по территории завода, он постоянно настаивал на том, что в Натанз все еще не был ввезен гексафторид урана, а также не проводилось никаких испытаний по обогащению с использованием газа. По его словам, тестирование проводилось только с помощью компьютерного симулирования. Это было важно, поскольку обогащение урана без уведомления об этом МАГАТЭ считалось нарушением соглашения о гарантиях. Но Хайнонен не верил ни единому его слову. Идея о том, что Иран потратил 300 миллионов долларов на строительство завода по обогащению урана, и при этом не провел ни единого испытания каскадов с использованием реального газа, дабы убедиться в работоспособности объекта и имевшихся в страны технологий, выходила за пределы всего разумного.

С экспериментального завода инспекторы попали в шоу-рум, где располагались, как в примерном курсовом проекте какого-нибудь отличника, все отдельные компоненты центрифуги IR-1, а также пару полностью собранных. Агазаде сказал инспекторам, что центрифуга IR-1 это их собственная разработка. Но когда Хайнонен подошел поближе, он узнал в «собственной разработке» ранние версии центрифуг Urenco, которые консорциум создал в Европе еще много лет назад. Он еще не знал, что Иран фактически приобрел украденные проекты центрифуг у Хана, но он уже был уверен, что Агазаде врет.

После окончания осмотра шоу-рума, инспекторы были спущены в U-образный туннель, который Кори Хиндерштейн обнаружила на спутниковых снимках, чтобы увидеть собственными глаза два пещеристых коридора, находящимися под 75 футами земли. Иран планировал начать заполнение цехов центрифугами после 2005 года, и при площади в 32 тысячи квадратных каждый, они должны были вмещать порядка 47 тысяч центрифуг.8 Но в настоящее время это все же были просто пустые залы.

 На протяжении всего визита, отношения между инспекторами и иранскими представителями сложились довольно теплые. Но вся эта лицемерная занавесь упала, когда по пути в Тегеран, Хайнонен попросил Агазаде показать ему их тайные запасы урана. Тот, видимо, счел просьбу Хайнонена невежественной, и просто проигнорировал ее. Однако представитель МАГАТЭ был вооружен сведениями из западных правительственных источников о том, что в 1991 году Иран тайно импортировал уран из Китая, включая газ гексафторид урана.9 Он размахивал письмом от китайских официальных лиц, подтверждающим сделку. Когда иранцы потом признали наличие урана, сказав, что они забыли о том, что он у них есть, Хайнонен и его коллеги подметили, что контейнеры оказались куда легче, чем ожидалось, и что скорее всего часть гексафторида урана, по-видимому, в них отсутствовала. Иранцы отнекивались, прикрываясь тем, что газ, должно быть, испарился из-за утечек в контейнерах, но Хайнонен подозревал, что он использовался для тайных испытаний центрифуг.

Именно тогда Хейнонен настоял на том, чтобы увидеть часовой завод Kalaye Electric. На своей пресс-конференции в августе NCRI назвал Kala Electric, пускай немного иное название, одной из подставных компаний, которые Иран использовал для своей секретной ядерной программы. NCRI точно не говорил, какую роль играла компания в ядерной программе, но незадолго до того, как инспекторы МАГАТЭ прибыли в Иран для визита Натанза, NCRI как нельзя вовремя сообщил, что объекты Kalaye использовались для исследования и разработки центрифуг. Это, наряду с ураном, присутствие которого так отрицал Агазаде, дало Хайнонену неопровержимые факты, чтобы настоять на посещении фабрики.

Иранцы неохотно показали офисное здание Kalaye, в основном пустующее, и оправдывались тем, что не могут найти ключей от самой фабрики. Инспекторы должны были покидать Иран на следующий день, но договорились с иранцами о визите фабрики в следующий раз. К сожалению, к тому времени, когда инспекторы вновь вернулись в Иран, более чем через месяц, у иранцев было достаточно времени, чтобы провести генеральную уборку. По приезду на фабрику представители МАГАТЭ отметили явные признаки свежевыкрашенных стен в одном из фабричных зданий, а также замененных дверей и недавно залитых бетонных полов. Подозревая, что иранцы что-то скрывают, инспекторы попросили собрать образцы окружающей среды из здания, чтобы проверить их на наличие следов обогащенного урана.10 Отбор проб окружающей среды – это то, что МАГАТЭ добавило в свой арсенал, после неудачи в обнаружении незаконной ядерной программы Ирака. Инспекторы использовали специальные ватные квадраты и тампоны для сбора пыли со стен и поверхностей, которые можно было проверить на наличие частиц урана, определить тип присутствующего урана и даже уровень его обогащения.11 Однако иранцы запретили им собрать какие-любо образцы.

Месяцы спустя, когда было получено разрешение на сбор проб, инспекторы собрали частицы на фабрике Kalaye и экспериментальном заводе по обогащению урана в Натанзе, и обнаружили в них частицы обедненного и обогащенного урана, которых не было в списке задекларированных материалов Ирана.12 В результате переговоров представители Ирана признали, что на фабрике Kalaye и в правду происходило обогащение уранового газа, что являлось прямым нарушением соглашения о гарантиях Ирана с МАГАТЭ. Они оправдывались тем, что газ обогащался только лишь для тестирования центрифуг и обогащался всего до 1,2%. Однако это не соответствовало информации, полученной МАГАТЭ с их проб, согласно которой, обогащение варьировалось в пределах от 36 до 70 процентов.13

Уран в своем естественном состоянии содержит менее 1 процента U-235, изотопа, необходимого для реакторов и бомб. Большинству реакторов требуется уран, обогащенный всего до 3-5 процентов. Высокообогащенный уран обогащается до 20 процентов и более. И хотя 20 процентное обогащение уже может быть использовано для ядерного оружия, в дополнение к некоторым типам ядерных реакторов, уран, предназначенный для изготовления из него ядерного оружия может обогащаться до 90 процентов и более.

Представители Ирана опять же отнекивались какими-то фантастическими отмазками, мол, высокообогащенные частицы скорее всего попали в здание, так как они остались внутри центрифуг, которые, как теперь утверждали иранцы, они приобрели. Внезапно беспокойство по поводу ядерной программы усилилось.

Частицы обогащенного урана в образцах окружающей среды не являются однозначным доказательством того, что Иран работает над секретной программой создания ядерного оружия, но они свидетельствуют о том, что инспекторам предстоит еще много работы, чтобы попытаться раскрыть полный масштаб ядерной программы страны. Кроме того, это также говорит о том, что представителям Ирана нельзя доверять, они лгут. Так началось долгое и изнурительное дело, которое займет МАГАТЭ до конца десятилетия, в их попытках собрать воедино историю ядерных амбиций Ирана и оценить его потенциал в области ядерного оружия.

Как только МАГАТЭ начало это дело, в мае 2003 года NCRI объявило, что у него есть доказательства наличия дополнительных секретных объектов в Иране, в том числе в деревне под названием Лашкар Абад. В этот раз Иран не сопротивлялся и признал, в деревне находится завод для проведения экспериментов по лазерному обогащению – еще один метод обогащения урана.14 И еще через пару месяцев NCRI объявил о существовании еще двух ядерных объектов, один из которых находился в складском районе в пригороде Тегерана, который, видимо, для маскировки, был окружен огромными автомобильными свалками. По данным NCRI, это был секретный экспериментальный завод по обогащению, который Иран создал сразу после февральского визита МАГАТЭ в Натанз, чтобы ученые могли проводить исследования и опыты по обогащению вдали от любопытных глаз инспекторов.15

С таким большим количеством публичных откровений за столь короткий период времени стало ясно, что кто-то пытался разжечь огонь прямо под креслами иранских чиновников. Как результат, в МАГАТЭ значительно прибавилось работы, поскольку теперь они должны были внести дополнительные объекты в список мониторинга. В дополнение к Бушеру и двум реакторным установкам, уже включенным в этот список, МАГАТЭ добавило экспериментальные и коммерческие заводы по обогащению урана в Натанзе, реактор, который планировали построить в Араке, а также завод по преобразованию урана в Исфахане, примерно в ста милях к юго-западу от Натанза, где Иран планировал преобразовывать уран в газ для его дальнейшего обогащения в Натанзе.

Когда поднялись вопросы о ядерной программе, Иран демонстративно настоял на том, что их планы по обогащению урана будут выполнены, и вскоре все начнет работать не только на бумагах. К сожалению, так оно и было, и в июне рабочие в Натанзе начали подавать первую партию гексафторида урана в десять центрифуг на экспериментальном заводе. Министры иностранных дел стран EU3 – Франции, Германии и Великобритании – призвали Иран приостановить свою деятельность по обогащению, пока МАГАТЭ не получит больше информации о ядерной программе Ирана. Начались переговоры, и в октябре Иран согласился временно остановить свою деятельность по обогащению. Он также согласился предоставить подробную историю ядерной программы, чтобы устранить «любые неясности и сомнения насчет мирного характера» иранской ядерной деятельности.16 Иран в какой-то степени придерживался последнего соглашения, но, когда его представители показали МАГАТЭ подробную историю их ядерной деятельности, в которой писали, что программа центрифуг разрабатывалась в Иране на протяжении восемнадцати лет, они упустили ряд важных деталей.17 МАГАТЭ знало об этом только потому, что, хотя агентство пыталось получить какую-либо информацию от иранского правительства, оно также начало сотрудничать с ЦРУ, в которого также имелись некоторые данные по поводу секретной ядерной программы Ирана.

Несколькими годами ранее ЦРУ проникло в сеть ядерных поставок Хана, и обеспечило себе верность его нескольких ключевых поставщиков, превратив их в своих информаторов. От них ЦРУ стало известно, что Хан продал образцы для пакистанской центрифуги P-1 – украденной из Urenco конструкции – Ирану, а также продал прототипы более совершенной центрифуги P-2 в Ливию. А если Хан продал образцы P-2 в Ливию, заключил Хайнонен, то должен был продать и в Иран. Иран не упоминал о продвинутых центрифугах в своей детальной истории ядерной деятельности, но если он действительно имел эти центрифуги, то иранская программа обогащения урана находилась намного больше впереди, чем подозревал Хайнонен. МАГАТЭ потребовало прояснить вопрос о производстве Ираном центрифуг P-2, и правительство Ирана признало, что действительно, они получили проект центрифуги P-2 в 1996 году.  Рабочие пытались собрать центрифуги по этому проекту, но вскоре отказались от этой затеи, поскольку столкнулись с проблемами изготовления роторов. Правительство Ирана утверждало, что Иран не пытался скрыть свою работу над P-2, а просто планировал раскрыть эту информацию позже.

В течении следующих нескольких месяцев после того, ситуация еще больше ухудшилась, так как всплыла новая информация о еще одном секретном объекте в Иране, который находился в Физическом исследовательском центре в Тегеране.18 К тому времени, когда инспекторы получили доступ к участку для его осмотра, здание уже было разрушено, а верхний слой земли снят и вывезен, что помешало инспекторам взять частицы окружающей среды для исследований.19 В апреле этого же года Иран публично заявил о планах начать проведение испытаний в Исфахане по превращению измельченной урановой руды в газ гексафторид урана. Страны EU3 посчитали это нарушением иранского соглашения о временном приостановлении ядерной деятельности, поскольку преобразование руды в газ является одним из процессов в цикле обогащения урана, но решили не поднимать этот вопрос, опасаясь, что Иран полностью отменит и без того деликатное соглашение о приостановлении.

Затем, в мае, в руки МАГАТЭ неожиданно попала большая кипа документов таинственного происхождения, что еще больше накалило обстановку вокруг Ирана и его ядерной программы.

История с документами началась, когда Хайнонену позвонила некая женщина с американским акцентом, которая назвала себя Джеки. Он предположил, что она из ЦРУ, не спрашивать не стал. Она знала подробности его расследования ядерной программы Ирана и сказала, что у нее имеется информация, которая точно его заинтересует. Хайнонен опасался попасть над удочку ЦРУ, но все же согласился встретиться с ней в Старбаксе.20

Когда он прибыл на место встречи, его встретила молодая женщина азиатской внешности. Она сказала, что устроит ему встречу с двумя информаторами ЦРУ, которые находились внутри сети ядерных поставок Хана и которые могли бы предоставить полную информацию о его сделках с Ираном. После она достала документы, в которых шлось о ядерной программе Ирана, и передала их Хейнонену. Документы попали к ней от бизнесмена из Тегерана, который работал на правительство в сталелитейной и бетонной промышленности – деятельности, которая и привела его в Натанз и Исфахан, а также связала с людьми, стоящими за ядерной программой Ирана. Каким-то образом он получил доступ к архиву с секретными документами о ядерной программе, и передавал их разведывательному агентству Германии, ФРС. «Дельфин», как его окрестили в ФРС, планировал использовать документы в качестве билета в убежище на западе для него и его семьи. Но прежде чем он смог реализовать свой план, агенты иранской разведки арестовали его. Однако его жене и детям удалось бежать через границу в Турцию, взяв документы с собой.

Читая бумаги, Хейнонен не мог поверить своим глазам.  В документах, украденных Дельфином, кратко излагалась серия проектов, которые якобы составляли секретную ядерную программу Ирана. Они включали в себя амбициозные планы страны по производству собственного ядерного топлива путем добычи урановой руды с рудника на юге Ирана, и ее дальнейшей переработки с получением уранового концентрата, который в конечном итоге будет преобразован в тетрафторид и гексафторид урана. Тетрафторид урана может быть использован для производства металлического урана, который в основном применяется в цивильном производстве, но также с него можно произвести бомбы.21

Само по себе ничего из этого не было стоящим доказательством программы создания ядерного оружия. Но если рассматривать их вместе… Наиболее тревожными были документы, в которых описывались точные испытания детонации взрывоопасных материалов. Имелись также зарисовки и инструкции по созданию комплекса для запуска ракет «Шахаб-3», которая содержала в себе тяжелый круглый объект – подозрительно напоминавший ядерную боеголовку, – а также трехминутное видео, демонстрирующее смоделированный взрыв боеголовки на высоте 1970 футов, которое сопровождал дурацкий саундтрек из Chariots of Fire.22 Взрыв на такой высоте химической или биологической боеголовки не имел никакого смысла, рассуждал Хайнонен, поэтому разрабатываемая боеголовка, скорее всего, должна быть предназначена для ядерного оружия.23

Были ли документы подлинными? Хайнонен не был уверен в этом на 100 процентов. Но они точно подтвердили другую информацию, которую МАГАТЭ получало от других государств о деятельности Ирана. Если он правильно интерпретировал написанное в документах, то это было самое ужасное доказательство того, что Иран действительно работает над программой создания ядерного оружия.

Позже МАГАТЭ связалось с правительством Ирана с требованием объяснить написанное в документах, но иранцы заявили, что документы описывающие испытания взрывчатых веществ, в равной степени применимы и к обычным боеголовкам, и к ядерным, и отрицали, что проект с тетрафторидом вообще существует. Они обвинили МАГАТЭ в фальсификации документов с целью наложить на Иран санкции, и выдумывании весомой причины для авиаудара США и Израиля на Натанз.24

В момент, когда напряженность, вызванная ядерной программой Ирана, была на пределе, в конце 2004 года Иран снова согласился приостановить свои планы преобразования урана в Исфахане, а также все другие его мероприятия, связанные с обогащением урана, и приступить к официальным переговорам о своей ядерной программе. Однако, как и в прошлый раз, соглашение о приостановлении не долго удерживало Иран. В июне 2005 года мэр Тегерана Махмуд Ахмадинежад был избран президентом Ирана, и правительственная связь Ирана с европейскими странами начала ослабевать, и как следствие, начали ослабевать соглашение о приостановке и переговоры в целом. Ядерная программа Ирана становится вопросом национальной гордости, и сторонники жесткой политики начинают рассматривать соглашение о приостановке как капитуляцию Ирана перед Западом. Из их слов, независимо от того, сколько сделает Иран, чтобы успокоить Запад, этого все равно никогда не будет достаточно, потому что реальная цель Израиля и Соединенных Штатов – свергнуть иранский режим.

Поскольку война в Ираке затянулась и США потеряли там верх, иранские лидеры стали еще смелее в своем неповиновении. В августе 2005 года, всего через два месяца после избрания Ахмадинежада в президенты, международные переговоры зашли в тупик, и Иран объявил об аннуляции соглашения о приостановлении.25 Иран не терял время на снятие пломб, установленных МАГАТЭ на оборудовании завода в Исфахане, и сразу приступил к осуществлению своих планов по преобразованию оксида урана в гексафторид урана. Отношения к Ирану ухудшились еще больше в декабре, когда Ахмадинежад разжег конфликт народов, заявив в публичной речи, что Холокост был мифом.26

Ситуация выходила из-под контроля. Соседи Ирана на Ближнем Востоке были настолько напуганы растущим конфликтом между Ираном и Израилем, что Министерство здравоохранения Кувейта решило установить 15 систем радиационного обнаружения по всей стране и на пограничных участках, чтобы, в случае чего, обеспечить ранее предупреждение о любой ядерной активности в регионе.27 Однако попытки оценить, насколько Иран близок к созданию ядерной бомбы, оказались безуспешными. Ни у кого не было четкого понятия о его ядерной программе. На самом деле, Ирану не обязательно было создавать ядерное оружие, он и без того представлял собой угрозу. Все, что ему требовалось сделать, это освоить процесс обогащения и произвести достаточное количество обедненного урана, чтобы при желании ему было с чего сделать бомбу. Как только Иран достигнет этого, он сможет вечно находится на этом этапе, при этом искренне утверждая, что у него нет ядерного оружия, – до того дня, когда он не решит превратить обедненный уран в орудие массового убийства. Оценки того, насколько долго Иран будет достигать этой точки сильно различались. По мнению Национальной разведки США в 2005 году, Ирану нужно было 6-10 лет для того, чтобы иметь достаточное количество материалов для производства бомбы. Израиль был менее оптимистичен, его правительство считало, что это займет менее пяти лет.28

Обогащение урана – один из самых сложных процессов в создании ядерного оружия. Даже при лучших обстоятельствах, обогащение остается деликатной процедурой, чреватой многочисленными пробами и ошибками, к тому же у Ирана не было большого опыта в этой сфере. Добавьте к этому трудности, связанные с изготовлением работоспособных центрифуг, и сразу стает очевидным, почему иранской ядерной программе потребовалось так много времени, чтобы достичь ее текущего уровня. К тому же, у инженеров с Натанза до сих пор были проблемы с их центрифугами, как заявил об этом США в начале 2006 года заместитель генерального директора Комиссии по атомной энергетике Израиля Ариэль Левит. Позже станет известно, что некоторые из этих проблем были связаны с компонентами, полученными Ираном от Турции.29

Несмотря на обстоятельства, в начале 2006 года, Иран возобновил обогащение на экспериментальном заводе в Натанзе. Этот шаг заставил пересмотреть оценки израильских экспертов, и они заявили, что теперь Ирану потребуется всего 2-4 года.30 Они поделились своими опасениями с Соединенными Штатами, что Ирану нельзя позволить освоить процесс обогащения урана, иначе это станет началом конца. Как только они освоят этот процесс, Иран сможет обогащать уран на секретных заводах в любой точке страны.31 Заводы с центрифугами, в отличии от других частей цикла производства ядерного топлива, не требуют специальных условий для своей работы. Поэтому, как только инженеры проработают все нюансы процесса, Иран сможет устанавливать центрифуги абсолютно везде, даже в переоборудованных офисных зданиях. «Мы знаем, что Иран уже начал перемещать некоторые объекты», – заявил генеральный директор Комиссии по атомной энергетике Израиля Гидеон Франк в начале 2006 года.32 Заводы, способные производить детали для центрифуг уже «повсюду», сказал он, а остальные заводы ядерной программы размещаются на сильно укрепленных военных объектах, куда инспекторы МАГАТЭ никогда не попадут, или располагаются под землей, где удары с воздуха, вероятно, не будут эффективными.

Затем в мае иранское правительство заявило, что их инженерам на экспериментальном заводе удалось успешно обогатить свою первую партию урана до 3,5% используя полный каскад из 164 центрифуг. За этим последовало объявление об установлении инженерами первых 3 тысяч центрифуг в подземных цехах. Похоже, что Иран наконец преодолел свои трудности, и теперь уже ничего, кроме, возможно, воздушного удара, не остановит его.     

Будучи обеспокоено тем, что его способность контролировать ядерную программу Ирана быстро снижается, МАГАТЭ, после годов настоятельных рекомендаций сделать это от США, предъявило Ирану претензию за несоблюдение своего соглашения о гарантиях. В июле 2006 года Совет Безопасности ООН под угрозой введения санкций, потребовал от Ирана остановки процесса обогащения к концу августа. Ахмадинежад отказался. «Те, кто считает, что могут использовать против Ирана язык угроз, сильно ошибаются», – заявил он. – «Если они не осознают это сейчас, в один день им придется прийти к этому более тяжелым путем».33

           Неожиданно западные спецслужбы заметили ряд попыток Ирана тайно закупить запчасти для центрифуг в Европе и других странах, используя сеть местных и иностранных подставных компаний.34 Они срочно «пытались закупить запчасти, словно сумасшедшие», вспоминает Дэвид Олбрайт из ISIS. Они искали всевозможные клапаны, трубы и вакуумное оборудование, а также оборудование, которое требовалось для разработки ракет.35

           Начали ходить слухи о планах воздушного удара, но в частном разговоре, госсекретарь Кондолиза Райс поделилась с МАГАТЭ своими мыслями о том, что это вряд ли произойдет. Иран, с ее слов, должен «прогнуться». Но Иран не прогнулся.

В конце 2006 года, не имея другого выбора в борьбе с незаконной ядерной программой Ирана, Совет Безопасности ООН принял резолюцию о наложении санкций против Ирана, запрещающую поставки сырья и оборудования, которые могут быть использованы для разработки ядерного оружия. Месяцем спустя, Совет проголосовал за введение дополнительных санкций с целью заморозки активов отдельных лиц и организаций, которые, как считалось, были вовлечены в иранскую ядерную программу.36 Тем не менее, Иран это не смущало.

В феврале 2007 года иранское правительство заявило МАГАТЭ о том, что инженеры из Натанза, проведя успешные тесты на экспериментальном заводе, начали устанавливать первые центрифуги в одном из подземных цехов. Ирану потребовалось более десяти лет, чтобы достичь этой точки, и он, преодолел все препятствия – технологические и человеческие – которые были на его пути. Иран уже было не остановить, к концу месяца, специалисты установили два каскада, еще два находились на завершающей стадии установки. Они также транспортировали девять тонн газообразного гексафторида урана, чтобы начать обогащение.37

К июню 2007 года в Натанзе было установлено 1400 центрифуг, которые успешно обогащали уран. Все они были первой генерацией полученных центрифуг – IR-1, но технические специалисты уже работали над производством центрифуг IR-2, более совершенной модели, основанной на конструкции пакистанских P-2. Несмотря на ранний неудачный опыт производства IR-2, у Ирана все-таки получилось возобновить их производство.38 Кроме всего, в стране начали разработку еще более совершенных центрифуг IR-4.39

И без того напряженные отношения между Соединенными Штатами и Израилем еще более обострились. Израиль обвинил США в бездействии относительно развития ядерной программы Ирана, и слишком больших надеждах на санкции и дипломатические переговоры. Премьер-министр Израиля Эхуд Ольмерт в публичном обращении предупредил, что, если это бездействие будет продолжаться и дальше, Израиль начнет действовать самостоятельно. «Любой, кто будет угрожать нам, угрожать нашему существованию, должен знать, что у нас хватит решимости защитить себя», – говорил он. – «Мы имеем полное право на свободу действий, чтобы действовать в защиту наших жизненно важных интересов. И мы без колебаний сделаем все, чтобы защитить наш народ».40

Но в декабре 2007 года произошло то, что сломало не только дипломатические усилия США, но и военные планы Израиля. Согласно оценке национальной разведки США, Иран, с «высокой степенью вероятности» тогда уже имел программу создания ядерного оружия, но остановил ее осенью 2003 года после вторжения США в Ирак. Это говорит о том, что Иран был «менее решительным в разработке ядерного оружия», чем считалось ранее. Эта информация основывалась данных, полученных из американской внешней разведки при содействии Офиса директора Национальной разведки. Но она противоречила тому, что Майкл Макконел, директор Национальной разведки, сказал сенатскому комитету несколькими месяцами ранее. «Мы считаем, что Тегеран уверен в своей цели разрабатывать ядерное оружие, так как он больше заинтересован в затягивании переговоров, нежели в поиске приемлемого дипломатического решения», – заявил он в Комитете сената по вооруженным силам в прошлом феврале.41

Хотя в докладе Национальной разведки также отмечается, что Иран может отменить решение о прекращении своей программы ядерного вооружения в любой момент, и в его секретной версии обсуждались доказательства, которые не попали в публичную версию – что у Ирана может быть еще более десятка других секретных ядерных объектов, занимающихся незаконным обогащением и разработкой оружия – в отчете шла речь об ослаблении аргументов США в пользу санкций против Ирана и военных действий против него.42 Министр обороны США Роберт Гейтс, выступавший против воздушного удара, тем не менее поставил под сомнение заключение доклада. Во время слушаний в Конгрессе, он говорил о том, что Иран был вовлечен в подозрительную закупочную деятельность, которая предполагала, что его ядерные планы были гораздо более организованы и целенаправленны, нежели предполагала Национальная разведка. Он был не единым, кто не согласился с выводами разведки. В секретной переписке немецкое правительство сообщило Соединенным Штатам, что их собственные разведывательные данные указывают на то, что у Ирана все еще имелась программа разработки ядерного вооружения. По информации от правительства Израиля, Иран и в правду останавливал свою программу в 2003 году, но вновь возобновил ее в 2005.43

На закате 2007 года в Натанзе было установлено 3 тысячи центрифуг, а в следующем году это количество планировали удвоить. По оценкам экспертов, если Иран решит продолжить обогащение урана, то с тремя тысячами центрифуг модели P-1, можно произвести достаточное количество обедненного урана для ядерной бомбы менее чем за год.44

Казалось, что ничто не сможет остановить иранскую программу обогащения без риска войны.

Или все-таки могло?

В то время как напряженность в связи с программой обогащения приблизилась к критической точке, альтернативный план тайно вводился в действие. Пока иранские инженеры поздравляли себя с победой, достигнутой в Натанзе, и готовились к расширению программы, цифровое оружие уже тихо захватывало компьютеры завода с четкой миссией, описанной в его коде. С тысячами высокоскоростных центрифуг в своем прицеле, высокоточное оружие решительно и незаметно продвигалось к своей цели.

Сноски, ссылки и используемая литература:

1.    Хатами выступал в Тегеране 9 февраля 2003 года во время встречи между Министерством науки, исследований и технологии и ректорами университетов. Части его речи доступны по адресу: http://www.iranwatch.org/library/government/iran/iran-irna-khatami-right-all-nations-nuclear-energy-2-9-03

2.    35 стран-членов Совета управляющих МАГАТЭ могут голосовать за начало расследования или направление страны в Совет Безопасности ООН для введения санкций.

3.    До войны, заместитель директора МАГАТЭ, отвечающий за соблюдение всевозможных договоренностей, сказал Леонарду Вайссу, штатному директору комитета Сената по правительственным вопросам, что сотрудничество Ирака с МАГАТЭ настолько примерное, что в МАГАТЭ даже мысли не возникают о том, что Ирак может заниматься чем-то незаконным. Смотрите Леонард Вейсс, “Tighten Up on Nuclear Cheaters”, Bulletin of Atomic Scientists 47 (май 1991): 11.

4.    Дэвид Олбрайт и Маркс Хиббс, “Iraq’s Nuclear Hide and Seek”, Bulletin of Atomic Scientists 47 (сентябрь 1991): 27.

5.    Дуглас Франц и Кэтрин Коллинз, The Nuclear Jihadist: The True Story of the Man Who Sold the World’s Most Dangerous Secrets (New York: Free Press, 2007), 188.

6.    В 2004 году Иран согласился подписать Дополнительный протокол, но не ратифицировал его. Позже, в 2006 году, после того как МАГАТЭ направило Иран в Совет Безопасности ООН за несоблюдение им соглашения о гарантиях, Иран отомстил, заявив, что больше не будет придерживаться Протокола вовсе.

7.    Дэвид Олбрайт, Peddling Peril: How the Secret Nuclear Trade Arms America’s Enemies (New York: Free Press, 2010), 192.

8.    Дэвид Олбрайт и Кори Хиндерштейн, “The Iranian Gas Centrifuge Uranium Enrichment Plant at Natanz: Drawing from Commercial Satellite Images”, ISIS, 14 марта, 2003, доступно по адресу: https://isis-online.org/publications/iran/natanz03_02.html. Смотрите также IAEA Board of Governors, “Implementation of the NPT Safeguards Agreement in the Islamic Republic of Iran” (отчет, 6 июня, 2003), 6.

9.    Рассматриваемый уран включал гексафторид урана, тетрафторид урана, и оксид урана.

10. На американских спутниковых снимках были зафиксированы грузовики, посещавшие этот участок, что позволяет предположить, что Иран вывозил улики перед прибытием инспекторов МАГАТЭ. Смотрите Франц и Коллинз, Nuclear Jihadist, 293.

11. IAEA, “Tools for Nuclear Inspection”, 2-страничная брошюра, опубликованная отделом общественной информации, в которой описывается процесс отбора проб окружающей среды. Доступно по адресу: https://www.iaea.org/Publications/Factsheets/English/inspectors.pdf.

12. IAEA Board of Governors, “Implementation of the NPT Safeguards Agreement in the Islamic Republic of Iran” (отчет, 10 ноября, 2003), 6–7.

13. Sharon Squassoni, “Iran’s Nuclear Program: Recent Developments” (CRS Report for Congress, 23 ноября, 2005), 3.

14. Институт науки и международной безопасности имеет исчерпывающую информацию, в которой подробно описывается деятельность Иран относительно лазерного обогащения. Доступно по адресу: http://www.isisnucleariran.org/sites/by-type/category/laser-enrichment.

15. Информация взята из стенограммы объявления, сделанного представителем NCRI Алирезой Джафарзаде. “Iran-Nuclear: Iranian Regime’s New Nuclear Sites”, доступно по адресу: http://www.ncr-iran.org/en/news/nuclear/568-iran-nuclear-iranian-regimes-new-nuclear-sites.

16. Реза Агазаде, вице-президент Ирана, в письме к МАГАТЭ от 21 октября 2003 года, цитируемом в Совете управляющих МАГАТЭ, “Implementation of the NPT Safeguards Agreement in the Islamic Republic of Iran”, (отчет, 10 ноября, 2003), 4.

17. “Implementation of the NPT Safeguards Agreement in the Islamic Republic of Iran”, (отчет, 10 ноября, 2003), 8.

18. NCRI обнаружил этот объект еще в 2003 году, но в то время заявил, что завод используется для программы биологического оружия. Однако согласно информации, которой располагали МАГАТЭ, ISIS и прочие в 2004 году, завод использовался именно в целях ядерной программы, что и заставило МАГАТЭ запросить инспекцию.

19. Иран заявил, что в декабре 2003 года этот объект был разрушен из-за земельного спора между Министерством обороны и управлением города Тегерана. Он был разрушен с целью вернуть участок Тегерану. Смотрите ISIS, “The Physics Research Center and Iran’s Parallel Military Nuclear Program”, 23 февраля, 2012, доступно по адресу: https://isis-online.org/uploads/isis-reports/documents/PHRC_report_23February2012.pdf.

20. Информация о встрече и документах взята из интервью автора с Хайноненом в декабре 2011 года. Смотрите также Кэтрин Коллинз и Дуглас Франц, Fallout: The True Story of the CIA’s Secret War on Nuclear Trafficking (New York: Free Press, 2011), 112; Эрих Фоллат и Хольгер Старк, “The Birth of a Bomb: A History of Iran’s Nuclear Ambitions,” Der Spiegel, 17 июня, 2010.

21. Ядерное оружие создается путем формирования из металлического урана двух полусфер и встраивания в них взрывного устройства, оснащенного детонаторами. Детонаторы настроены так, чтобы взрываться одновременно и равносильно, вызывая цепную реакцию.

22.  В 1998 году Иран разработал ракету с дальностью действия 900 миль, и провел ее успешные испытания в мае 2002 года. Также имеется информация о разработке Ираном ракеты с радиусом действия 1200 миль.

23. Фоллат и Старк, “The Birth of a Bomb”.

24. Эль-Барадеи выступил против публикации документов в массы, поскольку МАГАТЭ не смогло проверить их подлинность, и воспоминания об использовании США дискредитированных документов для поддержки вторжения в Ирак все еще были свежи в его памяти. В последующие годы МАГАТЭ неоднократно обращалось к Ирану с просьбой предоставить информацию о программах, описанных в документах, но ответы то не приходили вовсе, то приходили неполные. Позже часть этих документов попала в ISIS. Смотрите Дэвид Олбрайт, Жаклин Шир и Пол Браннан, “May 26, 2008 IAEA Safeguards Report on Iran: Centrifuge Operation Improving and Cooperation Lacking on Weaponization Issues”, 29 мая, 2008, доступно по адресу: https://isis-online.org/uploads/isis-reports/documents/ISIS_Iran_IAEA_Report_29May2008.pdf.

25. Мохамед эль-Барадей в своем мемуаре дает хорошее закулисное описание переговоров и объясняет, почему Иран чувствовал себя виноватым и оправдывался, отвергая их. “The Age of Deception: Nuclear Diplomacy in Treacherous Times” (New York: Metropolitan Books, 2011), 141–47.

26. Карл Вик, “Iran’s President Calls Holocaust ‘Myth’ in Latest Assault on Jews,” Washington Post, Foreign Service, 15 декабря, 2005.

27. “06Kuwait71, Kuwait’s Country Wide Radiation Monitoring System”, сообщение из посольства США в Кувейте в Госдепартамент в Вашингтоне, округ Колумбия, январь 2006 г. Опубликовано на WikiLeaks: http://www.wikileaks.org/cable/2006/01/06KUWAIT71.html.

28. Оценка получена от Ариэля Левита, заместителя генерального директора Комиссии по атомной энергетике Израиля, в сентябрьской телеграмме Госдепартамента США от посольства в Тель-Авиве, опубликовано на WikiLeaks: https://wikileaks.org/plusd/cables/05TELAVIV5705_a.html.

29. “06TelAviv293, Iran: Congressman Ackerman’s January 5 Meeting at”, телеграмма Госдепартамента США от посольства США в Тель-Авиве, январь 2006 г. Опубликовано на WikiLeaks: http://www.wikileaks.org/cable/2006/01/06TELAVIV293.html.

30. В частном порядке Израиль и Россия заявили Соединенным Штатам, что, по их мнению, Иран сможет справиться с возникшими трудностями по обогащению в течении шести месяцев. Смотрите “06Cairo601, Iran; Centrifuge Briefing to Egyptian MFA,” Кабинет Государственного департамента США, февраль 2006, опубликовано на WikiLeaks:       http://www.wikileaks.org/cable/2006/02/06CAIRO601.html.

31. “06TelAviv688, Iran-IAEA: Israeli Atomic Energy Commission,” Кабинет Государственного департамента США, февраль 2006, опубликовано на WikiLeaks: https://wikileaks.org/plusd/cables/06TELAVIV688_a.html.

32. Смотрите предыдущую сноску.

33.“Iran Defiant on Nuclear Deadline,” BBC News, 1 августа, 2006, доступно по адресу: http://www.news.bbc.co.uk/2/hi/5236010.stm.

34. “07Berlins1450, Treasury Under Secretary Levey Discusses Next”, телеграмма Госдепартамента США от посольства в Берлине, июль 2007 г., опубликовано на WikiLeaks: https://wikileaks.org/plusd/cables/07BERLIN1450_a.html. В телеграмме упоминается, что для закупок было создано не менее тридцати подставных компаний.

35. Дэвид Олбрайт, Peddling Peril, 200–1.

36. Совет Безопасности ООН ввел экономические санкции против Ирана в декабре 2006 года, а в марте 2007 года он единогласно проголосовал за замораживание финансовых активов 28 иранцев, связанных с ядерными и военными программами.

37. В тот момент, когда отношения с Ираном были наиболее напряженными, Северная Корея проводила свои испытания ядерного оружия. Ухудшение ядерной ситуации на нескольких фронтах побудило Бюллетень ученых-атомщиков 17 января 2007 года перенести минутную стрелку своих знаменитых часов Судного дня на две минуты ближе к полуночи. Вместо семи минут до Судного дня было установлено пять.

38. Из-за экспортного контроля и других трудностей, связанных с изготовлением роторов из чугунной стали, в соответствии с конструкцией центрифуги, Иран прекратил производство IR-2 в 2002 году.

39. Коллинз и Франц, Fallout, 259.

40. “Prime Minister Ehud Olmert’s Address at the 2007 Herzliya Conference,” 24 января, 2007. Перевод доступен по адресу: http://www.pmo.gov.il/English/MediaCenter/Speeches/Pages/speechher240107.aspx.

41. “McConnell Fears Iran Nukes by 2015,” Washington Times, February 27, 2007.

42. В «New York Times» писали: «Редко, если вообще когда-либо, был хоть один такой отчет разведки, настолько полный, настолько неожиданный и столь удивительный, что полностью изменил дебаты о внешней политике». В газете также отметили, что отчет: «безусловно ослабит международную поддержку ужесточения санкций против Ирана… и он снова вызовет вопросы о честности американских разведывательных спецслужб». Стивен Ли Майерс, “An Assessment Jars a Foreign Policy Debate About Iran,” New York Times, 4 декабря, 2007.

43. Заместитель советника по национальной безопасности Германии Рольф Никель заявил правительству США в начале 2008 года, что отчет Национальной разведки усложнил усилия по убеждению немецкой общественности и компаний в том, что санкции против Ирана имеют свои преимущества. Телеграмма Госдепартамента США, февраль 2008 г., опубликовано на WikiLeaks: http://www.wikileaks.org/cable/2008/02/08BERLIN180.html. Смотрите также https://wikileaks.org/plusd/cables/07BERLIN2157_a.html. Что касается комментариев Израиля, согласно телеграмме Госдепартамента США, опубликованной в мае 2009 года, начальник разведки вооруженных сил генерал-майор Амос Ядлин дал комментарии конгрессмену Роберту Векслеру. Смотрите http://www.wikileaks.cabledrum.net/cable/2009/05/09TELAVIV. У Национальной разведки были другие последствия. Немецко-иранский бизнесмен по имени Мохсен Ванаки предстал перед судом в Германии за контрабанду оборудования двойного назначения в Иран. В 2008 году он был обвинен согласно закону о контроле над вооружением и внешней торговли. В свою защиту тот заявил, что он не мог поставлять оборудование для программы ядерного оружия в Иране, потому что согласно словам Национальной разведки, Иран такой программы не имеет. Из-за отчета Национальной разведки 2007 года, все обвинения против него были сняты. Однако в 2009 году прокуроры подали апелляцию, и он был осужден, в основном на основании данных разведки BND о подозрительных закупках, совершенных организациями, связанными с иранскими военными.

44. Международный институт стратегических исследований, Iran’s Strategic Weapons Programmes: A Net Assessment (London: Routledge, 200

Глава 6. В поисках 0 day.

Вечер пятницы в конце августа, Лиам О`Мурчу праздновал свой 33 день рождения в шикарном лаундже на крыше в Венис(Venice), штат Калифорния. Он арендовал часть U-образного бара под открытым небом на крыше отеля Erwin с шикарным видом на Тихий океан, и угощал пивом и коктейлями свою девушку, сестру с мужем, приехавшими из Ирландии, и еще с десяток хороших друзей. Это была южная Калифорния, съемочная команда какого-то реалити-шоу снимала парочку, которая сидела неподалеку, видно, что их «личное» свидание было немного испорчено.

Вечеринка продолжалась уже как три часа, когда около девяти часов вечера к ним присоединился Эрик Чиен. Он пришел, хотя его разум был не на вечеринке. Ему не терпелось показать другу, и остальным коллегам, письмо, которое появилось в рассылке кибербезопасности днем ранее. Но он не хотел поднимать эту тему сегодня, потому что знал, что, когда О`Мурчу увидит письмо, он уже ни про что остальное думать не сможет. «Я покажу тебе одну вещь», – сказал Чиен О`Мурчу, – «Но только давай договоримся, мы не будем говорить об этом до конца ночи, хорошо?». О`Мурчу согласился.

Чиен вытащил свой BlackBerry и открыл электронное письмо – записку от другого исследователя, намекающую на то, что в Stuxnet могут быть дополнительно скрыты уязвимости нулевого дня. О`Мурчу посмотрел на Чиена. Они работали над Stuxnet уже на протяжении нескольких недель, пытаясь путем реверс-инжениринга восстановить его компоненты, и видели несколько подсказок, свидетельствующих о том, что в вирусе может быть встроена еще одна уязвимость нулевого дня, но у них до сих не было времени, чтобы исследовать это. Подсказки были в ракетной части кода, отвечающей за распространение Stuxnet, а они были сосредоточены на полезной нагрузке, той части кода, которая касалась программного обеспечения и ПЛК от Siemens.

В письме были расплывчатые детали, и не было понятно, то ли исследователь реально нашел новые уязвимости нулевого дня, то ли увидел те же самые подсказки что и О`Мурчу с Чиеном. В любом случае, в О`Мурчу зажегся огнем соревнования. «Вот оно», – сказал он Чиену, – «Я больше не пью этой ночью». На следующее утро, в субботу, О`Мурчу вернулся в лабораторию, изучать код Stuxnet.

В выходной в офисе никого не было, поэтому никто не отвлекал О`Мурчу от работы. Прежде чем перейти к полезной нагрузке, команда Symantec исследовала большую часть ракетной части кода вируса, поэтому нужно было просто еще раз тщательно пройтись по коду, и поискать намеки на эксплойт. Но на деле это оказалось не так просто. Уязвимости нулевого дня – это не то что вы найдете, просто открыв вредоносный файл. Вы должны отследить каждую ссылку кода, обратившуюся к операционной системе или к другим программным приложениям на машине, чтобы как-нибудь обнаружить один из ее способов взаимодействия с ними. Вирус заставляет делать приложение то, чего оно делать не должно? Он перескакивает через барьеры безопасности или обходит системные привилегии? Ракетная часть кода после реверс-инжениринга состоит из тысяч строк кода, каждая из которых должна быть проверена на предмет подозрительного поведения.

Структура Stuxnet была не линейной, поэтому пытаться отследить, что он делал, было вдвойне сложно. Использовалось множество команд, и О`Мурчу приходилось следить за действием каждой из них шаг за шагом.

Примерно через час работы О`Мурчу был почти уверен в том, что он нашел второй эксплойт. В архиве он искал любые признаки того, что уязвимость, на след которой он напал, уже была известна, но ничего не нашел. Затем он протестировал эксплойт на машине с установленным последним программным обеспечением Windows, чтобы убедиться, что он не ошибся. Убедившись, О`Мурчу понял, что Stuxnet использовал уязвимость нулевого дня в файле клавиатуры Windows для получения расширенных привилегий на компьютере.

Уязвимости нулевого дня – это очень ценный ресурс, и использование двух уязвимостей в одной атаке, с риском что их обеих могут раскрыть, смотрелось абсолютно неоправданно, размышлял О`Мурчу. Но не остановился, чтобы обдумать это. Он просто задокументировал свои выводы и вернулся к коду.

Несколько часов спустя он обнаружил еще один эксплойт, все указывало на то, что Stuxnet использует уязвимость в функции спулера печати Windows, чтобы распространяться на компьютеры, использующие общий принтер. Так же, как и предыдущий эксплойт, он проверил этот на другой машине и поискал в архиве признаки того, что его уже нашли, но опять ничего не нашел. Чувство, которое заставляло его волосы вставать дыбом неделями ранее, начало возвращаться. Он записал свои выводы и вновь вернулся к коду.

К полудню, когда Чиен явился в офис, чтобы проверить как там О`Мурчу, тот потупившись смотрел в монитор, видно, что он нуждался в отдыхе. Он в подробностях рассказал о всем, что обнаружил, Чиену, который и продолжил его работу над кодом до вечера. В таком же режиме друзья работали и в воскресенье, и к концу выходных они обнаружили три эксплойта. Эти три, плюс еще одна уже обнаруженная уязвимость .LNK, вместе составляют четыре уязвимости нулевого дня в одной атаке.1

Это было безумие. Одна уязвимость уже могла налотемать дров. Две это уже выход за рамки разумного. А четыре? Кто это сделал? И зачем? Они просто прожигали ценные нулевые дни. Хорошую ошибку или эксплойт нулевого дня на черном рынке можно продать за 50 тысяч долларов и более, и эту сумму можно удвоить, продав эту же уязвимость еще и на закрытом сером маркете, который продавал эксплойты нулевого дня правительственным кибер-армиям и шпионам. Либо у хакеров было неограниченное количество нулевых дней в их распоряжении, и им было безразлично если парочку из них они потеряют, либо они были в отчаянии и имели действительно вескую причину для того, что нашпиговать свою вредоносную программу таким количеством нулевых дней, чтобы та точно достигла своей цели. Чиен и О`Мурчу подозревали, что оба исхода могут быть правдой.

Чиен связался с Microsoft, чтобы сообщить о новых обнаруженных уязвимостях нулевого дня, но обнаружил, что «Лаборатория Касперского» в России уже опередила их. Сразу после появления новостей о Stuxnet Касперский собрал группу из десяти аналитиков, которая изучила бы ракетную часть кода. В течениие нескольких дней они обнаружили второй эксплойт нулевого дня, за которым через неделю последовали третий и четвертый. В то время как Symantec сообщили об уязвимостях в Microsoft, которая в настоящее время работала над патчами для их исправления, они не могли опубликовать их в массы, согласно правилу, пока Microsoft не пропатчит свое программное обеспечение.2

Обнаружение четырех уязвимостей нулевого дня в Stuxnet было безусловно значимым событием, но еще далеко не концом истории. Во время своего марафона в субботу и воскресенье, Чиен и О`Мурчу обнаружили еще четыре дополнительных способа распространения Stuxnet без использования уязвимостей нулевого дня. В общей сложности получалось восемь различных методов распространения. У кода атаки был виртуальный швейцарский нож, чтобы любым из способов успешно проникнуть в систему, и продолжать распространяться.

Наиболее важным из них было заражение файлов проекта Step 7, которые программисты использовали для программирования ПЛК, и перехвата имени пользователя(winccconnect) и пароля(2WSXcder), которые разработчики из Siemens жестко зашифровали в своем программном обеспечении Step 7.3 Система Step 7 использовала имя пользователя и пароль для получения автоматического доступа к бэкэнд базе данных, где они внедряли код для заражения машины, на котором была сохранена база данных. База данных является общей системой, которую могут использовать все программисты, работающие на Step 7. Затем Stuxnet заражает компьютер любого из программистов, имеющих доступ к базе данных. Оба этих метода значительно увеличивали вероятность того, что Stuxnet достигнет ПЛК, когда программист в следующий раз подключит свой ноутбук или USB-накопитель к одному из них. Хакеры использовали уязвимость в неясной функции проекта Step 7, для заражения его файлов. Это указывает на то, что они прекрасно понимали ее устройство, а таких людей вообще было немного, – еще один признак тех обширных навыков, которые использовали в атаке.4

В дополнение к этим механизмам распространения, Stuxnet имел peer-to-peer компонент, который позволял ему обновлять старую версию вируса до более новой, если таковая выходила в свет. Это позволяло хакерам обновлять вирус удаленно на машинах, которые не были напрямую подключены к интернету, но были подключены к другим машинам в локальной сети. Чтобы распространить обновление, Stuxnet устанавливал сервер и клиент общего доступа к файлам на каждой зараженной машине, и машины, которые находились в одной локальной сети, могли затем связываться друг с другом, чтобы сравнить свои версии Stuxnet, которую они имели. Если в одной машины была более новая версия, она обновила бы все другие компьютеры в локальной сети. Чтобы обновить все машины в локальной сети, хакерам нужно было только установить обновление хотя бы на одном из компьютеров, а другие уже сами получат его.

Судя из всех методов, которые Stuxnet использовал для своего распространения, было ясно, что у его авторов была четкая цель распространить свой вирус на как можно большое количество машин. Тем не менее, в отличие от подавляющего большинства вредоносного софта, использовавших электронную почту и вредоносные веб-сайты для быстрого распространения на тысячи машин, ни один из эксплойтов Stuxnet не использовал интернет.5 Вместо этого они полагались на то, что кто-то перенесет вирус на USB-накопителе, или через локальную сеть.

Исходя из этого можно сказать, что злоумышленники нацеливались на системы, которые как они были убеждены, не были подключены к интернету, и учитывая беспрецедентное количество уязвимостей нулевого дня, которые они использовали для этого, их целями, должно быть, были высоко значимые системы с высоким уровнем защиты.

Но такой путь к достижению цели был неряшливым и неточным методом атаки. Это было похоже на заражение одной из жен Усамы бен Ладена заразной болезнью, в надежде на то, что она передаст его бывшему лидеру Аль-Каиды. На своем пути вирус должен был попутно заразить и других, тем самым увеличивая вероятность его раскрытия. И в конце концов, именно это и произошло с Stuxnet. Он распространился на множество сопутствующих машин, и было лишь вопросом времени, когда что-то пойдет не так, и его обнаружат.

Просматривая длинный список использованных методов и эксплойтов, использованных вирусописателями, Чиен понял, что эта коллекция была собрана далеко не случайным образом. Каждый из набора выполнял свою конкретную задачу и предоставлял свои возможности для обхода различных препятствий, которые требовалось пройти на пути к цели. Как будто кто-то составил список покупок, необходимых для атаки, – что-то для повышения привилегий, что-то для распространения внутри сети жертвы, что-то, чтобы доставить полезную нагрузку в ПЛК, – а затем передал этот список на выполнение. Еще один показатель того, что атака не была спонтанной, а наоборот, тщательно продуманной и спланированной.

Из всех методов и эксплойтов, использованных хакерами, наиболее важными для атаки были эксплойт .LNK и заражение файлов проекта Step 7, поскольку именно они, скорее всего, продвигали Stuxnet к его конечной цели – ПЛК Siemens. Программисты ПЛК часто создают свои собственные команды на рабочих станциях, которые были подключены к интернету, но не были подключены к производственной сети или ПЛК на производственной площадке. Чтобы передать команды в ПЛК, кто-то должен загрузить их через ноутбук, напрямую подключенный к ПЛК кабелем, или загрузить их с флеш-носителя USB на специальный программируемую машину, называемую Field PG – ноутбук на базе операционной системы Windows, используемый в промышленном управлении. Field PG не подключен к интернету, но подключен к производственной сети и ПЛК. Заражая файлы проекта Step 7 и наделяя Stuxnet способностью преодолевать воздушное пространство в USB-носителе, злоумышленники по сути превращали каждого инженера в потенциального носителя своего оружия.

Задокументировав все эксплойты и уязвимости, которые Stuxnet использовал для распространения, Чиен и О`Мурчу поняли, что в них есть еще кое-что, что выделяется среди прочего. Некоторые из них уже встречались ранее. Хотя VirusBlokAda полагал, что уязвимость .LNK ранее никогда не использовалась, в Microsoft обнаружили, что в ноябре 2008 года, во время одной из атак также был задействован .LNK. Он был использован преступными хакерами для установки одного из версий трояна Zlob на машины жертв.6 И хотя различные антивирусные сканеры обнаруживали троян во время его заражения, они не смогли обнаружить эксплойт нулевого дня, который шел с ним, оставляя уязвимость открытой для атаки Stuxnet. Эксплойт спулера печати также впервые появился в польском журнале по кибребезопасности еще в апреле 2009 года. Журнал тогда опубликовал статью об уязвимости вместе с исходным кодом для эксплойта, чтобы атаковать ее.7 Новости об этой уязвимости никогда не доходили до Microsoft вовремя, так что уязвимость также оставалась незамеченной. Зашифрованный пароль Siemens также был раскрыт ранее, когда кто-то опубликовал его на форуме пользователей Siemens в апреле 2008 года.8

Чиен и О`Мурчу начали просматривать хакерские форумы и сайты, которые разработчики Stuxnet могли бы использовать для сбора информации о дырах и эксплоитах, или возможно приобрели готовые эксплоиты в интернете.

Как ни странно, из всех эксплойтов, использованных Stuxnet, в первой его версии, выпущенной в 2009 году, присутствовал лишь эксплойт спулера печати. Все остальные появились позже, в атаке в марте 2009 года, которая вышла из-под контроля.9 В версии Stuxnet 2009 года распространение вируса происходило через USB флеш-накопители, но для этого использовалась баг в автозагрузке Windows.10 Как отмечалось ранее, функцию автозапуска можно отключить, чтобы помешать вредоносной программе, попавшей на ваш компьютер. Поэтому когда в марте 2010 года вышла новая версия Stuxnet, хакеры заменили код для функции автозапуска на эксплойт нулевого дня .LNK.

Также вирусописатели добавили еще одну важную вещь в версии Stuxnet 2010 года – сертификат RealTek, используемый для подписи драйверов.11

Рассматривая изменения, сделанные хакерами в период с 2009 по 2010 годы, Чиену и О`Мурчу показалось, что атака была намеренно изменена, чтобы сделать ее более агрессивной, начиная с консервативного подхода в 2009, а затем усиливая ее в 2010, добавляя больше методов распространения – возможно, в отчаянной попытке быстрее достичь своей цели. Например, эксплойт .LNK, добавленный в 2010 году, был куда более эффективным механизмом распространения, нежели функция автозапуска, которая использовалась в 2009.12 Но с увеличением вероятности достижения Stuxnet своей цели, также увеличивалась вероятность его распространения на другие машины. Действительно, с этим и другими эскплойтами, добавленными в версии от марта 2010 года, Stuxnet распространился на более чем 100 тысяч машин внутри и за пределами Ирана.13 Ни одна из этих сопутствующих функций не помогала злоумышленникам достичь своей цели, они только увеличивали шанс быть пойманными.14 Разработчики должны были понимать риск, на который они идут, чтобы увеличить мощность распространения Stuxet. Но, видимо, это был риск, на который они были готовы пойти.

На самом деле, исследователям было легко отслеживать точные пути распространения Stuxnet. Внутри каждой копии Stuxnet специалисты обнаружили подсказку, которая и помогла им отследить курс, по которому прошел вирус, пытаясь достичь своей цели, – небольшой файл логов, содержащий данные о каждой зараженной машине. Когда червь переходил от машины к машине, он регистрировал IP-адрес и доменное имя каждой из своих жертв, а также метку времени, когда произошло заражение, на основе внутренних часов компьютера. Он сохранял эти данные в файл логов размером около 100 байт, который рос по мере количества зараженных машин. Таким образом, каждая копия Stuxnet, собранная с зараженных компьютеров, содержала в себе историю каждого зараженного перед ним компьютера до этого момента, оставляя за собой цифровой след из хлебных крошек, которые Чиен и О`Мурчу могли отследить до самых первых жертв. Лог был создан, чтобы помочь хакерам отследить путь, который пройдет Stuxnet, но они, вероятно, не рассчитывали на то, что кто-то другой будет использовать его для той же цели.15

Чиен и О`Мурчу исследовали 3280 копий Stuxnet, которые им предоставили различные антивирусные компании, и, основываясь на данных в лог-файлах, оказалось, что хакеры начали свою атаку с группы в пять компаний в Иране, выбранные, вероятно, за способность предоставить быстрый шлюз Stuxnet для достижения своей цели. Каждая из компаний пострадала от одной или нескольких версий вируса, запущенного в июне 2009 и марте-апреле 2010 годов. Symantec насчитала 12 тысяч заражений в этих пяти целях, и из этих первых жертв Stuxnet затем распространился на более чем 100 тысяч машин в 100 странах мира.

Symantec никогда публично не называет компании в связи со своей политикой не разглашать имена жертв, а в публичных документах используют маркировку Компания А, Компания Б и т.д. Но имена компаний в лог-файлах они не скрыли. Там были Foolad Technique, Behpajooh, Kala, Neda Indastrial Group и компания, обозначенная в файле как CGJ, предположительно Control Gostar Jahed. Считалось, что под Kala имеются ввиду компании Kala Electric и Kalaye Electric, о которых на конференции в 2002 году упомянула иранская оппозиционная группа NCRI, как о подставных компаниях для иранской программы по обогащению урана.

Хотя атака поразила некоторые компании несколько раз, не всегда заражались одни и те же машины, что позволяет предположить, что злоумышленники искали более выгодные машины каждый раз, когда запускали атаку, или машины, которые предлагали разные маршруты для достижения целей, чтобы увеличить вероятность успеха. Только одна из компаний, Behpajooh, пострадала во всех трех атаках, из чего можно сделать вывод, что она предлагала лучший маршрут к целевым машинам. Это была единственная цель в атаке марта 2010 года, которая вышла из-под контроля. Из 12 тысяч зараженных машин в пяти компаниях, 69 процентов из них были заражены именно в этой единственной жертве.

Сноски, ссылки и используемая литература:

1.    Четвертый обнаруженный ими эксплойт использовал уязвимость в планировщике задач Windows. Этот и эксплойт клавиатуры были использованы для получения привилегий Stuxnet на компьютере. Если учетная запись пользователя на компьютере имела ограниченные привилегии, которые не позволяли Stuxnet устанавливать себя или выполнять какие-либо действия, эти два эксплойта повышали привилегии до административных, которые давали разрешение вирусу делать то, что ему нужно, без отображения каких-либо предупреждений и окошек одобрения администратора.

2.    Microsoft и Kaspersky Lab начали публиковать информацию об остальных трех уязвимостях нулевого дня в середине сентября.

3.    Зашифрованный пароль – это пароль, который производитель программного обеспечения встраивает в свой код, чтобы система могла выполнять определенные действия автоматически, без необходимости ввода пароля пользователем. Часто пароль можно изменить без каких-либо последствий для системы. Но зашифрованный пароль представляют собой угрозу, поскольку это означает, что каждая система имеет один и тот же пароль, и кто-то может его узнать, исследовав код.

4.    Чиен и О`Мурчу узнали о скрытом характере уязвимости в системе Step 7 после консультации с экспертами, такими как Эрик Байрес из Tofino Secutity, которые хорошо знакомы с программным обеспечением Siemens. Уязвимость заключалась в том, что система была разработана таким образом, чтобы программисты могли добавлять в проект не только простые файлы. По факту, это была даже не уязвимость, а фича, так как Siemens включил ее в разработку намеренно. Но Stuxnet воспользовался этим, чтобы вставить свои .DLL файлы. Однако, одного этого было мало, чтобы Stuxnet мог заразить систему при открытии файла проекта.

5.    Седьмой метод, который Stuxnet использовал для распространения, производился через сетевые ресурсы – заражались ресурсы и файлы, которые были совместно использованы несколькими компьютерами в одной локальной сети. Восьмой метод включал эксплойт, нацеленный на уязвимость Windows двухлетней давности, которую Microsoft уже исправили. Это была уязвимость, которую перед этим, в ноябре 2008 года, использовал Conficker. Microsoft исправила ее в октябре 2008 после того, как китайские хакеры использовали ее для распространения своего трояна. Microsoft выпустила редкое внеочередное исправление для дыры – внеочередные патчи выпускаются раньше обычного графика исправлений компании, в случае если дыра в безопасности была серьезной, – после того, как они поняли, что дыру можно легко использовать для распространения червя. К сожалению, создатели Conficker тоже поняли это и не стали тратить время на его распространение в следующем месяце. И несмотря на то, что Microsoft выпустила патч, команда Conficker поняла, что многие пользователи компьютеров просто не в курсе об их выпуске. И они запустили атаку. Примерно треть машин на OC Windows была непропатчена, и к апрелю 2009 года Conficker заразил миллионы машин. Когда через два месяца был запущен Stuxet, его разработчики также делали ставку на непропатченные машины. Но Stuxnet использовал этот метод только для распространения при особых условиях, это не был его основной метод распространения.

6.    Zlob генерировал всплывающие окна на зараженных компьютерах, которые выглядели как системные уведомления Windows, предупреждающие пользователей о том, что их компьютеры заражены, и предлагающие им перейти по ссылке и скачать антивирусную программу. Эта программа представляла собой бэкдор, позволяющий злоумышленнику выполнять различные действия на зараженных компьютерах. Эксплуатация .LNK была гениальной атакой, но она не очень подходила разработчикам Zlob и другим киберпреступникам, цель которых заключалась в том, чтобы за кратчайший отрезок времени заразить как можно большое количество машин. Эксплойт .LNK распространял вредоносное ПО довольно медленно, поскольку он находился на USB-флешке, переносимой от компьютера к компьютеру. Команде Zlob было выгодней использовать эскплойт, который мог заразить тысячи машин через интернет.

7.    Карстен Келер, “Print Your Shell”, Hakin9, 1 апреля, 2009, доступно по адресу: http://www.hakin9.org/print-your-shell.

8.    Пароль был опубликован в апреле 2008 года неким Cyber после того, как один пользователь пожаловался, что его устройство Siemens перестало работать после изменения зашифрованного пароля. Тот не мог вспомнить пароль по умолчанию для восстановления, поэтому Cyber помог ему и опубликовал пароль. Впоследствии пароли были удалены с форума Siemens после того, как кто-то отчитал Cyber за их размещение в сети. Но те же пароли были так же опубликованы и на русскоязычном форуме Siemens человеком под тем же никнеймом, и оставались там, когда в сеть был запущен Stuxnet, хоть страница, на которой находился пароль с тех уже была перемещена или удалена. Англоязычный форум, на котором был размещен пароль доступен по адресу: http://www.automation.siemens.com/forum/guests/PostShow.aspx?PostID=16127&16127&Language=en&PageIndex=3.

9.    Во всех трех версиях Stuxnet – июнь 2009 года, март и апрель 2010 года – единственной частью атаки, которая претерпела изменения, была ракетная часть кода с механизмом распространения. Полезная нагрузка для ПЛК всегда оставалась прежней.

10. Уловка с Автозапуском не считается уязвимостью нулевого дня, поскольку это особенность системы Windows, которую злоумышленники просто посчитали выгодной для распространения своих вредоносных программ. Смотрите сноски 7 и 8 для предыдущих обсуждений Автозапуска.

11. Хакерам пришлось добавить сертификат в версию Stuxnet 2010 года, поскольку в конце 2009 года Microsoft выпустила новую версию своей операционной системы Windows 7, которая включала новые функции безопасности, которые не позволяли устанавливать драйвера, если те не были подписаны цифровой подписью с действительным сертификатом.

12. Как отмечалось ранее, многие компании отключают автозапуск, поскольку он является угрозой безопасности. Функцию .LNK нельзя отключить тем же способом, и, поскольку эта уязвимость затрагивала каждую версию Windows начиная с Windows 2000, большое количество машин оставалось под угрозой.

13. Существует предостережение относительно широкого распространения версии Stuxnet 2010 года по сравнению с версией 2009 года. Чиен и О`Мурчу исследовали 3280 копий Stuxnet, собранных с зараженных компьютеров различными антивирусными компаниями. Версия Stuxnet от 2009 года, относительно всех зараженных машин, составила 2%, остальные зараженные были версиями 2010 года. Предполагается, что ограниченное количество обнаруженных образцов 2009 года связано с тем, что эта версия была нацелена на иранские компании, и совсем не распространялась за границы Ирана. Но также возможно, что версия 2009 года была заменена из-за обновления на версию 2010 года, после ее выхода. Каждый раз, когда Stuxnet попадал на машину, он проверял, имеется ли на нем он уже, и если он находил старую версию вируса, то обновлял ее до последней. Это, скорее всего, и привело к такому малому количеству образцов вируса 2009 года.

14. Тот факт, что Stuxnet распространялся через USB-накопители и локальные сети, а не через интернет, должен был снизить вероятность такого широкого распространения, однако оно произошло. Вероятно, это произошло потому, что некоторые из зараженных в Иране компании имели офисы за пределами Ирана или пользовались услугами подрядчиков, у которых были клиенты в других странах, и те распространяли вирус каждый раз, когда они подключали зараженный ноутбук к сети клиента либо использовали зараженную флешку. После того, как Stuxnet был обнаружен, Symantec проанализировали свой архив на наличие любых копий Stuxnet, которые могли быть обнаружены и помечены как подозрительные автоматической системой отчетов. Они нашли одну копию мартовской версии 2010 года кода на машине клиента в Австралии, который был помечен системой отчетов в тот месяц, когда Stuxnet только вышел. Это показало, как далеко за короткое время добрался вирус, и насколько неизбежным было то, что его в конечном счете обнаружат.

15. Хакеры могли извлечь журнал удаленно из зараженной системы, которая была связана с их командными серверами.

Глава 7. Зарплаты в 0day.

Уязвимости нулевого дня в Stuxnet подняли много тревожных вопросов о растущей роли правительства в тайной продаже и использовании таких уязвимостей – вопросы, которые еще предстоит рассмотреть конгрессу или решить в публичных дебатах, несмотря на существующие свидетельства того, что такая практика создает опасные уязвимости для корпораций, критической инфраструктуры и отдельных пользователей компьютеров.

Хотя рынок эксплойтов нулевого дня существует уже более десяти лет, до недавнего времени он был довольно небольшим и скрывался в закрытом андерграунд сообществе хакеров и киберпреступников. Однако в последние несколько лет он стал коммерческим и популярным, поскольку значительно выросло количество продавцов и покупателей, а вместе с ними и цены, и некогда темная торговля стала легитимизированной с появлением на арене государственных долларов для создания нерегулируемого рынка кибероружия.

Одним из первых намеков на коммерциализацию уязвимостей нулевого дня появился в декабре 2005 года, когда продавец по имени fearwall опубликовал эксплойт для продажи на eBay, чем вызвал опасения у общества, мол, официально трудоустроенные специалисты по кибербезопасности вместо того чтобы за спасибо передавать информацию о дырах в корпорации, примкнут к темной стороне и станут продавать свои навыки и товары по достаточно высоким ценам. Перед тем как выставить уязвимость нулевого дня в Microsoft Excel на аукцион, fearwall действительно пытался достучаться с ней к Microsoft, но софтверный гигант не стеснялся игнорировать полученную информацию, и не спешил ее исправлять. Поэтому fearwall решил выставить свой эксплойт на открытом рынке, чтобы смутить компанию и заставить ее быстрее исправить дыру. Торги достигли отметки в 60 долларов, после чего eBay оборвал листинг. Но отмененная продажа была предзнаменованием будущих перемен.

Сегодня рынок эксплойтов нулевого дня крайне разнообразен – от белых маркетов с вознаграждением за обнаружение дыры в безопасности до процветающих андеграундных черных шопов, владельцами которых являются хакеры, которые вызывают собой неподдельный интерес у правоохранительных органов и спецслужб по всему миру.

По программе вознаграждения за обнаружение уязвимостей сейчас работают Google, Microsoft и другие крупные корпорации, и что самое главное, они делают остальные компании более отзывчивыми и ответственными по поводу исправления багов в своих продуктах. Сторонние фирмы по обеспечению безопасности, такие как HP TippingPoint, так же платят за уязвимости нулевого дня, которые потом они используют для проверки безопасности сетей клиентов и защиты от атак. TippingPoint в частном порядке раскрывают информацию о дырах разработчикам программного обеспечения, но на исправления могут потребоваться недели и месяцы, и в течении этого времени TippingPoint может опередить конкурентов, и предоставить своим клиентам защиту от атак, о которых те даже не подозревают.

На процветающем черном рынке, который обслуживает всякого рода мошенников и корпоративных шпионов, продаются не только эксплойты нулевого дня, но и другие полезные штуки: троянские кони, спай киты(spy kits) и другие инструменты для кражи учетных данных онлайн-банкинга, сбора ценной информации, и даже для создания своей армии зомбированных компьютеров – ботнета. Уязвимости, продаваемые на этом рынке, становятся известными общественности только после обнаружения атак, использующих их, на что могут уйти годы, о чем свидетельствует время, которые понадобилось экспертам, чтобы обнаружить эксплойт .LNK, который использовался в Stuxnet и трояне Zlob.

Подпольные продажи нелегальных товаров, какими бы опасными они не были, быстро затмеваются новейшим рынком уязвимостей и эксплойтов нулевого дня, который, по прогнозам критиков, вскоре окажет более серьезное влияние на сферу безопасности. Это процветающий серый рынок, где правительственные покупатели взвинтили цены уязвимостей нулевого дня, и этим заманили туда еще большее количество продавцов, которые вместо того, чтобы в сотрудничестве с компаниями пытаться пофиксить уязвимости, теперь будут продавать их за космические деньги.

Рынок называется «серым» только потому, что покупатели и продавцы считаются якобы «хорошими парнями», действующими в интересах публичной и национальной безопасности. Но инструмент безопасности одного человека, может стать инструментом атаки другого человека, и нет никаких гарантий, что правительство, которое покупает уязвимость нулевого дня, не будет злоупотреблять им, чтобы, например, шпионить за политическими оппонентами и активистами, или передавать их другому правительству, которое может сделать это за них. Даже если правительственное агентство использует уязвимость нулевого дня для законной цели, уязвимости, продаваемые на сером рынке, никогда не сообщаются разработчикам, и как итог, те остаются непропатченными. Из-за этого любой, кто не знает о них, включая другие правительственные агентства и владельцы критически важной инфраструктуры, уязвимы для атак, если хакеры обнаружат эти уязвимости и воспользуются ими.

Продажа эксплойтов является законной и значительной степени нерегулируемой. Хотя экспортный контроль в Соединенных Штатах, который регулирует продажу обычного программного обеспечения, запрещает продажи эксплойтов в такие страны как Иран и Северная Корея, эксплойты все равно не имеют авторских прав с указанием человека, который его создал, или хотя бы страны происхождения, и поэтому любой, кто продает уязвимости в интернете вряд ли будет пойман.

Цены на уязвимости нулевого дня сильно варьируются в зависимости от ее редкости – системы, которые трудно взломать имеют меньше дыр, а также требуют больше времени и сил, связанных с поиском уязвимости, и разработкой эксплойта под нее, программным обеспечением, которое оно эксплуатирует, и эксклюзивности товара. Эксплойт, проданный исключительно одному человеку будет стоять, естественно, больше. Эксплойты, которые требуют более чем одну уязвимость для обеспечения получения рут-прав на компьютере жертвы, также будут стоять дороже, так же, как и те, которые обходят антивирусные в системе без каких-либо побочных эффектов, таких как вылет браузера, или сообщения на компьютере жертве по типу «что-то пошло не так».

Эксплойт нулевого дня для Adobe Reader может стоить от 5 до 30 тысяч долларов, в то время как для Mac OS – от 50 тысяч. Но эксплойт для Flash или Windows может быть оценен и в 100 тысяч из-за более широкого распространения программ на рынке. Эксплойт на Iphone также может стоить 100 тысяч, потому что Iphone взломать сложнее, нежели его конкурентов на мобильном рынке. А эксплойты браузера, которые атакуют Firefox, Internet Explorer и Chrome могут достигать суммы в 200 тысяч долларов США, в зависимости от их способней обходить меры безопасности.1 Нулевые дни и все браузерные эксплойты, нацеленные на дыры в безопасности в Safari, Firefox и Internet Explorer, продаются примерно по 100 тысяч каждая. Фирма получала 50 тысяч авансом, а затем по 10 тысяч каждый месяц до тех пор, пока не была оплачена вся цена – платежи были распределены, чтобы отбить охоту у покупателя перепродать эксплойт другим людям или раскрыть его разработчикам для исправления.

Какая бы цена не была на сером рынке, она всегда будет значительно превосходить то, что продавец мог бы получить на белом рынке. Например, Mozilla Foundation платит всего 3 тысячи долларов за ошибки, обнаруженные в их браузере, или почтовом клиенте Thundebird, также Microsoft, которую годами критиковали за отсутствие программы вознаграждения за найденные дыры, в 2013 году начала предлагать всего 11 тысяч долларов за ошибки, обнаруженные в их тогда новом Internet Explorer 11. Однако сейчас Microsoft платит 100 тысяч долларов за уязвимости, которые помогут хакерам обойти средства защиты в своих программных продуктах, и дополнительные 50 тысяч за способ ее исправления. Google обычно платит от 500 до 20 тысяч долларов за ошибки в Chrome, и других и веб-ресурсах, таких как Gmail и Youtube, хотя за некоторые типы уязвимостей в Chrome, Google заплатит 60 тысяч долларов в рамках ежегодного конкурса, который он спонсирует. Но хотя крупные организации и пытаются конкурировать с черным рынком, в большинстве случаев они по-прежнему не соответствуют цене, которую предлагают покупатели на черном рынке. А Apple и Adobe и вовсе до сих пор не имеют программ вознаграждения за обнаруженные уязвимости в их программном обеспечении, которые используют миллионы людей.

И хотя серый рынок с нулевыми днями существует уже около десяти лет, в своей нынешней устойчивой форме он появился вовсе недавно. В течение многих лет он работал в режиме ad-hoc, причем продажи между частными фирмами в сфере безопасности и исследователями, и также их правительственными контактами происходили только в частном порядке, так, чтобы об этом не знал никто. Если кто-то хотел продать эксплойт ,и при этом не имел правительственных контактов, ему было трудно найти покупателя. Например, по словам бывшего сотрудника, работавшего в фирме в сфере кибербезопасности, за год они продали всего несколько эксплойтов нулевого дня крупной оборонной американской компании.

Одним из первых, кто открыто признал, что продавал эксплойты правительству, является эксперт в сфере кибербезопасности Чарли Миллер, бывший хакер АНБ, который был завербован шпионским агентством в 2000 году после получения степени доктора математики в университете Нотр-Дам. Миллер проработал в бюро пять лет, первоначально взламывая коды от своего имени, а затем переключил свои навыки на взлом компьютеров – проводил рекогносцировочные сканирования для анализа зарубежных сетей и «эксплуатировал компьютерные сети против иностранных целей», согласно его «подчищенному» АНБ резюме. В шпионской речи для этого есть специальная термин, CNE, что означает взлом систем и сетей для передачи данных и информации. Покинув АНБ, Миллер заработал признание в сообществе специалистов по компьютерной безопасности ища уязвимости нулевого дня и создавая эксплойты, некоторые из них он продавал правительству. Он был первым со своим коллегой, кто взломал защиту Iphone после его дебюта в 2007 году, и стал четырех кратным победителем Pwn2Own, ежегодного хакерского конкурса, спонсируемого HP TippingPoint, который платит участникам за уязвимости нулевого дня, обнаруженные в конкретном программном обеспечении.

В 2006 году Миллер работая на небольшую фирму, в которой занимался поиском ошибок в программном обеспечении, продал эксплойт нулевого дня подрядчику из правительства за 50 тысяч долларов. Он продал эксплойт человеку, с которым ранее работал в АНБ, и говорит, что понятия не имеет что стало с эксплойтом после продажи и как его использовали. Контракты, которые он подписывал, продавая свои эксплойты, никогда не предусматривали его будущее использование покупателем. «Я не знаю, сделал он что-то плохое, либо хорошее. Я знаю что он работает на правительство», – говорит Миллер, – «Он покупает интеллектуальную собственность, вы знаете? Он волен делать с ней все что угодно».

В 2007 году Миллер вызвал бурю негодования, когда опубликовал статью о рынке эксплойтов и публично признал, что продавал эксплойты правительству.2 Он написал статью, потому что хотел, чтобы люди знали о существовании такого рынка, и помогали другим исследователям преодолевать подводные камни, с которыми они сталкивались. В то время продажа эксплойтов была маленькой грязной тайной в сфере безопасности. Исследователи время от времени обсуждали эту практику между собой, но никогда не говорили об этом открыто. Вскоре Миллер узнал почему. Коллеги из сообщества кибербезопасности обвинили его в том, что он подвергает пользователей риску, а некоторые призвали к тому, чтобы его сертификат CISSP (сертифицированного специалиста по безопасности) был отменен за нарушение этического кодекса отрасли. «Я говорил об этом… Я был за это осужден. И больше я об этом не говорю», – сказал Миллер.3

В любом случае ему не имело никакого смысла передавать ошибки разработчикам бесплатно, и хоть в то время уже существовали несколько программ вознаграждения за обнаруженные уязвимости, они платили несравненно мало денег, нежели предлагали покупатели на сером рынке. Это было также время, когда разработчики вместо благодарностей за обнаруженную уязвимость угрожали судебным иском или уголовным преследованием за исследование их программного обеспечения.

Миллер отказался от продажи нулевых дней много лет назад – сейчас он работает в команде безопасности Twitter, но он все еще не видит ничего плохого в том, чтобы продавать уязвимости и эксплойты нулевого дня правительству. «Никто не злится на то, что, вы знаете, некоторые компании продают правительственное оружие и танки», – говорит он, отмечая, что, хотя американские исследователи и продают правительству нулевые дни, тем же занимаются и китайские и русские специалисты. Из его слов, Соединенным Штатам лучше заплатить огромную сумму за эксплойт, чем позволить ему попасть в руки врагов.

«Нет, я не считаю, что продавать эксплойты правительству это круто», – сказал мне Миллер, – «но я думаю что людям стоит… осознавать что это все равно происходит. Я не против того, чтобы правительство делало это открыто… Только я не понимаю почему они не создадут публичную программу, надпись на которой будет гласить: «Найди уязвимость нулевого дня, и мы купим ее!»».4

Но за годы, прошедшие с того времени, когда еще Миллер охотился за уязвимостями, спрос на серый рынок с нулевыми днями быстро рос, о чем свидетельствует тот факт, что эксплойты, которые раньше могли продаваться месяцами, теперь забирают с прилавков за неделю, а то и вовсе пару дней. Появилась растущая экосистема, отвечающая спросу, которая заполняется небольшими компаниями, основой деятельности которых является поиск ошибок, а также фирмами из сферы кибербезопасности и кадровыми агентствами, которые в настоящее время нанимают команды профессиональных хакеров, занимающихся разработкой эксплойтов для правительства. Также намного выросло число посредников, брокеров, которые стают между независимыми продавцами и покупателями.

Одним из таких посредников является южноафриканский специалист кибербезопасности, живущий в Таиланде, который известен в сообществе под никнеймом «The Grugq». The Grugq выступает посредником между своими друзьями-хакерами и правительственными контактами, беря за свои услуги 15-процентную комиссию с каждой сделки. Он начал свой бизнес в 2011 году, и к 2012 году его продажи были настолько успешными, что, как он сказал одному репортеру, он рассчитывает заработать 1 миллион долларов. На одной из опубликованных в сети фотографий, сделанной в бангкокском баре, у его ног лежала сумка с деньгами, очевидно, оплата от одного из клиентов, хотя позже он заявил, что эта фотография была всего лишь шуткой.5

           В Forbes он рассказал, что большинство проданных им эксплойтов достались правительственным покупателям из Соединенных Штатов и Европы, потому что те были готовы платить больше, чем все остальные. Один эксплойт на Apple IOS он продал государственному подрядчику из США, обошелся в 250 тысяч долларов, хотя позже The Grugq пришел к выводу что запросил слишком маленькую сумму, ибо покупатель был чересчур доволен покупкой. Он связывал свой успех с профессионализмом, который он вкладывал в маркетинг и продвижение своих эксплойтов, а также поддержкой, которую оказывал клиентам. «Вы продаете коммерческое программное обеспечение, и как любой другой товар», – говорил он Forbes, – «он должен быть отполирован и прийти с соответствующей документацией».

Но по-настоящему крупная торговля эксплойтами в наши дни осуществляется не посредниками и отдельными продавцами, такими как Миллер и The Grugq, а компаниями из сферы кибербезопасности, которые занимаются разработкой и продажей эксплойтов для правительственной части нового военно-промышленного комплекса.

И хотя правительства все еще производят свои собственные эксплойты – для этого в АНБ, например, работают специальные команды – они также передают эту работу в аутсорсинг другим компаниям, потому что спрос на эксплойты вырос, как и стоимость их создания: два или три года назад одной уязвимости было достаточно, чтобы получить на машине права администратора. Но сегодня одной уязвимости будет почти наверняка недостаточно, чтобы обойти меры безопасности для достижения тех же результатов.

Большинство компаний, работающих в сфере продажи эксплойтов, не разглашают подробностей их деятельности, потому что не хотят, чтобы их преследовали активисты, выступающие против торговли нулевыми днями, или конкуренты, которые могут взломать их, и украсть их эксплойты. Поскольку нулевые дни могут использоваться как для защиты системы, так и для ее атаки, многие компании также скрывают свою наступательную деятельность, прикрываясь якобы защитой. В разной степени в этой игре участвовали такие американские компании как Endgame Systems, Harris, Raytheon, Northrop, Grumman, SAIC, Booz Allen Hamilton и Lockhead Martin. Европейские фирмы, включая ReVuln на Мальте, и VUPEN во Франции также разрабатывали и продавали эксплойты для систем промышленного контроля различным правоохранительным органам и спецслужбам. Hacking Team в Италии и Gamma Group в Великобритании продавали средства для слежки правительственным спецслужбам, которые для своей установки использовали эксплойты нулевого дня.

Работа Endgame Systems, грузинской фирмы, над эксплойтами нулевого дня долгое время оставалась в секрете в комьюинити кибербезопасности, и не была широко известна за его пределами до 2011 года, пока хакеры из коллектива Anonymous не взломали сервера другой компании под названием HBGary Federal, и не слила оттуда тысячи электронных писем, включая переписку с руководителями Endgame. В электронных письмах обсуждалась работа Endgame Systems над эксплойтами, а также его усилия «не привлекать к себе внимания» по совету правительственных заказчиков. В электронных письмах, которые включали в себя презентации PowerPoint для потенциальных клиентов Endgame, рассказывалось о миссии компании по расширению «информационных операций разведывательных и военных организаций США». Главой совета директоров Endgame является также исполнительный директор In-Q-Tel, фирмы венчурного капитала ЦРУ.

Для всех в мире Endgame предлагал услуги по защите клиентов от вирусов и ботнетов, но они также вели подпольную деятельность – продажу пакетов уязвимости и эксплойтов, содержащих информацию, которая может «способствовать быстрому развитию CNA». CNA (Computer Network Attacks), или атаки на компьютерные сети, это военный жаргон для хакинга, который манипулирует данными и системами, или и вовсе уничтожает их, приводит к замедлению скорости их работы, или полностью останавливает ее. Компания была основана в 2008 году, и ее бизнес перспективы были настолько радужны, что два года спустя, в 2010, она привлекла к себе 30 миллионов долларов венчурного капитала, а в следующем раунде финансирования – 23 миллиона долларов. В 2011 году генеральный директор Endgame Кристофер Руланд заявил местной газете в Атланте, что выручка компании «более чем удваивается в год».

Похищенные электронные письма описывают три разных пакета Endgame, которые называются Maui, Cayman и Corsica. За 2.5 миллиона долларов, пакет Maui предоставлял покупателям 25 эксплойтов нулевого дня. Пакет Cayman, стоимостью 1.5 миллиона долларов, предоставлял сведения о более чем миллионе уязвимых компьютеров по всему миру, уже зараженных червями ботнетов, таких, как Conficker и другими малварями. Примерная карта в электронных письмах указывала расположение уязвимых компьютеров в Российской Федерации и список зараженных систем в ключевых государственных учреждениях и критических инфраструктурных объектах, который включал в себя IP-адрес каждой машины и используемую ею операционную систему. В списке числились 249 зараженных машин в Центральном банке Российской Федерации, несколько машин в Министерстве финансов, Национальном резервном банке, Нововоронежской атомной электростанции и Ачинском нефтеперерабатывающем заводе. Частично Endgame собирал данные, настраивая шлюзы для связи с машинами, зараженными Conficker – когда вредоносное ПО связывалось со шлюзом, Endgame собирала все сведения о машине. Аналогичная карта Венесуэлы показывала расположение веб-серверов в стране и программное обеспечение, на котором они работают. Плохо настроенные веб-серверы часто стают легкими мишенями для хакеров и предоставляют им доступ к бэк-энд системам и базам данных. Системы, попавшие в список, включали в себя серверы Corporacion Andina de Fomento – банка развития, который предоставляет финансирование восемнадцати странам-членам в Латинской америке, Карибском бассейне и Европе, а также центральное бюджетное управление Венесуэлы, канцелярию президента, Министерство обороны и Министерство иностранных дел. Когда компания была взломана, Endgame начали заявлять журналистам об уходе компании из рынка, и в начале 2014 года Endgame официально перестали существовать как бизнес.

В то время как Engame прилагала большие усилия, дабы скрыть свой эксплойт-бизнес, VUPEN Security, базирующаяся в Монпелье, Франция, позитивно относилась к своей роли в торговле нулевыми днями. VUPEN позиционирует себя как небольшая киберсекьюрити компания, создающая и продающая эксплойты спецслужбам и правоохранительным органам для операций в области кибербезопасности и миссиях перехвата киберпреступников. Первоначально созданная в 2008 году для защиты правительственных клиентов от атак нулевого дня, компания вскоре начала создавать эксплойты для наступательных операций спецслужб. В 2011 году доход компании составил 1.2 миллиона долларов, 90 процентов из которых поступили из продаж за границами Франции. В 2013 году они заявили об открытии своего офиса в Соединенных Штатах.

Основатель VUPEN, Чауки Бекрар, смелый и дерзкий человек, любит ругать критиков в Twitter, которые считают, что предоставлять эксплойты нулевого дня правительству неэтично. Также он часто бросает своим конкурентам намеки, чтобы те также публично рассказали о своей роли в мире торговли нулевыми днями. «Мы единственная компания в мире, которая открыто признает то, что делает», – говорит он. «Я знаю несколько компаний в США и Европе, которые также занимаются продажей уязвимостей нулевого дня, но делают это под прикрытием. Мы же заявляем об этом открыто и четко, ибо хотим быть прозрачными в глазах клиентов».7

В то время как Endgame и другие стараются не привлекать к себе внимания, Бекрар и его специалисты регулярно посещают конференции по кибербезопасности, принимают участие в таких конкурсах как Pwn2Own, чтобы повысить авторитет компании. На конференции CanSecWest (ежегодная конференция, посвященная кибербезопасности в Канаде) в 2012 году, Бекрар и команда из четырех его исследователей заняли первое место, на всех них были одинаковые черные худи с названием компании на спине.

Но прозрачность VUPEN это вещь относительная. Бекрар никогда не будет обсуждать свое прошлое или отвечать на другие личные вопросы, вместо этого отвлекая все внимание на свою компанию. «Я всего лишь актер. И хочу поговорить о фильме», – говорит он. Но когда речь доходит до его компании, его губы остаются все также сомкнуты – он не рассказывает о количестве сотрудников в компании, просто говорит, что компания небольшая, и никогда не раскрывает фамилий своих работников.

Исследователи VUPEN посвящают все свое время поиску уязвимостей нулевого дня и разработке эксплойтов – как для уже известных уязвимостей, так и для нулевых дней. Бекрар не раскрывает информацию о количестве проданных за все время существования компании эксплойтов, но говорит, что его специалисты обнаруживают сотни уязвимостей нулевого дня в год. «У нас есть нулевые дни для всего, что вам угодно», – говорит Бекрар. «У нас есть эксплойты для почти каждой операционной системы, для каждого браузера, для каждого приложения, если хотите».

Сколько в его словах правды, а сколько стратегического маркетинга – неясно, но в любом случае, его тактика работает и приносит свои плоды. В 2012 году, через несколько месяцев после того, как команда Бекрара выиграла конкурс Pwn2Own, АНБ приобрело годовую подписку на «Бинарный анализ и эксплойты(BAE)» от VUPEN. Выпущенный в сеть контракт был сильно отредактирован, и даже не указывал цену, которую заплатило за услуги компании АНБ. Консалтинговая фирма, которая назвала VUPEN предпринимательской компанией 2011 года, указала, что стоимость такой подписки составляет около 100 тысяч долларов. Согласно официальному сайту VUPEN, подписка на BAE представляет «высокотехнологические ответы по наиболее критическим и значительным уязвимостям, чтобы понять их первопричину, методы использования, способы устранения и обнаружения атак как на основе эксплойтов, так и на основе уязвимостей».8

VUPEN также предлагает программу защиты от угроз, которая предоставляет подробные исследования о эксклюзивных уязвимостях, обнаруженных ее исследователями чтобы позволить «уменьшить их подверженность атакам нулевого дня», согласно брошюре компании, которая просочилась в WikiLeaks.9 Обе эти программы описываются так, как будто они призваны только помочь клиентам защитить себя от атак нулевого дня – эксплойты нулевого дня могут использоваться для проверки системы на ее уязвимость к атаке, но всегда умалчивают о том, что эксплойты могут использоваться и для атаки на другие непропатченные системы. А такие готовые эксплойты на обнаруженные уязвимости входят в программу защиты от угроз. Есть у VUPEN и третья программа для правоохранительных и разведывательных служб, которая явно предназначена для скрытого нападения на машины с целью получения удаленного доступа к ним. «Правоохранительные органы нуждаются в самых передовых исследованиях вторжений в IT и в самых надежных инструментах атак для скрытого и удаленного доступа к компьютерным системам», – цитируется Бекраром в брошюре. «Использование ранее неизвестных уязвимостей программного обеспечения и эксплойтов, которые обходят антивирусные продукты и современные средства защиты операционной системы… может помочь следователям успешно решить их задачи».

Программа вторжения ограничена полицией, спецслужбами НАТО, АНЗЮС и АСЕАН, а также странами-партнерами этих ассоциаций, что Бекрар называет «ограниченным числом стран».

«Это очень важно, поэтому мы хотим, чтобы количество клиентов было небольшим», – заявляет Бекрар. Но у НАТО есть 28 стран-членов, включая Румынию и Турцию, и еще около сорока стран считаются ее партнерами, включая Израиль, Беларусь, Пакистан и Россию. Бекрар настаивает на том, что VUPEN не продает экслойты всем им, просто из-за того, что они есть в списках партнеров.

Компания продает эксплойты, которые атакуют все ведущие коммерческие продукты от Microsoft, Apple, Adobe и других, а также предназначаются для корпоративных баз данных и серверных систем, разработанных такими компаниями, как Oracle. Но браузерные эксплойты –самый желанный товар, и Бекрар утверждает, что у них есть эксплойты для каждого из имеющихся на рынке браузеров. VUPEN продает только эксплойты и то, что Бекрар называет «промежуточными полезными нагрузками», которые позволяют клиенту проникнуть в сеть. Работа клиента заключается лишь в том, чтобы использовать эскплойт с окончательной полезной нагрузкой.

После того, как был обнаружен Stuxnet, VUPEN, как и многие другие компании из их отрасли, переключили свое внимание на промышленные системы управления, когда клиенты начали интересоваться эксплойтами для них. Эксплойты Stuxnet, которые по словам Бекрара обнаружила его команда после разоблачения атаки, достойны восхищения. «Сами уязвимости были хороши, а их использование хакерами в своих интересах реализованы просто гениально», – говорил Бекрар. «Их было не так просто разработать…». Но для серьезной разработки эксплойтов для промышленных систем управления необходим доступ к специальному оборудованию и средствам для тестирования, и Бекрар говорит: «У нас нет таких вещей, и мы не хотим, чтобы у нас они были».

Подписчики программы эксплойтов имеют доступ к порталу, где они через меню могут выбрать и купить любой существующий эксплойт нулевого дня или специальные эксплойты для конкретной операционной системы или приложения. Согласно брошюре, эксплойты имеют четыре уровня стоимости. Подписчики приобретают определенное количество кредитов, которые они могут использовать для покупки эксплойтов стоимостью соответственно 1, 2, 3 или 4 кредита. Каждый эксплойт сопровождается описанием программного обеспечения, на которое он нацелен, и указанием того, насколько надежным является эксплойт. Также клиенты могут получать оповещения в режиме реального времени, когда будет обнаружена новая уязвимость, и доступен ли к покупке эксплойт под нее. VUPEN также отслеживает деятельность Microsoft и других крупных организаций, чтобы видеть, когда исправляется уязвимость из разработанных ими эксплойтов, и предупреждает клиентов о том, что ошибка или эксплойты были пропатчены – иногда с помощью сообщения в Twitter.

Бекрар также признает, что его компания не предоставляет экслюзивные эксплойты, а продает одни и те же нескольким покупателям. Однако, чем больше используется эксплойт, тем больше вероятность того, что его обнаружат, что сделает его менее привлекательным в глазах покупателей.

Бекрар, как и Миллер, мало симпатизирует людям, которые критикуют продажу эксплойтов, и в прошлом заявлял, что производители программного обеспечения сами создали этот государственный рынок эксплойтов, первоначально отказавшись платить исследователям за обнаруженные ими уязвимости, а затем отказываясь платить хорошие деньги, не оставляя им выбора, кроме как обращаться к другим покупателям, которые будут готовы дать хорошие деньги за их труд. Бекрар также заявляет, что не торгует эксплойтами ради денег. «Мы не бизнесмены, мы не заботимся о продажах. Мы заботимся о безопасности, об этике», – говорит директор VUPEN.

На конкурсе Pwn2Own, где Google платит 60 тысяч долларов за эксплойт и информацию об уязвимости, команду VUPEN спросили об уязвимости, которую они использовали против браузера Google Chrome, Бекрар отказался передавать какую-либо информацию.10 Он в шутку ответил, что может подумать о предложении, если Google предложит 1 миллион долларов. Но позже лично он сказал одному человеку, что даже за 1 миллион долларов он бы не передал этот эксплойт, предпочитая оставить его для своих покупателей. На вопрос, есть ли у клиентов VUPEN такие деньги, чтобы платить за эксплойты миллионы долларов, Бекрар засмеялся и ответил: «Нет, нет, нет, нет. Никогда. У них нет таких денег».

В прессе Бекрар уверяет в том, что причины для продажи эксплойтов правительствам имеют куда больший смысл, чем просто заработок денег: «В основном, мы работаем с правительствами, которые сталкиваются с проблемами национальной безопасности… мы помогаем им защитить свои права и жизни граждан… Это как любой из видов наблюдения». Правительство должно знать, готовится ли какой-то заговор, и что вообще делают люди в стране, чтобы наверняка обеспечить национальную безопасность. Так что существует множество способов использовать эксплойты в целях национальной безопасности и спасения человеческих жизней».

Но критики утверждают, что такие компании, как VUPEN, никак не могут знать, где и как будет использоваться купленный в них эксплойт, в целях безопасности страны, или слежки за домами невинных граждан. Бекрар признает, что клиентское соглашение VUPEN не запрещает покупателям использовать эксплойты для слежки. «Но мы говорим, что эксплойты должны использоваться этически», – добавляет в конце Бекрар.

Он говорит, что компания не может более конкретно описать данный вопрос в договоре, ибо юридические соглашения должны быть слишком общими, чтобы охватить все возможные случаи неэтического использования. «Для нас это понятно», – говорит Бекрар, – «Вы должны использовать эксплойты в рамках этики, в рамках международных норм и национальных законов, и вы не можете использовать их в массовых операциях». Но этика – это понятие относительное, и Бекрар признает, что нет никакого способа, чтобы контролировать то, как клиенты интерпретируют этические предписания. «Моя единственная возможность как-то контролировать этот вопрос, – это продавать эксплойты только тем странам, которые реально нуждаются в них. И мы продаем только демократическим странам».

Кристофер Согоян из Американского союза гражданских свобод является одним из крупнейших критиков VUPEN. Он называет продавцов эксплойтов, таких как VUPEN, «современными торговцами смертью» и «ковбоями», которые гоняются за государственными долларами, чтобы поставлять им инструменты и оружие, которые делает возможным репрессивное наблюдение и кибервойну, ставя этим самым под риск всех граждан.11 Согоян признает, что с помощью VUPEN или без нее, правительство все равно будет производить собственные эксплойты нулевого дня, но такие продавцы, в любом случае, это «бомба замедленного действия», потому что над их торговлей нет никакого контроля.

«Как только один из таких эксплойтов нулевого дня, проданных правительству, попадет в руки «плохому парню» и будет использован в атаке против критически важной инфраструктуры США, бумеранг вернется», – слова Согояна аудитории компьютерных экспертов на конференции в 2011 году. «Дело не в том, а когда… Что, если низкооплачиваемый коррумпированный полицейский вздумает продать копию одного из эксплойтов членам организованной преступности или террористам? Что если Anonymous взломает сеть одной из правительственных спецслужб и похитит один из таких эксплойтов?».12

В 2013 году были предприняты первые шаги в попытках отрегулировать рынок нулевых дней и прочего кибероружия. Вассенаарские договоренности – организация по контролю над вооружениями, состоящая из 41 страны, включая Соединенные Штаты, Великобританию, Россию и Германию, – объявили, что это будет первый договор, классифицирующий программные и аппаратные продукты, которые можно использовать для наблюдения, взлома и «может наносить ущерб международной и регионарной безопасности и стабильности» как продукты двойного назначения. Обозначение двойного назначения используется для ограничения материалов и технологий (таких, как стальные заготовки, используемые в центрифугах), которые могут использоваться как в мирных, так и в военных целях. И хотя декларации организации не имеют обязательной юридической силы, ожидается, что государства-члены будут выполнять требования к экспортным лицензиям в своих странах и сотрудничать друг с другом в контроле над продажами продуктов двойного назначения.13 В Германии, являющейся членом Вассенаарских соглашений, уже существует закон, который эффективно запрещает продаж эксплойтов, а также практикует их бесплатную раздачу, что регулярно делают исследователи из области кибербезопасности для тестирования систем и повышения безопасности. Законодатели в Соединенных Штатах при Комитете по вооруженным силам Сената в 2013 году приняли закон, который призывает президента разработать политику «контроля над распространением кибероружия посредством одностороннего и совместного экспортного контроля, правоохранительной деятельности, финансовых средств, дипломатического взаимодействия и других действий, который президент посчитает целесообразным». Но неясно, как именно будут работать такие средства контроля, поскольку нулевые дни и другое цифровое оружие отследить будет куда труднее, чем, допустим, классическое огнестрельное оружие, и такие средства контроля, требующие экспортных лицензий для продажи эксплойтов за границу и проверки покупателей, могут увеличить расходы обычных честных продавцов.

Кром того, такие виды контроля предназначены для того, чтобы не допустить попадание эксплойтов в руки преступников и мошенников, таких как террористы. Но вовсе не предусматривает ограничение использования эксплойтов правительством и его службами. Быстрый скачок серого рынка нулевых дней дает понять, что правоохранительные и шпионские агентства стремятся заполучить в свои арсеналы эксплойты, подобные тем, которые использовал Stuxnet, и готовы щедро заплатить за эту привилегию. И этот бешеный спрос, скорее всего, будет только расти, а вместе с ним будет расти и количество финансируемых государством программ, которые захотят их использовать.

Сноски, ссылки и используемая литература:

1.    Смотрите Энди Гринберг, “Shopping for Zero-Days: A Price List for Hackers’ Secret Software Exploits”, Forbes, 23 марта, 2012. В последние годы уязвимости нулевого дня становится найти все труднее и труднее, поскольку создатели некоторых наиболее популярных программ добавили больше степеней защиты. Например, Google и другие компании встроили в свои браузеры так называемые песочницы, которые устанавливают защитный барьер для попадания туда вредоносного кода и предотвращения его передачи из браузера в операционную систему или другие приложения на компьютере. Таким образом, эксплойты, которые позволяют хакеру покинуть песочницу стали ценится больше.

2.    Чарли Миллер, “The Legitimate Vulnerability Market: Inside the Secretive World of 0-Day Exploit Sales”, Independent Security Evaluators, 6 мая, 2007, доступно по адресу: http://www.weis2007.econinfosec.org/papers/29.pdf.

3.    Интервью автора с Чарли Миллером, сентябрь, 2011 год.

4.    Смотрите предыдущую сноску.

5.    Гринберг, “Shopping for Zero-Days: A Price List for Hackers’ Secret Software Exploits”.

6.    Тоня Лаймэн, “Rouland’s Tech Security Firm Growing Fast”, Atlanta Business Chronicle, 11 июня, 2011.

7.    Эта и остальное цитаты из Бекрара в этой главе взяты из интервью автора в марте 2012 года, если не указано иное.

8.    Из пресс-релиза под названием “VUPEN Gets Entrepreneurial Company of the Year Award in the Vulnerability Research Marke”, 1 июня 2006 г., доступно по адресу: http://www.vupen.com/press/VUPEN_Company_of_the_year_2011.php.

9.    Брошюра доступна по адресу: https://www.wikileaks.org/spyfiles/files/0/279_VUPEN-THREAD-EXPLOITS.pdf.

10. VUPEN уже выиграли 60 тысяч долларов от HP TippingPoint за участие в конкурсе, но Google предложили дополнительные 60 тысяч за дополнительную информацию об уязвимости и способ ее устранения. Конкурс Pwn2Own, как правило, требует от участников передачи эксплойта и информации об уязвимости, которую он использует, чтобы ее можно было исправить, но не для эксплойтов, которые обходят изолированную программную среду безопасности браузера, что, как сказали VUPEN, делал их эксплойт. Один из сотрудников Google обвинил VUPEN в хвастовстве. «Мы пытаемся получить информацию, чтобы мы могли исправить ошибки… Без этой информации речь идет не о защите пользователей, а о хвастовстве. Это хороший способ удовлетворить собственное эго, но это не делает интернет более безопасным», – сказал мне сотрудник Google в личном разговоре.

11. Раян Нарейн, “0-Day Exploit Middlemen Are Cowboys, Ticking Bomb”, ZDNet.com, 16 февраля, 2012, доступно по адресу: http://www.zdnet.com/blog/security/0-day-exploit-middlemen-are-cowboys-ticking-bomb/10294.

12. Смотрите предыдущую сноску.

13. “The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies”, публичное заявление в 2013 году, доступно по адресу: https://www.wassenaar.org/publicdocuments/2013/WA%20Plenary%20Public%20Statement%202013.pdf.

Глава 8. Полезная нагрузка.

Нико Фальер сгорбленно стоял над своим столом на восьмом этаже сорокаэтажного Tour Egee, треугольного здания из стекла и бетона в деловом районе Парижа – De la Defense. Снаружи, за его окном возвышался мрачный лес офисных башен, который полностью заслонял вид голубям и туристам, идущим к ступеням La Grande Arche. Но Фальер был сосредоточен не на виде из окна, все его мысли витали вокруг одного – прямо сейчас начать работу над сложной полезной нагрузкой Stuxnet.

Это было начало августа 2010 года, спустя пару недель после того, как команда Symantec начала свою исследовательскую работу над Stuxnet, Чиен и О`Мурчу еще не успели найти беспрецедентное количество нулевых дней, скрывавшихся в черве. В течении этих первых двух недель Фальер работал с О`Мурчу, они анализировали большую библиотеку вредоносного ПО, но он знал, что все это детские игрушки по сравнению с тем, что он может найти в полезной нагрузке Stuxnet, в ней скрывались действительно великие секреты, и Фальер очень хотел завладеть ими.

Он только вернулся с обеда, и сразу же приступил к исследованию файлов полезной нагрузки, разделяя каждый из них на категории и пытаясь понять их формат и структуру. Один из .DLL файлов имел больно знакомое имя. Эксперты из Symantec к этому моменту уже получили копии программного обеспечения Siemens Step 7, поэтому Фальер стал просматривать программные файлы Step 7, установленные на его тестовой машине. Поиски не заняли много времени – файл .DLL в Siemens Step 7 имел ровно такое же имя, как и файл в Stuxnet. «Хмм», – подумал он, – «интересно».

Фалеьр быстро определил, что каждый раз, когда Stuxnet оказывался на компьютере с установленным программным обеспечением Siemens Step 7 или WinCC, он распаковывал .DLL файл с соответствующим именем и расшифровывал его.

Он использовал ключ, встроенный в вирус, для расшифровки .DLL. Фальер обнаружил, что он содержит все те же функции, что и подлинный .DLL файл из Step 7. Но также файл содержал некоторый подозрительный код, который включал в себя команды «read» и «write». За свою карьеру Фальер повидал достаточно вредоносов, чтобы точно понять, на что он смотрел – .DLL файл, который распаковывал Stuxnet действовал как руткит, тихо скрываясь в системе, ожидая взлома или перехвата этих функций каждый раз, когда система пыталась прочитать или записать блоки кода в целевые ПЛК. Как и в рутките ракетной части Stuxnet, этот перехватывал функцию чтения, чтобы скрыть то, что Stuxnet делал с ПЛК. В его опыте это первый руткит, когда-либо созданный для системы промышленного контроля. И он был далеко не один.

Фальер не мог точно сказать, то ли хакеры использовали свой .DLL, перехватывающий функцию чтения, для того, чтобы просто пассивно контролировать ПЛК, то ли для сбора информации об их операциях, то ли для вещей для вещей еще более зловещих. Но тот факт, что вирус также перехватывает функцию записи, предполагает, что она, вероятно, является ключевой и может остановить работу ПЛК или каким-нибудь образом изменить их работу. Он взглянул на часы, в Калифорнии было 5 утра – слишком рано, чтобы звонить Чиену, поэтому он решил продолжить исследование кода самостоятельно.

Он просидел над кодом еще несколько часов, и когда у него собрались все кусочки головоломки он понял – это было то, чего он и ожидал. Stuxnet действительно перехватывал команды, передаваемые от .DLL файла Siemens, и заменял их командами из своего собственного .DLL файла. Фальер не мог сказать точно, что именно Stuxnet указывал делать ПЛК – он не мог найти соответствующие блоки кода, которые Stuxnet внедрял в ПЛК – но он был уверен в том, что это вещи, которые не приведут к добру. К тому времени в Калифорнии было уже 9 часов утра, поэтому он взял трубку и позвонил Чиену.

Обычно они разговаривали раз в неделю, чтобы быстро обменяться информацией о том, над чем работал Фальер, звонки были чисто по делу, без лишних деталей и продолжались не более нескольких минут. Но в этот раз Фальер начал в подробностях рассказывать обо всем, что ему удалось найти. Чиен внимательно слушал, пораженный услышанным. Атака набирала все более и более большие масштабы. За каждым новым поворотом в продвижении дела их ожидал новый сюрприз.

Чиен согласился, чтобы Фальер сбросил ему все, что как-то поможет найти недостающие блоки кода, которые Stuxnet внедрял в ПЛК. Они также решили, что Фальеру стоит сделать краткое сообщение в своем блоге о рутките на ПЛК. Остальную информацию они пока оставят в тайне, до тех пор, пока Фальер не сможет определить природу того, что Stuxnet инжектит в ПЛК.

Той ночью, возвращавшись домой в метро, Фальер был заряжен энергией. В течении четырех последних лет он то и делал, что исследовал различные вирусы и черви, и видел столько вредоносов, что его уже сложно было чем-то заинтересовать. Но этот вирус был не как все. Атака на ПЛК была беспрецедентной и могла привести к раскрытию совершенно нового типа кибератак.

Несмотря на волнение, он осознавал, что дорога впереди будет длинной и тернистой. .DLL файл, который заменял Stuxnet, был достаточно большим, а структура программного обеспечения Siemens Step 7 в большинстве своем не задокументированной. Фальер и Чиен находились в полном неведении относительно того, как работает система, и относительно технических проблем, связанных с расшифровкой полезной нагрузки. Более того, не было никакой гарантии, что они смогут взломать код. Существовало слишком много вещей, о которых Фальер на данный момент не знал абсолютно ничего. Но одно он знал точно, его ожидает долгая и утомительная поездка.

Фальер был 28 летним мужчиной, с мрачным взглядом того, кто, казалось, больше чувствовал себя как дома в подземном парижском ночном клубе с джазовой транс музыкой, нежели в вагоне метро, медленно перебирая стопки печатного компьютерного кода. На самом деле он был довольно сдержанным и скромным, а копошение в коде для него было куда более привлекательным занятием, нежели танцы в гудящем клубе.

Фальер был опытным реверс-инженером, специализировавшимся на глубоком анализе вредоносного кода. Реверс-инжениринг – это немного мрачное искусство, которое включает в себя перевод двоичного языка нолей и единиц, который может прочитать компьютер, в язык программирования, который могут читать люди. Это требует большой концентрации внимания и соответственных навыков, особенно с таким сложным кодом, как в Stuxnet. Но Фальер особо и не возражал. Чем сложнее код, тем больше он удовлетворял его, когда он наконец взламывал его.

В начале своего пути Фальер оттачивал свои навыки будучи подростком, во Франции, взламывая файлы «crackme» – головоломки для начинающих хакеров, которые программисты писали друг для друга, с целью проверить свои навыки обратного инжениринга. Кодеры писали небольшие программки, покрытые зашифрованной оболочкой, а задача реверс-инженеров состояла в том, чтобы взломать эту оболочку и пройти другие средства защиты, чтобы найти внутри скрытое сообщение, и затем отправить его автору, как доказательство того, что головоломка была пройдена. В каком-то смысле черви, и прочие вирусы были подобием crackme, просто первые были более изощренные, нежели последние. Теперь же разница заключалась в том, что Фальеру еще и платили за это настоящие деньги.

Фальер родился и вырос недалеко от Тулузы, на юге Франции, где находится аэрокосмическая корпорация Airbus и местный центр спутниковых технологий. В регионе, где преобладают авиационные и остальные инженеры, казалось, что Фальеру было предписано работать в сфере технологий. Но все-таки первые его порывы больше стремились к механике. Его отец был автомехаником, который владел и управлял собственной автомастерской. Однако знакомство Фальера с компьютерами в старшей школе привели его к совсем иному жизненному пути – после школы, он пошел изучать информатику в Национальном университете прикладных наук во Франции. Успешное распространение червя Code Red, который заразил более чем 700 тысяч машин, в 2001 первом году, заинтересовало его, и парень начал изучать компьютерную безопасность. Еще будучи в колледже, молодой Фальер написал несколько статей на тему кибербезопасности для небольшого французского технического журнала, а также статью для SecurityFocus, веб-сайту на тему компьютерной безопасности, которым владел Symantec.1 В конце 2005 года, когда он писал дипломный проект по информатике, он сказал, что ему требуется шестимесячная стажировка, чтобы успешно закончить свой проект. Поэтому он обратился к своим контактам в SecurityFocus, где его и направили к Чиену. Ему очень повезло. Symantec все еще были в поисках новых людей, и Чиен отчаянно пытался найти опытных реверс-инженеров. Вместо шестимесячной стажировки, Чиен предложил Фальеру работу на полный рабочий день. «Сколько вы хотите заработать?», – спросил он у Фальера.

«Мне не нужны деньги», – просто ответил ему Фальер, – «Мне нужен лишь опыт».

«Вы с ума сошли?», – Чиен был ошеломлен, – «Я пришлю вам предложение по электронной почте. Просто примите его».

Несколько недель спустя Фальер переехал в Дублин. Он довольно быстро приспособился к новой жизни, но после двух лет постоянных перелетов домой в Францию, там у него осталась девушка, он попросил перевести его в Париж, где у Symantec имелся офис продаж и маркетинга. Там он оказался единственным техническим специалистом, поэтому часто находился в одиночестве, что помогало ему больше сосредоточиться на работе.

Его рабочий стол, который он делил с двумя коллегами, представлял собой организованный хаос, с техническими бумагами и книгами, разбросанными вокруг тестовой машины, которую он использовал для запуска вредоносных программ, и ноутбука, содержащего программное обеспечение отладчика, которое он использовал для анализа кода. Цилиндрический кубик Рубика был единственной личной вещью на его столе, который он постоянно вращал, будто четки, всякий раз, когда наталкивался на громоздкий кусок кода, который не поддавался взлому.

Хотя Фальер был гением в реверс-инжениринге, на самом деле пока в его жизни не появился Stuxnet, он не делал ничего особого сложного. Со временем, он стал фактически помощником Symatec, объединяя программы и инструменты таким образом, чтобы сделать шифрование более эффективным для других аналитиков. Понемногу работа начала принимать все больше и больше оборотов. Он начал с настройки аналитических инструментов для себя, те, которые находил неуклюжими в реализации и неэффективными – переделывал, затем начал делать то же самое и для коллег, а потом и создавать новые тулзы, после того, как на такую работу начали приходить запросы. В конце концов он начал тратить больше времени на работу с инструментами, чем на расшифровку кода. Работать с кодом ему приходилось только тогда, когда Чиен делал для него специальный запрос, что и случилось с Stuxnet.

Свой анализ полезной нагрузки Stuxnet Фальер начал с изучения программного обеспечения Siemens Step 7. Программное обеспечение Step 7, которое атаковал Stuxnet, было проприетарным приложением Siemens для программирования их линейки ПЛК S7. Он работает поверх Windows и позволяет программистам писать и компилировать команды или блоки кода для ПЛК. Система не была полной без программы Simatic WinCC, средства визуализации, используемого для мониторинга ПЛК и процессов, которые они контролировали. ПЛК, подключенные к станциям контроля через производственную сеть, постоянно находились в контакте с компьютерами операторов, регулярно отправляя отчеты о состоянии и обновления всяческих датчиков, чтобы те могли следить за оборудованием и выполняемыми операциями в режиме реального времени. .DLL файл Siemens занимал центральное место в программах Step 7 и WinCC выступая в качестве посредника для создания команд для ПЛК, и получения от них отчетов о состоянии. Вот здесь и вступал в силу .DLL файл от Stuxnet. Он делал все то же, что и оригинальный файл, и при этом добавлял немного своего.

Для того, чтобы понять, как работает двойник .DLL, Фальеру сначала предстояло узнать, как работает сама система Step 7 и оригинальный .DLL файл в ней. Он искал знающих людей в интернете, чтобы проконсультироваться, и даже подумывал написать в Siemens за помощью, но не знал кому позвонить. .DLL файл, используемый в Step 7 был одним из множества .DLL файлов, используемых в программном обеспечении Siemens, так что поиск двух-трех программистов, стоящих за этим кодом, людей, которые знали его достаточно хорошо, чтобы помочь, займет столько же времени, сколько и самостоятельное изучение информации. И в конце концов, насколько же приятней будет разобраться во всем самому.

 Чтобы отреверсить .DLL файлы – оригинал и двойник – Фальер открыл их в дизассемблере, инструменте, предназначенном для перевода двоичного кода на язык ассемблера. Дизассемблер позволял программистам добавлять примечания и комментарии к коду или переставлять разделы кода, чтобы его было легче читать. Фальер разбирал код по маленьким кусочкам, помечая каждый описанием функции, которую она выполняла.

Как это обычно делают исследователи при изучении сложных вредоносных программ, Фальер объединил статический анализ (просмотр кода на экране в дизассемблере/отладчике) с динамическим (наблюдение за выполнением кода в тестовой среде, использование отладчика для остановки и запуска отдельных команд), чтобы сопоставить определенные части кода с тем, что он мог увидеть на экране тестовой машины. Этот процесс даже при лучших обстоятельствах будет медленным, поскольку он требует постоянных прыжков вперед-назад между двумя машинами, но с Stuxnet все было еще труднее из-за его размера и сложности.

Потребовалось две недели для документирования каждого действия, которое предпринимал .DLL, прежде чем Фальер наконец подтвердил то, что он все время подозревал – Stuxnet перехватывал оригинальный .DLL файл Siemens и заменял его своим двойником, чтобы таким образом взломать систему. Фальер понял это, когда решил изменить имя оригинального .DLL файла с s7otbxdx.dll на s7otbxsx.dll и установив вредоносный .DLL с неизмененным именем оригинала. Затем, когда система вызвала .DLL? вместо родного файла, который специально переименовал Фальер, откликнулся .DLL файл, который внедрил Stuxnet.

Теперь все начало ставать понятным.

Всякий раз, когда инженер пытался отправить команды на ПЛК, Stuxnet следил за тем, чтобы, вместо него выполнялся собственный вредоносный код. Но он не просто переписывал команду. Stuxnet увеличивал размер блока кода и помещал свой вредоносный код в фронт-энд. Затем, чтобы убедиться в том, что выполняются именно его команды, а не оригинальные, Stuxnet захватывал блок кода на ПЛК, который отвечает за чтение и выполнение команд. Для беспрепятственного внедрения кода таким образом требовался высокий уровень знаний и навыков, ибо ПЛК легко сделать «кирпичом» (то есть, заставить его глючить, или и вовсе превратить его в нефункциональный набор пластмассы), но хакеры прекрасно справились со своей задачей.

Вторая часть атаки была еще более гениальной. До того, как запустить вредоносные команды, Stuxnet терпеливо бездействовал на ПЛК около двух недель, иногда дольше, записывая исполняемые им операции, когда контроллер отправлял отчеты о состоянии на станции мониторинга. Затем, когда Stuxnet активировался, он вновь воспроизводил записанные им отчеты операторам, чтобы скрыть какие-либо ошибки на машинах – как в голливудском фильме о краже, воры вставляют зацикленное видео в каналы камер видеонаблюдения. Когда Stuxnet начинал саботировать ПЛК, он также отключал автоматические цифровые сигналы тревоги, чтобы предотвратить срабатывание систем безопасности и остановку любого процесса, который контролировал ПЛК, если он вдруг обнаружит, что оборудование входит в опасную зону. Stuxnet делал это, изменив блоки кода, известные как OB35, которые были частью системы безопасности ПЛК. Они использовались для контроля критических операций, таких как скорость турбины, которую контролировал ПЛК. Блоки генерировались каждые 100 миллисекунд, чтобы системы безопасности могли быстро среагировать, если турбина вдруг вышла из-под контроля, либо что-то еще пошло не так, что позволяло системе или оператору произвести экстренную остановку оборудования. Но с Stuxnet, изменяющим данные, на которые опиралась система безопасности, система была слепа к опасным условиям и никогда не могла быть активирована.2

На этом атака не останавливалась. Если инженеры замечали, что с турбиной или другим оборудованием, управляемым ПЛК, что-то шло не так, и пытались просмотреть блоки команд на ПЛК, чтобы определить возможные ошибки при программировании, вмешивался Stuxnet и не давал возможности программистам увидеть вредоносный код. Это было реализовано путем перехвата любых запросов на чтение блоков кода ПЛК, и предоставления вместо них «продезинфицированных» версий кода, в которых были удалены любые следы вмешательства вируса. Если инженер по устранению ошибок пытался перепрограммировать устройство, перезаписав старые блоки кода ПЛК новыми, тут же опять активировался Stuxnet, вновь заражая новый код своими командами. Программист мог переписывать блоки кода сотни раз, и Stuxnet каждый раз заменит чистый код своим модифицированным.

Фальер был ошеломлен сложностью и комплексностью атаки. Внезапно стало понятно, что Stuxnet не пытается выкачивать данные из ПЛК, чтобы шпионить за его действиями, как все изначально полагали. Тот факт, что вирус вводил свои команды в ПЛК и пытался скрыть это, и в то же время отключал аварийные сигналы, был явным свидетельством того, что он разработан не для шпионажа, а для саботажа.

Но это не была простая атака типа «отказ в обслуживании». Злоумышленники не пытались саботировать ПЛК, просто выключив его – ПЛК оставались полностью функциональными на протяжении всей атаки – они пытались физически уничтожить процесс или устройство, которое контролировали ПЛК. Это был первый раз в карьере Фальера, когда цифровой код использовался не для кражи или изменения данных, а для физического уничтожения каких-либо устройств.

Все это напоминало сюжет голливудского блокбастера. Блокбастера с Брюсом Уиллисом, если говорить точнее. Три года назад Live Free or Die Hard представляли себе подобный сценарий, хотя и с типичными для Голливуда склонностями к экшену и взрывам на каждом углу. В том фильме группа кибертеррористов во главе с мстительным бывшим государственным служащим запускает множество скоординированных кибератак, чтобы нанести вред фондовому рынку, транспортным и электросетям, чтобы отвлечь этим внимание власти от их реальной цели – выкачки миллионов долларов из государственной казны. Хаос, экшен и куча денег – то, что и нужно было Die Hard.

 Но подобные сценарии издавна отвергались профессионалами из области компьютерной безопасности, которые воспринимали такие картины за бред, плод больной фантазии. Хакер может вырубить одну или две критические системы, но взрывать что-то? Это кажется невероятным. Большинство взрывов в Die Hard были в большей степени физическими, нежели кибернетическими. И все же Stuxnet имеет доказательства того, что такой сценарий вполне может быть реальным. В сравнении с тем, что Фальер уже видел, или ожидал увидеть, Stuxnet находился за границами всего мысленного и не мысленного.

Несмотря на свои масштабы и успех, Symantec была, в конце концов, всего лишь очередной занудной компанией, занимающейся защитой своих клиентов. В течении пятнадцати лет их противниками были хакеры и прочие киберпреступники, которые взламывали, в основном, ради забавы, или, как в последнее время, государственные шпионы, охотящиеся на корпоративные и государственные секреты. Все они в разной степени были грозными и достойными противниками, но никто из них даже намека не подавал на физическое разрушение. За прошедшие годы вредоносное ПО прошло постепенную эволюцию. В ранние годы мотивация авторов вредоносов не менялась от хакера к хакеру, и была практически неизменной. Некоторые программы были более разрушительны, некоторые менее, но основная цель вирусописателей 1990-х годов заключалась в достижении славы и признания, а типичная полезная нагрузка вирусов включала в себя шутки над друзьями-хакерами послабее.  Ситуация изменилась, когда рынок захватила электронная коммерция, и хакерство превратилось в преступный бизнес. Теперь цель состояла не в том, чтобы привлечь к себе внимание, а в том, чтобы взломать и оставаться в системе как можно дольше, чтобы красть номера кредитных карт и учетные данные банковских счетов. Совсем недавно хакерство превратилось в игру шпионов с высокими ставками, в которой государственные шпионы проникают глубоко в сеть, оставаясь в ней месяцами или даже годами, молча крадя национальные секреты и другие конфиденциальные данные.

Но Stuxnet вышел далеко за пределы всего этого. Это была не эволюция вредоносного ПО, а революция. Все, что Фальер и его коллеги видели раньше, даже самые серьезные угрозы, нацеленные на процессинг кредитных карт и кражу секретов Министерства обороны, казались незначительными в сравнении с этим вирусом. Stuxnet втянул их в совершенно новую борьбу, где ставки были намного больше, чем когда-либо прежде.

Долгое время в сети гуляла история, согласно которой нечто подобное должно было случиться ранее, но она так и не нашла подтверждения. Согласно этой истории, в 1982 году ЦРУ разработало план установки логической бомбы в программное обеспечение, контролирующее российский газопровод, с целью уничтожения некоторых важных узлов. Когда код вступил в силу, это вызвало бы неисправность клапанов на трубопроводе. Результатом должен был стать огненный взрыв, настолько сильный и большой, что его можно было бы увидеть человеческим глазом с орбитальных спутников.3

Вернувшись в Калвер-Сити, Чиен подумал, а не было ли последнее время в Иране необъяснимых взрывов, которые можно было бы списать на счет Stuxnet.  Он был поражен, обнаружив в новостях, что такие взрывы и вправду были, причем всего пару недель назад.4 В конце июля газопровод, несущий природный газ из Ирана в Турцию, взорвался недалеко от турецкого города Догубаязит, в нескольких милях от иранской границы. Взрыв, который поразбивал окна близлежащих зданий, вызвал яростное пламя, тушение которого заняло несколько часов.5

Другой взрыв произошел за пределами иранского города Тебриз, где взорвался трубопровод протяженностью 1600 миль, доставляющий газ из Ирана в Анкару. Третий взрыв произошел на иранском государственном нефтехимическом заводе на острове Харк в Персидском заливе, в результате которого погибло четыре человека.6 Через несколько недель на нефтехимическом заводе в Пардисе произошел четвертый газовый взрыв, погибло пять человек, три получили ранения.7 Это произошло всего спустя неделю после того, как завод посетил президент Ирана Махмуд Ахмадинежад.

Но не все взрывы остались необъяснимыми. Курдские повстанцы взяли на себя ответственность за взрывы в Догубаязите и Тебризе, а иранское информационное агентство, ИРНА, связало взрыв на острове Харк с повышением давления в центральном котле.8 Взрыв в Пардисе был вызван утечкой этана, который воспламенился после того, как рабочие начали сварку трубопровода. Но что, если один или несколько взрывов были вызваны Stuxnet? Чиен задумался.

Все эти взрывы превышали все возможные ожидания Чиена и его команды, когда они только начали исследование Stuxnet несколькими неделями ранее. Если Stuxnet и вправду делал то, о чем думали Чиен и его коллеги, то это был первый задокументированный случай кибервойны.

Чиен, О`Мурчу и Фальер собрались в общем звонке, чтобы обсудить варианты их дальнейших действий. Они до сих пор не знали, что именно Stuxnet делал с ПЛК, и даже не знали, какова его цель, но они точно знали, что должны раскрыть то, что нашли в его полезной нагрузке. Итак, 17 августа 2010 года они публично выступили с новостью о том, что Stuxnet оказался не инструментом шпионажа, как все считали, а цифровым оружием, предназначенным для уничтожения его целей. «Ранее мы сообщали, что Stuxnet мог красть данные… а также прятать себя с помощью классического руткита Windows», – писал Фальер в своей типичной преуменьшенной манере, – «но к сожалению, он может делать гораздо больше».9

Чтобы проиллюстрировать разрушительные возможности Stuxnet, коллеги ссылались на атаку 1982 года на Сибирский трубопровод. Их речь была тщательно отфильтрована PR-командой компании, но нельзя было отрицать шокирующий характер того, что они подразумевали. Как только они опубликовали свой пост, они стали с нетерпением ожидать реакции общества. Но вместо ожидаемой драматической реакции, все, что они получили взамен, это, по словам Чиена, «молчание сверчков».

Чиен даже не знал, как реагировать на молчание в ответ на такие новости. В конце концов, они говорили о компьютерном коде, который может взрывать оборудование и, возможно, даже целые здания. Они предполагали, по крайней мере, что, как только они опубликуют свои результаты, другие исследователи также опубликуют свои собственные наработки. Именно так работал анализ вредоносных программ: всякий раз, когда обнаруживался код новой атаки, команды конкурирующих исследовательских фирм одновременно начинали работу над расшифровкой кода, каждая из которых стремилась первой опубликовать свои результаты. Как только первая команда публиковала свои результаты, другие пытались в кратчайшие сроки также выложить свои находки. Если несколько групп пришли к одним и тем же результатам, дублирующая работа служила для неформального процесса рецензирования для проверки всех их выводов. Но молчание, которое последовало за их постом о Stuxnet было абсолютно несвойственным обществу и полностью сбило исследователей с толку – Чиен начал задаваться вопросом, были ли они единственной командой, исследующей полезную нагрузку? Кому-то еще пришло в голову сделать то же самое?

На короткий момент он даже усомнился в их решении посвятить сколько времени коду Stuxnet. Видел ли кто-то другой что-то такое незначительное, что-то, что Чиен и его команда могли просто упустить из виду? Но затем он пересмотрел все, что они обнаружили за последние несколько недель. И он пришел к выводу, что ошибиться было просто невозможно – ни в важности Stuxnet, ни в его агрессивных намерениях.

Что касается продолжения их исследований, больше не было сомнений в том, что бросать дело нельзя, они четко понимали им нужно доделать все до конца. Во всяком случае, работа над кодом Stuxnet казалась намного более насущной, чем над любым другим вирусом. Только что они заявили на весь мир, что Stuxnet – цифровое оружие, предназначенное для физического уничтожения. Но они все еще не определили цели вредоносного ПО. Сделав публичное заявление о разрушительной цели вируса, они начали опасаться того, что хакеры могут внезапно, почувствовав давление, ускорить течение своей миссии и сразу уничтожить цели. Это при условии, что они до сих пор не сделали этого.

И видимо они были не единственными, кто беспокоился о возможности взрыва. Спустя пять дней после того, как было опубликовало их объявление, постоянный поток трафика, поступающий в их «воронку» от зараженных Stuxnet машин в Иране, внезапно приобрел «темные оттенки». Сложилось такое чувство, что кто-то в Исламской Республике принял к сведению новости исследователей. Чтобы не дать злоумышленникам или кому бы то ни было другому получить удаленный доступ к зараженным машинам и нанести им какой-либо ущерб, кто-то в Иране, наконец-то, додумался приказать разорвать все исходящие соединения с компьютеров страны с двумя командно-контрольными доменами Stuxnet.

Сноски, ссылки и используемая литература:

1.    Symantec приобрела SecurityFocus в 2002 году.

2.    В Stuxnet было мало причуд или чего-то, что казалось излишним. Но в той части кода, которая отвечает за перехват блоков OB35, злоумышленники поместили «магический маркер» (значение, помещенное в код, обозначающее условие или запускаемое действие), который оказался чем-то вроде шутки – 0xDEADF007. Маркер был шестнадцатеричным представлением числа. Когда Stuxnet проверял условия в системе для начала своей работы, для того, чтобы определить, когда он должен начать отключать систему безопасности, был создан магический маркер. Хакеры могли написать абсолютно любое число – хоть 1234 – но выбрали то, которое в шестнадцатеричном формате записывается как DEADF007. Программисты в большинстве своем нередко использовали в коде причудливые значения для написания слов в шестнадцатеричном формате. К примеру, первые четыре байта файлов классов Java преобразовываются в 0xCAFEBABE в шестнадцатеричном формате. 0xDEADBEEF это другое шестнадцатеричное значение, которые среди хакеров интерпретируется как сбой программного обеспечения. Поэтому Чиену стало интересно, может ли 0xDEADF007 в Stuxnet обозначать «dead fool» – уничижительный способ указать, что система безопасности больше не работает – или «dead foot». Dead foot это выражение, используемое пилотами самолета для обозначения отказа двигателя. «Dead foot, dead engine» – выражение, которое помогает пилотам в стрессовой ситуации быстро понять, что, если педаль не работает, это значит, что не работает и двигатель – фактически, пилот не имеет контроля над двигателем. Точно так же DEADF007 в Stuxnet сигнализировал момент, после которого операторы в Иране теряли малейший контроль над своими ПЛК, когда Stuxnet саботировал их, не давая возможности системе безопасности инициировать собственное автоматическое отключение или произвести экстренное ручное отключение операторам. Это привело Чиена к мысли, мог ли один из авторов Stuxnet быть пилотом?

3.    Подробней об истории предполагаемого саботажа трубопровода смотрите главу 11.

4.    Кон Кофлин, “Who’s Blowing up Iran’s Gas Pipelines?”, The Telegraph, 18 августа, 2010, доступно по адресу: http://www.blogs.telegraph.co.uk/news/concoughlin/100050959/whos-blowing-up-irans-gas-pipelines.

5.    Агентство France-Presse, “Suspected Kurd Rebels Blow up Iran–Turkey Gas Pipeline”, 21 июля, 2010, доступно по адресу: https://www.institutkurde.org/en/info/latest/suspected-kurd-rebels-blow-up-iran-turkey-gas-pipeline-2372.html.

6.    “Petrochemical Factory Blast Kills 4 in Iran”, Associated Press, 25 июля, 2010, доступно по адресу: http://www.gainesville.com/article/20100725/news/100729673.

7.    “Explosion in Petrochemical Complex in Asalouyeh Kills 5”, Tabnak News Agency, 4 августа, 2010, доступно по адресу: https://www.tabnak.ir/en/news/180.

8.    Иван Ватсо и Есим Комерт, “Kurdish Rebel Group Claims Responsibility for Gas Pipeline Blast”, CNNWorld, 21 июля, 2010, доступно по адресу: http://www.articles.cnn.com/2010-07-21/world/turkey.pipeline.blast_1_pkk-kurdistan-workers-party-ethnic-kurdish-minority?_s=PM:WORLD.

9.    Николас Фальер, “Stuxnet Introduces the First Known Rootkit for Industrial Control Systems”, Symantec blog, 6 августа, 2010, доступно по адресу: http://www.symantec.com/connect/blogs/stuxnet-introduces-first-known-rootkit-industrial-control-systems. Обратите внимание, что дата в блоге – 6 августа, но это дата, когда публикация была впервые опубликована с новостями о рутките ПЛК. Они обновили его, когда добавили новость о том, что Stuxnet нацелен на физическое уничтожение.

Глава 9. Системы управления вне контроля.

В пятидесяти милях от Айдахо-Фолс, штат Айдахо, в большой пустынной прерии, принадлежащей Национальной лаборатории Министерства энергетики штата Айдахо, группа инженеров, ежась от холода, делала финальный осмотр генератора размером с небольшой автобус, который стоял на бетонной плите. Это было 4 марта 2007 года, и рабочие проводили последние проверки для революционного испытания.

Примерно в миле оттуда, в центре для посетителей лаборатории, группа чиновников из Вашингтона, округ Колумбия, а также руководители энергетической отрасли и NERC (North American Electric Reliability Corporation), Североамериканской корпорации по надежности электроснабжения, собрались в одной комнате, грея руки о чашки с горячим кофе, и дожидались начала прямой трансляции.

В 2010 году, когда эксперты из Symantec обнаружили, что Stuxnet был разработан для саботажа ПЛК Siemens, все полагали, что это был первый задокументированный случай, когда компьютерный код был направлен на физическое уничтожение оборудования. Но еще в 2007, за три года до этого, на этой равнине в Айдахо, жизнеспособность такой атаки продемонстрировало испытание генератора Аврора.

Было около пол двенадцатого утра того холодного мартовского дня, когда главный инженер вернулся в Айдахо-Фолс и дал сигнал для запуска вредоносного кода против цели. Когда дизельный двигатель мощностью 5 тысяч лошадиных сил взревел в колонках комнаты для наблюдений, зрители стали пристально всматриваться в экран в поисках первых признаков действия зловредного кода. Первое время с генератором не происходило ничего особенного. Но затем из колонок они услышали громкий удар, будто тяжелая цепь ударилась о металлический барабан, и генератор ненадолго вздрогнул, будто проснулся. Прошло несколько секунд, и они услышали еще один удар – на этот раз Аврора содрогнулась и раскачалась еще сильнее, как будто ее ударил дефибриллятор. Болты и куски резиновых уплотнителей начали отлетать от генератора в сторону камеры, заставляя наблюдающих содрогаться. Прошло еще пятнадцать секунд, прежде чем случился следующий мощный удар, который вновь заставил машину вздрогнуть. На этот раз, после окончания вибраций, генератор начал испускать клубы густого белого дыма. И вдруг БАМ! Машина вновь содрогалась, перед тем как окончательно вырубиться. После долгой паузы, когда казалось, что зверь, похоже, уже не оживет, из его камер повалил черный дым.

С момента начала испытания прошло всего три минуты, но этого хватило, чтобы превратить мощный генератор в горящий, безжизненный кусок металла. Когда все закончилось, в комнате не последовало аплодисментов, лишь напряженная тишина. Чтобы уничтожить генератор размером с автобус, требовалось исключительное усилие. Но все же в этом случае потребовалась двадцать одна строка кода.

 Испытание планировалось и прорабатывалось на протяжении нескольких недель, однако сила и мощность атаки все равно повергла своих инженеров в шок – «момент невероятной силы» – как сказал один из инициаторов испытания Майкл Ассанте.1 Одно дело симулировать атаку на маленький мотор, стоящий на столе, и совсем другое – наблюдать как машина весом 27 тонн подпрыгивает, как детская игрушка, и горящими осколками разлетается во все стороны.

Испытание предоставило точное доказательство того, что преступникам вовсе не обязателен физический доступ для уничтожения критически важного оборудования на электростанции, он мог достичь этого же результата удаленно, с помощью хорошо продуманного кода. Три года спустя после испытания Авроры, когда на машинах в Иране был обнаружен Stuxnet, никто из тех, кто участвовал в проекте Аврора не был удивлен тем, что цифровая атака может привести к физическому разрушению. Они были удивлены лишь тем, как много времени понадобилось атакующим для ее проведения.

Когда в августе 2010 года исследователи Symantec обнаружили, что Stuxnet был разработан для физического уничтожения оборудования посредством ПЛК, они были не единственными, кто понятия не имел, что такое вообще эти ПЛК. Мало кто в мире знал об существовании этих устройств – это несмотря на то, что ПЛК являются компонентами, которые регулируют некоторые из наиболее важных критических объектов и процессов в мире.

ПЛК используются с различными автоматизированными системами управления, который включают в себя известную систему SCADA (Supervisory Control and Data Acquosition), систему диспетчерского контроля и сбора данных, а также другие распределенные системы управления, которые обеспечивают бесперебойную работу генераторов, турбин и котлов на электростанциях и других промышленных объектах.2 Такие системы также управляют насосами, которые передают неочищенные сточные воды в очистные сооружения, предотвращают переполнение резервуаров, а также закрывают и открывают клапаны в газопроводах для предотвращения повышения давления, которое может привести к взрывам со смертельными последствиями, таким как взрыв в 2010 году газопровода в Сан-Бруно, штат Калифорния, в результате которого погибло восемь человек и разрушено тридцать восемь домов.

Существуют и менее очевидные, но не менее важные применения для систем управления. Они контролируют роботов на линиях сборки автомобилей, взвешивают и смешивают необходимую порцию ингредиентов на химических и фармацевтических заводах. Они используются производителями продуктов питания и напитков для установки и контроля температуры безопасного приготовления и пастеризации пищи для уничтожения смертельных бактерий. Они помогают поддерживать постоянную температуру в печах, где производятся стекло, стекловолокно и сталь, которые в будущем будут использоваться для построения небоскребов, автомобилей и самолетов. Они также управляют светофорами, открывают и закрывают двери камер в федеральных тюрьмах строгого режима, а также поднимают и опускают разводные мосты. Помогают направлять пригородные и товарные поезда и предотвращают их столкновения. В меньшем масштабе они управляют лифтами в высотных зданиях и кондиционированием воздуха в больницах, школах и офисах. Короче говоря, системы управления являются критически важными компонентами, которые обеспечивают нормальную работу отраслей и инфраструктур по всему миру. Поэтому они должны быть надежными и безопасными. И тем не менее, как показал Stuxnet, они не совсем такие.

И теперь, когда этот код появился в свободном доступе для изучения и копирования любым пользователем, Stuxnet может послужить образцом для разработки других, еще более совершенных, атак, направленных на уязвимые системы управления в Соединенных Штатах и других странах, например, для контролирования клапанов газопровода, или сброса неочищенных сточных вод в водные пути, или, возможно, даже для выведения из строя генераторов на электростанциях. Поскольку большинство исследований и разработок для выявления уязвимостей уже были выполнены создателями Stuxnet, они значительно снизили порог входа для других атакующих, как государственных, так и обычных хакеров. Так что теперь для проведения подобной атаки не требовалось особо большое количество ресурсов. От анархических хакерских групп, таких как Anonymous и LulzSec, до вымогателей, стремящихся силой удержать контроль над каким-то объектом, тем же ядерным заводом, например, для наемных хакеров, работающих на террористические группировки – дверь теперь была открыта для всех, причем для произведения атаки даже не обязательно покидать пределы своей спальни. И хотя Stuxnet – искусная атака, направленная на определенные машины, но оставляющая нетронутыми другие, не все атаки будут такими целенаправленными и хорошо продуманными, что значительно повышает вероятность безобразных атак, которые могут привести к массовым сбоям или повреждению оборудования – умышленно или нет.

Злоумышленникам также не понадобится создавать такого продуманного червя, как Stuxnet. Обычный заурядный вирус также может иметь такие пагубные последствия.3 В 2003 году, после того, как компьютеры, принадлежащие корпорации CSX во Флориде, попал вирус Sobig, системы железнодорожной сигнализации на Восточном побережье просто перестали работать. CSX управляет железнодорожными системами в двадцати трех штатах, и в результате их выхода из строя, поезда, идущие между Пенсильванией и Южной Каролиной, а также на кольцевой автодороге в округе Колумбия, пришлось остановить.4 Точно так же, в этом же году, червь Slammer вывел из-под контроля систему управления и сеть мониторинга процессов на атомной электростанции Дэвис-Бесс в Огайо примерно на пять часов.5

По шкале от одного до десяти, измеряющей готовность критической инфраструктуры США противостоять кибератакам, где 0 – это практическое отсутствие мер безопасности, а 10 – это безопасность соответствует всем последним стандартам, Кит Александр высказал сенатскому комитету в 2013 году, что уровень безопасности США – три, в частности из-за отсутствия безопасности в системах управления.6

«Мы уже более десяти лет работаем над наступательными кибер-возможностями в Министерстве обороны», – Джим Льюис из Центра стратегических исследований. «Но… Я думаю, что люди… просто не понимают, что вне их поля зрения существует этот новый тип уязвимости, который действительно подвергает риску многие вещи».7

По правде говоря, проблемы с системами управления не новы. Просто Stuxnet впервые продемонстрировал их публично. Некоторые эксперты систем безопасности знали об их существовании уже не первый год.

ПЛК впервые были разработаны еще в далеких 1960-х годах, когда компьютерные хакеры и вирусы еще были предметом научной фантастики.8 Они были разработаны для автомобильной промышленности, чтобы заменить релейные логические системы, которые контролировали сборочные линии на заводах. В проводных релейных системах единственный способ выполнить настройку линии – отправить электрика для физической настройки реле. ПЛК же позволяли легко обновлять системы всего несколькими сотнями строк кода, хотя техническим специалистам все еще требовалось лично обновлять системы, выезжая к устройствам на место для загрузки команд с кассеты с лентой.

По мере роста использования цифровых систем управления, операторы все более настырно просили свое руководство, чтобы те предоставили им возможность удаленного входа в систему через модем удаленного доступа. К тому времени опасность хакеров значительно выросла, но операторы по-прежнему не были обеспокоены безопасностью своих систем, потому что их системы работали в автономных сетях, использовали собственные протоколы для связи и имели проприетарное программное обеспечение которое не было совместимо с другими программами и системами. Вы не могли просто подключить любой компьютер к системе управления и взаимодействовать с ней. И даже если бы такой компьютер у вас появился, количество людей, которые понимали устройство систем управления и могли управлять ими было мизерным.

Все это начало меняться в конце 90-х годов. Конгресс принял новые законы об охране окружающей среды, обязывающие компании мониторить и контролировать выбросы на своих заводах, а Федеральная комиссия по регулированию энергетики начала требовать доступ к системам передачи электроэнергии для контроля ее использования и распределения. Внезапно комплаенс-офицеры и руководители корпораций потребовали доступ к системам, которые ранее были доступно только операторам заводов. Так начали появляться новые системы управления, работающие на коммерческих операционных системах, таких как Linux и Windows, что облегчало другим компьютерам в корпоративной сети подключаться и взаимодействовать с ними. Переход на Windows, однако, означал, что теперь системы управления будут уязвимы для тех же вирусов, которые поражают обычные персональные компьютеры. И по мере того, как количество систем, подключенных к интернету, росло, чтобы сделать их удаленно доступными для операторов, они также становились более уязвимыми для атак хакеров.

В марте 1997 года хакер-подросток под никнеймом Jester сделал небольшую демонстрацию того, что может произойти, когда он наберет команду в компьютерной системе Bell Atlantic через модем – он вывел из строя системы, управляющие телефонной и радиосвязью через телефонную вышку в аэропорту Вустера, а также телефонные службы для 600 домов в соседнем городе. Так же в течение шести часов оставалась неактивной связь для служб безопасности и пожарной охраны аэропорта, так же, как и системы контроля огнями на взлетно-посадочной полосе. В это время диспетчерам приходилось использовать сотовые телефоны и радиоприемники с батарейным питанием, чтобы направлять самолеты.9 К счастью за те 6 часов не произошло никаких аварий, но один из диспетчеров управления воздушным движением признался CNN: «Пуля буквально просвистела у нас над головой».10

В том же году специально созданная Марш-комиссия опубликовала отчет, в котором исследовалась уязвимость критически важных систем инфраструктуры к атакам – как физическим, так и цифровым. Комиссии было поручено сделать это после того, как в 1995 году некий Тимоти Маквей взорвал федеральное здание в Оклахома-Сити и вывел из строя ряд ключевых центров передачи данных и связи. Члены комиссии выразили свое беспокойство относительно растущей опасности, создаваемой подключением критически важных инфраструктур – нефти, газа и электричества – к интернету. «Способность причинять вред… растет с пугающей скоростью. И у нас нет практически никакой защиты», – писали члены комиссии. Из их слов также, что команды, посылаемые по сети управляющему компьютеру электростанции «могут быть столь же разрушительными, как и рюкзак, полный взрывчатки… Мы должны заботиться о наших критически важных инфраструктурах до того, как столкнемся с кризисом, а не после. Ожидание катастрофы оказалось бы таким же дорогим, как и безответственным».11

           Во втором отчете, выпущенном в том же году, Консультативным комитетом по национальной безопасности и телекоммуникациям Белого Дома, содержалось предупреждение о том, что энергосистема и питающие ее коммунальные службы были испещрены дырами в безопасности, которые делали их уязвимыми к атакам. «Хакер… может взломать систему и установить автоматический выключатель на более высокое значение, чем устройству, контролируемому этим выключателем, разрешено», – писали специалисты, еще за десять лет до проведения испытания с генератором Аврора. «Таким образом можно уничтожить любой элемент оборудования на подстанции из дома».12

Несмотря на эти ранние предупреждения, пока признаков того, что кто-то заинтересован в проведении подобных атак не было. Так было до 2000 года, пока бывший рабочий не вывел из строя насосы на водоочистной станции в Австралии. Это событие считается первым публично известным случаем преднамеренного взлома системы управления.

Графство Маручи на Саншайн-Кост в Квинсленде – это то самое место, которое на ряду с пышными тропическими лесами, изрезанными вершинами вулканов и лазурными прибрежными водами, граничащими с желтыми песчаными пляжами создано для того, чтобы его помещали на всяческие открытки и марки. Но в начале 2000 года, вся эта красота приняла ужасающий вид, когда в течение четырех месяцев хакер заставил вылиться в общественные водные пути более 750 тысяч галлонов неочищенных сточных вод.

Сначала это было совсем небольшое количество сточных вод из резервуара отеля Hyatt Regency в лагуну на поле для гольфа пятизвездочного курорта PGA. Но после того, как рабочие очистили его, резервуар переполнялся вновь и вновь. Наихудшие разливы произошли в Pacific Paradise, районе, расположенном вдоль реки Маручи. Здесь несколько тысяч галлонов сточных вод вылилось прямо в канал, ставя под угрозу детей, играющих во дворах, примыкающих к каналу, и в саму реку Маручи, где сточные воды убивали рыбу и других морских обитателей.

Проблемы начались в канун Нового 1999 года, после того как Водоканал Маручи установил новую цифровую систему водоснабжения. Система управления очистными сооружениями была поэтапно установлена фирмой Hunter WaterTech и как раз подходила к завершению, когда настройки насосных станций, ответственных за перемещение сточных вод на очистные сооружения, вдруг начали таинственным способом меняться. Насосы стали отключаться или продолжать работать вопреки командам операторов, а двусторонняя радиосвязь, используемая для передачи команд насосным станциям, была забита непонятным трафиком, что не позволяло оператором поддерживать связь со станциями. А сигналы, которые должны были прозвучать, когда что-либо идет не так, не сработали.13

Управление насосами осуществлялось двумя центральными компьютерами на базе фирменного программного обеспечения от Hunter WaterTech, которое связывалось с удаленным терминальным блоком на каждой насосной станции посредством двухсторонних радиосигналов. Сигналы передавались от компьютеров к RTU через ретрансляционные станции, которые работали на непубличных частотах. Команды мог посылать только человек, который находился непосредственно за центральным компьютером, или хотя бы в пределах досягаемости ретрансляционной станции, и использовать он должен был именно программное обеспечение от Hunter WaterTech и соответствующие протоколы связи. Hunter WaterTech изначально подозревали, что за всем этим стоит хакер, но у них не было необходимых инструментов для обнаружения вторжений или системы регистрации, чтобы увидеть нарушение. И даже после того, как они установили эти системы, нарушителя увидеть им так и не получилось.

Атаки продолжались неделями и достигли своего пика в марте, когда за одну ночь произошло более двух десятков инцидентов. В конце концов, специалисты все-таки пришли к выводу, что это должен быть хакер, как-то пробравшийся в систему, и посылающие вредоносные команды с помощью двухсторонней радиосвязи.14 Из небольшого круга подозреваемых они остановились на их бывшем работнике по имени Витек Боден, 49 летнем инженере, который работал в компании Hunter WaterTech до тех пор, пока его контракт не истек в декабре. Примерно в то же время и вышел из строя первый водяной насос. В последствии Боден начал искать постоянную работу в той же сфере, и в январе получил свой первый отказ, что как раз совпадало с началом основной массы проблем.

И действительно, когда одной апрельской ночью, после отключения систем сигнализации на четырех насосных станциях, полиция навестила Бодена, копы обнаружили в его машине ноутбук с установленным фирменным софтом Hunter WaterTech и двухсторонний радиоприемник, настроенным на непубличную частоту, которую использовали местные службы водоканала для связи с насосными станциями. Они также нашли RTU, которую Боден, по-видимому, использовал для отправки своих команд.15 Случай Бодена был первой обнаруженной атакой на критически важную инфраструктуру, но, вероятно, не первой случившейся вообще. Остальные, без сомнения, так и остались незамеченными.16 После инцидента в Маручи работники других коммунальных служб заявили следователям, что они никогда бы не стали возбуждать уголовное дело против Бодена. Общественность явно не должна была узнать об этом инциденте.17

Этот случай должен был стать тревожным звоночком для операторов систем управления по всему миру, но многие проигнорировали его, потому что, мол, злоумышленник был бывшим сотрудником, который обладал достаточным количеством знаний о системе в графстве и доступ к специализированному оборудованию, необходимому для атаки. Ни один посторонний человек не смог бы сделать то, что сделал Боден, утверждали они, полностью игнорируя ряд проблем безопасности в сетях систем управления графства Маручи, которые обычные хакеры могли использовать для достижения подобных атаках. Питер Кингсли, один из следователей по этому делу, на конференции, посвященной безопасности систем управления, предупредил ее участников, что, хотя взлом в графстве Маручи и был результатом внутреннего взлома, такая же атака со стороны посторонних людей была отнюдь не невозможной. «Некоторые коммунальные службы считают, что они защищены, потому что они сами не могут найти несанкционированный способ доступа к своим системам», – говорит Кингсли. «Но в этом и заключается работа хакера, пройти там, где это смотрится невозможным».18

Слова Кингсли казались странными в 2002 году, потому что никто не верил в то, да и признаков не было, что кому-то из обычных людей взбредет в голову взламывать системы критических инфраструктур. К тому же, отсутствие на то время каких-либо серьезных катастроф, связанных с безопасностью систем управления, вообще не вызывало беспокойства.

Примерно в это же время Джо Вайс стал проповедником безопасности систем управления.

Вайс – стройный и энергичный 64-летний мужчина, работающий в своем доме в Купертино, штат Калифорния, в самом сердце Силиконовой долины, человек видавший виды, который имел привычку всегда думать о наихудших сценариях и исходах. Он жил в пяти милях от знаменитого калифорнийского разлома Сан-Андреас и 70-летней плотины Стивенс Крик. Когда в 1989 году произошло землетрясение в Лома Приете, в городе рухнули столбы, уличные фонари и несколько дней не работали телефонные линии, а ударная волна в бассейне колледжа Динза выбросила игроков в поло из воды на тротуар, словно тюленей.

Вайс впервые узнал о проблемах безопасности систем управления в 1999 году. Инженер-ядерщик по образованию, он работал в Научно-исследовательском институте электроэнергетики, когда в 2000 произошла «проблема Y2K». Предупреждения об армагеддоне в прессе предсказывали антиутопический крах, когда компьютеры по всему миру пробьют полночь в канун Нового года. Это был результат ошибки программирования, которая не смогла предсказать тысячелетний переход к трем нулям 1 января 2000 года. Тогда Вайс задался вопросом: если такая мелочь, как изменение даты, может угрожать остановкой систем управления по всей планете, то каковы могут быть последствия более серьезных проблем? И что более важно, если бы проблема Y2K все-таки смогла бы вызвать огромные проблемы, что могли бы сделать преднамеренные атаки хакеров?

Десятки конференций по безопасности, проводимых ежегодно по всему миру, были посвящены общей компьютерной безопасности, но ни на одной из них не касалась тема систем управления. Поэтому Вайс начал посещать их, чтобы понять, какие принципы безопасности должно принять сообщество систем управлений. Но чем больше конференций он посещал, тем больше в нем поднималась тревога. Когда сетевые администраторы заговорили об использовании шифрования и аутентификации для предотвращения несанкционированного доступа пользователей к своим системам, Вайс понял, что системы управления не имеют даже такой защиты, которая имеется у обыкновенных компьютерных сетей. Когда Вайса спросили, какой фаервол используют операторы систем управления на всякого рода электростанциях, или как часто они просматривают логи на наличие несанкционированного входа, Вайсу пришлось ответить: «У нас нет фаервола. И логов мы тоже не ведем».19 И когда он начал спрашивать производителей систем управления о безопасности их продукции, в ответ он получил лишь пустые взгляды. Они отвечали ему: «Никто и никогда не спрашивал нас раньше о безопасности».

Затем два самолета ударили по башням-близнецам в сентябре 2001 года, и вскоре после этого власти обнаружили подозрительные запросы поиска на правительственных сайтах Калифорнии. Кто-то изучал информацию о цифровых системах, используемых для управления коммунальными службами и правительственными учреждениями в регионе Сан-Франциско. В этих запросах, которые, по-видимому, исходили из IP-адресов в Саудовской Аравии, Индонезии и Пакистана, четко прослеживался особый интерес к системам экстренной телефонной связи, электростанциям, водным станциям и газовым объектам.20 Некоторые поисковые запросы были сосредоточены на программировании средств управления пожарно-диспетчерскими системами и трубопроводами.

В следующем году американские войска в Кабуле захватили компьютер в офисе Аль-Каиды и обнаружили на нем модели плотины вместе с инженерным программным обеспечением, которое можно использовать для имитации ее разрушения. В том же году ЦРУ выпустило меморандум управления разведки, в котором говорилось, что Аль-Каида проявляет «гораздо больший интерес» к кибертерроризму, чем считалось ранее, и управление начало подумывать о наборе собственной команды хакеров.

Были признаки и того, что другие группировки также могут быть заинтересованы в критической инфраструктуре США.22 В 2001 году хакеры взломали серверы Калифорнийского независимого системного оператора, или Cal-ISO, некоммерческой организации, которая управляет системой передачи электроэнергии для ее транспортировки по большей части штата. Хакеры проникли в систему через два незащищенных сервера и оставались незамеченными на протяжении двух недель, пока рабочие не обнаружили проблемы с их машинами.23 Администрация Cal-ISO доказывала, что взлом не представлял угрозы для их сети, но неназванные источники сообщили Los Angeles Times, что злоумышленники были пойманы как раз в тот момент, когда они пытались получить доступ к «ключевым частям системы», что позволило бы им вызвать серьезные сбои в электроснабжении. Один человек назвал это «почти катастрофической брешью в безопасности». Атака, по-видимому, происходила из Китая, и прошла как раз в разгар напряженного политического противостояния между Китаем и Соединенными Штатами после того, как американский самолет-невидимка столкнулся с китайским истребителем над Южно-Китайским морем.

В ответ на растущую озабоченность по поводу критической инфраструктуры, и в частности безопасности национальных энергосистем Министерство энергетики запустило в 2003 году Национальную программу испытательных стендов SCADA в 2003 в Национальной лаборатории штата Айдахо. Цель состояла в том, чтобы начать сотрудничать с производителями систем управления для оценки их оборудования на предмет уязвимостей, это и была та самая инициатива, которая в конечном счете привела исследователей к испытанию генератора Аврора в 2007 году.24

В Соединенных Штатах насчитывается 2800 электростанций и 300 тысяч объектов по добыче нефти и природного газа.25 Еще 170 тысяч объектов образуют общественную систему водоснабжения Америки, которая включает в себя резервуары, плотины, очистные станции, насосные станции и трубопроводы.26 Но 85% этих и других важнейших инфраструктур находятся в руках частников, а это означает, что за исключением нескольких регулируемых государством отраслей – таких, как ядерная энергетика – правительство практически не имеет никаких рычагов, чтобы заставить компании обеспечить безопасность их систем. Однако, правительство могло, по крайней мере, хотя бы попытаться убедить производителей систем управления повысить безопасность своей продукции. В рамках программы испытаний правительство будет проводить проверки до тех пор, пока производители не устранять все обнаруженные уязвимости.27

Примерно в это же время DHS также запустила программу оценки объектов через свою промышленную систему управления Cyber Emergency Response Team(ICS-CERT) для оценки безопасности критического оборудования и сетей, уже установленных на объектах. В период с 2002 по 2009 год группа провела более 100 оценок объектов в различных отраслях промышленности – нефтяной, газовой, химической и водной – и обнаружила более 38 тысяч уязвимостей. Они включали в себя критические системы, доступные через интернет, пароли по умолчанию, которые операторы никогда не удосуживались изменить, устаревшее программное обеспечение и отсутствие стандартных средств защиты, таких как фаерволы и системы обнаружения вторжений.

Но несмотря на все усилия исследователей программы испытаний и оценки безопасности объектов, они боролись с результатом десятилетней отраслевой инерции – производителям систем управления потребовались месяцы и годы, чтобы исправить обнаруженные правительственными исследователями дыры. А владельцы критической инфраструктуры и того были готовы внести только косметические поправки в свои системы и сети, полностью игнорируя большинство проблем.

Вайс, который работал в качестве связующего звена с Национальной лабораторией Айдахо, чтобы помочь разработать свою программу испытаний, устал от этого, и созвал конференцию, чтобы попытаться лично донести до работников критической инфраструктуры информацию о проблемах безопасности в их системах. В 2004 году он прибегнул к тактике запугивания, продемонстрировав дистанционную атаку, и показав таким образом, насколько на самом деле дырявые системы безопасности. Роль хакера сыграл Джейсон Ларсен, исследователь из Национальной лаборатории Айдахо, с компьютера в Национальной лаборатории Сандиа в Нью-Мехико. Используя недавно обнаруженную уязвимость в серверном программном обеспечении, Ларсен обошел несколько слоев фаервола, чтобы взломать ПЛК, управляющие подстанцией, и в несколько этапов освободить свою полезную нагрузку. На первом этапе включались и выключались выключатели. На втором этапе одновременно включались все включатели. И третий этап делал все то же что и второй, и еще контролировал данные, выводящиеся на экран операторов, так, чтобы казалось, чтобы все выключатели выключены.

«Я называю эту демонстрацию «мокрые штанишки»», – говорит Вайс, – «Это был феноменальный успех».

Впоследствии Вайс применял такую тактику еще раз, и еще раз на протяжении нескольких лет, каждый раз привлекая различных экспертов по безопасности, чтобы те продемонстрировали многогранность кибератак. Единственная проблема заключалась в том, что они опережали свое время. Каждый раз, когда инженеры покидали его конференцию, воодушевленные идеями об улучшении безопасности своих сетей, они сталкивались с бетонной стеной своих руководителей, которые отказывались платить большие деньги за перепроектирование и обеспечение безопасности систем. По их мнению, зачем тратить деньги на повышение безопасности, если никто из конкурентов не делает этого, и на них никто не нападает.

Но того, что Вайс и испытательная программа не смогли сделать за десять лет, Stuxnet добился всего за несколько месяцев. Цифровое оружие впервые привлекло внимание общественности к серьезным уязвимостям в промышленных системах управления, и критическое оборудование, которое так долго оставалось далекой темой, теперь привлекло внимание исследователей и хакеров из всего мира, заставив производителей и владельцев критической инфраструктуры, наконец, обратить на нее внимание. 

Новость 10 августа 2010 года о том, что Stuxnet саботирует ПЛК Siemens, привлекла внимание 25-летнего исследователя компьютерной безопасности из Остина, штат Техас, по имени Диллон Бересфорд. Бересфорд, как и большинство людей, никогда не слышал о ПЛК, и ему стало интересно, насколько уязвимы эти штуки. Поэтому он приобрел себе парочку таких ПЛК от Siemens и месяцами изучал и тестировал их в спальне своей крохотной квартиры. Ему потребовалось всего несколько недель, чтобы обнаружить первые уязвимости, которые он мог бы использовать в атаке.

Так он обнаружил, например, что ни один из каналов связи между компьютером оператора и ПЛК не был зашифрован, поэтому любой хакер, взломавший сеть, мог просматривать и копировать команды, передаваемые на ПЛК, а затем производить их обратно на ПЛК, чтобы контролировать или останавливать его по своему желанию. Это было бы невозможно, если бы ПЛК не предоставляли доступ несанкционированным компьютерам отдавать им команды, но Бересфорд обнаружил, что ПЛК – машины тупенькие, и могли взаимодействовать с любым компьютером, который имел тот же протокол связи, что и у них. ПЛК также не требовали, чтобы команды, посылаемые им, были подписаны цифровой подписью, в доказательство того, что они исходят из надежного источника.

Несмотря на то, что между машиной с Step 7 и ПЛК передавался пакет аутентификации или своего рода пароль, Бересфорд смог расшифровать его менее чем за три часа. Он также обнаружил, что можно просто перехватить пакет аутентификации, когда тот передается от Step 7 к ПЛК, и воспроизвести его таким же образом, как он воспроизводил команды, устраняя необходимость декодировать пароль вообще. Как только он получал контроль над ПЛК, он мог произвести команду на изменение пароля, запретив этим доступ ее законным владельцам.28

Бересфорд нашел и другие уязвимости, в том числе бэкдор, оставленный программистами Siemens в их ПЛК. Прошивка – это основное программное обеспечение, которое находится на устройствах, и заставляющее их работать. Разработчики зачастую ставят в своих системах глобальные, зашифрованные пароли, чтобы иметь к системам удаленный доступ, и обеспечить устранение неполадок клиентов – как, например, функция OnStar для систем управления. Но бэкдоры, которые позволяют проникать разработчикам, также позволяют проникнуть и хакерам.29 Имя пользователя и пароль для бэкдора Siemens были одинаковы для каждой системы – «basisk» – и были зашифрованы в прошивке. Используя этот бэкдор, злоумышленник мог удалять файлы из ПЛК, перепрограммировать его или заставить его выполнять команды для саботажа любых операций, контролируемых ПЛК.30

Бересфорд сообщил о своих находках в ICS-CERT, которая работала с Siemens, для исправления уязвимостей. Но все, что он нашел оказалось уязвимостями. Некоторые из них, такие, как передача незашифрованных команд и отсутствие надежной аутентификации были фундаментальными проблемами проектирования, а не ошибками программирования, которые требовали от Siemens обновления встроенного программного обеспечения, а в некоторых случаях и полного их перепроектирования. И это была проблема не одних ПЛК Siemens, это были глобальные проблемы проектирования, которые имелись у многих систем управления. Все это было наследие их доинтернетных дней, когда устройства разрабатывались для изолированных сетей и не нуждались в защите от атак извне.

Результаты Бересфорда полностью опровергли давние утверждения разработчиков и владельцев критической инфраструктуры о том, что их системы безопасны, и что взломать ПЛК может только человек, который имеет хороший опыт и обширные знания о них. Потратив 20 тысяч долларов на подержанное оборудование, и два месяца работы в свободное время, Бересфорд обнаружил более десятка уязвимостей и узнал о ПЛК достаточно, чтобы произвести на них какую-то атаку.

После находок Бересфорда в дело решили включиться и остальные исследователи, которые обнаружили дополнительные уязвимости в Siemens и других системах управления. Согласно базе данных уязвимостей, которую вела компания Wurldtech Security, производитель систем защиты критической инфраструктуры, с 2008 года в системах управления и протоколах систем управления было обнаружено более тысячи уязвимостей. Большинство из них просто позволяют хакеру мешать операторам контролировать процессы, но немало и таких, которые предоставляют злоумышленнику полный доступ к системе.31

В 2011 году компания, нанятая южно-калифорнийской коммунальной службой для оценки безопасности контроллеров на их подстанциях, обнаружила большое количество уязвимостей, которые позволили бы хакерам полностью контролировать ее оборудование. «Мы впервые работали с таким оборудованием, но все равно нашли уязвимости уже в первый день нашей работы», – сказал Курт Стамберг, вице-президент Mocana, – «Это были большие, серьезные проблемы, о которых, откровенно говоря, в сообществе было известно уже как минимум полтора года, но коммунальные службы видимо не имеют об этом ни малейшего представления».32

Проблемы безопасности систем управления усугубляются еще более тем фактом, что системы не меняются годами, и, как правило, даже не получают регулярных обновлений, как это происходит в обычных домашних компьютерах. Срок службы обычного ПК составляет от трех до пяти лет, после чего компании выпускают новые, более совершенные во всех аспектах модели. А срок службы систем управления может достигать и двух десятилетий. И даже когда система заменяется на новую, она все равно будет взаимодействовать с другими, устаревшими системами, поэтому она все равно будет оставаться уязвимой.

Что касается патчей, некоторые системы управления работают на устаревших версиях Windows, которые больше не поддерживаются Microsoft, а это означает, что, если в программном обеспечении будут обнаружены какие-либо новые уязвимости, они никогда не будут исправлены разработчиком. Но даже когда патчи есть, применяются в системах управления они не часто, ибо операторы, опасаясь кривых патчей, которые могут привести к сбою системы, и процессов, которыми они управляют, боятся, что те могут вывести их из строя на несколько часов. Или им просто не хочется останавливать работу оборудования на эти несколько часов, пока будет устанавливаться патч, или выполнятся другая работа по обеспечению безопасности.33

Все эти проблемы еще больше усугубляются растущей тенденцией среди разработчиков поставлять свои системы безопасности вместе с системами управления. Раньше системы безопасности представляли собой проводные аналоговые системы, сконфигурированные отдельно от системы управления, так, чтобы любые проблемы с системой управления не повлияли на возможность систем безопасности отключать оборудование в экстренной ситуации. Но все больше и больше производителей начинают встраивать систему безопасности в систему управления, и поставлять их как один продукт, что значительно облегчает их одновременное отключение в одной атаке.34

Многие уязвимости в системах управления можно было бы легко устранить, если бы они работали в автономных сетях, то есть никогда бы не подключались к интернету, или подключались к другим системам, которые уже в свою очередь были подключены к интернету. Но это не всегда так.

В 2012 году исследователь из Великобритании обнаружил более 10 тысяч систем управления, которые были подключены к интернету – включая системы очистки воды и электростанции, плотины, мосты и железнодорожные станции – используя специализированную поисковую систему под названием Shodan, которая может находить такие устройства как VoIP телефоны, Smart-телевизоры и системы управления, подключенные к интернету.35

В 2011 году хакер по имени pr0f получил доступ к управлению водозабором в Южном Хьюстоне, после того, как обнаружил, что их система управления Siemens была подключена к интернету. И хотя система была защищена паролем, он состоял всего из трех символов, который взломщик легко обошел. «Мне жаль, но это не история о многонедельных посиделках у компьютера в попытках взломать систему», – признался pr0f репортеру, – «это история о простой глупости со стороны разработчиков, а не невероятном техническом мастерстве атакующего».36 Оказавшись в системе SCADA, pr0f сделал скриншоты, показывающие расположение резервуаров с водой и цифрового управления, после чего просто покинул ее. «Мне не нравится бессмысленный вандализм. Это тупо», – прокомментировал он в своем посте. «С другой стороны, то же самое относится и к подключению интерфейсов вашей SCADA системы к интернету».37

Большинство устройств SCADA, если они не подключены непосредственно к общедоступному интернету, доступны через модем и, как правило, всегда защищены паролями по умолчанию. Таким образом рубильники электросети, например, часто остаются с паролями по умолчанию, чтобы операторы, в случае экстренной ситуации, помнили пароль. По той же причине большинство систем управления не блокируются при многократных вводах неверного пароля – стандартная функция безопасности в IT-системах, которая предотвращает взлом брутфорсом – потому что никто не хочет, чтобы система блокировалась, когда оператор, в панике, несколько раз подряд вводил неверный пароль. В 2011 году испытательная группа во главе с исследователем безопасности Марком Майффре проникала в систему удаленного доступа водозабора Южной Калифорнии, и смогла взять под контроль оборудование, используемое для добавления химических вещей в питьевую воду. Они взяли систему всего за один день, после чего Майффре сказал, что ему потребовалось бы всего пару дополнительных шагов, чтобы сбросить достаточное количество химикатов в воду, сделав этим ее потенциально непригодной для питья.38

 Обеспечение удаленного доступа к критически важным системам из интернета создает очевидные риски для безопасности. Но если Stuxnet что-то и доказал, так это то, что злоумышленнику вовсе и не требуется удаленный доступ, чтобы произвести атаку, вместо этого автономный червь может быть доставлен в систему через USB-накопитель или через файлы проекта, которые инженеры используют для программирования ПЛК. В 2012 году Telvent Canada, производитель управляющего программного обеспечения, используемого в умных сетях электроснабжения, был взломан хакерами, связанными с китайской армией, которые получили доступ к системе SCADA, производимой компанией, и как следствие получили контроль над системами, установленными в нефте- и газопроводах Соединенных Штатов, а также к системе водоснабжения. Telvent использовали файлы проекта для управления системами клиентов. И хотя Telvent никогда не сообщала, модифицировали ли файлы проектов взломщики, эта атака наглядно продемонстрировала, насколько легко злоумышленники могут взломать системы нефте- и газопровода, заразив файлы проекта такой компании как Telvent.39

Однако, прямое вторжение в компьютерную сеть – не единственная проблема, когда речь заходит о критической инфраструктуре. Имеются документально подтвержденные случаи, когда работе SCADA-систем и устройств, которыми они управляют, препятствовали электромагнитные импульсы. В ноябре 1999 года радиолокационная система на корабле ВМС США, проводившего учения в двадцати пяти милях от побережья Сан-Диего, прервала сигнал беспроводных сетей систем SCADA в местных водопроводных и электрических сетях. Это мешало рабочим открывать и закрывать клапаны трубопровода, для чего на места отправлялись техники, чтобы вручную активировать клапаны и предотвратить переполнение резервуаров водой. Электромагнитные импульсные помехи также ответственны за взрыв газа, который произошел недалеко от голландского военно-морского порта Ден Хелдер в конце 80-х годов, когда морская радиолокационная система заставила систему SCADA, управляющую газопроводом, самовольно открывать и закрывать клапаны.

На протяжении многих лет многочисленные сценарии Судного дня пытались предугадать возможные последствия массовой кибератаки.41 Но до настоящего времени такой атаки не было, а непреднамеренные проблемы, связанные с системами управления, намного превосходили преднамеренные.

Достаточно взглянуть на случайные промышленные катастрофы, чтобы увидеть степень ущерба, который может нанести кибератака, поскольку часто последствия промышленной аварии могут быть воспроизведены и в преднамеренной атаке. Умный хакер может просто наблюдать и изучать причины и последствия случайных катастроф прям с экрана своего телевизора, а затем использовать их для разработки собственной атаки, которая приведет как минимум к таким же разрушительным результатам.

Кит Александр из АНБ привел свой пример катастрофической атаки, произошедшей на Саяно-Шушенской ГЭС на юге Сибири, в качестве того, какие последствия может иметь кибератака.42 Тридцатилетняя плотина, шестая по величине в мире, высотой в восемьсот футов и общей протяжностью около полумили через живописное ущелье на реке Енисей рухнула в 2009 году, убив 75 человек.

Сразу после полуночи 17 августа 940-тонная турбина из электростанции плотины была поражена внезапным скачком давления воды, который сорвал ее крепления и заставил подлететь в воздух. Когда гейзер воды затопил машинное отделение шахты, где находилась турбина, он нанес еще больший ущерб более чем полудюжине других турбин, вызвав множественные взрывы и обрушение крыши.

Катастрофа частично объяснялась пожаром на Братской электростанции, расположенной примерно в пятистах милях отсюда, что привело к падению выработки энергии из Братска. Это заставило поднять нагрузку на турбинах на Саяно-Шушенской ГЭС. Но одна из турбин уже на тот момент подходила к концу своего срока службы, и иногда начинала странно вибрировать. Несколькими месяцами ранее на станции была установлена новая система управления, чтобы как-то стабилизировать машину, но вибрации от дополнительной нагрузки оказались слишком сильными. Болты, удерживающие турбину, сорвало, и она оказалась полностью откреплена. На снимках камер наблюдения видно, как рабочие перебираются через оборудование, пытаясь сбежать со станции. Кроме гибели 75 рабочих и затопленной местности вокруг, из станции в реку Енисей вытекло 100 тонн нефти, убив этим 4 тысячи тонн форели на местных объектах рыбного промысла. Эксперты подсчитали, что восстановление дамбы займет четыре года и 1,3 миллиарда долларов.43

Взрыв трубопровода в июне 1999 года в Вашингтоне также послужил отличным уроком для хакеров. В этот раз трубопровод диаметром 16 дюймов, принадлежащий компании Olympic Pipe Line Company в Беллингеме, разорвался и выбросил более 237 тысяч галлонов бензина в ручей в парке Утком Фоллс. Бензин лился из трубы в течение полутора часа, а затем загорелся, словно греческий огонь, который растянулся на полторы мили вниз по течению, убив двух десятилетних мальчиков, подростка, еще 8 людей получили ожоги. Хотя в основном катастрофе способствовали многочисленные неполадки, в том числе неправильно настроенные клапаны и экскаватор, который ослабил часть трубы, безответная система управления также сыграла свою роль. «Если бы компьютерные системы SCADA продолжали реагировать на команды операторов из Olympic», – выяснили следователи, – «контроллер, работающий на аварийном трубопроводе, вероятно, мог бы предпринять действия, которые предотвратили бы повышение давления, вызвавшее разрыв трубопровода».44

Операторам потребовалось больше часа, чтобы зарегистрировать утечку, и к тому времени жители уже начали звонить в 911, жалуясь на сильный запах нефти в ручье. И хотя утечка бензина была вызвана не хакерами, при дальнейшем следствии, эксперты обнаружили, что системы Olympic обладали рядом проблем с безопасностью, и были уязвимы к атакам. Например, компания установила удаленный коммутируемый доступ для своей системы управления SCADA, которая была защищена только логином и паролем, а ее бизнес-сети и сети SCADA были взаимосвязаны. Хотя они были соединены мостом, который обеспечивал минимальную безопасность от случайных вторжений, соединение не имело надежного фаервола, а также защиты от вирусов и мониторинга доступа, что повышало вероятность того, что опытный хакер может проникнуть в бизнес-сеть из интернета, а затем войти и в критические сети SCADA.

 Взрыв газопровода в Сан-Бруно, штат Калифорния, в 2010 году был еще одним из наихудших сценариев, который послужил тревожным звоночком для многих людей. Взрыв произошел после того, как в результате технического обслуживания блока бесперебойного питания, или ИБП, в системе SCADA отключилось электричество. Регулирующий клапан на трубопроводе был запрограммирован на автоматическое открытие, в случае, если система SCADA была обесточена, в результате газ беспрепятственно начал заливаться в трубопровод, вызывая все большее давление в и без того стареющей конструкции, пока она не лопнула. И поскольку система SCADA была обесточена, операторы даже не понимали, что на самом деле происходит с трубопроводом.45

В декабре 2005 года в Миссури произошло обрушение дамбы. Катастрофа произошла в следствии отсоединения датчиков от стены, что в результате не дало им обнаружить, когда резервуар плотины объемом 1,5 миллиарда галлонов стал переполнен. Насосы продолжали подавать воду в резервуар, и в очередной раз «безотказная» система отключения не сработала.46 Переполнение началось около 5:10 утра, и спустя шесть минут 60-футовая секция парапета обрушилась. Более миллиарда галлонов хлынули безумным потоком вниз с горы Проффит, сметая на своем пути деревья и камни, после чего поток вошел в закрытый Государственный Парк Джонсона, смыл дом управляющего парком – с жильцами внутри – и отнес здание на четверть мили.47 К счастью никто не пострадал, но на соседнем шоссе течением смело несколько десятков машин, а палаточный лагерь, расположенный недалеко от парка, полностью затопило. По счастливой случайности, поскольку стояла зима, лагерь был пуст.

Примерами для цифровых атак также служат и железнодорожные аварии. Системы, которые управляют пассажирскими поездами, объединяют в себе множество, часто взаимосвязанных компонентов, которые обеспечивают хакерам множество путей для атаки: системы контроля доступа, для посадки пассажиров по билетах, системы обработки кредитных карт, цифровые рекламные системы, управление освещением и мультимедиа, не говоря уже о более важных системах реагирования на пожары и чрезвычайные ситуации, управление железнодорожными переездами и семафорами, а также работы самих поездов. В прошлом эти системы были разделены и взаимодействовали между собой только посредством проводов. Но сегодня системы стают все более цифровыми и взаимосвязанными, включая системы, которые взаимодействуют между собой посредством радиосигналов и незашифрованных команд. И хотя железнодорожные системы имеют множество отказоустойчивых механизмов для предотвращения аварий, когда многие системы взаимосвязаны, это создает возможность для настройки неправильных конфигураций, которые могут позволить кому-то получить доступ к системам безопасности и подорвать их.

22 июня 2009 года пассажирский поезд в метро Вашингтона столкнулся с другим поездом, остановившимся на путях, погиб один водитель и восемь пассажиров, еще 80 пассажиров пострадало. Неисправные датчики на путях не смогли обнаружить стоящий состав и сообщить об этом движущемуся поезду. Несмотря на то, что последний поезд был оснащен противоударными датчиками, которые должны были начать аварийную остановку состава в случае, если перед ним на расстоянии 1200 футов стоял другой поезд, эта система также отказала. В добавок ко всему этому, водитель движущегося поезда почему-то не среагировал, и не начал ручное торможение. Десять лет назад ретрансляторы в той же системе метро несколько раз посылали поездам неверные сигналы – один раз, поезд, который должен был ехать 15 миль в час, мчался по рельсам со скоростью 45 миль/час.48

Все эти инциденты были случайными, но были же и преднамеренные. В Польше в 2008 году четырнадцатилетний мальчик в Лодзе вызвал крушение нескольких поездов. Он использовал инфракрасный порт модифицированного телевизионного пульта дистанционного управления, чтобы переключить трамвайные пути. Четыре трамвая сошли с рельс, двенадцать человек получили ранения.49

Хотя способов атаковать критическую инфраструктуру существует великое множество, одним из наиболее эффективных можно считать атаки на энергосистему, поскольку электроэнергия лежит в основе всей критической инфраструктуры. Отключение электричества на длительный период затронет большой список критической служб и объектов – пригородные поезда и светофоры, банки и фондовые биржи, школы и военные объекты, холодильники, контролирующие температуру продуктов питания кровоснабжения, респираторы, кардиомониторы и другое жизненно важное оборудование в больницах, взлетно-посадочные полосы и системы управления воздушным движением в аэропортах. На некоторых критических объектах будут работать генераторы, но они не являются жизнеспособным решением, если речь идет о длительном отключении электропитания, а в случае с атомными электростанциями, в соответствии с правилами, переход на генераторную мощность вызывает автоматическое, постепенное отключение станции.

Один из способов нацелить атаку на электроэнергию – смарт-счетчики электричества, которые начали тысячами устанавливаться в домах и на предприятиях Америки, отчасти, благодаря правительственной программе внедрения интеллектуальных сетей на сумму 3 миллиарда долларов, которая ускорила распространение смарт-счетчиков, не обеспечив им перед этим соответствующие технологии безопасности.

Одна из главных проблем, обнаруженных исследователями безопасности в этой системе, заключается в том, что смарт-счетчики имеют функцию удаленного отключения, которая позволяет коммунальным компаниям включить или выключить подачу электроэнергии в здание без необходимости посылать на место специалиста. Но с помощью этой функции хакер может захватить контроль над счетчиками и отключить таким образом питание тысячам клиентов, да еще и включить ее обратно будет не так просто, как выключить. В 2009 году исследователь по имени Майк Дэвис разработал червя, который как раз делал это.

Дэвис был нанят коммунальной компанией на Тихоокеанском Северо-Западе, чтобы изучить безопасность смарт-счетчиков, которые компания планировала развернуть для клиентов. Как и в случае с ПЛК Siemens, которые исследовал Бересфорд, Дэвис обнаружил, что умные счетчики были неразборчивыми и взаимодействовали с любыми другими смарт-счетчиками в окрестностях, если те использовали тот же протокол связи. Они даже принимали обновления прошивки от других счетчиков. Все что нужно было хакеру для обновления микропрограммы счетчика – это ключ сетевого шифрования. Но поскольку все счетчики, которые планировала установить компания, имели один и тот же сетевой ключ, вшитый в прошивку, злоумышленнику требовалось лишь извлечь ключ, и использовать его для доставки вредоносных обновлений на остальные счетчики. «Как только мы получим контроль хотя бы над одним устройством, у нас будет почти все, что нужно» – сказал Дэвис. «Подобную ситуацию мы уже наблюдали с кучей других умных счетчиков от разных производителей, которые мы исследовали».50

Счетчики взаимодействовали между собой по радио и всегда находились в режиме поиска, чтобы обнаруживать другие счетчики поблизости. Некоторые из них, могли взаимодействовать между собой на расстоянии до нескольких миль. Те, которые исследовал Дэвис, достигали примерно 400 футов, чуть больше длины футбольного поля – этого было более чем достаточно, чтобы распространить вредоносное обновление между соседними домами, которое вырубило бы электричество и распространило червя на остальные счетчики. Для начала заражения Дэвису даже не понадобилось бы взламывать чей-то счетчик, он мог просто купить себе собственный такой же марки – при условии, что он имел необходимый протокол связи – загрузить на него свой зловред, а потом поместить его в непосредственной близости с другими счетчиками. «Из-за использования радиосигнала он будет автоматически обнаружен другими смарт-счетчиками вокруг него», – объяснил Дэвис. Как только обновление будет завершено, счетчик жертвы перезапуститься и автоматически начнет распространять свое обновление на остальные счетчики в пределах диапазона его действия, запуская таким образом цепную реакцию. В свое время операторы даже не будут знать о том, что на датчиках изменилась прошивка, пока в соседних районах не начнет пропадать электричество.

Обычно счетчики обновляются удаленно через центральную сеть коммунальной компании или через специалиста, который использует специальный ключ на ноутбуке для беспроводной связи со счетчиками. Когда Дэвис и его команда сообщили производителю, что они могут написать программное обеспечение, которое автоматически распространится от одного счетчика к другому без использования центральной сети и ключа, тот усмехнулся и сказал, что счетчики не имеют возможности инициировать обновление прошивки для других счетчиков. «Они сказали нам… что это не было частью их набора функций», – вспоминает Дэвис, после чего он отвечает им, – «Мы знаем, мы добывали ее сами». Производители все еще не верили в действенность такой атаки, поэтому Дэвис написал программу для симуляции заражения в жилом районе Сиэтла, которая за день распространилась на 20 тысяч смарт-счетчиков.51 «К концу 24 часов, мы достигли почти полного компромисса», – говорит он. Вирус распространялся на один метр за раз, но в реальном мире атака продвигалась бы гораздо быстрее, так как хакеры могли бы разослать множество обновлений микропрограмм в такое же множество стратегически расположенных домов по всему городу.

Поставщики все также насмехались с Дэвиса, доказывая ему, что для обновления каждого счетчика червю понадобится от двух до четырех минут, за это время технические специалисты обнаружат сбой, и он не успеет распространиться на большое количество устройств. Затем они просто удаленно отправят новое обновление, чтобы снова включить электропитание. Именно тогда Дэвис нанес финальный, добивающий удар и сказал, что вредоносное ПО не только отключало питание в домах, оно также удаляло функцию обновления встроенного ПО на счетчиках, чтобы те больше не могли обновляться. Чтобы восстановить подачу электроэнергии, техникам нужно было заменить счетчики в каждом доме или взять их обратно в лабораторию и наново прошить их программное обеспечение. «Это действительно привлекло их внимание», – не без улыбки говорил Дэвис. «Мы доказали им, что все их устройства могут выйти из-под контроля задолго до того, как они смогут понять, что вообще происходит».

С момента проведения симулированной атаки, Дэвис видел, что производители начали улучшать свои устройства. Сейчас некоторые поставщики используют несколько сетевых ключей для разных районов города, чтобы ограничить ущерб, который сможет нанести хакер с помощью одного ключа. Но удаленное отключения все также остается главной проблемой для большинства смарт-счетчиков, поскольку злоумышленник, который взломает программное обеспечение центральной сети сможет сделать то же самое, что и червь Дэвиса, но гораздо более простым путем. «Если бы в счетчиках не было удаленного отключения, ничего из остального на самом деле не было большой проблемой», – уверяет Дэвис. «По-моему, если в счетчике есть реле дистанционного отключения, независимо от того, включено оно или нет… это действительно большая, ужасная проблема».

Взлом смарт-счетчиков – это эффективный способ отрезать электричество отдельным домам или целым районам. Но еще более эффективной и массовой атакой будет уничтожение генераторов, питающих сеть, или систем передачи электричества потребителям. Министр обороны Леон Панетта заявил на слушаниях в июне 2011 года, что, по его мнению, следующий Перл Харбор, который переживет страна, вполне может быть кибератакой.

Североамериканская энергосистема является большой и сложной, и фактически состоит из трех крупных региональных сетей, известных как восточная, западная и техасская соединения. Эти сети состоят из более чем 450 тысяч миль высоковольтных линий электропередач, принадлежащих и эксплуатируемых примерно трем тысячам коммунальных служб. Поскольку энергия, как и любой товар, продается, она иногда направляется на огромные расстояния между государствами и внутри них, чтобы удовлетворить спрос, например, Cal-ISO, организации, которая была взломана в 2001 году. Хотя существование многих независимых систем означает, что атака на одну из коммунальных станций или подстанций будет иметь ограниченный эффект, их взаимосвязанность означает, что скоординированная и стратегическая атака на ряд систем может привести к каскадным отключениям, что может погрузить пользователей в темноту даже на несколько недель.52

Например, автоматические выключатели, контролирующие распределительные линии, предназначенные для обнаружения опасного скачка напряжения и предотвращения таким образом аварий и повреждений электросетей. Однако, когда выключается один выключатель, питание от этой линии, автоматически перенаправляется на другие. Если и эти линии достигнут края своей пропускной способности, их выключатели также выключатся, вызывая этим массовые отключения электроэнергии. Но хорошо продуманная атака может привести к отключению выключателей на одних линиях, манипулируя настройками других линий, чтобы предотвратить срабатывание выключателей, что в конечном итоге приведет к перегреву линий при превышении их пропускной способности.

Перегрев линий вызывает их провисание или плавление. Провисшие линии электропередач стали причиной отключения электроэнергии в 2003 году на северо-востоке страны, в результате чего 50 миллионов человек в восьми штатах и некоторых регионах Канады лишись электроэнергии. В этот раз вновь вина последовала не за хакерами, а за ошибкой в программном обеспечении, которая помешала раннему обнаружению и предотвращению отключения электричества.

Проблема возникла в штате Огайо, где провисшие линии электропередач запутались в ветках деревьев, положение усугубила неисправная система оповещений в центре управления FirstEnergy, которая не смогла зарегистрировать неисправности в системе, тем самым оставив операторов в неведении относительно ухудшения условий. Примерно за два с половиной часа до того, как произошло отключение электроэнергии, промышленные потребители, и даже другие электростанции звонили в FirstEnergy, чтобы сообщить о низком напряжении и периодических отключениях электричества – первые признаки того, что в сети назревают серьезные проблемы. Но поскольку операторы FirstEnergy не видел никаких признаков проблем на своих мониторах, они предположили, что проблема заключается в чем-то другом. «Видимо, это в наших подрядчиков возникли какие-то проблемы», – сказал оператор FirstEnergy одному из звонящих, указывая пальцем на другую компанию.53 Только когда в комнате управления FirstEnergy погас свет, операторы поняли, что проблемы все-таки были в их собственной системе. В конце концов они отследили сбой в системе оповещения в ошибке программного обеспечения. «Ошибка никогда не проявляла себя до сегодняшнего дня», – позже оправдывался представитель FirstEnergy, – «Ошибка была насколько глубоко зарыта, что нам потребовались недели на изучение миллионов строк кода и данных, прежде найти ее».54

Еще более разрушительной атакой, чем атака на распределительные линии, было бы нацеливание на оборудование подстанций, которое подает электричество к этим линиям. Сеть состоит из более чем 15 тысяч узлов, или подстанций, разделенных на три типа – генераторные подстанции, которые создают электроэнергию, передающие электростанции, которые передают ее между линиями электропередач, и распределительные подстанции, которые доставляют электроэнергию непосредственно к ее потребителям.55

Хорошая новость заключается в том, что электрические системы принадлежат и управляются множеством коммунальных служб, каждая из которых использует свое оборудование и конфигурации. А это делает невозможным создание одной универсальной атаки, которая распространиться одновременно на все энергосистемы. Но региональные атаки и отключения остаются все такими же актуальными. А атаки, которые уничтожают промышленные генераторы на электростанциях, сделает их восстановление еще более трудным. Именно в этом и состоял смысл испытания генератора Аврора. 

Названное в честь римской богини, матери четырех ветров, испытание имело свои истоки еще в каскадном северо-восточном отключении электричества в далеком 2003 году. Длилось это отключение не так долго – два дня, но дало людям понять, насколько широки возможности дистанционных атак на электростанции, последствия которых, к тому же, не так просто восстановить. Майк Ассанте отвечал за сбор команды для проверки гипотезы.

Будучи офицером военно-морской разведки в 2001 году, Ассанте был назначен на работу в новый Национальный Центр защиты инфраструктуры при ФБР в Вашингтоне, округ Колумбия, для изучения рисков, связанных с кибератаками на энергетические инфраструктуры. Через год он ушел из военно-морского флота, чтобы устроиться на работу в American Electric Power(AEP), одну из крупнейших электроэнергетических компаний в стране. AEP нужна была помощь в разработке программы защиты инфраструктуры, и именно в это время Ассанте начал задумываться о нападениях, которые могли бы привести к физическому разрушению сети.

Работая в AEP, Ассанте был поражен статьей в Washington Post о программе испытательного стенда SCADA Национальной лаборатории Айдахо, в которой исследователи буквально напугали председателя Федеральной комиссии по регулированию энергетики своей симуляцией кибератаки, показывающей, насколько легко хакер может разрушить турбину одного из коммунальных предприятий, отключив механизм, отвечающий за смазку машины. Без масла, смазывающего металлические части, турбина зацепилась за небольшой выступ и разорвалась на части.56 Реакция председателя была ошеломляющей. «Я пожалел, что на мне не было подгузника», – в шутку прокомментировал он Washington Post сразу после демонстрации.57

Ассанте лично посетил лабораторию в Айдахо и был впечатлен командой экспертов, нанятых лабораторией для своей программы. В дополнение к инженерам систем управления, лаборатория наняла группу молодых программистов, только недавно окончивших колледж, которые знали, как их взломать. Они пробирались сквозь защиту системы управления с минимальным сопротивлением, используя слабости, которые инженеры, годами работающие с этими системами, даже не замечали. Лаборатория также имела свои собственные подстанции и мини-сеть – семимильную секцию резервной сети, которую исследователи могли изолировать от общей сети для проведения на ней тестов. Ассанте был настолько заинтригован и восторжен возможностями проведения реальных исследований безопасности на сети, а не только симуляций, что в 2005 году он оставил свою работу в AEP и занял должность в лаборатории.

Оказавшись там, Ассанте и его коллеги начали обдумывать сценарии возможного уничтожения оборудования посредством кибератаки. Тогда самым популярным способом было проникновение хакера в энергосеть и отключение им всех возможных функций для вызова сбоя в системе. Отключение электропитания, однако, можно было решить довольно быстро, просто сбросив выключатели. Но как насчет атаки, которая бы обошла все слои защиты, и физически уничтожила генератор, без шансов на его легкое восстановление?

Они решили добраться до генератора, сосредоточив атаку на защитных реле – предохранительных устройствах, которые отслеживают изменения в сети и отвечают за отключение выключателей, в случае, если показатели начинают входить в опасную зону, которая может повредить линии электропередач. Отключение защитных реле уже проявило себя в крупном отключении электроэнергии в феврале 2008 года, когда почти 600 тысяч человек во Флориде остались без света, после того, как инженер из Florida Power and Light отключил их, занимаясь ремонтом неисправного выключателя.58 Когда на линии, на которой он ремонтировал выключатель, случился сбой, уже никто не мог предотвратить последствий. В результате произошел каскадный сбой, который распространился на 38 подстанций, включая одну, которая питала энергией атомную станцию, что привело к ее автоматическому отключению.

Но кроме отключения электроэнергии, это не единственная способность защитных реле, с их помощью также можно отрубить генераторы и другое оборудование. Электрическая сеть работает на частоте 60 Гц – или 60 циклов в секунду – и устройства, подключенные к ней, должны быть синхронизированы, иначе они могут быть повреждены. Подключение к сети оборудования, частота которого отличная от 60 Гц, может запросто привести к его уничтожению. Когда генератор подключается к сети, его нагрузка начинает отталкиваться назад, как гравитационная сила, толкающая автомобиль, когда тот подымается на холм. Но когда срабатывает выключатель и отключает генератор от сети, все еще работающий генератор начинает ускоряться без какой-любо нагрузки, толкающей его. В течение всего лишь 10 миллисекунд генератор потеряет синхронизацию с сетью. Если затем включить генератор обратно, в то время как он и сеть не будут синхронизированы по частоте, эффект будет похож на удар автомобиля о кирпичную стену. Генератор будет излучать слишком много энергии, которую ему будет некуда деть, и как только он попадает в более медленную сеть, сила этой энергии ударяется о нее. Это хорошо известное явление, которое в прошлом было причиной многих несчастных случаев.

Таким образом, команда Ассанте поставила перед собой простой вопрос: если предполагается, что защитные реле предотвращают повреждение оборудования, то возможно ли это повреждение в случае, если защитные реле будут отключены? Разработка такой атаки оказалась лишь немного сложней, чем сам вопрос. Атака включала в себя написание вредоносного кода для изменения настроек цифровых реле таким образом, чтобы выключатели генератора начали быстро включаться и выключаться, заставляя оборудование быстро и многократно переподключаться к сети, в поисках момента, когда синхронизация по частоте между генератором и сетью будет отсутствовать. Без защитных реле, в системе не оставалось ничего, что могло бы предотвратить самоуничтожение генератора. «Вот что сделало его таким чертовски коварным», – говорит Джо Вайс. «То, что должно было по сути предотвращать оборудование от повреждения, используется для его уничтожения». Из-за резкого открытия и закрытия защитной цепи, реле перешло от «обеспечения максимальной защиты к нанесению максимального ущерба», – позже написали DHS в своем отчете об испытании генератора Аврора.59

В качестве испытуемого они выбрали генератор Wärtsilä, который был выведен из эксплуатации на нефтяных месторождениях в Аляске и был куплен брокером за треть от его стоимости в 1 миллион долларов за совершенно новый.60

Испытание длилось 3 минуты, а сама цель – уничтожение оборудования – была достигнута всего за 15 секунд. Во время атаки исследователи делали паузы, чтобы дать инженерам время оценить ущерб и проверять системы безопасности на каждом этапе. Каждый раз, когда выключатель замыкался на несинхронизированном генераторе, подключая его обратно к сети, машина начинала подпрыгивать и вибрировать от силы собственной энергии, пока в конце концов связь между дизельным двигателем и генератором не оборвалась.61

Рабочие в оперативном центре, которые следили за сетью на предмет аномалий и не были проинформированы о начале атаки, сообщили, что не замечали ничего подозрительного на своих мониторах. Система безопасности, которая была разработана для того, чтобы выдерживать небольшие скачки напряжения, которые обычно возникали в сети, также не зарегистрировала разрушительных перебоев. «Мы могли бы сделать атаку, которая включала и отключала сеть так быстро, что системы безопасности даже не заметили бы этого», – сказал Перри Педерсон, который в то время возглавлял программу безопасности системы управления DHS и наблюдал за испытанием.62

Замена 27-тонного генератора, который был разрушен таким образом, разумеется не было невыполнимой задачей. Но на крупных электростанциях и других объектах имелись 800-мегаваттные генераторы, замена которых могла занять месяцы и даже год, поскольку генераторы такого размера обычно строятся под заказ за рубежом. Не все генераторы, питающие сеть, будут одинаково восприимчивы к такой атаке – это будет зависеть от того, как сбалансирована мощность на этой части сети. Но то же самое может произойти и с другим критическим оборудованием, которое питает не только сеть, но и другие вещи, которые впоследствии будет нелегко заменить. Например, подстанция, питающая ряд насосов, отвечающих за доставку питьевой воды в мегаполис, может вызвать серьезные сбои, если вывести ее из строя. «Я, честно, даже представить не могу что произойдет с огромным насосом мощностью 50 тысяч лошадиных сил, но я уверен, что последствия будут вряд ли лучше, чем с генератором», – сказал Педерсон.63

После испытания генератора Аврора в 2007 году, был проведен еще не один тест, демонстрирующий силу разрушительных кибератак. В отчете за 2009 год, опубликованном в 60 Minutes, исследовали Национальной лаборатории Сандиа показали, что они могут вызвать перегрев отдельных компонентов на нефтеперерабатывающем заводе, просто изменив настройки нагревательного элемента и отключив рециркуляционные насосы, которые помогают регулировать температуру.64

Помимо Stuxnet и инцидента в графстве Маручи, до сих пор в мире не было зафиксировано ни одной действительно разрушительной атаки. Эксперты предположили ряд возможных причин, почему это так – провести такие атаки намного сложнее чем кажется сначала, к тому же, провести их, не оставив за собой следов; и часто те, кто обладает навыками и ресурсами для проведения подобных атак не имеют мотивации для этого, в то время как желающие их провести просто не имеют ресурсов.

Одно только можно сказать с уверенностью: учитывая разнообразие и обширные возможности для проведения таких атак, остается лишь вопросом времени, когда соблазн цифрового нападения станет слишком велик, чтобы не запустить атаку.

Сноски, ссылки и используемая литература:

1.    Интервью автора с Ассанте, сентябрь, 2011 год.

2.    Системы SCADA обычно используют там, где управляемые системы географически распределены по большим территориям – например, в системах трубопровода, водоснабжения и электроэнергии. С другой стороны, SCADA также крайне удобны в случаях, когда операторам требуется обширное и сложное управление на ограниченных объектах, таких как нефтеперерабатывающие заводы, водоочистные сооружения и электростанции, хотя электростанции также могут использовать системы SCADA для мониторинга удаленных подстанций в полевых условиях. SCADA системы состоят из станции оператора, сети связи и удаленного терминального блока, или RTU. RTU, по принципу работы схожи с ПЛК, отправляют данные через сеть на станцию мониторинга оператора. Станция оператора обычно работает на Windows – со всеми присущими ей уязвимостями. Полевые устройства используют другие специализированные системы, которые, как правило, имеют низкую степень защиты.

3.    Инциденты системы промышленного контроля отслеживаются в базе данных RISI (репозиторий инцидентов промышленной безопасности), которая начала вести учет ошибок с 2001 года, но бездействовала в период с 2006 по 2009 годы. База данных поддерживается организацией инцидентов безопасности, увидеть ее можно по адресу: http://www.securityincidents.org/.

4.    Марти Нилэнд, “Computer Virus Brings Down Train Signals”, Associated Press, 20 августа, 2003, доступно по адресу: http://www.informationweek.com/news/13100807.

5.    Червь попал туда через корпоративную сеть коммунальной компании, которая управляла заводом, и распространился от деловой сети завода к сети управления. К счастью завод был неактивным уже более года из-за других проблем, так что никакого вреда причинено не было. Операторы станции также сообщили, что у них было ручное управление, которое служило резервным, в случае, если что-то случилось бы с автоматическим. Смотрите, Кэвин Поулсен, “Slammer Worm Crashed Ohio Nuke Plant Network”,SecurityFocus, 19 августа, 2003, доступно по адресу: https://www.securityfocus.com/news/6767/.

6.    “Cybersecurity: Preparing for and Responding to the Enduring Threat”, речь в сенатском комитете по ассигнованиям, 12 июня 2013 г., доступно по адресу: http://www.hsdl.org/?view&did=739096.

7.    Льюис выступал на радио-шоу Дианы Рэм, транслируемом WAMU в Южной Калифорнии, 4 июня 2012 года. Интервью доступно по адресу: http://www.thedianerehmshow.org/shows/2012-06-04/growing-threat-cyberwarfare.

8.    Грегори Бенфорду, физику, приписывают одно из первых упоминаний о компьютерном вирусе в рассказе, который он написал в 1969 году под названием «Человек со шрамом», опубликованное в мае 1970 года в журнале Venture. Первая идея цифровых червей фигурирует в научно-фантастической книге Джона Бруннера «The Shockwave Rider», в которой упоминался червь, передаваемый от машины к машине.

9.    “Teen Hacker Pleads Guilty to Crippling Mass. Airport”, Boston Globe, 19 марта, 1998.

10. “Teen Hacker Faces Federal Charges”, CNN, 18 марта, 1998, доступно по адресу: http://edition.cnn.com/TECH/computing/9803/18/juvenile.hacker/index.html.

11. “Critical Foundations: Protecting America’s Infrastructures”, Президентская комиссия по защите критической инфраструктуры, октябрь 1997 года. Отчет доступен по адресу: https://www.fas.org/sgp/library/pccip.pdf.

12. “Electric Power Risk Assessment”, Консультативный комитет по телекоммуникациям национальной безопасности, целевая группа по обеспечению информационной безопасности, доступно по адресу: http://www.solarstorms.org/ElectricAssessment.html.

13. Информация о деле в графстве Маручи взята из интервью автора, проведенного в августе 2012 года с Робертом Стрингфеллоу, инженером водного округа, который помогал расследовать это дело, а также из отредактированных судебных документов и полицейского отчета, написанного судебным экспертом Питером Кингсли. Некоторые подробности из судебных документов были впервые опубликованы Джо Вайсом в его книге «Protecting Industrial Control Systems from Electronic Threats» (Нью-Йорк: Momentum Press, 2010).

14. С 14 марта по 23 апреля произошло около 90 инцидентов. Один из рабочих проследил часть этой активности до RTU на насосной станции 14, откуда, по-видимому, и исходили вредоносные радиосигналы. Он понимал, что адрес RTU можно легко изменить, просто переключив определенные переключатели на ней, поэтому он заключил, что злоумышленник, должно быть использует свою подставную RTU, которую он настроил таким образом, что система воспринимала его как настоящую RTU, которая находится на насосной станции 14. Чтобы установить ловушку, рабочий изменил номер насосной станции с 14 на 3. Если хакер отправлял свои команды, он не знал, что адрес изменился, и продолжал отправлять их по старому адресу. Именно это и произошло одной ночью, когда поток вредоносного трафика полился по сети от насосной станции 14, нацеленный на сбой центрального компьютера. Так следователи пришли к выводу, что злоумышленник должен был знать систему изнутри, обладал знаниями в системе Маручи и имел доступ к программному обеспечению и оборудованию Hunter WaterTech.

15. Боден был осужден и приговорен к двум годам тюремного заключения в октябре 2001 года. Позднее он подал апелляцию, после чего его осуждение по двум пунктам обвинения было снято, но осуждение по другим пунктам обвинения осталось прежним, как и его приговор.

16. Опрос коммунальных служб, проведенный Институтом исследований электронной энергетики в 1996 году показал, что только 25 процентов респондентов использовали какие-либо методы обнаружения вторжений. Этот обзор, обзор электронной информационной безопасности Института исследований в 1996 году и статистические данные доступны по адресу: http://www.solarstorms.org/ElectricAssessment.html.

17. У службы водоснабжения Маручи не было иного выбора, кроме как привлечь к этому делу правоохранительные органы, поскольку разливы воды были слишком большие и угрожали общественной безопасности. Этот инцидент также вызвал пристальное внимание со стороны австралийского агентства по охране окружающей среды и региональных правительственных чиновников, которые потребовали объяснений причин возникновения разливов.

18. Кингсли выступал на конференции AusCERT 2002 в Австралии. В отчете, рассматривавшем дело Маручи в 2008 году, спустя восемь лет после того, как произошел инцидент, авторы пришли к выводу, что некоторые из проблем, поднятые этим происшествием только начинают решаться компаниями, в то время как «некоторые из них остаются нерешенными и останутся без какого-либо решения в ближайшем будущем». Смотрите Маршал Абрамс и Джо Вайс, “Malicious Control System Cyber Security Attack Case Study–Maroochy Water Services, Australia”, 23 февраля 2008 года, доступно по адресу: http://www.csrc.nist.gov/groups/SMA/fisma/ics/documents/Maroochy-Water-Services-Case-Study_report.pdf.

19. Эта и другие цитаты Вайса в этой главе взяты из интервью автора, июнь 2012 года.

20. Бартон Геллман, “Cyber-Attacks by Al Qaeda Feared”, Washington Post, 27 июня, 2002.

21. Смотрите предыдущую сноску.

22. «Критическая инфраструктура» в Соединенных Штатах широко определяется правительством как любой объект или система, которая попадает под одно из шестнадцати категорий, которые включают: сельское хозяйство и продовольствие, банковское дело и финансы, химические, коммерческие объекты, критическое производство, плотины, оборонно-промышленные базы, системы питьевой воды и водоочистные сооружения, аварийные службы, энергетику, правительственные объекты, информационные технологии, ядерные реакторы и отходы, общественное здравоохранение, телекоммуникации и транспорт. Смотрите https://www.cisa.gov/critical-infrastructure-sectors.

23. Дэн Морейн, “Hackers Victimize Cal-ISO”, Los Angeles Times, 9 июня, 2001.

24. Предыдущая программа тестирования SCADA была запущена в Национальной лаборатории Сандиа в 1998 году, но в ней не принимали участия разработчики. Национальная лаборатория Айдахо является ведущей лабораторией Департамента энергетики по исследованиям ядерной энергетики и управляет самым большим испытательным реактором в мире. Комиссия по атомной энергетике получила землю в Айдахо после Второй мировой войны для строительства лаборатории ядерных исследований. С годами работа лаборатории расширилась, включив в себя исследования в области электросетевой промышленности, и после того, как администрация Буша опубликовала свою национальную стратегию по обеспечению безопасности киберпространства в феврале 2003 года, еще и безопасность промышленных систем управления. Эта стратегия предусматривала, что Министерство энергетики и Министерство внутренней безопасности (DHS) будут сотрудничать с частными лицами для решения проблем безопасности систем управления.

25. Департамент внутренней безопасности, “The National Strategy for the Physical Protection of Critical Infrastructures and Key Assets” (отчет, Белый Дом, февраль 2003), 9. Доступно по адресу: https://www.dhs.gov/xlibrary/assets/Physical_Strategy.pdf.

26. Смотрите предыдущую сноску, 39.

27. Однако одна из проблемных лазеек в тестовой программе заключается в том, что отчеты с описанием уязвимостей в их системах, которые получают разработчики, покрываются соглашением о неразглашении, и поставщики не обязаны сообщать клиентам об уязвимостях в своих системах.

28. Ким Зеттер, “Hard-Coded Password and Other Security Holes Found in Siemens Control Systems”, Wired.com, 3 августа, 2011, доступно по адресу: http://www.wired.com/2011/08/siemens-hardcoded-password.

29. Джо Вайс считает, что более половины всех систем управления имеют бэкдор, встроенный в них поставщиком.

30. Бересфорд также обнаружил еще один сюрприз – «пасхальное яйцо», которое программист Siemens спрятал в прошивке. Пасхальные яйца – это внутренние шутки, которые программисты оставляют в своих программах, чтобы пользователи могли их найти. Часто их можно увидеть, когда пользователь набирает определенную последовательность клавиш или обращается к неясной части программы. В случае с Siemens, пасхалка состояла из анимированного изображения танцующих шимпанзе и немецкой пословицы, которая также появлялась на экране. В свободном переводе пословица гласила «Только работа и никаких игр делают Джека скучным мальчиком». И хотя пасхалка не была вредоносной, она вызвала серьезные опасения по поводу безопасности Siemens.

31. В 2013 году два исследователя обнаружили проблемы с популярным протоколом, используемым центрами управления для связи ПЛК и RTU, установленными на подстанциях. Злоумышленник, который не мог получить доступ к машине центра управления через интернет, мог взломать устройство связи на удаленной подстанции – физически, или взломав беспроводную радиосеть, используемую для связи с центром управления – и использовать уязвимость в протоколе для отправки вредоносных команд в центр управления. Таким образом, злоумышленник может либо вывести из строя машину центра управления, либо использовать ее для распространения вредоносных команд на все подстанции, с которыми эта машина взаимодействует, потенциально выводя из строя десятки, или даже сотни подстанций одновременно, в зависимости от размеров коммунальной компании. Смотрите Ким Зеттер, “Researchers Uncover Holes That Open Power Stations to Hacking”, Wired.com, 16 октября, 2013, доступно по адресу: https://www.wired.com/2013/10/ics/.

32. Джордан Робертсон, “Science Fiction–Style Sabotage a Fear in New Hacks”, Associated Press, 23 октября, 2011, доступно по адресу: http://www.news-yahoo.com/science-fiction-style-sabotage-fear-hacks-120704517.html.

33. В 2003 году, по словам Джо Вайса, когда червь SQL Slammer попал в интернет, один поставщик систем управления предупредил своих клиентов не устанавливать патч, выпущенный Microsoft, потому что патч исправлял используемые червем уязвимости.

34. Системы безопасности на атомных станциях, к счастью, все еще контролируются аналоговыми средствами, и согласно Джо Вайсу, шанс расплавления активной зоны, вызванного кибератакой очень низок. Но это может измениться, поскольку проекты для заводов следующего поколения включают цифровые, сетевые системы, которые значительно облегчат атаки на такие заводы.

35. Ким Зеттер, “10K Reasons to Worry About Critical Infrastructure”, Wired.com, 24 января, 2012, доступно по адресу: https://www.wired.com/2012/01/10000-control-systems-online/. Исследователь Эйрен Лавереттне не смог определить, сколько из систем управления были рабочими, а сколько демонстрационных, и не мог сказать, сколько из них были критическими системами, а которые простыми система отопления офиса на заводе. Но он смог определить среди них системы управления водопроводом в Ирландии и канализацией в Калифорнии. Но не стоит при этом преуменьшать значение даже той же системы отопления, иногда и с ее помощью хакеры могут попасть в центральную систему. И только 17% из 10 тысяч систем, которые он обнаружил, потребовали авторизацию для подключения к ним. В некоторых случаях владельцы даже не знали, что их системы доступны в интернете.

36. Пол Ф. Робертс, “Hacker Says Texas Town Used Three Character Password to Secure Internet Facing SCADA System”, блог Threatpost, 20 ноября, 2011, доступно по адресу: http://www.threatpost.com/blogs/hacker-says-texas-town-used-three-character-password-secure-internet-facing-scada-system-11201/75914.

37. Его заявления появились на сайте Pastebin 18 ноября 2011 года. Смотрите http://www.pastebin.com/Wx90LLum.

38. Кен Диланян, “Virtual War a Real Threat”, Los Angeles Times, 28 марта, 2011.

39. Ким Зеттер, “Chinese Military Linked to Hacks of More Than 100 Companies”, Wired.com, 19 февраля, 2013, доступно по адресу: https://www.wired.com/2013/02/chinese-army-linked-to-hacks/. Для большей информации о специфике взлома Telvent также смотрите Ким Зеттер, “Maker of Smart-Grid Control Software Hacked”, Wired.com, 26 сентября, 2012, доступно по адресу: http://www.wired.com/2012/09/scada-vendor-telvent-hacked.

40. “Report of the Commission to Assess the Threat to the United States from Electromagnetic Pulse (EMP) Attack”, апрель 2008, доступно по адресу: http://www.empcommission.org/docs/A2473-EMP_Commission-7MB.pdf. Смотрите также сноску 25 главы 11 для описания плана преднамеренной электромагнитной импульсной атаки.

41. Исследование RAND 1996 года под названием «The Day After … in Cyberspace» было одним из первых, которое описывало последствия многоаспектной атаки, нацеленной на самолеты, поезда, телефонные системы и банкоматы на разных континентах. Смотрите Роберт Х. Андерсон и Энтони С. Хирн, “An Exploration of Cyberspace Security R&D Investment Strategies for DARPA: The Day After … in Cyberspace II”, RAND, 1996, доступно по адресу: http://www.rand.org/pubs/monograph_reports/MR797.html.

42. Билл Герц, “Computer-Based Attacks Emerge as Threat of Future, General Says”, Washington Times, 13 сентября, 2011.

43. Джо П. Хаслер, “Investigating Russia’s Biggest Dam Explosion: What Went Wrong”, Popular Mechanics, 2 февраля, 2010.

44. “Pipeline Rupture and Subsequent Fire in Bellingham, Washington June 10, 1999,” опубликованный Национальным Советом по транспортной безопасности, 2002, доступно по адресу: https://www.ntsb.gov/doclib/reports/2002/PAR0202.pdf.

45. “Pacific Gas and Electric Company Natural Gas Transmission Pipeline Rupture and Fire”, Национальный Совет по транспортной безопасности, 9 сентября, 2010, доступно по адресу: https://www.ntsb.gov/investigations/summary/PAR1101.html.

46. Дэвид Роджерс и Конор М. Уоткинс, “Overview of the Taum Sauk Pumped Storage Power Plant Upper Reservoir Failure, Reynolds County, MO”, представлен на 6-й Международной конференции по историческим примерам в геотехнической инженерии, Арлингтон, Вирджиния, 11-16 августа, 2008 года, доступно по адресу: http://www.web.mst.edu/~rogersda/dams/2_43_rogers.pdf.

47. Эмитт К. Витт III, “December 14th, 2005 Taum Sauk Dam Failure at Johnson’s Shut-Ins Park in Southeast Missouri”, Национальное управление океанических и атмосферных исследований, доступно по адресу: http://www.crh.noaa.gov/lsx/?n=12_14_2005.

48. Линдси Лейтон, “Metro Crash: Experts Suspect System Failure, Operator Error in Red Line Accident”, Washington Post, 23 июня, 2009.

49. Грэм Бейкер, “Schoolboy Hacks into City’s Tram System”, Telegraph, 11 января, 2008.

50. Из интервью автора, август 2012.

51. Видео с симуляцией на Youtube можно посмотреть в интернете по адресу: https://www.youtube.com/watch?v=kc_ijB7VPd8. Или смотрите ссылки на презентации Дэвиса и две другие симуляции со смарт-счетчиками по адресу: http://www.ioactive.com/services_grid_research.html.

52. NERC имеет правила кибербезопасности, которым должны следовать коммунальные службы. Но они применяются только к массовым электрическим системам (определяемые как объекты и системы, работающие на 100 киловольт и больше), и соблюдение этих правил не дает стопроцентной гарантии того, что система не будет взломана. Безопасность находится в постоянном движении, она не стоит на месте, и меняется каждый раз, когда появляется новое оборудование или программное обеспечение.

53. Целевая группа по отключению энергосистемы США и Канады, “Final Report on the August 14th Blackout in the United States and Canada”, апрель 2004, доступно по адресу: https://reports.energy.gov/BlackoutFinal-Web.pdf.

54. Кевин Полсен, “Software Bug Contributed to Blackout”, SecurityFocus.com, 11 февраля, 2004, доступно по адресу: http://www.securityfocus.com/news/8016.

55. Ребекка Смит, “U.S. Risks National Blackout from Small-Scale Attack”, Wall Street Journal, 12 марта, 2004.

56. Сценарий был похож на реальный инцидент, произошедший на заводе по разливу воды Coors в 2004 году, когда сотрудник по ошибке изменил настройки системы, ответственной за смазку подшипников на производственной линии. Вместо того, чтобы смазывать подшипники каждые 20 минут, система считала, что их нужно смазывать каждые 8 часов, и в конце концов конвейер остановился.

57. Джастин Блум, “Hackers Target US Power Grid”, Washington Post, 11 марта, 2005.

58. Florida Power and Light, “FPL Announces Preliminary Findings of Outage Investigation”, 29 февраля, 2008, доступно по адресу: http://www.fpl.com/news/2008/022908.shtml.

59. Презентация называется «Control Systems Vulnerability – Aurora».

60. Эта цифра исходит из оценки стоимости разработки испытания Аврора и вышла на DHS по просьбе автора.

61. В качестве примера того, что может произойти, когда на турбине повреждена муфта, в 2011 году генератор паровой турбины на электростанции в Ираншаре, Иран, попросту взорвался, вину приписывают неисправной муфте. Взрыв был такой силы, что следователи даже не смогли найти турбину после аварии. Муфты необходимо регулярно инспектировать на наличие износа и смазывать для поддержания работоспособности и предотвращения несчастных случаев. Завод в Ираншаре имел три масляных котла, что вероятно, усугубило взрыв. Взрыв действительно мог быть результатом плохого обслуживания муфты или неисправной установки, но в то время были люди, которые считали, что это мог быть результат саботажа, что-то наравне с испытанием Авроры.

62. Интервью автора, август 2012.

63. Смотрите предыдущую сноску.

64. 60 Minutes, “Cyber War: Sabotaging the System”, 6 ноября, 2009, CBS.

Глава 10. Оружие высокой точности.

Ральф Ленгнер сидел в своем офисе в Гамбурге и наблюдал, как два его инженера скармливают поток искусной лжи коду Stuxnet, который они установили на свою тестовую машину. Ленгнер, эксперт в области тайной безопасности промышленных систем управления, вот уже как несколько дней работал со своими коллегами, чтобы определить и воссоздать точные условия, при которых упрямый код будет передавать свою полезную нагрузку на их ПЛК, но это оказалась куда сложнее, чем они ожидали.

Несколькими днями ранее команда Ленгнера поставила в лаборатории компьютер с установленным программным обеспечением Siemens Step 7 и подключила его к ПЛК Siemens, который завалялся в их офисе. Они также установили сетевой анализатор для наблюдения за данными, проходящими между машиной со Step 7 и ПЛК. В отличие от исследователей Symantec, Ленгнер и его команда специализировались на ПЛК и точно знали, какой трафик должен проходить между Step 7 и ПЛК. Так что они ожидали, что им не составит труда обнаружить в трафике любые аномалии. Но тогда они заразили машину со Step 7 и… ничего не произошло. Потом они вспомнили, что Stuxnet был нацелен на две конкретные модели Siemens PLC – S7-315 и S7-417 – и у них не было ни одной из этих моделей.

Поэтому они установили на тестовую машину отладчик, пронаблюдали за шагами Stuxnet перед тем, как он освобождает свою полезную нагрузку, и разработали способ обмануть вирус. Задача заключалась в том, чтобы заставить Stuxnet думать, будто он нашел свою цель, хотя на самом деле это было не так. Анализируя конфигурацию зараженной машины, Stuxnet сверялся по длинному контрольному списку, где каждое из требований, сильно сужало выборку подходящих устройств. Команда Ленгнера не знала, что именно было в контрольном списке, но им и не нужно было этого знать. Когда Stuxnet запрашивал в системы необходимые ему данные, исследователи подавали ему серию готовых ответов, пока он не остановился на том варианте, который его удовлетворял. Это был грубый метод, брутфорс, который отнял у них пару дней на подбор правильного ответа. Но когда они наконец подобрали правильную комбинацию ответов и в последний раз прогнали код по всем его шагам, они увидели именно то, о чем писали исследователи из Symantec: Stuxnet внедрил ряд вредоносных блоков кода в их ПЛК. «Вот и все», – вспоминает Ленгнер свои слова, – «Мы поймали этого маленького ублюдка».1

Они заметили вредоносные блоки только потому, что их размер был намного больше, чем он должен быть у не зараженных блоков кода. Прежде чем заразить свою систему Step 7 вредоносом, они передали его блоки кода на ПЛК и перехватили их с помощью инструмента анализа, чтобы описать их основные размеры и характеристики. После заражения компьютера Stuxnet они снова передали те же блоки кода и увидели, что они внезапно сильно увеличились в размере.

Они еще не знали, что конкретно делает код Stuxnet с их ПЛК, но само заражение уже было большой новостью. Это было намного больше того, о чем они когда-либо предупреждали своих клиентов, и намного больше того, что они сами ожидали увидеть от первой известной в мире атаки на ПЛК.

Когда 17 августа Symantec сообщила, что Stuxnet намеренно саботирует ПЛК, Чиену и Фальеру могло показаться, что на эту новость никто не обратил даже малейшего внимания. Но за шесть тысяч миль оттуда, Ленгнер, сидя в своем маленьком офисе в зеленом пригороде Германии, с пребольшим интересом изучал отчеты Symantec. В течение многих лет Ленгнер предупреждал своих клиентов из промышленной сферы о том, что однажды кто-то совершит цифровую атаку, чтобы саботировать их системы управления, и теперь, похоже, этот день настал.

Ленгнер был владельцем совсем небольшой компании из трех человек, которая специализировалась на безопасности промышленных систем управления. Это было единственное, чем занималась компания. Он не интересовался компьютерной безопасностью в целом, и его не волновали новости о последних вирусах, заражающих ПК. Даже эксплоиты нулевого дня не привлекали его. Поэтому, когда Stuxnet впервые попал в заголовки технической прессы и стал предметом ярых дискуссий на форумах кибербезопасности, он не обратил на него особого внимания. Но как только он увидел заголовок сообщения Symantec о том, что Stuxnet саботирует ПЛК Siemens, он немедленно открыл статью и начал жадно изучать ее.

Symantec ничего не написала о том, что Stuxnet делает с ПЛК, а сообщила только то, что он вводил код в так называемую лестничную логику ПЛК – больше ничего антивирусная фирма не говорила.2 Но Ленгнера поразило, что тысячи клиентов Siemens, включая многих его собственных клиентов, теперь находятся под угрозой вируса-убийцы, и с нетерпением ждали когда Siemens или Symantec сообщат им, что именно Stuxnet делает с их ПЛК. Но, как ни странно, сделав свое поразительное заявление, исследователи Symantec затихли.

Ленгнер подозревал, что они уперлись в тупик из-за отсутствия опыта работы с ПЛК и промышленными системами. Любопытно, но Siemens также молчали об этом. «Слишком странно», – подумал Ленгнер. В конце концов, это были контроллеры Siemens, и они подверглись атаке, компания была обязана проанализировать вредоносный код и сообщить своим клиентам, хотя бы, что он может сделать с их системами. Но после нескольких кратких заявлений, сделанных немецкой компанией в июле, она замолчала.3

Ленгнер был возмущен. Хотя Stuxnet, по-видимому, поражал только машины с Siemens Step 7, никто на самом деле не знал, на что способен вредоносный код и может ли он повредить другие ПЛК. Была еще одна большая проблема: уязвимость, которая позволяла Stuxnet внедрить свой код в лестничную логику ПЛК Siemens, также существовала в других контроллерах.4 Образцы Stuxnet уже были доступны для скачивания в интернете. Любой хакер, преступный вымогатель или террористическая группа могли изучить этот код и использовать его в качестве каркаса для разработки более масштабной и разрушительной атаки против других моделей ПЛК.

Молчание Symantec и Siemens также сильно озадачило две другие группы – CERT-Bund, германскую национальную группу реагирования на чрезвычайные компьютерные ситуации, и ICS-CERT в Соединенных Штатах. Перед обеими организациями была поставлена задача помочь обеспечить безопасность критически важных инфраструктурных систем в их странах, но ни одна из сторон не смогла сказать чего-то внятного о Stuxnet. В предупреждении ICS-CERT не было никаких разговоров о внедрении лестничной логики в ПЛК Siemens, или даже каких-либо упоминаний о том, что вирус саботирует ПЛК. Также ничего не говорилось и об опасностях, которые Stuxnet представлял для будущих атак.5 Молчание немецких властей было еще более странным, поскольку контроллеры Siemens были установлены почти на каждом немецком заводе или фабрике, которые мог назвать Ленгнер.

Он обсудил это с двумя своими давними друзьями-инженерами, Ральфом Розеном и Андреасом Тиммом. Ни у кого из них не было опыта реверс-инжениринга вирусов, но раз никому больше не нужно было узнать, что Stuxnet делает с ПЛК Siemens, значит им это предстоит сделать самим. Это означало бы тиски, где с одной стороны на них бы давили поручения от платных клиентов, а с другой – Stuxnet, но они пришли к выводу, что у них не остается выбора.

Ленгнер и его коллеги составляли довольно странную, но эффективную команду. В его профессии, где все привыкли наблюдать неряшливых, бледных инженеров с длинными хвостиками на голове, он, Лангнер, был энергичным 52-летним мужчиной с короткими темными волосами, лишенными всякой седины, носил строгие деловые костюмы и искусно выделанные кожаные туфли. У него были пронзительные голубые глаза на загорелом после отпуска лице и стройная, подтянутая фигура опытного альпиниста – побочный эффект лыжных экскурсий в Альпах и суровых походов в горы. И если щеголеватая внешность Ленгнера не выделяла его из толпы, то это точно делали его резкие манеры. У него была репутация откровенного индивидуалиста, он часто делал провокационные заявления, чем раздражал своих коллег. В течение многих лет он возмущался проблемами безопасности систем, но его грубая, конфронтационная манера часто отталкивала тех самых людей, которые больше всего нуждались в его речах. Розен и Тимм, напротив, оба были непримечательными айтишниками лет сорока, которые куда спокойней относились к своей спортивной форме и одежде, и в отличие от Ленгнера, заняли более тихую, второстепенную роль.

И хотя эти трое, казалось, во многом не подходили друг другу, скорее всего, лучшей команды, подходящей для анализа Stuxnet не существовало. Тимм проработал у Ленгнера экспертом по системам управления по меньшей мере десять лет, а Розен, и того, на три года больше. За все это время они накопили гигантский опыт и знания о промышленных системах управления в общем, и контроллерах Siemens в частности. Siemens, по сути, была их давним клиентом. Компания покупала программные продукты у фирмы Ленгнера, а он со своими инженерами иногда обучал сотрудников Siemens их собственным системам. Вероятно, было лишь небольшая горстка сотрудников Siemens, которая знала свои системы лучше, чем Ленгнер и его коллеги.

Начало его карьеры в информационной безопасности положила одна программка, которую он написал, чтобы подключить свой домашний компьютер к университетскому мейнфрейму. В колледже Ленгнер владел довольно слабым компьютером, которому не хватало вычислительной мощности, необходимой для проведения статистического анализа. Поэтому всякий раз, когда он хотел проверить данные, полученные в ходе своих многочисленных экспериментов, он должен был отправляться в кампус и подключать свой компьютер к мейнфрейму колледжа. Ленгнер ненавидел ездить в кампус, поэтому он изучил протоколы, необходимые для удаленного взаимодействия с серверами, и написал программу, которая позволяла ему делать это через модем из собственного дома.

 Для него не стало слишком большой проблемой сразу после окончания колледжа открыть свою собственную консалтинговую фирму по программному обеспечению, используя свою программу в качестве основы бизнеса. В то время это считалось прорывным продуктом, и вскоре инженеры систем управления начали искать его, чтобы с помощью его разработки удаленно взаимодействовать со своими датчиками и контроллерами. Методы, которые использовались в то время, часто утрачивали данные, поэтому на их фоне программа Ленгнера выглядела очень надежной.

В 1997 году к нему присоединился Розен, и вместе они разрабатывали индивидуальные системы для клиентов, которые хотели, чтобы компьютеры могли взаимодействовать с их ПЛК Siemens. Когда он и Ленгнер изучали протоколы Siemens и устройство ПЛК, чтобы заставить соединение работать, они были удивлены, обнаружив большое количество проблем безопасности в системах – те самые дыры, которые другие исследователи откроют для себя десятилетиями спустя. Но еще больше их поражал тот факт, что владельцы и операторы промышленных систем управления совершенно не обращали на это внимания, и соответственно не предпринимали никаких действий, чтобы все исправить. Вместо многоуровневых или сегментированных сетей, где критические системы были бы изолированы от повседневных рабочих компьютеров, они использовали обыкновенные сетевые архитектуры, которые обеспечивали доступ к ПЛК с любой машины в сети. У них также имелись системы, которые были напрямую подключены к интернету, и при этом не имели фаерволов или паролей, в лучшем случае это были стандартные, либо вшитые пароли, которые никогда не менялись.

Ленгнер и его команда запустили консалтинговый бизнес, чтобы помочь клиентам перенастроить их сети более надежно. Но концепция повышения безопасности систем управления оказалась тяжело продаваемой. В течение многих лет сообщество кибербезопасности было в значительной степени невосприимчиво к постоянным новостям о новых вирусах и хакерских атаках, которые обрушились на IT сообщество. Как результат, большинство продолжало думать, что они находятся в безопасности. Ленгнер постоянно предупреждал своих клиентов, что в конечном итоге они все равно заплатят за свою самоуверенность, и часто демонстрировал им, как хакер с минимальными навыками может вывести их машины из строя. Но мало кто предпринимал какие-то действия для решения этой проблемы. «Никто не хотел меня слушать», – говорит Ленгнер, – «за исключением очень немногих компаний, которые все-таки инвестировали в безопасность систем управления».

Теперь, десять лет спустя, Stuxnet стал тем камнем преткновения, о котором предупреждал Ленгнер. Но даже он был удивлен силой и масштабами атаки, когда она, наконец, произошла. На протяжении многих лет он разрабатывал разные сценарии возможных атак на ПЛК, как только об их уязвимостях станет известно общественности. Но ни один из его вариантов не предполагал использование лестничной логики ПЛК. Компьютерные атаки, как правило, развивались постепенно. Сначала хакеры проводили относительно простые атаки, которые требовали наименьшего количества усилий и навыков, а фирмы и лаборатории, специализирующиеся на кибербезопасности, в свое время, разрабатывали патчи и антивирусные программы, чтобы останавливать их. Затем взломщики находили альтернативные пути проникновения в системы, пока защитники вновь не залатывали дыры. Каждая последующая атака становилась все более изощренной, как и методы защиты. Такого вот развития событий, собственно, ожидал Ленгнер – постепенного. В случае с системами управления: сначала хакеры начнут с простых атак типа «отказ в обслуживании» посылая ПЛК команду «стоп», чтобы остановить любой процесс, который он контролирует, а затем перейдут к логическим бомбам и другим методам изменения настроек. Однако Stuxnet обошел все эти рудиментарные стадии развития и сразу перешел к одному из самых сложных видов атак, которые кто-либо мог разработать против ПЛК.

Из всего, что Ленгнер видел в коде, по-настоящему его поразила именно атака «человек в середине» на систему безопасности и станции мониторинга операторов. То, как Stuxnet хитро отключал систему безопасности и записывал операции ПЛК, чтобы потом воспроизвести их операторам во время атаки, поразило его – цифровой эквивалент шести тонного циркового слона, выполняющего стойку на одной ноге. Это был настолько высокий уровень изящества и утонченности, который он никогда не то что не видел, а даже не считал возможным.

Это также был самый жестокий сценарий, который он мог себе представить, потому что, как только злоумышленник отключал логику, отвечающие за передачу важных данных в систему безопасности, оставалось вопросом времени, прежде чем кто-то серьезно пострадает или погибнет. Отключите систему безопасности и датчики контроля на каком-нибудь химическом или газоперерабатывающем заводе, и вы можете выпустить ядовитый газ либо легковоспламеняющуюся жидкость, и никто не узнает об этом, пока не станет слишком поздно. Возможно, разработчики Stuxnet не намеревались ранить или убивать людей своей атакой, но хакеры-подражатели, которые набирались знаний у Stuxnet, скорее всего не будут такими осторожными.

Ленгнер прикинул, что в мире есть, возможно, ну несколько десятков человек, которые обладают уровнем знаний систем управления Siemens, необходимыми для разработки такого рода атаки, и трое из них сидели в его офисе. Но даже они не смогли бы сделать это с такой изощренностью, как это сделали разработчики Stuxnet.

Спустя три недели после изучения Stuxnet, Ленгнер вошел в конференц-зал, где он и его коллеги собирались каждое утро, чтобы обсудить прогресс в анализе кода. Розен и Тимм удивленно посмотрели на него. Обычно он был аккуратно одет и насторожен. Но сегодня он выглядел неряшливым и изможденным после бессоной ночи, проведенной за компьютером, в попытках разобрать код. Он шел от одного следа к другому, от одного к другому, будто пытаясь достать кролика из норы – что атакует Stuxnet? – пока наконец не ухватился за его хвост и не потянул к себе. Когда он поднял руку, то был удивлен тем, что обнаружил. «Я знаю в чем дело, – выпалил он своим друзьям. – Речь идет о ликвидации иранской ядерной программы. Речь идет о ликвидации Бушера».

Бушер, как отмечалось ранее, был атомной электростанцией на юго-западе Ирана, которая строилась в течение нескольких десятилетий. За эти годы он пережил много задержек и отмен и, наконец, должен был начать свою работу в этом месяце. Но незадолго до запуска чиновники заявили о еще одной задержке. Поскольку дата этого заявления совпала с запуском Stuxnet, Ленгнеру показалось логичным, что речь может идти о кибератаке.6

Розен и Тимм недоверчиво уставились на него. Вдвоем они думали об одном и том, не было в мире настолько глупого человека, которому взбрело бы в голову уничтожить гребаную атомную электростанцию. Не рискнут ли они выпустить радиоактивный материал? И зачем использовать ненадежного червя для выполнения столь важной задачи, когда они могли с вероятностью 99% уничтожить завод сбросив на него бомбу? Но когда Ленгнер начал соединять все точки воедино, его безумная теория начала обретать для них смысл.

Вот уже почти как месяц, с тех пор как они впервые увидели вредоносный код Stuxnet, которым они заразили свой ПЛК, Ленгнер и его команда искали в блоках кода Stuxnet улики, которые могли бы подсказать на какие объекты была нацелена атака. Конфигурации систем, на которые нацелен Stuxnet, может рассказать о его намерениях столько же, если не больше, чем сам код. Если бы они могли узнать, какими устройствами управляют ПЛК, и были ли оны настроены каким-либо особым образом, они могли бы значительно сузить диапазон возможных целей.

Несколько недель они ежедневно трудились над расшифровкой блоков, работая в небольшом офисе, который они занимали на верхнем этаже двухэтажного здания. Тихая жилая улица, на которой находился их офис, была густо обсажена деревьями и резко контрастировала с современным бетонно-стеклянным комплексом Symantec. Вместо нескольких этажей, уставленных кабинетами, у них была одна открытая комната, где работали Тимм и Розен, комната для совещаний и клиентов, и кабинет Ленгнера и его ассистента.

Каждое утро они собирались вместе, чтобы обсудить достигнутый прогресс, а затем до конца дня упорно работали над кодом, обсуждая свои догадки во время обеда в конференц-зале и за ужином в близлежащих ресторанах. В промежутках они даже успевали отвечать на звонки своих клиентов, которым требовалась помощь. Но когда клиенты звонили с предложениями новой работы, Ленгнер всем отказывал, так он был полон решимости взломать Stuxnet. Не то чтобы они могли себе позволить отказываться от оплачиваемой работы. У них не было ничего похожего на корпоративные ресурсы Symantec, и ни один внешний клиент не спонсировал их исследования. Вместо этого Ленгнер должен был оплачивать время и труд своих друзей из прибыли компании. Но никто не жаловался. Все они понимали, что Stuxnet это работа всей их жизни. «Мы понимали, что это была самая большая угроза в истории вредоносного программного обеспечения, – вспоминает Ленгнер, – Это была абсолютно фантастическая работа. Это была лучшая работа, которую я когда-либо делал, и я уверен, что уже не смогу найти задачу сложнее и интересней».

После еще нескольких недель кропотливого анализа команда Ленгнера пришла к поразительному выводу. Stuxnet не просто атаковал две конкретные модели ПЛК Siemens, он атаковал конкретный объект, где использовались эти ПЛК. Stuxnet был высокоточным оружием военного класса, нацеленным на единственную цель. Он не просто искал любой ПЛК модели S7-315 или S7-417 – ПЛК должен был иметь исключительную конфигурацию. В код атаки были встроенные подробные данные, описывающие точную техническую конфигурацию ПЛК, которую ищет вирус. Каждый завод, использующий промышленные системы управления имеет индивидуальные настройки для своего оборудования. Даже компании из одной отрасли не могли использовать абсолютно одинаковые конфигурации, а подбирали их соответственно своим потребностям. Но конфигурация, которую искал Stuxnet была настолько точной, что ее, скорее всего, можно было найти только на одном объекте во всем Иране, а если их и было несколько, то эти объекты были настроены абсолютно одинаково, чтобы контролировать идентичный процесс. Любая система, не подходящая под требования вируса, останется невредимой, Stuxnet просто остановит все свои процессы и перейдет к следующей системе в поисках своей цели.

Ленгнера ошеломила мысль о том, что кто-то вложил сколько денег и усилий в оружие, атакующее единственную цель. Это могло означать только одно – цель должна была быть чрезвычайно важной. Теперь им оставалось выяснить, что же это была за цель.

Большинство шагов, связанных с анализом кода, являются систематическими и высокотехническими – изолировать отдельные компоненты, расшифровать код и т.д. Но сопоставление компьютерного кода с реальным миром – это больше искусство, нежели наука. Втроем они перебирали гипотезы о том, какой, по их мнению, объект, был целью, а затем просматривали код в поисках доказательств того или иного предположения. Тем временем Ленгнер также обратился к своим знакомым в различных областях промышленности, чтобы расспросить их об конфигурации их ПЛК, чтобы посмотреть, сможет ли он найти хоть какое-нибудь совпадение. Прошло несколько дней, а успехов в сужении круга возможных целей так и не было. В конце концов Лангнер решил отойти, сделать шаг назад, от технических подробностей и посмотреть на проблему под другим углом, поискать подсказки в новостных статьях и других источниках. После нескольких бессонных ночей, проведенных в интернете, он наконец пришел к своей законченной теории о Stuxnet и Бушере.

Подозрения Ленгнера по поводу завода в Бушере впервые возникли, когда он вспомнил фотографию, которую видел в интернете в прошлом году, якобы сделанную во время пресс-тура в Бушере. На изображении был показан монитор компьютера с всплывающим сообщением, указывающим, что срок действия лицензии на программное обеспечение Siemens WinCC на машине истек. Это было доказательством того, что на заводе используется программное обеспечение именно от Siemens.7 Некоторые знакомые подтвердили для Ленгнера тот факт, что в Бушере используются ПЛК Siemens модели S417. Дальнейшее расследование показало, что российская компания, ответственная за установку оборудования на заводе, также использовала ПЛК Siemens на других объектах, включая завод в Болгарии, предположительно смоделированный по образцу Бушера. Ленгнер также узнал, что на болгарском заводе была установлена паровая турбина, управляемая контроллерами Siemens, что нехотя напомнило ему об испытании генератора Аврора, проведенным Национальной лабораторией Айдахо три года назад. И это испытание показало, что вредоносный код в силах уничтожить такую турбину.

Пока они втроем сидели в конференц-зале, Ленгнер излагал свою точку зрения, а Розен и Тимм лишь неохотно кивали, соглашаясь с его теорией. Они понимали, что в мире есть не так много объектов, которые бы в полной мере оправдали объем работы, проделанный над Stuxnet. Но если Ленгнер был прав, и Бушер и в правду был целью Stuxnet, а его физическое уничтожение – главной задачей червя, то по сути, это был акт войны.

А если Stuxnet был актом войны, то какой ответ на его открытие последует у Ирана, как только об этом станет известно? Разработчик Stuxnet вполне возможно запустили атаку для того, чтобы предотвратить полномасштабную войну с Ираном, но его разоблачение сейчас может привести как раз к противоположному исходу.

После разговора с Розеном и Тиммом Ленгнер был уверен в том, что он на правильном пути, но просто, чтобы убедиться, что иранская ядерная программа действительно является целью Stuxnet, он позвонил одному из своих клиентов, который располагал достаточными ему знаниями о ядерных заводах. Клиент этот работал в компании Enrichment Technology Company, крупнейшем европейском производителе оборудования для обогащения урана, ранее более известном как Urenco, чьи конструкции центрифуг раннего поколения украл и продал Ирану Хан. Если Stuxnet был нацелен не на турбину, подумал Лангнер, то, возможно, на центрифуги, используемые для обогащения урана для Бушера. (Лангнер ошибочно полагал, что центрифуги для обогащения урана находятся в Бушере).

«У меня есть к тебе один вопрос, – сказал Ленгнер своему другу по телефону. – Можно ли уничтожить центрифугу, просто манипулируя кодом контроллера?»

На другом конце провода ненадолго повисла тишина, прежде чем его друг ответил:

«Я не могу тебе сказать этого, Ральф. Это секретная информация, – отрезал он. Но затем добавил. – Ты знаешь, что центрифуги для обогащения урана используются нами не только в Германии и Нидерландах. Они также используются и в других странах.»

«Да, я знаю, – ответил Лангнер. – Например, в Иране. Именно поэтому я и позвонил тебе. Потому что мы исследуем Stuxnet.»

«Мне очень жаль, – твердо ответил мужчина. – Я ничего не могу рассказать тебе о центрифугах, это все секретная информация.»

Этого было достаточно для Лангнера. Он сказал Розену и Тимму, что они должны немедленно обнародовать эту новость. Если Бушер на самом деле являлся целью, то кто-то должен это подтвердить. Stuxnet и его цель были как ключ и замок. В мире существовал только один замок, который открывался этим ключом, и как только они опубликуют информацию о конструкции ключа, человек, у которого есть замок, должен будет увидеть их соответствие.

13 сентября 2010 года, почти через месяц, после того разоблачения Stuxnet командой Symantec, Лангнер опубликовал короткой пост в блоге под названием «Hack of the Century». В нем он утверждал, что Stuxnet был направленной атакой «против конкретной установки системы управления» и на этом закончил свое сообщение. Но три дня спустя он дополнил свой пост. «В результате расследования очевидно и доказуемо, что Stuxnet – это целенаправленная диверсионная атака, базируемая на больших инсайдерских знаниях, – писал он. – Это то, что сейчас должны знать все.»8

Затем последовал алгоритм с подробным описанием конкретных шагов, предпринимаемых Stuxnet для перехвата и введения своих команд в ПЛК Siemens. «Это вам не какой-то там скрипт-кидди, сидящей в подвале дома своих родителей», – написал Ленгнер. Это были высококлассные хакеры с весьма специфическими знаниями системы, которую они атаковали. Он в общих чертах описал, как вирус внедрял свой вредоносный код в ПЛК, чтобы захватить какой-то неизвестный критический процесс, а затем изложил свои мысли о Бушере, аккуратно обозначив их как свою теорию. Оставалось еще много неизвестных моментов, но доказательства, присутствующие в коде, утверждал он, в конечном счете укажут не только на точную систему, атакуемую Stuxnet, но и, возможно, самих злоумышленников.

С этими словами занавес над Stuxnet был открыт. Кибероружие, на разработку которого ушло годы, и, возможно, миллионы долларов, было полностью раскрыто и уничтожено в течение нескольких недель неизвестной антивирусной фирмой в Беларуси, горсткой исследователей из Калифорнии, которые ничего не знали ни о центрифугах, ни о ПЛК, а также дерзко говорящим немцем и его группой инженеров.

И теперь, когда тайна Stuxnet была раскрыта, Ленгнер начал испытывать те же опасения, что и Чиен, по поводу реакции хакеров. Как только истинная цель была раскрыта, Stuxnet сразу стал бесполезным набором строчек кода. Хакеры, должно быть, предвидели подобный ход развития события, и оставили для себя узкое окошко для возможности завершения своей миссии. Неужели теперь, в последней и отчаянной попытке достичь своей цели, они предпримут последний и решительный шаг? Ленгнер верил, что так и будет. «Мы вполне можем рассчитывать на то, что в скором времени что-то может взорваться, – писал он в своем посте. – Что-то большое.» Он закончил свою речь единственным предупреждением: «Добро пожаловать в кибервойну».

К посту прилагалась фотография трех «громил Stuxnet», сфотографированных перед белой доской в их офисе – Ленгнер, одетый в помятую белую рубашку и расстегнутый пиджак, и Розен с Тиммом позади него, последний дерзко кивав в камеру, стоял в черных очках.

После того, как он написал свой пост, Ленгнер отправил пресс-релиз в несколько ведущих СМИ и ждал взрыва заголовков. Но, к его ужасу, ничего не происходило. Как и предыдущее разоблачение Symantec, его открытие было встречено молчанием. «Все, наверное, подумали, что я спятил», – вспоминает он.

Однако был как минимум один человек, который так не думал. Фрэнк Ригер, технический директор немецкой охранной фирмы GSMK, прочитал рассуждения Ленгнера о Бушере и согласился с тем, что Stuxnet, скорее всего, был создан для саботажа иранской ядерной программы. Но, по правде, он думал, что Натанз, находящийся в нескольких сотнях миль от Бушера, был более вероятной целью.9 Завод в Натанзе, в отличие от Бушера, был запущен и работал с 2007 года. К тому же, он был фактически заполнен тысячами быстро вращающихся центрифуг, что делало его хорошей мишенью для, кто хотел нанести ущерб ядерной программе Ирана с помощью кибератаки. Ригер подробно изложил свои мысли в блоге и статье для немецкой газеты.10 В обоих текстах он ссылался на более раннюю статью Reuters, опубликованную примерно в то же время, когда был выпущен Stuxnet, то есть в 2009 году, описывая «десятилетний проект кибервойны», запущенный Израилем против ядерной программы Ирана. В статье цитировался американский источник, предположивший, что «вредоносное программное обеспечение» может быть использовано для захвата или аварийного управления на обогатительном заводе.11

Была и другая причина подозревать, что все-таки именно Натанз был целью Stuxnet. 16 июля, 2009 года, через три недели после выхода первой версии Stuxnet, основатель WikiLeaks Джулиан Ассанж разместил на своем сайте загадочную записку о возможном несчастном случае в Натанзе. Анонимный источник, утверждающий, что он напрямую связан с ядерной программой Ирана, сообщил Ассанжу, что недавно на АЭС произошла «серьезная» ядерная авария.12 WikiLeaks обычно публикует только документы, а не случайные письма от анонимных источников, но Ассанж нарушил это правило сказав, что у него были основания полагать, что источник заслуживает доверия. Он сослался на статью BBC, опубликованную в тот же день, в которой сообщается об отставке Голама Резы Агазаде, главы иранской Организации по атомной энергетике, который ушел со своего поста двадцатью днями ранее по неизвестным причинам.13 Временные рамки совпадали с выпуском новой версии Stuxnet 2009 года.

Независимо от того, была ли отставка Агазаде связана с аварией на заводе Натанза или нет, «теория Натанза» Ригера привлекла внимание общественности, и наконец, катапультировала Stuxnet в центр внимания. Все американские СМИ, которые до этого момента в основном игнорировали Stuxnet, подхватили рассуждения Ригера и начали распространять его слова. В течение почти десяти лет Натанз был центром растущей политической напряженности из-за неоднократных попыток остановки программы обогащения урана. Теперь, казалось, что это сложное цифровое оружие, подобного которому раньше никто не видел, было частью этих планов. Внезапно история о Stuxnet стала интересной и полной интриг. Там, где раньше была скучная техническая тягомотина, представляющая интерес только для технологической прессы, теперь был загадочный боевик, окутанный ореолом тайны и шпионскими играми преступного мира – и все это разыгрывалось на фоне ядерных разборок.

 Вскоре после того, как Ленгнер опубликовал свой первый пост о Stuxnet, он связался с Джо Вайсом в Соединенных Штатах, чтобы обсудить находки его команды. Ленгнер и Вайс разделяли один и тот же дерзкий стиль общения, который не всегда привлекал их коллег по цеху. В этой битве они были на одной стороне и уже который год пытались донести своим клиентам, владельцам промышленных систем управления, что их системы уязвимы к хакерским атакам. Специалисты из сообщества обычно тяжело вздыхают, когда слышат имя одного из них, но никто никогда не сомневался в их профессионализме. Ленгнер должен был выступить на предстоящей конференции посвященной промышленным системам управления Вайса в Мэриленде по другой теме, и спросил, может ли он вместо этого поговорить о Stuxnet. «Даже не знаю, сказать тебе «да» или «черт возьми, да!»» – ответил Вайс.

На следующей неделе Ленгнер уже был в Мэриленде. Предварительная шумиха вокруг его выступления гарантировала, что зал будет полон. В своем блоге Ленгнер обещал рассказать все подробности расследования его команды на собрании, поэтому аудитория была в предвкушении его речи, особенно после двух презентаций о Stuxnet, проведенными Siemens и кем-то из DHS, которые были лишены какого-либо смысла.

 Вайс выделил на выступление Ленгнера 45 минут, но вместо этого оно заняло полтора часа. И никто не был против. Более 100 участников конференции из водной, химической и электротехнической промышленных сфер внимали словам Ленгнера. «Мы все сидели, разинув рты», – вспоминает Вайс.14 Ленгнер принадлежал к той редкой породе технарей – умелых и харизматичных ораторов, которые умеют преподносить сухие технические детали просто и с юмором. Но его слова не столько позабавили слушающих, сколько потрясли их. Постепенно, на протяжении всей его речи, к владельцам промышленных систем управления доходило, что если завтра будет совершена еще одна атака на ПЛК, подобная Stuxnet, или даже сильнее, то никто не сможет ее не то что остановить, а даже обнаружить. Существовали способы проверить, не заражен ли ПК или ноутбук на базе Windows, но такого же простого способа узнать, заражен ли ПЛК не было. Если вирус использовал тот же метод скрытия вредоносного кода, что и Stuxnet, то не существовало ни одной антивирусной программы для ПЛК, или какого-либо другого способа узнать, изменен ли код контроллера. Единственный способ обнаружения атаки был на стадии заражения Windows, прежде чем вирус достигал ПЛК. Но Stuxnet показал глупость даже этой защиты, так как ни один антивирусный сканер не поймал его, прежде чем вирус достиг ПЛК. Операторы никогда не смогут обнаружить заражение, пока оно само не даст о себе знать.

           По оценкам Ленгнера, хакерам-подражателям потребуется около шести месяцев, до появления их первых пародий на Stuxnet. Они не будут точными копиями Stuxnet, или такими же сложными в разработке, сказал он присутствующим, но они и не должны такими быть. Опасность нападения была не только на такие критически важные объекты как Натанз. Stuxnet ставил под прицел все потенциально уязвимые объекты и системы. И поскольку разработчики Stuxnet умело спланировали свою атаку, они смогли избежать сопутствующего ущерба машинам, которые не являлись их целями, но последующие атаки почти наверняка не будут такими продуманными и контролируемыми. Какая-нибудь террористическая группировка, пожелавшая выкуп за электростанцию, путем захвата контроля над ее ПЛК, вряд ли будет беспокоиться, если их вирус повредит заводу или распространиться на другие системы управления.

После конференции Ленгнер решил провести выходные в Вашингтоне, чтобы встретиться там с Мэлиссой Хэтуэй, бывшим национальным координатором кибербезопасности Белого Дома, чтобы проинформировать ее о том, что нашла его команда. Хэтуэй сразу поняла потенциал возможного ответного удара по критической инфраструктуре США, а также проблему распространения цифрового оружия, с которой теперь столкнется мир – проблему, с которой, как она позже сказала The New York Times, ни одна страна не была готова иметь дело. «У нас около 90 дней, чтобы исправить это, – заявила она в газете, – прежде чем какой-то хакер выпустит свою первую копию Stuxnet».15

В тот уик-энд, когда Ленгнер все еще был в Вашингтоне, иранские представители впервые заявили о том, что компьютеры в Бушере действительно были заражены Stuxnet. Они совсем ничего не упомянули о Натанзе, а подробности атаки на Бушер заставляли сомневаться в том, что полезная нагрузка Stuxnet была развернута именно там. Махмуд Джафари, руководитель завода, заверил журналистов, что в результате атаки пострадали только персональные компьютеры некоторых работников, промышленные системы управления затронуты не были. «Все компьютерные программы на заводе работают нормально и не были повреждены Stuxnet», – сказал он.16 Реза Тагипур, чиновник Министерства связи и информационных технологий, также настаивал на том, что ущерб от вируса был незначительным, а вредоносная программа была «более или менее» локализована.17 Сообщения об небольшом ущербе не были удивительными, учитывая избирательность Stuxnet относительно конфигурации своей жертвы. Скорее всего, он распространился на машины Windows Бушера, а затем просто отключился, не найдя ПЛК, которые он искал.18

Среди заявлений со стороны Ирана, впрочем, была одна странная деталь, которая выделялась из ряда остальных. В одном из своих интервью Махмуд Джафари сказал, что в Иране было обнаружено пять разных версий Stuxnet.19 В то время, как Symantec и остальные исследовательские группы обнаружили только три.

Хотя вполне возможно, что Джафари ошибся, но его слова все равно породили интригующую возможность того, что по крайней мере две другие версии Stuxnet все еще остаются не обнаруженными. И если эти две версии все-таки существуют, то они могут содержать дополнительные улики и подсказки о Stuxnet и его разработчиках. К сожалению, однако, шанс того, что западные исследователи увидят эти новые версии вируса были крайне малы, так как иранское правительство вряд ли предоставило копии кода кому-то за пределами Ирана.20

 После выступления на конференции Вайса и встречи с Хэтуэй, Ленгнеру требовалось время, чтобы разобраться во всем том, что произошло с ним за последние недели. В тот уик-энд он пошел в National Mall и часами сидел на ступеньках мемориала Линкольна, глядя на отражающийся бассейн, пока вокруг него, то и дело, фотографировались туристы. Он думал об отчетах ICS-CERT и Siemens и их молчании по поводу лестничной логики инъекции в Stuxnet, а также о рисках для критически важных объектов инфраструктуры, исходящих от хакеров, которые наверняка будут использовать исходный код Stuxnet. Затем последовали мысли об ошеломляющем молчании общественности и Конгресса, которые, казалось, вовсе не были обеспокоены ящиком Пандоры, который открыл Stuxnet буквально узаконив использование кибероружия для разрешения политических споров. Они также не казались встревоженными по поводу цифровой гонки вооружений, которую запустил Stuxnet, процесс которой остановить будет уже невозможно. Сложилось такое чувство, подумал Ленгнер, что никто не хотел обсуждать эти вещи просто потому, что это вызовет вопросы об инициаторах атаки.

Ленгнер решил, что если молчание так и будет продолжаться дальше, то он будет вынужден выступить с дополнительной информацией о коде. Поэтому, как только он вернулся в Германию, он опубликовал новый пост, в котором излагал технические детали, которые ранее раскрывал только за закрытыми дверями конференц-зала Вайса. Как только пост был опубликован, блог был осажден трафиком со всего мира, включая также правительственные и военные домены США. Ленгнер надеялся, что теперь, когда важность Stuxnet стала очевидной, другие компании по кибербезопасности подхватят эстафету с того места, на котором остановилась его команда. Несмотря на большой объем проделанной роботы, впереди ее было еще больше. Они обнаружили то, что Stuxnet намеревался саботировать единственный объект, вероятно Натанз, – но они все еще не имели ни малейшего представления о том, что вирус в конечном счете должен сделать с заводом. Информация об этом все еще оставалась скрытой в коде.

В течение следующих трех недель Ленгнер и его команда были заняты несколькими проектами от платных клиентов, чтобы хоть как-то компенсировать деньги, которые они потеряли, работая над Stuxnet. Но когда ни от Symantec, ни от кого-либо еще за эти три недели не последовало никакой новой информации о коде, Ленгнер собрался с мыслями и решил, что им стоит продолжить с того места, где они остановились.

«Ребята, – обратился он к Розену и Тимму, – я думаю, нам нужно снова взяться за одно старое дельце».

Вопреки убеждению Ленгнера, некоторые элементы американского правительства все-таки не игнорировали Stuxnet – хоть и за завесой тайны. На самом деле группа аналитиков из DHS завершила бо́льшую часть своего собственного исследования Stuxnet в течение нескольких дней после того, как он был обнаружен в июле, и знали, что вирус саботирует ПЛК, еще до того, как к этому пришли Symantec и Ленгнер.

Stuxnet впервые появился в Национальном центре интеграции кибербезопасности и коммуникаций Министерства национальной безопасности США (NCCIC) в Арлингтоне, штат Вирджиния, утром 15 июля 2010 года, в то самое время, когда исследователи по всему миру впервые взглянули на код. Исходники кода поступили от CERT-Bund после того, как Siemens связался с командой компьютерного реагирования на чрезвычайные ситуации, чтобы сообщить о вредоносной атаке, нацеленной на их ПЛК.

NCCIC, или как их обычно называют, N-Kick, был открыт всего девять месяцев назад и являлся частью новой правительственной системы мониторинга и координации за киберугрозами в отношении критической инфраструктуры и гражданских правительственных систем. Когда в центр пришли исходники Stuxnet, Шон МакГарк, по иронии судьбы, был в разгаре планирования предстоящих правительственных учений Cyber Storm III, трехдневных учений, которые будут имитировать компьютерную атаку на критическую инфраструктуру США. Это должно было стать первым настоящим испытанием координационных способностей с момента открытия центра круглосуточного наблюдения. Но реальная угроза Stuxnet быстро взяла верх над планами имитированной атаки.

Дежурный этаж, на котором, к слову, отсутствовали окна, представлял собой алфавитный суп из сокращенных названий агентств: аналитики из ЦРУ и АНБ сидели рядом с агентами из ФБР, Секретной службы и экспертами по компьютерной безопасности из US-CERT и ICS-CERT. На этаже также присутствовали представители всех ведущих телекоммуникационных компаний и других отраслей, имеющих важнейшее значение для развития инфраструктуры страны.

МакГарк отправил копию Stuxnet в лабораторию ICS-CERT в Айдахо-Фолз, где аналитики и определили, что код атаки высвобождал свою полезную нагрузку только на конкретных моделях ПЛК Siemens. Двумя годами ранее они проводили оценку уязвимости того же программного обеспечения Step 7, которое атакует Stuxnet, но ПЛК, который использовали для испытаний, был возвращен Siemens. Теперь они должны были попросить Siemens прислать еще один, прежде чем смогут посмотреть, где Stuxnet освобождает свою полезную нагрузку. Спустя три недели ПЛК прибыл, с ним прибыла и группа инженеров из Siemens.

Тем временем исследователи в Айдахо расшифровывали код полезной нагрузки. Параллельно им, аналитики из Вирджинии корпели над ракетной частью, документируя каждую из ее функций в обширной блок-схеме. После двух дней работы, говорит МакГарк, его команда каталогизировала около 4 тысяч функций – больше, чем содержалось в большинстве коммерческих программ, – а также обнаружили четыре эксплойта нулевого дня, которые позже нашли Symantec и Kaspersky.

20 июля ICS-CERT выпустила рекомендацию, в которой объявила владельцам систем управления об обнаружении вредоносного ПО, нацеленного на систему Siemens Step 7. Но они не предоставили никаких подробностей о работе вируса, сказав только, что «полные возможности вредоносного ПО и его намерения… еще не известны». В последующих заявлениях добавилось немного подробностей об эксплоитах нулевого дня, используемых Stuxnet, а также информация о том, как обнаружить и удалить код, но мало говорилось о целях атаки, и совсем ничего не было написано о саботаже.21 МакГарк говорит, что задача правительства состояла в том, чтобы помочь владельцам критической инфраструктуры обнаружить и удалить Stuxnet, а не обеспечить его всесторонний анализ.22

Через несколько дней после того, как группа завершила анализ, МакГарк провел селекторное совещание с несколькими правительственными учреждениями и представителями частной промышленности, чтобы обсудить то, что им удалось обнаружить. В большинстве дискуссий о вредоносном ПО и уязвимостях, в разговоре всегда находилось несколько критиков, которые утверждали, что опасность уязвимостей значительно преувеличена, и что часть исходного кода Stuxnet не является новой. Иногда в роли скептиков выступали другие федеральные агентства, иногда это были владельцы и операторы критических инфраструктур, или поставщики, создавшие системы контроля. Но пока МакГарк излагал детали Stuxnet, в трубке стояла тишина. «У всех был этот момент «оу, черт», вы знаете, при чем в одно и то же время», – вспоминает МакГарк.23

Как ни странно, разработчик Stuxnet до сих пор неизвестен. МакГарк говорит, что, когда исходник вируса только попал к ним в руки, аналитики разведки из различных агентств на этаже искали в своих секретных источниках любую информацию или отчеты, связанные с червем, но ничего не нашли. Он также говорит, что на дежурном этаже никто вслух не задавался вопросом о том, мог ли Stuxnet быть разработанным в США. Посторонний мог бы вполне задаться вопросом, почему никто на дежурном этаже не повернулся к аналитикам из ЦРУ или АНБ, сидящим в соседней комнате, и спросить: «ну это же был один из ваших?». Но МакГарк настаивает на том, что атрибуция вируса не входит в их обязанности, поэтому они об этом даже не думали. Их задача состояла в том, чтобы раскрыть возможности вредоносного кода и определить наилучший способ защиты американских сетей.

«Сначала, когда вы посмотрите на вирус… вы вряд ли подумаете о том, что это может быть огонь по своим. Вы же не подумаете, что снайпер, стоящий на соседней крыше будет стрелять по вам», – говорит он. «Это может оказаться… Но в пылу этого, в самом начале, вы не слишком обеспокоены, и, естественно, отказываетесь верить в это.»

Но очень скоро Stuxnet стал «темой повышенного интереса» в Вашингтоне. В течение следующих нескольких месяцев МакГарк провел множество брифингов для ряда высокопоставленных людей – от Министерства обороны Джанет Наполитано, Джона Бреннана и других сотрудников аппарата национальной безопасности Белого Дома, до комитетов Сената и Палаты представителей по разведке, Министерства обороны и разведывательного управления обороны. Он даже отправился в Форт-Мид, чтобы поговорить с генералом Китом Александром, директором Киберкомандования США и АНБ – к тем самым организациям, которые, как подозревало большинство в сообществе кибербезопасности, стояли за атакой.

В Форт-Миде дюжина высокопоставленных военных правительственных и разведывательных руководителей внимательно слушали МакГарка, в то время, как он описывал, что обнаружила его команда. Но вопрос о том, стояли ли за этим нападением Соединенные Штаты так и не прозвучал. Они спросили МакГарка, был ли Stuxnet направлен против американских систем управления и сколько систем в стране были уязвимыми для вируса.24 Им также было любопытно узнать, сможет ли команда МакГарка определить, что являлось конечной целью Stuxnet. И, наконец, они спросили его, есть ли в коде какие-либо зацепки, на основании которых можно было бы найти разработчиков вредоносного ПО. На последний вопрос МакГарк ответил «нет», нет никаких улик, хоть как-нибудь указывающих на создателей вируса. В коде не было даже «отличительных знаков», которые можно было бы сопоставить с почерком некоторых известных хакерских групп или национальных шпионов.

МакГарк утверждает, что никогда, ни на секретных брифингах, ни в публичных выступлениях, никто не озвучивал вопрос, стоящий у всех на уме. «Я не думаю, что даже в шутку, кто-то сказал бы на официальной встрече что-то в роде «Эй, это сделали мы?»». Потому что подобные встречи проходят совсем не так. Я уверен, что в других местах велись рассуждения на эту тему, но они точно не прозвучат на нашем уровне».

МакГарк также уверен, что Stuxnet – это не тот вирус, который написали в гараже какого-нибудь из неприметных домиков в спальном районе. «Когда я выступал, независимо от того, кто сидел в аудитории, были ли это старшие сотрудники разведки, либо кто-то еще, у меня никогда не возникало впечатления, что моя речь была хоть сколько-то интересна им», – говорит он. «То же самое происходило и в Министерстве внутренней безопасности, когда я проводил брифинг на уровне секретариата. У меня никогда не было такого чувства, вы знаете, что они знакомы с темой разговора… они просто надеялись, что я поскорее уйду».

Никто также не предлагал МакГарку отлучить свою команду от работы над Stuxnet. «Никто не говорил: «Эй, прекрати, оставь это дело, оно того не стоит»», – говорит он. «На самом деле все эти организации активно сотрудничали с нами… помогали с анализом и подбрасывали свои идеи насчет того, какой тип угрозы из себя представляет собой этот Stuxnet».

Но даже если чиновники в Вашингтоне открыто не задавали очевидный вопрос, эксперты, и просто наблюдатели, почти не сомневались в том, что за этим нападением стоят Соединенные Штаты – в одиночку, либо с Израилем – и казалось лишь времени, когда подробности атаки всплывут на поверхность.

Утверждение Ральфа Ленгнера о том, что Stuxnet – это высокоточное оружие, направленное на ядерную программу Ирана, должно быть, вызвало большой ужас и панику в залах Белого Дома и Пентагона, поскольку заговор, тщательно планируемый и осуществляемый ими на протяжении многих лет прямо сейчас раскрывался общественности прямо у них на глазах.

Сноски, ссылки и используемая литература:

1.    Все цитаты Ленгнера были взяты из интервью автора, проведенных в 2010, 2011 и 2012 годах.

2.    «Лестничная логика» – это общий термин для описания структуры команд, используемых для кодирования систем управления. Это название походит от лестничной структуры программирования, которая описывает каждый процесс поэтапно, последовательно.

3.    В своем первоначальном заявлении, Siemens заявила, что собрала команду экспертов для оценки опасности Stuxnet, и начнет предупреждать своих клиентов в случае, если их машины будут в зоне риска заражения вирусом. Позже компания заявила, что вирусом Stuxnet было заражено менее двух десятков их клиентов. Второе объявление компании было связано с зашифрованным паролем базы данных в программном обеспечении Siemens, которое Stuxnet использовал для распространения. Команда Siemens предупредила своих клиентов о недопустимости изменения пароля в связи с возможным нарушением критических функций в их системах. «В ближайшее время мы опубликуем руководство для клиентов, но оно не будет включать в себя рекомендации по изменению настроек по умолчанию, поскольку это может плохо повлиять на работу некоторых заводов, использующих нашу продукцию», – сказал представитель компании спустя неделю после того, как был разоблачен Stuxnet. Смотрите Роберт МакМиллиан, “After Worm, Siemens Says Don’t Change Passwords”, PCWorld.com, 19 июля, 2010.

4.    Эта уязвимость частично связана с тем, что в системе Siemens отсутствовала аутентификация, что позволяло отправлять на ПЛК вредоносную лестничную логику. Если бы система требовала от кода цифровую подпись, ПЛК бы не принял его.

5.    Смотрите ICS-CERT Advisory ICSA-10-201-01C, “USB Malware Targeting Siemens Control Software”, с последующими обновлениями можно ознакомиться по адресу: http://www.ics-cert.us-cert/gov/advisories/ICSA-10-201-01C. Смотрите также ICS-CERT Advisory ICSA-10-238-01B, “Stuxnet Malware Mitigation,” 15 сентября, 2010, доступно по адресу: http://www.ics-cert.us-cert/gov/advisories/ICSA-10-238-01B.

6.    Через пару недель иранские представители начали отрицать вину Stuxnet, и вместо этого объяснили задержку утечкой в бассейне рядом с реактором.

7.    Снимок экрана, сделанный фотографом United Press International, имеет подпись, идентифицирующую его как снимок экрана в Бушере, и говорит, что изображение было получено в феврале 2009 года. Некоторые критики оспаривают правдивость подписи, говоря, что изображение, по-видимому, показывает какое-то водоочистное сооружение, а не Бушер, но водоочистные сооружения являются частью работы атомной станции, что говорит о том, что и то, и другое мнение может быть правдой. Изображение можно посмотреть по адресу: http://www.upi.com/News_Photos/Features?The-Nuclear-Issue-in-Iran/1581/2/.

8.    “Stuxnet logbook, Sept 16, 2010, 1200 hours MESZ”, доступно по адресу: http://www.langner.com/en/2010/09/16/stuxnet-logbook-sep-16-2010-1200-hours-mesz.

9.    Статья появилась в немецкой газете Frankfurter Allgemeine Zeitung 22 сентября 2010 года. Статья написана на немецком языке, но автор описывает ее содержание на английском в блоге, опубликованном на его сайте, доступном по адресу: http://www.frank.geekheim.de/?p=1189.

10. В то время, когда он строил теорию о Бушере, Ленгнер не знал, что на атомной станции еще не было центрифуг. Когда он узнал об этом, он не отказался от мысли о том, что целью был именно Бушер, но думал, что оборудованием, которое атакует Stuxnet, было турбиной либо генератором. Только позже, с появлением дополнительной, более точной информации о конфигурациях целей Stuxnet, он пришел к выводу, что, Натанз является более очевидной целью, нежели Бушер.

11. Дэн Уильямс, “Wary of Naked Force, Israelis Eye Cyberwar on Iran”, 7 июля, 2009, доступно по адресу: http://www.reuters.com/article/2009/07/07/us-israel-iran-cyberwar-analysis-idUSTRES663EC20090707.

12. Пост на WikiLeaks можно посмотреть по адресу: http://www.mirror.wikileaks.info/wiki/Serious_nuclear_accident_may_lay_behind_Iranian_nuke_chief%27s_mystery_resignation/.

13. История была опубликована по адресу: http://www.news.bbc.co.uk/2/hi/8153775.dtm. Хотя вполне возможно, что отставка Агазаде была связана с тем, что произошло в Натанзе в конце июня 2009 года, столь же вероятно, что это произошло в связи с какими-то политическими обстоятельствами. В дополнение к тому, что Агазаде был главой иранской Организации по атомной энергетике, он также являлся вице-президентом Ирана. Он одновременно ушел с этих двух должностей, через две недели после жарко оспариваемых президентских выборов в Иране 12 июня 2009 года. Агазаде присоединился к политическому сопернику президента Ахмадинежада – мир-Хосейну Мусави, и ходили слухи, что яростные протесты против легитимности результатов выборов не позволили Агазаде сохранить свои правительственные посты после того, как Ахмадинежад победил на выборах. Также ему не очень повезло с обстоятельствами, поскольку как раз в июне 2009 года вышла первая версия Stuxnet. Согласно сообщениям BBC, Агазаде подал в отставку примерно 26 июня. Но июньская версия Stuxnet 2009 года была выпущена 22 июня, и как только она оказалась бы на нужном ей ПЛК, вирусу потребовалось бы две недели, чтобы начать саботаж. Поэтому время начала работы вируса и отставки Агазаде не совпадают.

14. Интервью автора, сентябрь, 2010. 

15. Джон Маркофф, “A Silent Attack, but Not a Subtle One”, New York Times, 26 сентября, 2010.

16. Лоран Майяр, “Iran Denies Nuclear Plant Computers Hit by Worm”, Agence France-Presse, 26 сентября, 2010, доступно по адресу: http://www.iranfocus.com/en/index.php?option=com_content&view=article&id=21820.

17. Дэвид Э. Сэнгер, “Iran Fights Malware Attacking Computers”, New York Times, 25 сентября, 2010.

18. Шесть месяцев спустя, доклад иранской Организации пассивной обороны, военной организации под председательством генерала Революционной гвардии Голама-Резы Джалали, которая отвечает за защиту ядерных объектов Ирана, опроверг эти заявления. Он сообщил, что Stuxnet насколько основательно заразил компьютеры в Бушере, что работу на заводе пришлось приостановить на неопределенный срок. В отчете утверждалось, что, если бы Бушер вышел в сеть, червь мог бы «внезапно остановить генераторы, а вместе с ними и электричество по всей стране». Однако было много причин сомневаться в выводах отчета, поскольку он содержал ряд преувеличенных заявлений относительно возможностей Stuxnet – таких как утверждение, что червь может «уничтожить аппаратное обеспечение машины шаг за шагом» – и тот факт, что конфигурация, которую искал Stuxnet, не соответствовала оборудованию, находящемуся на атомной электростанции. Все это наводило на мысль, что Иран, возможно, использует Stuxnet в качестве предлога для объяснения задержек в Бушере. Но также существовала вероятность, что другая цифровая атака – возможно модифицированная версия Stuxnet – могла быть разработана отдельно для Бушера. Смотрите Кен Тиммерман, “Computer Worm Wreaking Havoc on Iran’s Nuclear Capabilities”, Newsmax, 27 апреля, 2011, доступно по адресу: http://www.newsmax.com/KenTimmerman/iran-natanz-nuclear-stuxnet/2011/04/27/id/394327.

19. Лоран Майяр, “Iran Denies Nuclear Plant Computers Hit by Worm”.

20. Были и другие заявления официальных лиц, которые предполагали, что существуют и другие версии Stuxnet. Махмуд Лиайи, глава совета по информационным технологиям министерства промышленности, сказал журналистам, что, когда Stuxnet был активирован, «системы промышленной автоматизации начали передавать данные о производственных линиях» на внешние источники. Генерал Голам-Реза Джалали заявил на пресс-конференции в 2011 году, что червь был обнаружен во время взаимодействия с системами связи, находящимися в Израиле и Техасе. Дальше данные о зараженных машинах обрабатывались разработчиками червя, которые затем создавали планы атаки на ядерную программу. (Смотрите “Iran Military Official: Israel, US Behind Stuxnet Computer Worm”, Associated Press, 16 апреля, 2011, доступно по адресу: http://www.haaretz.com/news/world/iran-military-official-israel-u-s-behind-stuxnet-computer-worm-1.356287.) Но три обнаруженные исследователями версии Stuxnet взаимодействовали с серверами в Дании и Малайзии. Это не отрицает того факта, что согласно другой версии, сервера связи каким-то образом были обнаружены в Техасе, поскольку с помощью определенных инструментов можно было бы перенаправлять трафик на Техас. Но хотя у АНБ действительно есть элитная хакерская команда, базирующаяся в штате Одинокой Звезды, кажется маловероятным, что они допустили бы ошибку, позволившую червю выйти на них.

21. ICS-CERT Advisory ICSA-10-201-01, “USB Malware Targeting Siemens Control Software” и ICS-CERT Advisory ICSA-10-238-01B, “Stuxnet Malware Mitigation”.

22. Рекомендации ICS-CERT действительно содержали ссылку на веб-сайт Symantec для получения информации о вредоносном коде, но они не уточняли читателям, какая именно информация находится на их сайте.

23. Все цитаты из МакГарка были взяты из интервью автора, сентябрь 2012.

24. Система Siemens Step 7, как оказалось, занимала менее 10 процентов рынка систем управления в США. Аналитики NCCIC определили это, просмотрев базу данных, используемую исследовательскими компаниями, которая предоставляет статистику о наличии на рынке различных продуктов, включая количество промышленных систем управления, произведенных конкретными поставщиками, которые были проданы в Соединенных Штатах. Они определили, что большинство систем Step 7, используемых в Штатах, были задействованы на производственных предприятиях, хотя они также были обнаружены в сферах сельского хозяйства, водоочистных сооружений и электроэнергетике. 

Глава 11. Цифровой заговор.

Когда в 2010 году был обнаружен Stuxnet, в залах Белого дома, возможно, и воцарилось беспокойство, но в мае 2008 года оптимизм царил среди всех, кто знал о секретной программе, поскольку всё шло именно так, как и планировалось.

В то время в самом разгаре были президентские выборы – кандидаты Барак Обама и Джон МакКейн боролись за лидерство в опросах общественного мнения. Президент Буш находился на последнем году своего правления, когда во время визита в Израиль, по случаю шестидесятилетия этой страны, он столкнулся с дерзкой просьбой. Израильтяне хотели получить от США одобрение и поддержку для нанесения авиаудара по заводу обогащения урана в Натанзе.

Правительство Израиля готовилось к воздушному удару по меньшей мере с 2003 года, когда инспекторы МАГАТЭ впервые осмотрели Натанз и обнаружили там частицы высокообагащенного урана в пробах окружающей среды, взятых с завода. Разговоры об авиаударе затихли на некоторое время после того, как Иран согласился приостановить свою деятельность по обогащению в 2003 и 2004 годах, но вернулись в 2006 году, когда Иран вышел из соглашения о приостановке и приступил к установке первых центрифуг в подземных цехах. Теперь, когда было установлено и успешно эксплуатировалось три тысячи центрифуг, к тому же ходили слухи об удвоении этого числа в недалеком будущем, разговоры об ударе разразились громче, чем когда бы то ни было.

Израиль был не единственной страной, настаивающей на нападении. Согласно секретным правительственным телеграммам, опубликованным на Wikileaks, их арабские соседи были столь же непреклонны в отношении прекращения ядерной программы Ирана. «Мы все в ужасе», – сказал однажды американским дипломатам президент Египта Хосни Мубарак.1 Король Саудовской Аравии Абдалла в приватном разговоре призвал Соединенные Штаты оказать услугу, когда речь пойдет об Иране и Ахмадинежаде, и помочь им «отрубить змее голову».2 «Ядерный Иран угрожает миру во всем регионе, а не только в Израиле» – заявил наследный принц Абу-Даби Мохаммад бен Зайд. Если Иран получит ядерную бомбу, «на земле воцариться ад», сказал он, предупредив, что Египет, Саудовская Аравия, Сирия и Турция также начнут свою разработку ядерного оружия для поддержания паритета. В администрации Буша также были лица, которые поддерживали авиаудар – «мальчики-бомбардировщики», как их называл Буш. Среди них был и вице-президент Дик Чейни, который поддерживал нападение Израиля на Сирию в прошлом году.4

Но Буш выступил против таких резких мер. «Я считаю абсолютно абсурдным тот факт, что люди подозревают меня в том, что я пытаюсь найти предлог для нападения на Иран», – заявил он в 2007 году.5 Даже если бы он действительно поддерживал удар, ему было бы трудно добиться широкой поддержки масс. Опрос Гэллапа в ноябре 2007 года показал, что 73 процента американцев предпочитают введение санкций и дипломатию нежели авиаудар, а оценка Национальной разведки, опубликованная в том же году, утверждала, что Иран разрабатывает ядерное оружие пассивно, что также подрывало поддержку ядерного удара.  

Израиль, конечно, был в таком положении и раньше, добиваясь поддержки США для нанесения удара – в 1981 году, когда он вывел из строя иракский реактор «Осирак», и снова в 2007 году, когда страна разбомбила предполагаемый ядерный реактор в Сирии.6 Агенты израильской разведки получили важную информацию о последнем объекте в 2006 году, когда они следили за высокопоставленным сирийским чиновником в Лондоне и установили на его ноутбук троянский конь, когда тот, по своей невнимательности, оставил его в своем гостиничном номере. Вредонос выгрузил из компьютера десятки документов, включая чертежи и фотографии, иллюстрирующие строительство комплекса Аль-Кибар, который израильтяне считали ядерным реактором, предназначенным для разработки оружия. Они заполучили поддержку США для атаки на этот объект после того, как предоставили им доказательства того, что Северная Корея поддерживала строительство этого объекта.7

Поздним вечером 5 сентября 2007 года началась операция «Орчард» – израильские военные самолеты покинули базу на севере Израиля и направились на запад, к морю, и затем внезапно повернули на восток. Летя на низкой высоте, они пересекли границу Сирии, и уничтожили радарную станцию вблизи турецкой границы, используя компьютерные атаки и высокоточные ракеты. Примерно через 20 минут они успешно выполнили свою операцию и благополучно вернулись домой. По заявлениям президента Сирии Башара Асада они нанесли удар по пустому военному зданию. «Там не было людей, не было армии, там не было ничего», – утверждал он.8 Но американская разведка установила, что реактор находился всего в нескольких неделях от его запуска.9

Теперь Израиль намеревался сделать то же самое и в Иране. Они полагали, что авиаудар по Натанзу отбросит ядерную программу Ирана как минимум на три года назад. Но нападение на Иран несло в себе больше сложностей и рисков, нежели нападения на Сирию и Ирак. В обоих предыдущих случаях израильтяне атаковали один наземный объект, который даже не был укреплен, а в случае с Сирией цель была достаточно близка к дому, так что пилоты успевали нанести удар и вернуться до того, как сирийцы успеют ответить. Удар по Ирану, однако, требовал дозаправки самолетов и полета через большие участки арабского воздушного пространства. И вместо одной цели самолеты должны были нанести удар, по меньшей мере, полудюжине объектов, разбросанных по всей стране – обогатительный завод в Натанзе и завод по переработке урана в Исфахане были лишь двумя из них, некоторые из них находились под землей. Иран вынес важный урок из израильского нападения на Ирак десятилетиями ранее – ключом к сохранению ядерной программы является рассредоточение объектов ядерной программы по всей стране, и у американцев было «мало уверенности» насчет того, что Израиль располагал местонахождениями всех объектов, которые нужно было атаковать для остановки ядерной деятельности Ирана.10 Советник Израиля по национальной безопасности даже признала это, заявив делегации Конгресса США в 2006 году: «Мы не знаем местонахождения всех объектов».11

В своем обращении к народу в 2002 году президент Буш назвал Иран частью «оси зла», наряду с Ираком и Северной Кореей, которые угрожают миру во всем мире. Соединенные Штаты, по его словам, не позволят «самым опасным режимам в мире» «угрожать нам самым разрушительным оружием в истории человечества».12 Это было очень громкое заявление. Но спустя несколько лет – лет, наполненных трудностями ведения войны в Ираке – Буш смягчил свою позицию. Министр обороны США Роберт М. Гейтс был убежден, что нападение на Иран не только завершится провалом, но и будет иметь плохие последствия для американских войск в Ираке и Афганистане. Это также могло спровоцировать ответные террористические действия против Израиля со стороны проиранских группировок в Ливане и Секторе Газа, подорвать цены на нефть и вызвать экономические проблемы по всему миру. И самое главное, вместо того, чтобы обуздать ядерные амбиции Ирана, это могло направить его на еще более решительный курс к созданию ядерного оружия и заставить иранских чиновников выгнать инспекторов МАГАТЭ из страны, уводя их ядерную деятельность еще дальше от глаз общественности.

По всем этим и многим другим причинам Буш отверг стремление Израиля нанести авиаудар, но не без альтернативной стратегии.13

К тому же, два года назад советники Буша предложили, как ему казалось, еще лучшее решение проблемы с Ираном, возможно, даже блестящее. И весной 2008 года, когда он последний раз путешествовал по Израилю в качестве президента, казалось, что они действительно смогут это сделать.

Точно неясно, когда именно началось планирование и разработка Stuxnet, но где-то в 2006 году, после того, как Иран вышел из соглашения о приостановке обогатительной деятельности, американские военные и разведывательные агентства, как сообщается, предложили президенту совершить кибератаку, позже названую «Олимпийские игры». Некоторое время Буш оценивал возможности ее проведения. С учетом двух затяжных и тяжелых войн, которые уже велись в Ираке и Афганистане, он решил, что не хочет участвовать еще и в третьей битве на Ближнем Востоке. Секретные операции, которые физически бы уничтожили ядерные объекты Ирана также были исключены, поскольку они также, вероятно, спровоцировали бы войну.14

Поэтому его советники предложили третий вариант – цифровой, который будучи тщательно спланированным и выполненным, мог бы достичь тех же результатов, что и его физические аналоги, но без всех тех рисков и последствий.

Военные и разведывательные сообщества практиковали такие атаки уже почти десять лет, участвовав ранее в небольших «кибервылазках», но все те операции даже и близко не были сопоставимы по масштабу с атакой Stuxnet. Большинство прошлых миссий были просто шпионскими и выполнялись исключительно с помощью цифровых инструментов, проводились они как дополнение к обычной войне – кибер-деятельность, предназначенная для оказания помощи войскам на поле боя, а не для того, чтобы заменить эти сами войска.15

Этот новаторский план предусматривал цифровую атаку на центрифуги и компьютерные системы в Натанзе с целью их физического уничтожения. Требования и ограничения для проведения этой операции были крайне обширными. Это должен быть хирургически точный удар, способный атаковать конкретные машины, оставляя при этом невредимыми другие. Вредонос должен был обойти все внутренние системы безопасности, чтобы осесть в системе и оставаться незамеченной там на протяжении нескольких месяцев. Затем он должен был причинить цели достаточный ущерб, значимые последствия, и при этом не привлекать к себе внимания.

И если атака в конечном счете все же увенчается успехом, потенциальный выигрыш будет огромным. Если кибератака сможет уничтожить иранские центрифуги IR-1 или иным способом замедлить стремительную гонку страны к ядерному прорыву, это ослабило бы некоторое давление на дипломатические отношения и предоставило МАГАТЭ и разведывательным службам больше времени для сбора доказательств ядерных намерений Ирана. Это также немного улучшит политические отношения США с Израилем. Правительство Израиля давно обвиняли Соединенные Штаты в затягивании времени с решением иранского вопроса, цифровая атака докажет, что Штаты не сидят сложа руки, ожидая, когда ситуация разрешится с помощью санкций и дипломатии.

Что еще более важно, если центрифуги будут уничтожены и урановый газ будет просто растрачен в пустую, это приведет к истощению и без того бедных запасов драгоценных материалов Ирана для их ядерной программы. По оценкам экспертов, Иран располагал достаточным количеством материала для создания 12-15 тысяч центрифуг, если бы с помощью атаки удалось бы уничтожить хотя бы несколько тысяч из них, это бы сильно ударило по ядерной программе. А при наличии удачи, это также могло создать политический раскол в иранском режиме. С целью добиться прогресса в ядерной программе на Ахмадинежада и его сторонников уже оказывалось определенное давление, но, если атака сорвет все их усилия и отбросит ядерную программу на несколько лет назад, она вполне может посеять раздор внутри режима.

В компьютерной атаке было очень много преимуществ. Цифровая бомба может достичь тех же результатов, что и кинетическое оружие, но не подвергая при этом риску жизни пилотов. Она также может добиться успеха скрытно, как не смогла бы ни одна физическая бомба, незаметно повреждая систему в течение недель и месяцев. Разумеется, в конечном счете иранцы увидят результат цифрового саботажа, но, если все будет сделано хорошо, они никогда не узнают его истинную причину, и смогут лишь предполагать, были ли проблема физическим дефектом, ошибкой программирования или еще чем-то другим. И даже если они обнаружат в системе вредоносный код, кибератака, проведенная должным образом, не оставит за собой следов, которые могли бы привести к ее источнику. Все эти плюсы были ключевыми, поскольку Соединенные Штаты хотели предотвратить войну, а не начать ее.

Были у кибератаки и другие преимущества. Авиаудары имел очевидные недостатки, когда речь шла о бомбардировках объектов, погребенных глубоко под землей, таких как Натанз.16 Но цифровая атака могла беспрепятственно проскользнуть мимо систем противовоздушной обороны и электрифицированных ограждений, чтобы без особых усилий проникнуть в подземную инфраструктуру, которая была бы недоступна для удара с воздуха или другими средствами. Кроме того, вирус мог выводить из строя устройства не только на известных объектах, но и на неизвестных. Вы не можете разбомбить завод, о котором вы не знаете, но это может сделать вирус. Если Иран имел другие секретные обогатительные заводы, расположенные по всей стране, которые использовали то же оборудование и конфигурации, что и Натанз, вирус, попавший в компьютерные системы мог бы распространиться с известных объектов на неизвестные.

Цифровой саботаж, хотя и на менее изощренном уровне, не был беспрецедентным. В 1980-х годах ЦРУ, Министерство обороны и ФБР провели совместную операцию по саботажу программного и аппаратного обеспечения Советского Союза. Это началось после того, как подполковник Владимир Ипполитович Ветров, 48-летний чиновник отдела «Линия Х» технологического управления КГБ, начал сливать французам разведданные о десятилетней советской операции по краже технологий с Запада.

Ветров слил около трех тысяч документов, которые французы окрестили «досье Фэруэлла», подробно описывая длинный список технологий, который советы уже украли с Запада, а также список технологий, который еще предстояло обрести. Когда список пожеланий попал к доктору Гасу Вайсу, советнику по экономике в Совете национальной безопасности Рейгана, он предложил тогдашнему директору ЦРУ Уильяму Кейси хитроумный план. ЦРУ позволит советским агентам получать технологии, которые они хотят – но при этом шпионское агентство будет подсовывать подделанные проекты и чертежи, чтобы направить их дальнейшие научные усилия на бесполезные предприятия. Он также предложил модифицировать продукты и компоненты до того, как они достигнут «железного занавеса», чтобы те прошли любые испытания на качество, которым могли бы подвергнуть их советы, и только потом давали сбой. Этот план был действительно беспроигрышным, потому что даже если советское правительство обнаружит контрразведывательную операцию, оно всегда будет с подозрением относиться к любой информации или технологии, приобретенной на Западе, никогда при этом не зная, были ли она изменена и когда она могла дать сбой. Это будет «редкость в мире шпионажа», писал позже Вайс во внутреннем информационном бюллетене ЦРУ, описывая схему: «операция, которая будет успешной в любом случае, даже если ее раскроют».17

Согласно этой схеме, «в советскую военную технику были внедрены надуманные компьютерные чипы, на газопроводе были установлены якобы неисправные турбины, а неверные планы нарушили работу химических объектов и тракторного завода», – писал Вайс. Кроме того, советам скармливали заранее недостоверную информацию о самолетах-невидимках и тактических самолетах, а также о западных программах космической обороны. Советский космический шаттл также был построен по «отвергнутому проекту НАСА», который был передан советским ученым, сообщал Вайс.18

Досье Фэруэлла, по словам Вайса, так и не было раскрыто, но Ветрову повезло меньше. В 1982 году он был заключен в тюрьму за убийство своей любовницы, жены сотрудника КГБ, и был разоблачен как двойной агент – хотя диверсионные усилия ЦРУ все также оставались тайной.19 В 1986 году ЦРУ закрыло операцию.

Вайс, ныне покойный, никогда не уточнял, как повлияли изобретенные компьютерные чипы и другие дефектные детали, которые были подсунуты в Советскую цепочку поставок, но в 2004 году Томас К. Рид, работавший с Вайсом в Совете национальной безопасности, написал книгу, в которой кратко упомянул досье Фэруэлла и приписал взрыв сибирского трубопровода 1982 году схеме ЦРУ – тот самый взрыв, на который ссылались исследователи из Symantec в своем блоге о Stuxnet. По словам Рида, одним из пунктов в списке покупок Линии Х было программное обеспечение для управления насосами, клапанами и турбинами на Транссибирском трубопроводе, который строился для транспортировки природного газа, с уренгойских газовых месторождений в Сибири, в страны Европы. Когда ЦРУ узнало, что советские инженеры пытаются получить программное обеспечение от компании в Канаде, агентство в сотрудничестве с фирмой внедрило в код логическую бомбу. Код был разработан для сброса скорости насоса и настройки клапанов на трубопроводе, чтобы «производить давление, намного превышающее допустимое для соединений и сварных швов трубопровода», – писал в своей книге Рид.20 Программное обеспечение «прекрасно управляло процессами… какое-то время», отмечал он. Но затем, по словам Рида, в какой-то заранее заданный момент насосы и клапаны вышли из строя, создавав такое огромное давление газа, которое привело к взрыву мощностью в три килотонны – «самый грандиозный неядерный взрыв и пожар, который можно было видеть из космоса».

Есть много людей среди тех, кто считает историю о взрыве трубопровода апокрифической. Один из бывших сотрудников опроверг эту историю и считает, что Рид и Вайс просто играли фактами.21 Как бы там ни было, досье Фэрруэла действительно существовало и послужило вдохновением для последующих диверсионных схем, направленных на ядерную программу Ирана.

Одна из операций, послужившая примером для досье Фэруэлла, развернулась после того, как ЦРУ проникло в сеть ядерных поставок Хана примерно в 2000 году, и начало подсовывать туда поддельные детали и компоненты, направляющиеся в Иран и Ливию, где Хан также начал предоставлять свои незаконные ядерные услуги. Специалист по оружию из Лос-Аламосской Национальной лаборатории работал с ЦРУ над изменением некоторых моделей вакуумных насосов, чтобы те выходили из строя через случайные промежутки времени. Как и в случае с операцией против Советского Союза, план состоял в том, чтобы модифицировать части так искусно, чтобы они нормально работали в течение некоторого времени, а затем ломались таким образом, чтобы определение причины поломки было максимально трудным.

Из семи насосов, которые испортило ЦРУ, шесть отправилось в Ливию, а седьмой оказался в Иране. Инспекторы МАГАТЭ позже случайно наткнулись на него во время одного из визитов в Натанз.22 Иранцы, очевидно, не поняли, что насос был испорчен.

Однако им удалось обнаружить другую диверсионную операцию, которая произошла в 2006 году. В этом случае дело касалось ИБП – источников бесперебойного питания, полученных из Турции. ИБП помогают регулировать поток электричества и важны для работы центрифуг, которые требуют надежного и стабильного поступления энергии для вращения в течении длительного периода времени с равномерными скоростями. Если электрический ток будет колебаться, центрифуги будут ускоряться и замедляться, ухудшая этим процесс обогащения и даже выводя сами центрифуги из положения равновесия.

Хан, очевидно, купил устройства у двух бизнесменов в Турции и тайно переправил их в Иран и Ливию.23 Но в начале 2006 года, когда Иран попытался обогатить свою первую партию урана в небольшом каскаде на экспериментальной установке в Натанзе, все пошло совсем не так, как ожидали тамошние инженеры. Каскад работал как положено в течение десяти дней, но затем произошел сбой, и все центрифуги пришлось заменить. В то время об этом никто ничего не говорил. Но год спустя, во время телевизионного интервью, глава иранской Организации по атомной энергетике рассказал о том, что произошло. Инженеры установили 50 центрифуг в каскад, объяснил он, и в одну ночь «все 50 центрифуг просто взорвались». ИБП, контролирующие подачу тока, «работали не должным образом», – сказал он. «Позже мы обнаружили, что ИБП, которые мы когда-то импортировали из Турции, были саботированы». Он также добавил, что после этого случая, они начали проверять все импортное оборудование, перед тем, как начинать его использование.24

Были и другие известные планы по саботажу деталей и компонентов иранской ядерной программы, но по крайней мере один из них был прерван, а другие не сработали так, как планировалось.25 Однако то, что советники Буша предложили сделать в 2006 году, обещало вывести черное искусство саботажа на совершенно новый уровень.

То, что они предлагали, было автономным, точным ударом, включавшим в себя компьютерный код, который мог бы действовать независимо от его разработчиков, как только он попадал на целевые машины. Код, который имел интеллект, чтобы знать, когда он нашел свою цель, и освобождать свою полезную нагрузку только при совпадении всех нужных параметров. Который также тщательно маскировал свое присутствие. И главное, это был код, который мог физически уничтожить оборудование, но не через мгновенные, громкие взрывы бомб, а через незаметные и длительные действия.

Некоторые чиновники в администрации Буша скептически относились к тому, что такая атака может сработать, уподобляя ее неопробованному научному эксперименту.26 Но разработчики этой операции не ожидали от нее чудес. Они не рассчитывали полностью уничтожить иранскую программу по обогащению урана, а лишь на какое-то время остановить ее работу, выиграв этим немного время. И даже если операция будет раскрыта, это все равно будет беспроигрышный вариант, как и в ситуации с досье Фэруэлла, поскольку это приведет к сеянию сомнений и паранойи среди иранцев. Даже если инженеры обновят свои машины, перепрограммируют их, они никогда не будут уверены в том, что системы не оказались заражены снова, и что враги не попытаются изменить свою тактику. Они всегда будут начеку при малейших признаках неприятностей, и, если что-то пойдет не так, они никогда не узнают наверняка, была ли причина в физическом дефекте или вражеской компьютерной атаке. Они также будут гораздо осторожнее относиться к любому оборудованию, произведенному за границами Ирана, опасаясь, что оно может быть саботировано.

Дерзкая и изощренная схема, которая сочетала в себе как тайную, так и нелегальную деятельность, была, по сообщениям, задумана Стратегическим командованием США – подразделением Министерства обороны, которое управляет и контролирует ядерное оружие страны – во главе с генералом Джеймсом Картрайтом в качестве одного из ее разработчиков.27 Бывший высокопоставленный американский чиновник описал генерала Картрайта как человека идеи, в то время как бывший директор АНБ Кит Александр был человеком дела и отвечал за выполнение плана. «Роль Картрайта состояла в том, чтобы все красиво расписать, что называется, на бумаге», – сказал один чиновник газете Washington Post. Александр, в свою очередь, «обладал техническими ноу-хау и выполнял фактическую работу».28 Затем элитная команда программистов из АНБ разработала код. Более поздние версии, как сообщается, объединили в себе код от АНБ и код от Подразделения 8200 – израильский аналог АНБ. Однако после завершения разработки кода, его нужно было передать ЦРУ для контроля за доставкой к месту назначения, поскольку только ЦРУ имеет законные полномочия для проведения тайных операций.

Помимо сложных технических трудностей операции, существовали также и юридические проблемы, которые необходимо было решить, поскольку США намеревались атаковать инфраструктуру другой страны без объявления войны. Тайные операции требуют наличия документа, известного как президентское заключение, чтобы санкционировать свои действия, а также согласие Конгресса. И до того, как Буш подписал бумаги на проведение операцию, должен был быть проведен тщательный анализ, чтобы оценить связанные с операцией риски.29

           К счастью, саботаж центрифуг не нес в себе риск ядерной аварии. Газ гексафторида урана, при достаточной концентрации, был разрушителен для легких и почек, но весь каскад содержал в себе считанные десятки граммов газа, который быстро рассеивался, как только попадал в открытый воздух.

И хотя риск ядерного взрыва отсутствовал, оставались другие последствия, которые также стоило учесть, включая риск уничтожения компьютеров в Натанзе. Последнее было возможно в случае если код содержал в себе ошибку или баг, которые были несовместимы с системами, тем самым наводя иранцев на атаку и проваливая этим всю операцию. Существовал также риск возмездия, в случае если Иран обнаружит, что за атакой стоят Соединенные Штаты, а также риск ответного удара, если кто-то изменит код и использует его против американской критической инфраструктуры.

Но все-таки, пожалуй, самым большим риском было то, что Иран и другие страны узнают о настоящих кибервозможностях США. Проблема с использованием кибероружия заключается в том, говорит один бывший агент ЦРУ, что «как только оно появляется, это похоже на использование вашего истребителя-невидимки в первый раз, вы уже выпустили его в небо, и не можете притворяться, что истребителя-невидимки больше не существует. Итак, вопрос в том, для какого воздушного боя вы действительно хотите использовать этот истребитель-невидимку?».30

Стоила ли операция против Ирана разоблачения этого совершенно нового оружия? А как насчет потери моральных позиций, если вдруг станет известно, что за атакой стоят Соединенные Штаты? Цифровая атака, уничтожившая критическую инфраструктуру другой страны – а Иран, без сомнения, заявил бы, что центрифуги были частью критической инфраструктуры – по сути, была актом войны. Соединенным Штатам было бы крайне сложно указать обвиняющим пальцем на какую-то другую страну.

Неясно, как далеко были продвинулись исследования и работа к тому времени, когда советники Буша предложили свой план в 2006 году. Но как только Буш одобрил проведение секретной операции, команде понадобилось всего восемь месяцев, чтобы завершить её разработку.

Это был гениальный заговор, который развивался точно по плану.

До поры, до времени…

Сноски, ссылки и используемая литература:

1.    Сотрудники Spiegel, “Cables Show Arab Leaders Fear a Nuclear Iran”, Der Spiegel, 1 декабря, 2010.

2.    Телеграмма Госдепартамента США от Майкла Гфеллера, 20 апреля, 2008, доступно по адресу: http://www.nytimes.com/interactive/2010/11/28/world/20101128-cables-viewer.html#report/iran-08RIYADH649.

3.    “Cables Show Arab Leaders Fear a Nuclear Iran”, Der Spiegel.

4.    Джеффри Голдберг, “The Point of No Return,” The Atlantic Monthly, сентябрь 2010.

5.    Кэтрин Коллинз и Дуглас Франц, Fallout: The True Story of the CIA’s Secret War on Nuclear Trafficking (New York: Free Press, 2011), 212.

6.    В июне 1991 года, когда тогдашний министр обороны Чейни посетил Израиль, он якобы передал снимок реактора «Осирак», сделанный после того, как он был уничтожен. Чейни прокомментировал изображение: «генералу Иври с благодарностью и признательностью за выдающуюся работу, которую он проделал над иракской ядерной программой в 1981 году, что значительно облегчило нашу работу». Смотрите Дуглас Франц и Кэтрин Коллинз, The Nuclear Jihadist: The True Story of the Man Who Sold the World’s Most Dangerous Secrets (New York: Free Press, 2007), 190.

7.    Эрих Фоллат и Хольгер Старк, “The Story of ‘Operation Orchard’: How Israel Destroyed Syria’s Al Kibar Nuclear Reactor,” Der Spiegel, 2 ноября, 2009. Для получения информации о радиоэлектронных средствах, использованных для уничтожения радиолокационной станции, смотрите, Дэвид. А. Фулхам, “U.S. Watches Israeli Raid, Provides Advice,” Aviation Week, 21 ноября, 2007.

8.    Джулиан Боргер, “Israeli Airstrike Hit Military Site, Syria Confirms,” Guardian, 1 октября, 2007.

9.    Дэвид Олбрайт отмечает, что при полной эксплуатации реактор мог производить достаточно плутония для создания ядерного оружия каждые один-два года. Дэвид Олбрайт, Peddling Peril: How the Secret Nuclear Trade Arms America’s Enemies (New York: Free Press, 2010), 3.

10. Тим Шипман, “U.S. Pentagon Doubts Israeli Intelligence Over Iran’s Nuclear Program,” Telegraph, 5 июля, 2008.

11. Госдепартамент США, “Israeli NSA Eiland on Iranian Nuclear Threat,” 26 апреля, 2006, опубликовано на WikiLeaks: http://wikileaks.org/cable/2006/04/06TELAVIV1643.html.

12. Эрих Фоллат и Хольгер Старк, “The Birth of a Bomb: A History of Iran’s Nuclear Ambitions,” Der Spiegel, 17 июня, 2010.

13. Дэвид Э. Сэнгер, “U.S. Rejected Aid for Israeli Raid on Iranian Nuclear Site,” New York Times, 10 января, 2009.

14. Дэвид Э. Сэнгер, “Iran Moves to Shelter Its Nuclear Fuel Program,” New York Times, 1 сентября, 2011.

15. Подробнее об истории кибервойны правительства США читайте в главе 12.

16. В середине 2007 года западные спутники засекли признаки возможного строительства туннеля в горах, прилегающих к Натанзу, возможно для того, чтобы изолировать материалы и оборудование от предполагаемого нападения на завод. NCRI сообщили, что Иран фактически строит секретные туннели в более чем дюжине мест по всей стране для зашиты ракетных и ядерных установок от потенциальной атаки. Израиль добился от США соглашения о поставке нового поколения бомб для подрыва бункеров, которые, как утверждается, были в десять раз мощнее предыдущего поколения и были способны пробивать цемент и проникать глубоко под землю. Но новые бомбы должны были быть готовы только к 2009 или 2010 году, и при этом не было никакой гарантии, что они сработают против Натанза. Смотрите Дэвид Олбрайт и Про Бреннан, “New Tunnel Construction at Mountain Adjacent to the Natanz Enrichment Complex,” ISIS, 9 июля, 2007, доступно по адресу: https://isis-online.org/uploads/isis-reports/documents/IranNatanzTunnels.pdf. Смотрите также, Уильям Брод, “Iran Shielding Its Nuclear Efforts in Maze of Tunnels,” New York Times, 5 января, 2010.

17. Позже бюллетень был рассекречен. Смотрите Гай Вайс, “The Farewell Dossier: Strategic Deception and Economic Warfare in the Cold War,” в Studies in Intelligence, 1996, доступно по адресу: https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/csi-studies/studies/96unclass/farewell.htm.

18. По словам Вайса, ЦРУ также начало кампанию по дезинформации вокруг технологии лазерного оружия, чтобы убедить советских ученых в том, что эта недоказанная технология – именно то, чем им стоит срочно заняться. Когда ЦРУ обнаружило советские документы, в которых обсуждалась эта технология, агентство организовало размещение статей о ней в журнале Nature и других респектабельных научных изданиях, чтобы создать шумиху о ней, как о многообещающем открытии. Затем они резко прекратили публиковать какую-либо информацию касающуюся этого вопроса, чтобы заставить советов думать, что технология имеет стратегическое значение и что разговоры о ней были подавлены правительством. Вайс сказал, что советы, видимо, проглотили наживку, ибо годы спустя, когда Советский Союз распался, были найдены доказательства того, что советские ученые проводили исследования в области лазерных технологий.

19. Полная история жизни Ветрова и досье Фэруэлла изложены в книге Сергея Костина и Эрика Рейно, Farewell: The Greatest Spy Story of the Twentieth Century. Книга, опубликованная на французском языке в 2009 году, была переведена на английский Кэтрин Кавин-Хиггинс и опубликована в 2011 году компанией Amazon Crossing. Книга была экранизована, фильм вышел в 2009 году под названием L’affaire Farewell.

20. Томас К. Рид, At the Abyss: An Insider’s History of the Cold War (New York: Presidio Press, 2004), 268–69.

21. Рассказ Рида о взрыве трубопровода после первой публикации обрел свою собственную жизнь и неоднократно пересказывался как факт, хотя ни один рассказчик не смог его обосновать. Поэтому есть поводы сомневаться в правдивости этой истории. По словам Рида, взрыв был зафиксирован американскими инфракрасными спутниками и вызвал переполох среди членов Совета национальной безопасности. Они начали догадываться, не проводил ли Советский Союз испытания атомного оружия в Сибири, но Вайс сказал им не беспокоиться по этому поводу. Вайс никогда не объяснял, почему им не стоило беспокоиться об этом, но 20 лет спустя, когда Рид писал свою книгу, Вайс сказал ему, что причиной взрыва, о котором они беспокоились, была делом рук ЦРУ. Но Василий Пчелинцев, бывший глава КГБ в регионе, где, по словам Рида, произошел взрыв, сказал, что этого никогда не было, и что Вайс, скорее всего, просто ошибочно связал досье Фэруэлла со взрывом, который произошел в апреле 1982 года в другом регионе. И взрыв тот, говорил Пчелинцев, был результатом смещения труб, которые двигались из-за таяния снега, а не саботажа со стороны ЦРУ. Смотрите Анатолий Медецкий, “KGB Veteran Denies CIA Caused ’82 Blast”, Moscow Times, 18 марта, 2004.

На вопрос, верит ли он рассказу Вайса о взрыве трубопровода, Рид ответил мне в телефонном интервью в октябре 2010 года: «Я действительно не знаю, произошло ли это… Ясно только то, что этот эпизод с досье существовал на самом деле. Агентство провело очень серьезную кампанию по саботажу материалов, отправляемых русским». Он сказал, что помнит, что, взрыв произошел в то время, когда он еще работал в Совете национальной безопасности. «Я вспомнил, что произошло событие, которое сильно озадачило разведывательное сообщество». Но был ли это взрыв трубопровода на самом деле, «это было тридцать лет назад», говорит он, признавая, что его и Вайса воспоминания могли потерять четкость на протяжении столь долгого времени. «Я с уважением отношусь к русским историкам, которые утверждают, что никакого взрыва, связанного с досье, не было… Но, возможно, взрыв и был, но был результатом не троянского коня… Правда это или нет, я не знаю». Однако не стоит слишком надеяться, что любые будущие пересказы истории о взрыве трубопровода будут сделаны без соответствующих оговорок.

22. Инспекторы МАГАТЭ увидели тот насос в Натанзе, потому что он выделялся из остальных наличием наклейки, идентифицирующей его как собственность Лос-Аламосской Национальной лаборатории, что они сочли странным. Когда МАГАТЭ провело расследование, оказалось, что серийный номер этого насоса совпадал с серийными номерами насосов, которые они видели в Ливии, что могло значить только одно – все эти насосы были из одной и той же партии. Инспекторы отследили заказ на насосы до американской лаборатории. Никто так и не смог выяснить, как наклейка из Лос-Аламоса попала на насос в Натанзе и почему она не смутила иранцев. Смотрите Коллинз и Франц, Fallout, 138.

23. Frantz and Collins, Nuclear Jihadist, 238.

24. Интервью Голама Резы Агазады, январь 2007 года, с Аянде-йе. Само интервью недоступно онлайн, но на него ссылаются Шейла МакВикар и Фархан Бухари, “Assessing Iran’s Nuclear Program,” CBS News, 4 апреля, 2007, доступно по адресу: http://www.cbsnews.com/news/assessing-irans-nuclear-program.

25. Один из не состоявшихся планов, придуманный Моссадом и ЦРУ, как описано в книге Джеймса Райзена State of War, предусматривал использование электромагнитного импульса для уничтожения компьютеров, используемых на ядерных объектах Ирана. Шпионы планировали контрабандой ввезти в Иран оборудование, которое доставит электромагнитный импульс к линиям электропередач за пределами объектов. Однако ЦРУ отказалось от этой затеи, поняв, что оборудование слишком велико, чтобы тайно доставить его в Иран. Райзен, State of War: The Secret History of the CIA and the Bush Administration (New York: Free Press), 208–9.

26. Сангер, “U.S. Rejected Aid for Israeli Raid”.

27. Тайные операции включают в себя секретную деятельность, такую как наблюдение и сбор разведывательной информации для обнаружения информации о цели, которая позже может быть атакована. Однако, эта тайная деятельность, по задумке, должна быть обнаружена, поскольку она предназначена для влияния на условия – политические, экономические или военные – хотя сторона, ответственная за эту деятельность может оставаться скрытой, например, ЦРУ. Операция Stuxnet включала в себя как подпольную, так и тайную деятельность. Подпольная деятельность включала в себя сбор разведывательных данных о заводе. Но установка вредоносного кода в систему управления должна была быть скрытой лишь до определенного времени.

28. Эллен Накасима и Джоби Уоррик, “Stuxnet Was Work of U.S. and Israeli Experts, Officials Say”, Washington Post, 2 июня, 2012.

29. Сангер, “U.S. Rejected Aid for Israeli Raid”.

30. Интервью автора, 2012.

31. Дэвид Е. Сангер, Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power (New York: Crown, 2012), 193.

Глава 12. Пятый элемент.

Когда советники Буша предложили ему идею высокоточного цифрового оружия, направленного на саботаж иранских центрифуг, планы по развитию подобных возможностей разрабатывались уже в течение десяти лет. Америка вполне осознавала, что их собственные военные сети могут быть уязвимы для вражеских атак.

Ученые и военные и того дольше размышляли над концепцией кибервойны и потенциалом цифрового оружия. Еще в 1970 году Совет по обороне изучал потенциальные военные преимущества атак на компьютерные сети. Это сделало бы их ненадежными и бесполезными в том, что тогда называлось информационная война. Однако в то время компьютеризация только начинала свои обороты, как такового интернета еще не существовало, так что потенциальные возможности должны были подождать, пока их догонит реальность.

Это произошло в 90-х годах, примерно в то же время термин «кибервойна» был введен в основополагающем документе 1993 года RAND под названием «Кибервойна грядет!»: «Мы предполагаем, что кибервойна может стать тем же, чем блицкриг был в 20 веке», – писали в то время Джон Аркилла и его соавтор.1 Аркилла, ныне профессор Военно-морской аспирантуры в Калифорнии и военный консультант, признал потенциал цифровых атак еще во время Первой войны в Персидском заливе, когда Соединенные Штаты использовали специальную радиолокационную систему для обнаружения движущихся целей в Ираке, и понял, что она вполне могла бы быть обезврежена, иранцам просто нужно было найти способ как это сделать. Тогда Аркиллу поразило, что компьютерные технологии, которые с одной стороны делают современную армию сильной, с другой стороны открывают в ней уязвимости. «Что сделало эту мысль еще более пугающей, так это то, что эта власть принадлежала не только правительственной армии, но и хакерам», – добавил он позже. И разрушительная сила этих хакерских групп росла, что называется, «не по дням, а по часам».2

Военные уже имели свой первый опыт с кибератаками в 1980-х годах, когда немец по имени Маркус Гесс, который, как сообщается, был завербован КГБ, взломал сотни военных систем и исследовательских объектов, таких как Национальная лаборатория Лоуренса Беркли, в поисках разведданных о спутниках и системе космической обороны.3 Затем последовали и другие опасности. В 1990 году, в преддверии Первой войны в Персидском заливе, голландские подростки взломали почти три десятка американских военных машин, ища информация о ракетах Patriot, ядерном оружии и операции против Ирака. Американцы опасались, что подростки планируют продать информацию Ираку. Затем, в 1994 году, шестнадцатилетний британский хакер, под руководством своего двадцатиоднолетнего наставника из Уэльса, хакнул системы ВВС США и использовал их для проникновения в южнокорейский институт ядерных исследований, а также для нападения на более чем сотню других жертв. В то время Соединенные Штаты были вовлечены в деликатные ядерные переговоры с Северной Кореей, и военные опасались, что если бы хакеры нацелились на объект в Северной Корее, то могли бы привести две страны на грань войны.4

Но это правило работало для обеих сторон. Если американские системы были уязвимы для атак, то такими же уязвимыми были и системы противников. И хотя Соединенные Штаты еще не располагали возможностями для проведения таких атак, колеса уже были приведены в движение.

Военно-воздушные силы первыми предприняли шаги в этом направлении в 1993 году, когда они переформировали свой Центр радиоэлектронной борьбы в Центр информационной войны ВВС и создали два года спустя 609-ю эскадрилью информационной войны – первое военное подразделение кибербойцов.5 Расположенный на авиабазе Шоу в Южной Каролине, она должна была объединить в себе наступательные и оборонительные кибердействия для поддержки боевых операций. На тот момент, наступательные операции были все еще более теоретическими, поэтому подразделение сосредоточилось в основном на оборонительных тактиках. Но военные быстро поняли, что оборонительные и наступательные тактики сильно взаимосвязаны, потому что, защищая свои собственные сети от вражеских атак, они получали разведданные и навыки, необходимые для взлома вражеских. В 1996 году эскадрилья организовала учения «Красная команда/Синяя команда», чтобы проверить наступательные и оборонительные навыки подразделения, и в течение двух часов красная команда получила полный контроль над системой воздушного контроля синей команды.

В 1997 году военные провели более организованные учения по оценке своих оборонительных возможностей против атак вражеских хакеров. Это упражнение, получившее название «Приемник», столкнуло красную команду хакеров АНБ с сетями Тихоокеанского командования США на Гавайях. Для проведения атаки команде было запрещено использовать инсайдерские знания или что-либо еще, кроме готовых инструментов, которые были доступны обычным хакерам. Команда красных начала свое наступление через коммерческую учетную запись удаленного доступа в интернете и ворвались прямо в сети военных без особого сопротивления. Системные администраторы на Гавайях, которые не знали об учениях, заметили только два из многочисленных вторжений, совершенных хакерами из АНБ в течение 90 дней, но даже тогда они ничего не заподозрили, потому что входящий трафик напоминал обычный трафик, которые администраторы ожидали увидеть в сети. Это было мало похоже на нападение на Перл Харбор в 1941 году, когда оператор радара Опана на острове Оаху заметил приближающиеся самолеты, но не поднял тревогу, потому что его начальство посчитало, что они были союзными.

Хакеры красной команды оставили в системах файлы-маркеры в знак доказательства того, что они там были, а также создали ряд имитационных атак, демонстрирующих, как они могли захватить контроль над энергетическими и коммуникационными сетями в Оаху, Лос-Анджелесе, Чикаго и Вашингтоне, округ Колумбия. Если бы они захотели, то могли бы захватить контроль над системой, используемой для командования сотнями тысяч военнослужащих, или организовать «каскадные отключения электроэнергии и другие мероприятия, которые вызвали бы социальные волнения», – согласно словам генерал-лейтенанта Джона Х. Кэмплбелла, ныне отставного генерала ВВС, одно время возглавлявшего информационные операции Пентагона. Это упражнение «напугало до чертиков многих людей, – позже сказал Кэмпбэлл, – потому что последствия того, что эта команда смогла сделать, были довольно многообещающими.7

Позже, когда военные руководители были проинформированы об учениях, они предположили, что красная команда использовала секретные инструменты для атаки, и были удивлены, узнав, что АНБ использовало те же методы, что и любой подросток-хакер.

В следующем году группа подростков ворвалась в военные сети, используя те же самые низкоуровневые методы, в деле, которое получило название Операция Солнечный Восход. Злоумышленники, похитившие конфиденциальные данные с пятисот систем, оказались двумя калифорнийскими подростками, подстрекаемыми израильским хакером по имени Эхуд Таненбаум. В то время Министерство обороны провело две военные кампании – в Боснии и Герцеговине и Ираке. Вторжение, по мнению военных специалистов, было очень похожим на то, что сделали бы вражеские нападающие, если бы они пытались получить преимущество на поле боя. Заместитель министра обороны Джон Хамре, по сути, считал, что эти атаки «могут быть первыми выстрелами настоящей кибервойны, возможно, со стороны Ирака».8 Это были реальные военные игры, которые подчеркнули трудность в нахождении отличий между государственными нападениями и атаками простых подростков, испытывающих свои возможности. «Все что мы выучили в «операции Приемник, мы переучили в Солнечном Восходе», – позже заключил Хамре. «Нет ничего лучше, чем реальный опыт».9

Настоящий урок, однако, произошел немного позже, когда Хамре созвал собрание, чтобы обсудить вторжение, и оглядел комнату, заполненную двумя дюжинами людей, которые спрашивали: «Кто здесь главный?», «Кто отвечает за нашу безопасность?» и понял, что в случае с кибератаки, никто, видимо, не был ответственным. Шок от осознания этого факта привел к созданию в декабре 1998 года совместной целевой группы – Computer Network Defense (JTF-CND), первой военной группы, которой было поручено выяснить, как все-таки защитить военные сети.10

Оперативная группа, возглавляемая Кэмпбеллом, представляла собой пеструю группу, состоящую из пары летчиков-истребителей ВВС и флота, офицера морской пехоты, нескольких рейнджеров, пилота подводной лодки, сотрудников разведки и нескольких контрактников. Один офицер описал их как «несколько парней в летных куртках… и кучка гражданских лиц в галстуках».11 Лишь немногие из них были IT-шниками, знавшими толк в сетях. Первоначально у них не было ни офиса, ни вспомогательного персонала, и им приходилось работать в трейлерах на стоянках. Но со временем группа выросла до более чем 150 человек.

Их миссия состояла в разработке доктрин и методов защиты сетей Министерства обороны от нападения, но прежде чем начать, им нужны были ответы на два вопроса: должны ли они разработать структуру типа NORAD для защиты гражданской критической инфраструктуры? И что насчет нападения? «Мы все уже жаждем перейти в режим атаки», – вспоминает Маркус Сакс, армейский инженер, один из первых членов оперативной группы. «Все думают о потенциале запуска кибероружия… Мы хотим пойти по этому пути и как бы выяснить, насколько сильно может измениться нападение с п цифрового оружия».

Это была эпоха хакерских конференций, таких как Def Con и HOPE, две конференции, проводимые в Лас-Вегасе и Нью-Йорке, которые стали популярными форумами для хакеров и исследователей, на которых те могут обсудить дыры в безопасности и хакерские инструменты.13 ФБР и другие разведывательные службы каждый год под прикрытием скрывались на Def Con, поэтому Сакс решил тоже поприсутствовать и, так сказать, открыть глаза на возможности того, какие возможности может предоставить эта конференция для военных. Но оперативной группе было приказано сбавить обороты, так как военные еще не были готовы к наступательным операциям. «Еще не были проработаны юридические вопросы», – объясняет Сакс.

Однако была и другая причина для осторожности. Кибероружие – это оружие, из которого вы стреляете, и оно никуда не исчезает. Кто-нибудь может поднять его и выстрелить прямо в тебя», – говорит Сакс. «Это была очень серьезная причина, для того, чтобы не начинать его использование».

В то время Сакс не знал, что в прошлом году министр обороны уже дал АНБ полномочия начать разработку методов компьютерного сетевого нападения(CNA), задача, которую шпионское агентство приняло в качестве расширения своих существующих обязанностей в области радиоэлектронной борьбы, которые включали глушение вражеских радиолокационных систем и уничтожение каналов связи.14 АНБ считало, что его технические гении могут сыграть решающую роль на зарождающемся цифровом поле боя.

Преимущества цифрового боя перед классической войной были очевидны, писало АНБ во внутреннем информационном бюллетене в 1997 году.15 В эпоху телевизионных войн, когда изображения мешков для трупов давали не давали забыть людям насколько суровы реалии войны, кибервойна в свою очередь предлагала хорошую альтернативу, которую будет намного легче воспринимать людям. Но были и другие преимущества, отмеченные в докладе: низкая стоимость для проведения таких кампаний, «гибкая база развертывания», где «быть в пределах досягаемости» цели вовсе не обязательно, а также разнообразный и постоянно расширяющийся набор целей по мере компьютеризации все более и более важных систем.

Шпионское агентство, по сути, еще за десять лет до Stuxnet начало рассматривать наступательные возможности, предоставляемые растущей зависимостью мира от компьютерных систем управления в критической инфраструктуре. Другая статья в том же бюллетене предлагала построить карту для отслеживания технологий, которые уже были на полках магазинов, а также тех, которые все еще были «огоньком в глазах инженеров», чтобы в последствии развить возможный спектр атак.16 В бюллетене также предлагалось каталогизировать все общедоступные хакерские инструменты – уже доступные для использования вирусы, логические бомбы, трояны и бэкдоры. Эти мощные инструменты, «если они будут эффективно использоваться», отметил автор, «могут быть чрезвычайно разрушительными для информационной инфраструктуры любой страны».17 Это включало, однако, и инфраструктуру США. «Итак… прежде чем вы начнете думать об этой богатой целями среде», – предупреждал информационный бюллетень агентства, – «помните, что генерал Кастер тоже был в богатой мишенями среде!».18

Однако, несмотря на очевидный интерес к проведению цифровых атак, юридические вопросы продолжали вызывать недоумение. Весной 1999 года, когда силы НАТО сбрасывали бомбы на Югославию, Ассоциация Военно-Воздушных Сил созвала в Техасе закрытый симпозиум для обсуждения возможностей того, что все еще называлось «информационной войной». Генерал Джон Джампер, командующий ВВС США в Европе, сказал собравшимся, что, хотя информационная война и вызывает ощущение захвата «неприкосновенной инфраструктуры» противника, военных там еще не было. Кибероружие на тот момент все еще оставалось в основном лабораторным оружием, и единственная информационная война, которая велась в тот момент, происходила между юристами, политиками, и военными лидерами в Вашингтоне, которые все еще спорили о значимости и законности сетевых атак.19 Джампер сказал собравшимся: «Я представляю себя возле того же самого стратегического стола, где у вас есть пилот истребителя, пилот бомбардировщика, агенты специальных операций и бойцы информационной войны. Когда вы идете вниз по списку целей, каждый из них по очереди поднимает руку говоря: «я могу взять эту цель на себя». Когда вы доберетесь до информационного воина, он скажет: «я могу взять эту цель, но сначала я должен вернуться в Вашингтон и получить президентское одобрение».20

Однако это начало меняться в 2000 году, когда оперативная группа Пентагона по сетевой обороне внезапно получила указание добавить наступательные операции к своей миссии и разработать доктрину их использования. Изменение фокуса деятельности также привело к изменению названия. Вместо Joint Task Force–Computer Network Defense они стали называться Joint Task Force–Computer Network Operations. Внешне это изменение было незаметным, чтобы не привлекать внимания, говорит Сакс, но внутренне оно сигнализировало о готовности военных начать серьезно планировать наступательные операции.

Перед целевой группой теперь постоянно стояло множество вопросов. Была кибератака военной акцией или тайной операцией? Каковы были требования для проведения подобных атак? Уничтожение компьютерных систем связи казалось очевидной задачей для наступательной операции, но как насчет саботажа систем управления вооружением?21 И кто будет ответственным за проведение таких операций? До тех пор, пока ВВС нуждались в уничтожении вражеских радиолокационных систем, они вынуждены были работать совместно с группой радиоэлектронной борьбы АНБ. Но АНБ было разведывательным агентством, основной задачей которого был перехват информации. Вывод из строя компьютеров, контролировавших артиллерийскую систему, больше походил на работу боевых подразделений, а не компьютерных.

С добавлением наступательной миссии к оперативной группе генерал-майор Джеймс Д. Брайан стал новым командующим оперативной группы. Но заместитель министра обороны Хамре дал ясно понять, что оборона по-прежнему является приоритетом группы, и что наступательные операции должны быть просто вспомогательными к обычным операциям, а не заменой им.

 По крайней мере так было до теракта 11 сентября, о которых вспоминал Брайан как о «изменивших наши приоритеты». Наступательные операции внезапно приобрели большее значение, и впервые группа начала подходить к наступательным кибератакам так, как подходила к кинетическим – как к средству уничтожения целей, а не просто использования компьютеров для сбора разведданных. «Мы действительно обратились к военному командованию и запросили у них список целей», – вспоминал он позже. «И мы действительно прошли через процедуру взвешивания, анализа и определения приоритетов целей в глобальном масштабе.22

Наступательные операции США продвинулись еще дальше в 2003 году, когда Пентагон разработал секретную «Карту информационных операций», направленную на превращение информационной войны в основную военную компетенцию наравне с воздушными, наземными, морскими и специальными операциями.23 В секретном докладе, опубликованном с изменениями несколько лет спустя, отмечалось, что уже ведется всеобъемлющий процесс оценки возможностей кибероружия и шпионских инструментов и разработки политики их использования. Последнее подразумевает собой попытку определить, какой уровень манипулирования данными или системами считать нападением или применением силы, а какой квалифицировать как простой сбор разведданных. Какие действия могут быть законно предприняты в целях самообороны и какой уровень атрибуции необходим, прежде чем Соединенные Штаты смогут нанести ответный удар? Кроме того, могут ли Соединенные Штаты использовать «невольные хосты» для запуска атаки, то есть прохождение через другие системы или управление ими для атаки противника, если в результате невольный хост столкнется с возмездием?

В 2004 году, чтобы учесть это повышенное внимание к наступательным операциям, Министерство обороны разделило свои наступательные и оборонительные кибероперации на два подразделения, что для многих стало сигналом начала милитаризации киберпространства. Оборонительное подразделение стало называться Объединенной оперативной группой по глобальным сетевым операциям, а наступательное подразделение – Объединенным функциональным компонентом командования кибердействий. Последний размещался в Форт-Миде, на родине АНБ, но находился под стратегическим командованием США и руководством генерала морской пехоты Джеймса Э. Картрайта. Но в следующем году, как говорят некоторые, действительно начался «культ наступления» – когда генерал Кит Александр занял пост директора АНБ после генерала Майкла Хайдена, и акцент на разработке кибероружия для ведения войны значительно усилился. Все это происходило параллельно разработке операции «Олимпийские игры» и Stuxnet.

Шесть лет спустя, в мае 2010 года, когда Stuxnet был уже широко распространен на компьютерах по всему миру и был готов к своему разоблачению, Пентагон объединил свои оборонительные и наступательные кибероперации под новым киберкомандованием США. Новое подразделение по-прежнему входило в состав Стратегического командования США, но находилось под командованием директора АНБ Александра, что давало лидеру агентства беспрецедентные полномочия как в разведывательных операциях, так и в кибератаках. Через три месяца после создания Киберкомандования США Пентагон официально признал киберпространство «пятой сферой» ведения военных действий после авиации, суши, моря и космоса.

Однако все это было лишь формальным признанием деятельности, которая так или иначе велась уже в течение десятилетия. Однако из-за секретного характера наступательных операций общественность имела лишь незначительные намеки на эти действия, которые понемногу просачивались в публику на протяжении многих лет.

Например, в конце 90-х годов в Косово силы НАТО, возможно, использовали определенные кибертехнологии «для искажения изображений, которые», по словам Джона Аркиллы, работавшего в то время в Стратегическом командовании США, «создавали сербские интегрированные системы ПВО».24 Президент Клинтон также, как сообщается, одобрил тайную кибероперацию, направленную против финансовых активов президента Югославии Слободана Милошевича в европейских банках, хотя существуют противоречивые заявления, которые ставят этот факт под сомнение.25 В 2003 году однако, когда аналогичная кибератака была предложена для замораживания финансовых активов Саддама Хусейна, министр финансов США отклонил ее, опасаясь, что подобная атака может иметь непоправимые последствия для других финансовых счетов на Ближнем Востоке, в Европе и Соединенных Штатах.26

В 2007 году США помогли Израилю с кибератакой, которая сопровождала бомбардировку комплекса Аль-Кибар в Сирии, предоставив разведданные о потенциальных уязвимостях в сирийских системах обороны. Как отмечалось ранее, они вывели из строя сирийскую радиолокационную станцию вблизи турецкой границы, комбинируя использование электронных помех и высокоточных бомб. Но, если верить аналитикам американской разведки, израильтяне взломали систему ПВО Сирии, дополнительно используя бортовую технологию для «электронной атаки воздух-земля», а затем проникли еще глубже в систему через компьютерные коммуникации.27 В недавнем докладе Управления подотчетности правительства США атаки типа «воздух-земля» описываются как полезные для достижения «в противном случае недоступных сетей», которые не могут быть достигнуты через проводные соединения.28

В 2011 году, во время гражданского восстания в Ливии, также велись разговоры об использовании кибератак для разрыва военных линий связи этой страны и создания помех системам раннего предупреждения в обнаружении военных самолетов НАТО. Однако план был отвергнут в связи с недостатком времени на его подготовку. Потребность в более длинном времени подготовки является одним из главных недостатков цифровых операций – разработка атаки, которая параллельно не зацепит невинных граждан, требует предварительной разведки и планирования.

Совсем недавно утечки от бывшего системного администратора АНБ Эдварда Сноудена предоставили некоторые из самых обширных взглядов на тайные кибероперации правительства в его борьбе с терроризмом. Документы описывают элитные хакерские силы АНБ в Форт-Миде и региональных центрах в Джорждии, Техасе, Колорадо и Гавайях, которые предоставляют Киберкомандованию США инструменты и методы атаки, необходимые для контртеррористических операций. Но правительственные кибервоины также сотрудничали с ФБР и ЦРУ в проведении цифровых шпионских операций, включая оказание помощи ЦРУ в отслеживании целей для его кампании по уничтожению беспилотников.

Чтобы выследить Хасана Гуля, соратника Усамы бен Ладена, который был убит в результате удара беспилотника в 2012 году, АНБ развернуло «арсенал инструментов кибершпионажа», чтобы, согласно документам Сноудена, полученным Washington Post, захватить контроль над ноутбуками, прослушивать аудиофайлы, и отслеживать радиопередачи – все для того, чтобы определить, где Гуль может остановится ночью.30 А с 2001 года, АНБ также проникло в широкий спектр систем, используемых партнерами Аль-Каиды в Йемене, Африке и других местах для сбора разведданных, которые они не могли получить через программы массового сбора данных от интернет-компаний, таких, как Google и Yahoo, или от сетей подводных кабелей и интернет-узлов.

Однако подозреваемые в терроризме – не единственные цели АНБ. В последние годы также увеличилось количество операций против национальных противников. В 2011 году АНБ провело 231 наступательную кибероперацию против других стран, три четверти из которых, согласно документам, были обозначены как «первоочередные цели», такие как Иран, Россия, Китай и Северная Корея. В рамках секретной программы стоимостью 652 миллиона долларов под кодовым названием GENIE АНБ, ЦРУ и специальные военные оперативные группы внедрили десятки тысяч цифровых жучков в компьютеры и маршрутизаторы по всему миру для эксплуатации компьютерных сетей, или CNE (взлом компьютерных сетей для передачи информации). Некоторые из них устанавливаются удаленно, остальные же требуют физического доступа для установки – ЦРУ или ФБР перехватывают поставки оборудования от производителей и розничных продавцов, чтобы внедрить в них вредоносное ПО или установить поддельные чипы до того, как они достигнут покупателя. Жучки или имплантаты работаю как «спящие клетки организма» – они могут включаться и выключаться по желанию оператора, и производить сбор данных только тогда, когда это необходимо.31 Большинство имплантатов создаются специальном отделом АНБ и имеют кодовые названия, такие как UNITEDDRAKE и VALIDATOR. Они предназначены для открытия бэкдора, через который хакеры АНБ могут удаленно исследовать зараженные системы и все устройства, которые взаимодействуют с ними, а также устанавливать дополнительные инструменты для извлечения из них огромных объемов данных. Имплантаты, как утверждается, были созданы таким образом, чтобы выживать в системах на протяжении многих лет и продолжать работать даже при обновлении программного обеспечения жертвы, которые обычно уничтожают их.32 В 2008 году АНБ имело 22 252 имплантата, установленных в системах по всему миру. К 2011 году это число возросло к 68 975, а в 2013 агентство рассчитывало установить 85 тысяч имплантатов, планируя довести этот показатель до миллиона. Но такое большое количество имплантатов создало для АНБ проблему. С таким их количеством, скрывающимся в системах по всему миру, шпионское агентство банально не могло воспользоваться всеми машинами, находящимися под контролем. Согласно документам Сноудена, в 2011 году, шпионы АНБ могли в полной мере использовать только 10% зараженных ими машин. Чтобы исправить это, агентство планировало автоматизировать процесс с помощью новой системы под кодовым названием TURBINE, которая, как утверждается, способна управлять миллионами имплантатов одновременно.33

Однако все эти операции – от Косово до Сирии и Ливии, а также разоблаченные в документах Сноудена – были сосредоточены на краже или изменении данных, или использовании кибертехнологий, которые помогали доставить физическое оружие к цели. Ни одна из них не была проведена как полноценная замена классическим физическим атакам. Это и было тем фактором, который сделал Stuxnet настолько принципиально другим и новым.

Stuxnet стоит особняком как единственная кибератака, которая привела к физическому уничтожению системы. Но есть намеки на то, что Соединенные Штаты готовились и к другим подобным атакам. Согласно сверхсекретной президентской директиве, просочившейся через Сноудена, в октябре 2012 года президент Обама приказал высокопоставленным сотрудникам национальной безопасности и разведки подготовить список иностранных целей – «систем, процессов и инфраструктур» – для возможной кибератаки.34 Точно неизвестно, действительно Соединенные Штаты были намерены проводить атаки, или просто строили планы на случай возможного конфликта. Но такие операции, как отмечалось в директиве, могут предоставить «нетрадиционные и уникальные» возможности «для достижения национальных целей США по всему миру практически без предупреждения цели и с потенциальными последствиями, варьирующимися от безобидных до вполне серьезных повреждений».

Всплеск наступательных операций и их планирование сопровождался таким же всплеском спроса на квалифицированных IT специалистов и средства атаки, необходимые АНБ для проведения этих операций. Хотя большинство имплантатов, используемых АНБ, разрабатываются их собственными силами в отделе TAO, в 2013 году АНБ также выделило 25,1 миллиона долларов на «тайные закупки уязвимостей программного обеспечения» у частных поставщиков – то есть небольших фирм и крупных кибероборонных подрядчиков, которые составляют новый промышленный военный комплекс, питающий серый рынок уязвимостей нулевого дня.35 Эта тенденция в правительственном аутсорсинге наступательных киберопераций видна в объявлениях о вакансиях, которые стали появляться последние годы от подрядчиков из сферы кибербезопасности, ищущих, например, «разработчиков кибератак», или опытных специалистов в «анализе программного обеспечения на наличие уязвимостей и разработке кода эксплойта». Один из проектов подрядчика из сферы кибербезопасности Northrop Grumman смело описывал «захватывающий и быстро развивающийся Научно-исследовательский проект» для «наступательной операции в киберпространстве», который не оставлял при этом никакой двусмысленности в отношении характера работы. Другие более тонко заявляют о своих намерениях, например, листинг Booz Allen Hamilton, подрядчика, на которого работал Сноуден в АНБ, искал «целевого аналитика цифровых сетей» для разработки эксплойтов «для операционных систем персональных компьютеров и мобильных устройств, включая Android, BlackBerry, Iphone и Ipad». Во многих вакансиях в числе требуемых навыков упоминаются как CND (защита компьютерных сетей), так и CNA (атаки на компьютерные сети), подчеркивающие, что проводимые исследования можно использовать как для улучшения безопасности систем, так и для их атаки.

Кто эти люди, которые заполняют эти рабочие места? Иногда это такие люди как Чарли Миллер, математик, упомянутый в главе 7, который был завербован АНБ для взлома кодов и компьютеров. А иногда это бывшие хакеры, разыскиваемые правоохранительными органами за взлом правительственных систем США, которых нанимают за их способность сделать то же самое, только на стороне государства. Нехватка высококвалифицированных кандидатов в профессиональных рядах, которые могут удовлетворить требования для элитных киберотрядов, привела к тому, что военные и разведывательные службы начали посещать хакерские конференции, такие как Def Con, где им, возможно, придется простить прошлые проступки хакера и немного снизить свои требования относительно офисной одежды и пирсинга, чтобы привлечь самых отборных специалистов. Один хакер, нанятый правительственным подрядчиком, поделился с интервьюером о своем беспокойстве, из-за того, что его история взлома правительственных систем США помешает ему работать с федералами, но кадровая компания, которая наняла его, «похоже, не заботилась о том, что всего пару лет назад я взламывал собственное государство или курил травку».36

Он описал часть работы, которую он проделал в составе команде из пяти тысяч сотрудников, работавших в здании без опознавательных знаков в невзрачном офисном комплексе в Вирджинии. Рабочим было запрещено приносить в здание мобильные телефоны или другую электронику, и даже оставлять их в своем автомобиле.   

Как только он был принят на работу, компания сразу дала ему список программ, которые он должен был взломать. Он быстро нашел базовые уязвимости во всех программах из списка. Его группа, по его словам, имела в своем распоряжении огромное хранилище уязвимостей нулевого дня – «десятки тысяч готовых к использованию багов» в программных приложениях и операционных системах для любой конкретной атаки. «Буквально, если вы можете назвать программу или контроллер, у нас есть эксплойты на любой случай», – утверждал хакер. Их не беспокоили патчи, потому что для каждой уязвимости, исправленной ее разработчиком, у них имелась другая, которая заменит ее. «Мы новая армия», – сказал он, – «Тебе может не нравится, что делает армия, но ты все равно хочешь, чтобы она у тебя была».37

 Это расширение правительственных операций по поиску уязвимостей освещает важный вопрос, который мало рассматривался, когда целевая группа Министерства обороны впервые разрабатывала свою наступательную доктрину десять лет назад. Этот вопрос даже сегодня получает мало общественного внимания и вообще не обсуждался в Конрессе – то есть этические вопросы и вопросы безопасности вокруг накопления эксплойтов и уязвимостей нулевого дня. Накапливая эксплойты нулевого дня для использования правительством в атаках, вместо того, чтобы передавать информацию о дырах поставщикам для исправления, правительство поставило владельцев критической инфраструктуры и пользователей компьютеров в Соединенных Штатах под угрозу атаки со стороны хакеров, корпоративных шпионов и иностранных разведывательных служб, которые, несомненно, обнаружат эти уязвимости и будут использовать их для своих собственных операций.

Как отмечалось ранее, когда исследователи обнаруживают уязвимости, они обычно раскрывают их публично или в частном порядке ее разработчику. Делается это для того, чтобы патч можно было распространить среди максимального количества пользователей. Но в случае с военными и разведывательными службами, в случае если в операции им требуется уязвимость нулевого дня, исправить уязвимость, это последнее что они хотят сделать. Вместо этого они держат кулачки и надеются, чтобы эту уязвимость не обнаружили до того, как они ее используют. «Если вы создали целую операцию, основанную на существовании одной уязвимости, черт, вы только что потеряли систему, в которую вы, возможно, вложили миллионы долларов и тысячи человеко-часов», – сказал Энди Пеннингтон, консультант по кибербезопасности из K2Share на конференции в 2011 году. Пеннингтон – бывший офицер систем вооружения ВВС США, чья работа робота до выхода на пенсию заключалась в обзоре новых кибертехнологий и разработке для ВВС оружия нового поколения.38 «Вы ж не собираетесь нанять команду исследователей, чтобы найти уязвимость, а затем выложить ее в сеть, чтобы все видели, пытаетесь ли вы разработать атаку на нее», – заявил он позже в интервью. «Мы вкладываем в выявление уязвимостей миллионы долларов, а все для того, чтобы использовать их и сохранять наше тактическое преимущество».

Но эта правительственная модель, в основе которой лежит удержание всех в уязвимом положении, чтобы в случае необходимости атаковать несколько целей – эквивалент отказа от вакцинации всего населения, чтобы заразить вирусом несколько выбранных людей.

Вполне вероятно, что, используя в Stuxnet целых четыре уязвимости нулевого дня для атаки на системы в Иране, хакеры, или компьютерные специалисты другого государства также использовали их для своих целей. «Наивно полагать, что пускай даже и с недавно обнаруженным нулевым днем вы будете единственным в мире, кто его открыл» – утверждает Говард Шмидт, бывший координатор Белого Дома по кибербезопасности и бывший исполнительный директор Microsoft. «Будь то другое правительство, исследователь, или продавец эксплойтов, вы можете быть единственным владельцем уязвимости несколько часов, возможно, дней, но не надейтесь, что это будет продолжаться долго».40

Уязвимость .LNK, которую использовал Stuxnet, была известна группе Zlob еще в 2008 году, за два года до того, как ее использовали в Stuxnet. Уязвимость диспетчера очереди печати также была известной и доступной для эксплуатации любым человеком.41 Кто знает, как долго другие нулевые дни, используемые в Stuxnet, могли быть известны и использованы другими хакерами в их атаках? В 2007 году, Immunity, кибероборонная фирма во Флориде, определила, что среднестатистический эксплойт нулевого дня остается необнаруженным на протяжении 348 дней, перед тем, как его обнаружат в системах. Наиболее длинная продолжительность жизни уязвимости нулевого дня составляет приблизительно три года.42 Сегодня ситуация не сильно отличается: средняя продолжительность жизни нулевого дня составляет десять месяцев, наиболее живучим удается скрываться в среднем до двух с половиной лет.43

Вскоре после занятия должности в 2009 году президент Обама объявил, что кибербезопасность в целом и обеспечение безопасности критической инфраструктуры в частности, являются главными приоритетами для его администрации. Но сокрытие информации об уязвимостях в американских системах, с тем, чтобы их можно было использовать против иностранных систем, создает раскол в правительстве, сталкивает агентства, которые копят и эксплуатируют нулевые дни, с теми, кто, как Министерство внутренней безопасности, должен помочь обеспечить безопасность и защиту критической инфраструктуры США и правительственных систем.

В своем выступлении на конференции 2011 года Энди Пеннингтон признал, что в правительстве существуют «конкурирующие интересы», когда речь заходит об уязвимостях. Но, добавил он, когда правительство находит уязвимости, которые оно хочет эксплуатировать, оно использует «скоординированное раскрытие уязвимостей» – своего рода ограниченное раскрытие – чтобы «облегчить оборону Соединенных Штатов» таким образом, чтобы при этом правительство сохраняло свою возможность атаковать. Он также добавил, что Министерство обороны «очень тесно сотрудничает с Microsoft», а также производителями систем управления, чтобы своевременно сообщать им об уязвимостях, обнаруженных в их системах. «Но я хотел бы еще раз подчеркнуть, что цель состоит в том, чтобы справиться с этим… чтобы мы могли поддерживать операции». С этой целью ми хотели бы быть «очень рассудительными в том, что вы раскрываете и как это фиксируется СМИ».44 Хотя он не уточнил, что означает ограниченное раскрытие информации, некоторые специалисты предположили, что речь идет о предоставлении информации об уязвимостях администраторам Министерства обороны – с целью принятия ими шагов для защиты военных систем от атак – все еще скрывая ее от поставщика и общественности. Сообщается также, что Microsoft заранее уведомляет правительство и частные компании о новых дырах в безопасности, обнаруженных в ее программном обеспечении, чтобы помочь правительству принять меры по защите своих систем до появления патча. Но это также может послужить удобной подсказкой АНБ, чтобы удалить любые эксплоиты, уже используемые для атаки на эту уязвимость до того, как Microsoft раскроет ее публично, или наоборот, быстро эксплуатировать машины, имеющие эту уязвимость, перед тем, как она будет исправлена.45

Грег Шаффер, бывший помощник министра внутренней безопасности сообщил Национальному общественному радио, что Министерство внутренней безопасности, которое помогает защитить невоенные системы правительства, иногда получает помощь «от организаций, которые работают над наступательными миссиями.46

Другой чиновник из Министерства внутренней безопасности, однако, говорит, что он не может вспомнить, чтобы «когда-либо видел уязвимость, поступившую к нам от Министерства обороны… Мы хотели бы чтобы было раскрыто как можно больше уязвимостей, чтобы обеспечить нам наилучшую оборонительную позицию». Но хотя отсутствие такой информации было неприятным фактом, он признал, что было бы неправильно со стороны правительства сохранять свою способность атаковать противника во вред критическим инфраструктурам и менее значимым системам страны.47

Хотя информация об уязвимостях может не передаваться от наступательных подразделений к обороняющим подразделениям для их исправления, все же бывают случаи, когда уязвимости, обнаруженные обороняющейся стороной, передавались наступательной стороне. Такое может произойти, например, для того, чтобы убедиться, что уязвимость в системе управления, уже эксплуатируемой АНБ или другими агентствами, не была обнаружена и исправлена. Бывший чиновник Министерства внутренней безопасности сказал, что этот «процесс поиска уязвимостей», как его называют, для систем управления, начался спустя некоторое время после того, как в 2007 году был проведен тест генератора Аврора. С тех пор уязвимости, которые правительственные исследователи находят в системах управления, проверяются специальной комиссией, с целью убедиться, что их раскрытие не навредит текущим операциям. «Если кто-то использует их… в законных целях… ну, мы должны уравновесить необходимость его раскрытия, исходя из ценности того, чтобы оставить ее открытой на некоторое время», – сказал бывший чиновник.

Этот процесс принятия решений в правительстве имеет давнюю традицию. Например, во время Второй мировой войны, когда англичане взломали шифр немецкой Энигмы и обнаружили, что союзные конвои были немецкой целью, им пришлось взвесить преимущества перенаправления конвоя для его сохранения, – и таким образом дать понять немцам, что их шифр был взломан – против стоимости жертвования конвоем, чтобы продолжать использовать критически важный источник разведданных.

Процесс принятия решения США включает в себя Центральный комитет, состоящий из представителей различных министерств и ведомств – Министерства обороны, Министерства юстиции, Государственного департамента, Министерства внутренней безопасности, Белого дома и разведывательного сообщества – и построен по образу другого процесса, разработанного Комитетом по иностранным инвестициям в Соединенных Штатах, известного как процесс КИИСШ, который взвешивает последствия иностранных инвестиций в США для национальной безопасности.

В случае с уязвимостями программного обеспечения, если правительственные исследователи обнаруживают дыру, например, в системе безопасности ПЛК, они предоставляют результаты исследования комитету, чтобы узнать, заинтересован ли кто-то в ее существовании. «Каждый имеет право голоса в отношении воздействия на компании или системы, от раскрытия уязвимости или нет», – говорит один чиновник. «Все это делается по электронной почте в секретной сети, где все возвращаются с ответом «да» или «нет». И если кто-то говорит «да», мы садимся и обсуждаем этот вопрос. «Если все говорят «нет», то мы просто продолжаем вести наш обычный процесс раскрытия уязвимостей».

На вопрос, передавало ли Министерство внутренней безопасности когда-либо информацию об уязвимостях наступательной стороне, с целью их эксплуатирования, он ответил «нет». Но признал, что сам акт обсуждения уязвимостей Комитетом принятия решений может непреднамеренно дать идеи о новых уязвимостях и их использовании. Хотя он говорит, что никогда не слышал, чтобы кто-то в комитете обращался к представителям систем промышленного управления с просьбой не раскрывать информацию о уязвимости с целью ее использования, он признал, что такие разговоры, вероятно, никогда не прозвучат так открыто. «Скорее всего они молча делают заметки, и мы никогда не узнаем, разработали ли они эксплойт для конкретной уязвимости, или нет», – сказал он.

Сноски, ссылки и используемая литература: 

1. Джон Аркилла и Дэвид Ронфельдт, “Cyberwar Is Coming!” опубликованная в 1993 году и перепечатана как Глава 2 в книге Аркиллы и Ронфельдта под названием In Athena’s Camp: Preparing for Conflict in the Information Age (RAND, 1997).

2. Он обращался к PBS Frontline в 2003 году для своего шоу «CyberWar!» Интервью доступно по адресу: http://www.pbs.org/wgbh/pages/frontline/shows/cyberwar/interviews/arquilla.html.

3. Операция была сорвана системным администратором по имени Клифф Столл, который обнаружил атаку, исследуя источник 75-центового несоответствия счетов. Столл рассказал свою историю в своей уже ставшей классической книге The Cuckoo’s Egg: Tracking a Spy Through a Maze of Computer Espionage (New York: Doubleday, 1989).

4. Джонатан Унджед-Томас, “How Datastream Cowboy Took U.S. to the Brink of War,” Toronto Star, 1 января, 1998.

5. Информационная война включала в себя не только наступательные и оборонительные кибероперации, но и психологические операции, радиоэлектронную борьбу и физическое уничтожение информационных целей.

6. 39-страничная книга повествует об истории 609-й эскадрильи. Копия книги под названием 609 IWS: A Brief History Oct. 1995–June 1999, была опубликована по запросу FOIA и доступна по адресу: http://www.securitycritics.org/wp-content/uploads/2006/03/hist-609.pdf.

7. Джон «Суп» Кэмпбэлл выступал в рамках дискуссии под названием “Lessons from Our Cyber Past: The First Military Cyber Units,” в Атлантическом совете, 5 марта 2012 года. Кэмпбэлл был первым командиром Объединенной оперативной группы по защите компьютерных сетей в декабре 1998 года, а затем был главным советником директора ЦРУ по военным вопросам. Стенограмму дискуссии можно найти по адресу: http://www.atlanticcouncil.org/news/transcripts/transcript-lessons-from-our-cyber-past-the-first-military-cyber-units.

8. Брэдли Грэм, “U.S. Studies a New Threat: Cyber Attack,” Washington Post, 24 мая, 1998.

9. Смотрите предыдущую сноску.

10. Некоторая информация о первой целевой группе и истории кибердеятельности военных взята с интервью в марте 2012 года с Джейсоном Хили, главой инициативы по кибер-государственному управлению в Вашингтоне, округ Колумбия, и первоначальным членом первой целевой кибергруппы военных. Хили также рассказывает некоторые истории киберконфликта в книге, которую он редактировал, пожалуй, лучшая книга для изучения данной ситуации. Смотрите A Fierce Domain: Conflict in Cyberspace, 1986 to 2012 (Cyber Conflict Studies Association, 2013).

11. Генерал-Майор Джеймс Д. Брайан, командующий-основатель JTF-Computer Network Operations, говорил на конференции “Lessons from Our Cyber Past: The First Military Cyber Units.”

12. Эта и другие цитаты Сакса взяты из интервью автора, март 2012 года.

13. «HOPE» означает Hackers on Planet Earth. 

14. Радиоэлектронная борьба, которая относится к Первой мировой войне, включает в себя использование электромагнитной и направленной энергии для управления электромагнитным спектром для отказа работы вражеских систем. Компьютерные сетевые атаки, напротив, определяются как действия, направленные на нарушение, изменение, ухудшение или уничтожение информации, хранящейся на компьютерах и компьютерных сетях в соответствии с директивой Министерства обороны 3600.1.

15. “IO, IO, It’s Off to Work We Go,” Cryptolog: The Journal of Technical Health (Spring 1997): 9. Cryptolog – это внутренний секретный ежеквартальный информационный бюллетень, выпускаемый сотрудниками АНБ и предназначенный для них же, который включает в себя все: от обзоров книг до профилей сотрудников и технических статей по интересующим темам. В 2013 году агентство рассекретило выпуски, опубликованные в период с 1974 по 1990 года, и опубликовало их публично, хотя некоторые из них все еще редактируются. Архив доступен по адресу: http://www.nsa.gov/public_info/declass/cryptologs.shtml.

16. “Thoughts on a Knowledge Base to Support Information Operations in the Next Millennium,” Cryptolog: The Journal of Technical Health (Spring 1997): 32.

17. Уильям Б. Блэк-младший, “Thinking Out Loud About Cyberspace,” Cryptolog: The Journal of Technical Health (Spring 1997): 4.

18. Отредактировано автором, “IO, IO, It’s Off to Work We Go.”

19. Уильям М. Аркин, “A Mouse that Roars?” Washington Post, 7 июня, 1999.

20. В 1999 году Управление генерального юрисконсульта Министерства обороны изучило ряд существующих договоров и международных законов и пришло к выводу, что не существует ни одного международно-правового принципа или свода законов, которые бы четко регулировали вид киберопераций, предлагаемых военными. Управление генерального юрисконсульта Министерства обороны, оценка международно-правовых вопросов в информационных операциях, опубликованная в мае 1999 года, доступна по адресу: http://www.au.af.mil/au/awc/awcgate/dod-io-legal/dod-lo-legal.pdf.

21. В качестве примера того, насколько системы вооружения зависят от программного обеспечения: во время операции «Буря в пустыне» в 1991 году система противоракетной обороны Patriot, установленная в Дахране, Саудовская Аравия, не смогла перехватить ракеты Скад из-за неполадки программного обеспечения в системе управления, которая заставила ее искать ракеты в неправильном месте. В результате атаки погибли 28 американских солдат. Смотрите “Software Problem Led to System Failure at Dhahran, Saudi Arabia,” Управление подотчетности правительства США, 4 февраля 1992 г., доступно по адресу: http://www.gao.gov/products/IMTEC-92-26.

22. Джеймс Д. Брайан, “Lessons from Our Cyber Past.”

23. “The Information Operations Roadmap,” датированная 30 октября 2003 года, 74-страничный отчет, который был рассекречен в 2006 году, хотя страницы, посвященные компьютерным сетевым атакам, сильно отредактированы. Документ доступен по адресу: http://information-retrieval.info/docs/DoD-IO.html.

24. Интервью Аркиллы с Frontline в его шоу «CyberWar!» В статье Washington Post указывается, что атаки на компьютеры, контролирующие системы ПВО в Косово, были произведены с самолетов, а не наземными специалистами. Брэдли Грэм, “Military Grappling with Rules for Cyber,” Washington Post, November 8, 1999.

25. Джеймс Райзен, “Crisis in the Balkans: Subversion; Covert Plan Said to Take Aim at Milosevic’s Hold on Power,” New York Times, June 18, 1999. В статье Washington Post говорится, что этот план так и не осуществился. «Мы прошли через муштру выяснения того, как мы будем делать некоторые из этих киберопераций, если вообще будем делать», – слова одного из старших военных офицеров газете. «Пока что мы не приступили ни к одной из них». Грэм, “Military Grappling with Rules for Cyber.”

26. Джон Маркофф и Х. Санкер, “Halted ’03 Iraq Plan Illustrates US Fear of Cyberwar Risk,” New York Times, August 1, 2009. Согласно словам Ричарда Кларка, именно министр финансов наложил на него вето. Смотрите, Ричард Кларк и Роберт Нэйк, Cyber War: The Next Threat to National Security and What to Do About It (New York: Ecco, 2010), 202–3. В целом страны соблюдают негласное соглашение против манипулирования финансовыми системами и счетами из-за беспокойства по поводу дестабилизирующего воздействия, которое оно может оказать на глобальный рынок и экономику. 

27. Дэвид А. Фулгам, Роберт Уолл и Эми Батлер, “Israel Shows Electronic Prowess,” Aviation Week, 25 ноября, 2007. Эта статья больше недоступна на сайте Aviation Week, но полностью сохранилась на сайте http://www.warsclerotic.wordpress.com/2010/09/28/israel-shows-electronic-prowess.

28. “Electronic Warfare: DOD Actions Needed to Strengthen Management and Oversight,” опубликовано Управлением подотчетности США в июле 2012 года. 

29. Эрик Шмидт и Том Шенкер, “US Debated Cyberwarfare in Attack Plan on Libya,” New York Times, 17 октября, 2011. 

30. Грег Миллер, Джули Тейт и Бартон Геллман, “Documents Reveal NSA’s Extensive Involvement in Targeted Killing Program,” Washington Post, 16 октября, 2013.

31. Бартон Геллман и Эллен Накасима, “U.S. Spy Agencies Mounted 231 Offensive Cyber-Operations in 2011, Documents Show,” Washington Post, 30 августа, 2013.

32. АНБ достигает этого, устанавливая имплантат в BIOS машин, а также в основной загрузочной записи – основные части жесткого диска, которые не стираются, когда программное обеспечение на компьютере обновляется или удаляется. Смотрите Graphic: The NSA’s Spy Catalog,” Spiegel Online, доступно по адресу: http://www.spiegel.de/international/world/a-941262.html.

33. Один раз АНБ и шпионское агентство Соединенного Королевства, или же GCHQ, использовали изощренный метод под названием Quantum Insert для взлома компьютеров бельгийских телекоммуникационных работников с целью получения доступа к телекоммуникационной сети и маршрутизатору, который компания использовала для обработки трафика пользователей мобильных телефонов. Атака заключалась в использовании высокоскоростных серверов, установленных АНБ в ключевых точках коммутации, чтобы перехватить серфинг-трафик системных администраторов, работавших на компанию. Шпионские агентства сначала собирали обширные пласты информации о сотрудниках – адреса их электронных почт, IP-адреса и возможные привычки серфинга – затем высокоскоростные серверы следили за запросами от машин сотрудников на определенные веб-страницы, такие, как страница профиля жертвы в LinkedIn. Когда жертва пыталась получить доступ к странице LinkedIn, сервер перехватывал запрос до того, как он достигал LinkedIn, и передавал пользователю поддельную страницу, с которой на его компьютер попадало вредоносное ПО. Оказавшись в машине системного администратора, шпионы могли использовать его учетные данные, чтобы получить доступ к другим частям телекоммуникационной сети, и взломать маршрутизатор. 

34. Гренн Гринвальд и Юэн МакАскилл, “Obama Orders US to Draw up Overseas Target List for Cyber-Attacks,” Guardian, 7 июня, 2013. В октябре 2012 года была опубликована 18-страничная президентская директива №20, в которой наступательные операции называются операциями наступления с кибер-элементами.

35. Геллман и Накасима, “US Spy Agencies Mounted 231 Offensive Cyber-Operations.”

36. Роджер А. Граймс, “In His Own Words: Confessions of a Cyber Warrior,” InfoWorld, 9 июля, 2013.

37. Смотрите предыдущую ссылку. 

38. Пеннингтон выступал на конференции посвященной промышленным системам управления в 2011 году. Спонсором конференции является Министерство внутренней безопасности. 

39. Интервью автора, ноябрь 2011 года.

40. Джозеф Мэнн, “Special Report: US Cyberwar Strategy Stokes Fear of Blowback,” Reuters, 10 мая, 2013, доступно по адресу: http://www.reuters.com/article/2013/05/10/us-usa-cyberweapons-specialreport-idUSBRE9490EL20130510.

41. Смотрите Главу 6, где уже упоминалось, как были обнаружены эти две уязвимости, до того, как их использовали разработчики Stuxnet в своей атаке.

42. Самнер Лемон, “Average Zero-Day Bug Has 348-Day Lifespan, Exec Says,” IDG News Service, 9 июля, 2007, доступно по адресу: http://www.computerworld.com/s/article/9026598/GV9Jm2u7rmsCe65wKzPTw5jtS38n2tVEGiifespan_exec_says.

43. Роберт Лемос, “Zero-Day Attacks Long-Lived, Presage Mass Exploitation,” Dark Reading, 18 октября, 2012, доступно по адресу: https://www.darkreading.com/vulnerabilities%E2%80%94threats/zero-day-attacks-long-lived-presage-mass-exploitation/d/d-id/1138557. Исследование проводилось компанией Symantec.

44. Пеннингтон, Industrial Control Systems–Joint Working Group Conference, 2011.

45. Майкл Райли, “U.S. Agencies Said to Swap Data with Thousands of Firms,” Bloomberg, 14 июня, 2013, доступно по адресу: http://www.bloomberg.com/news/2013-06-14/u-s-agencies-said-to-swap-data-with-thousands-of-firms.html.

46. Том Гьелтен, “Stuxnet Raises ‘Blowback’ Risk in Cyberwar,” Morning Edition, NPR, 2 ноября, 2011, доступно по адресу: http://www.npr.org/2011/11/02/141908180/stuxnet-raises-blowback-risk-in-cyberwar.

47. Интервью автора, 2012.

Глава 13. Цифровые снаряды.

Лиам О`Мурчу чувствовал себя изможденным. Он сидел за своим рабочим столом вот уже два часа, анализируя код, кусочек за кусочком, в последней отчаянной попытке определить, что атакует Stuxnet, удача была не на его стороне.

Было начало октября, прошло пару недель с того, момента, как Ральф Ленгнер определил Stuxnet как высокоточное оружие, нацеленное на единственную цель, и обе команды – в Гамбурге и Калифорнии – теперь работали независимо, не уведомляя друг друга о своей работе, в попытках идентифицировать цель цифрового оружия.

Одна из вещей, которую обнаружили исследователи Symantec, заключалась в том, что прямо перед тем, как Stuxnet освобождал свою разрушительную полезную нагрузку на ПЛК 315, он искал в нем три «магических значения» – комбинации цифр и букв, встроенных в блоки данных самого контроллера. Когда Stuxnet сталкивался с ПЛК 315, он анализировал его блоки на предмет этих магических значений – 2C CB 00 01, 7050h и 9500h – и определял его как свою цель только в случае совпадения всех трех значений.

Эрик Чиен тщательно изучил Google на предмет этих значений в контексте Stuxnet, но все тщетно. Исследователи предположили, что первый из них мог быть серийным номером для какого-то аппаратного компонента, который подключался к ПЛК, поэтому О`Мурчу создал имитированную среду ПЛК Step 7, чтобы проверить эту догадку. Система Step 7 имеет встроенную функцию эмулирования построения виртуальной сети ПЛК для тестирования различных конфигураций оборудования перед построением завода. Эмулятор содержал длинный список аппаратных компонентов, которые инженеры могли виртуально подключить к ПЛК по одному, просто нажав на его название в меню. Каждый раз, когда инженер выбирал элемент из списка, на экране появлялся идентификационный номер этого компонента. О`Мурчу надеялся, что таинственный 2C CB 00 01 был среди них. Но просидев за компьютером два часа, систематично подключая одно устройство за другим, ни получил ни одного совпадения, он перепробовал более сотни компонентов. Ему начало казаться, что он попросту теряет драгоценное время, пока в списке устройств он не перешел к группе карт Profibus и Profinet. Они передавали данные между ПЛК и компонентами, которыми они управляли. О`Мурчу нажал на карточку Profibus CP 342-5, и на мониторе всплыло значение…

 Однако карта Profibus была лишь половиной головоломки. Он все еще не знал, какими устройствами управляет ПЛК. Воодушевленный этим небольшим успехом, О`Мурчу быстро перепробовал все остальные компоненты из списка, но ни один из них, увы, не совпал с магическим значением. Но это уже и не имело значения. В любом случае, с этой находкой они сделали большой скачек вперед. Теперь они знали, что Stuxnet ищет конфигурацию с одной из шести таких сетевых карт, так что оставалось вопросом времени, когда они разгадают вторую половину таинственной конфигурации.

Прошло три месяца после открытия Stuxnet и весь мир узнал о загадочном вирусе, который, очевидно, был направлен на Иран. И все же догадки о том, что Stuxnet был нацелен именно на обогатительный завод в Натанзе оставались только догадками. Исследователи Symantec были настроены найти доказательства этому в коде. Но сначала им нужен был ускоренный курс по ПЛК.

Открытие того, что Stuxnet саботирует ПЛК Siemens, безусловно, стало большим прорывом для Фальера и его коллег. Но Ленгнер был прав, говоря, что в своих исследованиях они оказались в тупике. «Мы быстро поняли, что ничего не знаем о ПЛК», – говорит Чиен.1

Доказательств того, что Stuxnet внедряет вредоносный код, было, безусловно, мало, но Фальер также обнаружил, что вирус имеет не одну, а целых две полезные нагрузки. Stuxnet делал как бы двойную атаку. Один «снаряд» была нацелен на Siemens S7-315, другой – на Siemens S7-417.

В ПЛК внедрялось всего несколько килобайт вредоносного кода, но взлом этого кода был ключом к решению самой большой головоломки Stuxnet. Была только одна проблема. Код был написан в формате и на языке, которым Фальер видел впервые в жизни. Ракетная часть Stuxnet была написана на С и С++ и скомпилирована на сборке Intel x86 – наиболее распространенный и широко известный компьютерный язык ассемблера. Но цифровые боеголовки использовали непонятный язык программирования, созданный специально для ПЛК Siemens – STL.2 Чтобы запрограммировать ПЛК, инженеры записывали команды на языке STL, затем преобразовывали его в MC7, язык ассемблера, а потом компилировали его в читаемый для ПЛК двоичный код. Это означало, что даже если Фальеру удастся обратить единицы и нули двоичного кода обратно в STL, он все равно не будет понимать, что делает этот код. Это было немного похоже на расшифровку зашифрованного сообщения знаменитой скульптуры Криптоса в ЦРУ, чтобы обнаружить, что незашифрованное сообщение было написано на греческом языке. В объявлении Symantec от 17 августа они призвали всех, кто знаком с ПЛК и STL, связаться с ними, но не получили ни одного ответа.

Им не пришлось бы обращаться за помощью к общественности, если бы им помочь сами Siemens, но, увы, это было не так. Чиен связался с компанией в самом начале их расследования и контактировал с ними все эти месяцы, пока они работали над Stuxnet. Но всякий раз, когда он отправлял немецкой компании письма с вопросами о том, как работает Step 7, в Siemens уходили недели на ответ. Обычно к тому времени исследователи из Symantec находили ответ самостоятельно и уже имели к Siemens список новых вопросов.3

Была и другая группа людей, которые могли бы помочь им. Ленгнер и его команда преуспевали именно в тех областях, которые никак не поддавались исследователям из Symantec. У них бы вышел отличный симбиоз – Symantec с их опытом в системах Windows и реверс-инжениринге вредоносного кода, и команда Ленгнера с их отличным знанием ПЛК и программного обеспечения Siemens. Но все надежды на сотрудничество быстро рухнули после короткого обмена электронными письмами, за которыми последовали пару постов в блоге, что в итоге привело к недоразумениям и плохим взаимоотношениям между группами. Это была проблема, которая легко решалась одним телефонным звонком, но ни у одной из сторон не было желания делать это первой.

Из-за отсутствия какой-либо помощи исследователи предприняли единственное решение, которое подходило им – они купили несколько книг по STL в интернете и приступили к изучению работы кода. Лучший способ отреверсить код, написанный на STL, рассуждали они – научиться писать на нем.

Каждый день, во время утренних и вечерних поездок на работу и домой на метро, Фальер корпел над книгами, уча STL. За несколько дней его прогресс практически не сдвинулся с места, когда в интернете он обнаружил инструмент с открытым исходным кодом, который был создан для программирования ПЛК Siemens как бесплатная альтернатива Step 7. Фальер начал изучать инструмент, чтобы увидеть, как выглядит код написанный на STL, когда он был скомпилирован в MC7, а затем использовал его в качестве справочника, чтобы отреверсить код MC7 Stuxnet.

Потребовались недели, чтобы до конца разобраться в коде, и когда он наконец сделал это, несколько килобайт двоичного кода, который Stuxnet внедрял в ПЛК, превратились в более чем 4 тысячи строк кода для атаки на Siemens S7-315 и более чем 13 тысяч строк кода для атаки на Siemens S7-417. Это был слишком большой объем для того, чтобы хотя бы прочесть его, не говоря уже о том, чтобы попытаться исследовать. Поэтому Фальер решил перевести его на язык С, чтобы как-то облегчить себе работу. Все таки С он знал куда лучше. Однако это все давало ему только возможность читать код, без ПЛК он все еще не мог посмотреть на него в действии. Поэтому он написал небольшую программку под Windows, чтобы имитировать ПЛК на своей машине и запускал код на ней. С теоретическими знаниями и возможностью их практического применения, он, наконец, мог собрать все кусочки атаки воедино.

Одна из первых вещей, поразивших его в этой атаке, заключалась в том, что она разворачивалась в шесть этапов, которые повторялись в течении недель и месяцев. Как только все циклы атаки были пройдены, она запускалась вновь и вновь. Это означало, что вместо того, чтобы нанести один единственный удар, который вызвал бы необратимые последствия для систем, как первоначально полагали исследователи из Symantec, разработчики вируса пошли дальше, и создали искусную атаку, которая рассчитывалась на долгий промежуток времени. Это, в сочетании с атакой «человек внутри» которая скрывала саботаж от операторов, делало вирус практически невидимым и не оставляло намеков на точный источник проблем. Нападавшие, понял Фальер, рассчитывали оставаться незамеченными в системе в течение нескольких месяцев, и у них это получалось.

Первая часть атаки, этап разведки, длилась около двух недель, в течение которых Stuxnet записывал нормальные показатели контроллеров, чтобы, когда начнется саботаж, передавать их операторам, тем самым маскируя присутствие неполадок в оборудовании. Stuxnet записывал данные не реже одного раза в минуту и переходил к следующему этапу только после записи данных не менее 1 миллиона раз.

Как только было записано достаточное количество данных, начинался двухчасовой обратный отсчет. Когда таймер достигал нуля, начинался саботаж. Он продолжался, однако, всего пятнадцать минут, и как только все необходимое было сделано, работа ПЛК и устройств, которыми он управлял, возобновлялась в привычном режиме. Затем, после пятичасового перерыва, вся последовательность начиналась снова, только на этот раз перед атакой Stuxnet выжидал около 26 дней, и записывал вдвое больше информации, чем в первый раз. Когда начиналась сама атака, во второй раз она длилась пятьдесят минут, вместо пятнадцати. И, как и, перед этим, после окончания саботажа, работа всех устройств возвращалась в норму еще на 26 дней, и весь цикл повторялся снова. Каждый раз, когда после этого происходил саботаж, он длился от пятнадцати до пятидесяти минут, несмотря на то, что этап сбора данных длился все так же 26 дней.

Фальер понятия не имел, зачем было изменять продолжительность саботажа и в чем разница между этими двумя последовательностями. Без знания того, какие устройства атаковал Stuxnet, он не мог узнать природу атаки. Это немного похоже на то, как смотреть на трассирующие ракеты, не имея ни малейшего понятия о том, во что они попадут.

Последний прорыв в головоломке под названием Stuxnet произошел в начале ноября, когда голландский программист по имени Роб Хулсебос, эксперт по протоку Profibus отправил Чиену электронное письмо. Он ответил – хотя и с опозданием – на второй призыв о помощи, который специалисты из Symantec опубликовали в своем блоге, попросив всех, кто как-то стыкался с Profibus и критическими системами управления, связаться с ними. Письмо Хулсебоса содержало всего два абзаца, в основном, информацию о Profibus, которую Чиен уже знал, но было одно предложение, которое смогло заинтересовать его. Голландец писал, что каждое периферийное устройство, подключенное к сетевой карте Profibus, имеет уникальный идентификатор, присвоенный ему Profibus. Каждый идентификатор был размером около 2 байт, или 16 бит, писал Хулсебос.

Чиен вспомнил, что два неизвестных значения, происхождение которых они все еще пытались понять – 7050h и 9500h – были ровно по 16 бит.

Он направился в кабинет О`Мурчу и показал ему электронное письмо со своего BlackBerry. Пока Чиен заинтересовано оглядывался через его плечо, О`Мурчу вбил в Google запрос с информацией об идентификаторах устройств Profibus и нашел несколько ссылок на брошюры с их продукцией. Чиен указал ему на один PDF-файл, содержащий список актуальных устройств, используемых с сетевыми картами Profibus. О`Мурчу открыл файл, и перед ними появился список устройств и их уникальных идентификаторов. О`Мурчу медленно листал вниз, пока в самом низу списка не оказался тот самый магический код, который они искали – 9500h. Согласно инструкции, идентификатор соответствовал марке преобразователя частоты, изготавливаемого одной финской компанией. Чиен покопался на сайте в поисках информации по другому ID, но ничего не нашел. Поэтому он написал электронное письмо в Profibus с просьбой идентифицировать код 7050h. Он не ожидал, что компания вообще ему ответит, и был удивлен, когда получил ответное письмо, в котором указывалось, что код 7050h соответствует преобразователю частоты, изготавливаемом компанией из Ирана.

Частотный преобразователь – это электронное устройство, которое управляет электрическим током, подаваемым на двигатели и роторы, чтобы контролировать их скорость. Увеличьте частоту, и скорость двигателя увеличиться пропорционально. ID 9500h – это частотный преобразователь, изготовляемый компанией Vacon в Финляндии, в свою очередь 7050h являлся неопределенной моделью преобразователя, производившегося компанией Fararo Paya в Иране. О`Мурчу подозревал что преобразователи фирмы Fararo Paya были иранской подделкой финских устройств.4 Если это было правдой, то, скорее всего, за пределами Ирана не было ни одного предприятия, использовавшего преобразователи от Fararo Paya.

Они скачали все, что смогли найти о частотных преобразователях, включая дюжину руководств для различных марок преобразователей. К сожалению, среди них не оказалось ни одного руководства для преобразователей Vacon или Fararo Paya, но некоторые из них содержали команды для управления, которые были идентичны для всех марок устройств. Одна из команд написанная на STL, которую Фальер извлек из кода Stuxnet, была «47F and 1», и конечно, заглянув в руководство, они нашли там следующие слова: «Чтобы запустить частотный преобразователь, используйте команду 47F и используйте значение 1». Пальца О`Мурчу в оцепенении застыли над клавиатурой, когда он в слух прочел эту строчку. Он не мог поверить в это. В течение четырех месяцев они пытались разгадать тайну атаки Stuxnet, работая по ночам и выходным, и теперь, с помощью нескольких запросов в Google они нашли ответ. Это было в ровной степени как волнующе и приятно, так же и разочаровывающе.

Это был конец рабочего дня, они оба были измотаны, поэтому, немедля ни минуты, они быстро отправили электронное письмо Фальеру, сообщая ему о своих находках, к которым прикрепили несколько руководств в формате PDF, демонстрирующие команды. «Взгляни на это, и скажи, найдешь ли ты здесь что-нибудь, что заработает», – писал Чиен Фальеру. И отправились по домам.

Проснувшись утром и увидев письмо, Фальер немедля помчался в офис. Он вытащил список всех конфигурационных данных и команд, извлеченных из Stuxnet, и начал сравнить их с командами из руководств. Он уже подозревал, что Stuxnet мог изменять частоту устройства другом конце ПЛК – код атаки содержал числа вроде 10640, которые, как он подозревал, было 1,064 Гц, выраженное в децигерцах. И теперь у него было подтверждение этому.

Он использовал руководства, чтобы перевести все команды Stuxnet, и в течение часа или двух имел полный план атаки, который он отослал О`Мурчу и Чиену.

Прежде чем начинать атаковать ПЛК S7-315, Stuxnet убеждался, что система использует частотные преобразователи, произведенные Vacon или Fararo Paya, и что преобразователи работают на частоте между 807 и 1210 Гц. Stuxnet искал завод, на котором было установлено до 186 преобразователей, и все они работали на частоте выше 800 Гц. Частотные преобразователи имеют очень широкий спектр применения, но преобразователи, работающие на частоте 600 и выше Гц, имели ограниченное применение – настолько ограниченное, что, когда Чиен сделал соответствующий запрос в интернете, он обнаружил, что они регулировались для экспорта в Соединенные Штаты комиссией по ядерному регулированию. Теперь не могло быть никаких сомнений. Stuxnet был нацелен на ядерный объект. Ленгнер просто предполагал, говоря, что Stuxnet атаковал ядерный завод Ирана, но теперь у них были доказательства в коде, которые полностью подтверждали его слова.

Чиен был ошеломлен тем, как красиво все ставало на свои места.

Они месяцами пытались расшифровать код, продвигаясь вперед не милями, а дюймами, боясь, что они могут никогда не дойти до конца. Теперь, оглядываясь назад, все это казалось таким простым и элегантным. Располагая всеми деталями, Фальер изложил пошаговое описание атаки от начала до конца.

Как только Stuxnet обнаруживал машину со Step 7, он распаковывал двойник .DLL файла, имевшегося в стандартной системе, и заменял его. Затем он терпеливо ждал, пока программист запустит Step 7 для чтения или создания блоков кода для ПЛК S7-315. Дальше Stuxnet внедрял свой вредоносный код в блоки и ожидал, пока программист подключит свой ноутбук к ПЛК, или скопирует команды на USB-накопитель, чтобы передать их в ПЛК. До попадания вредоносного кода в ПЛК могло пройти несколько дней, или даже недель, но как только это происходило, атака развертывалась без малейшего сопротивления.

После первого этапа сбора данных, во время которого на протяжении 13 дней вирус записывал данные, Stuxnet сначала увеличивал частоту до 1410 Гц на пятнадцать минут, и затем уменьшал ее до 1064 Гц, предположительно нормальной рабочей частоты, примерно на 26 дней. Как только Stuxnet записывал все данные, необходимые на втором этапе сбора данных, он резко снижал частоту до 2 Гц на пятьдесят минут, прежде чем снова восстановить ее до 1064 Гц. Еще через 26 дней атака возобновлялась вновь. Каждый раз, когда вирус изменял частоту, атака «человек внутри» подавала операторам и системе безопасности ложные показатели частоты, оставляя их слепыми в отношении происходящего.

Наконец, Symantec располагала точной информацией относительно действий Stuxnet с ПЛК S7-315. Но действия относительно модели S7-417 все так же оставались загадкой. Две цифровые боеголовки прибывали одной и той же ракетой, но действовали независимо друг от друга.

S7-417 является высококлассной моделью ПЛК, которая поставляется с 30 Мб оперативной памяти на борту и ценой более 10 тысяч долларов за штуку, в сравнении с примерно 500 долларами за S7-315. Как бы в соответствии с его более высоким статусом, атака, нацеленная на эту модель ПЛК, также была намного больше, с гораздо большим количеством блоков кода – 40 блоков кода по сравнению с 15 блоками, содержащимися в атаке на модель 315 – некоторые из которых генерировались прямо во время атаки на основе условий, в которые попадал Stuxnet.

Код атаки на 417-ую модель также был намного сложнее, как с точки зрения выполняемых шагов, так и условий, при которых атака могла освободить свою полезную нагрузку. Кроме того, в построении этой атаки использовались причудливые конструкции, которые были сильной головной болью для реверс-инженеров. Там были указатели, ведущие к другим указателям, которые в свою очередь вели к еще одним указателям, это значительно затрудняло прослеживание последовательности событий в коде. Разница в структуре между двумя атаками создавала впечатление, будто коды этих двух атак были написаны совершенно разными командами программистов, использующих разные инструменты.

Вирусописатели, очевидно, вложили много времени и усилий в код атаки на 417-ую модель контроллера, поэтому Фальер был озадачен, обнаружив, что он не работает – на самом деле злоумышленники намеренно отключили его. В части кода, ответственной за проверку совпадения конфигурации ПЛК с конфигурацией, которую искал Stuxnet, хакеры вставили исключение – программный трюк, который включал введение преднамеренной ошибки в код с целью прервать миссию до ее начала. Более того, не было никаких признаков того, что атака на S7-417 вообще когда-либо активировалась. Stuxnet требовалось генерировать критический блок кода на лету, чтобы заставить атаку работать, но код, который должен был создавать этот блок, был недописанным.

Оставалось неясным, отключили ли хакеры код, потому что он все еще находился на стадии разработки, или же он все-таки был завершен, но в какой-то момент его решили по какой-то причине отключить. Фальер вспомнил недавнюю новость, в которой цитировался иранских чиновник, заявлявший, что в Иране было найдено пять версий Stuxnet.5 До сих пор Symantec и другие исследователи нашли только три версии. Но, возможно, была еще одна версия вируса которая содержала полную версию атаки на Siemens S7-417?

Основываясь на подсказках, которые Фальер и его коллеги нашли в трех версиях Stuxnet, казалось, что на самом деле должна быть еще как минимум одна неизвестная им версия. Например, номера версий трех обнаруженных атак были в неправильной последовательности. Их пронумеровали сами разработчики Stuxnet – июньский вариант 2009 года был версией 1.001, а мартовский и апрельский варианты 2010 года 1.100 и 1.101 соответственно. Пробелы в цифрах свидетельствовали о том, что должны были быть разработаны и другие версии – включая версию 1.00, которая, логично, должна была бы предшествовать всем трем из уже обнаруженных версий – пускай они даже никогда не были выпущены в свет.

Что бы ни атаковал код, нацеленный на S7-417, он отличался от атаки на S7-315. В отличие от атаки на 315-ую модель, код атаки на S7-417 был нацелен на систему, которая состояла их 984 устройств, разбитых на группы по 164. И во время атаки, саботажу поддавались только 110 из 164 устройств. К сожалению, код атаки 417-ой модели не содержал в себе никаких магических значений, который помогли бы команде Symantec идентифицировать цель. Ленгнер и его команда, которые вели свое исследование параллельно с Symantec, предположили, что код атаки на S7-417 может быть нацелен на сам каскад, а не на отдельные центрифуги, возможно, или, возможно, на трубы и клапаны, которые контролируют поток газа в каскады. Но без дополнительной информации в коде и более достоверных доказательств ни Ленгнер, ни Symantec не могли точно сказать, что делала атака на 417-модель ПЛК. После нескольких месяцев работы и значительного прогресса в других областях, им всем пришлось смириться с тем, что они зашли в очередной тупик – похоже, Stuxnet был полон решимости сохранить хотя бы одну из своих тайн.

Из-за отсутствия четкого понимания кода атаки 417, исследователи из Symantec решили опубликовать то, в чем они были действительно уверены, а именно окончательные детали атаки на S7-315.

Итак, 12 ноября 2010 года, ровно через четыре месяца после того, как VirusBlokAda объявила о своем обнаружении кода Stuxnet, Symantec опубликовали в своем блоге сообщение, в котором поделились своими находками, а конкретно, что Stuxnet атакует уникальную конфигурацию конкретных преобразователей частоты. «Требования Stuxnet к конкретным частотным преобразователям и рабочим характеристикам значительно сужают круг потенциальных целей», – писал Чиен в типичном для него загадочном и осторожном стиле.6 В своих текстах он никогда не упоминал иранскую ядерную программу, или даже центрифуги, но смысл его сообщения был и без того понятен.

Спустя четыре дня после того, как компания Symantec опубликовала свой пост, специалисты обогатительного завода в Натанзе полностью остановили работу всех центрифуг. Спустя шесть дней, до 22 ноября, на объекте была прекращена вся деятельность по обогащению. Иранские представители не дали никаких объяснений по поводу внезапной остановки работы Натанза, но исследователи Symantec подозревали, что это было сделано с целью проверки всех компьютерных систем на присутствие Stuxnet. Хотя информация о черве находилась в открытом доступе в течение нескольких месяцев, до сих пор разоблачения не содержали конкретных сведений о том, какие устройства атаковал Stuxnet и как протекала его атака. Расследование также затруднял тот факт, что Stuxnet был разработан с умом, и пресекал любые попытки найти вредоносный код на ПЛК и отследить его до источника. Последний отчет Symantec, однако, предоставил все доказательства, необходимые операторам на заводе, чтобы провести параллели между проблемами, произошедшими в Натанзе, и цифровым оружием. Хотя антивирусные фирмы уже давно выпустили сигнатуры для обнаружения файлов Stuxnet, они работали только для Windows, вредоносный код, находящийся в ПЛК, они не замечали. А поскольку Stuxnet можно сравнить с осьминогом с множеством щупалец, помогающих ему распространяться, инженерам в Натанзе пришлось стереть и заново запрограммировать каждую машину на заводе, чтобы полностью обеззаразить упрямый код из своих систем.

Теперь стало ясно, что дни Stuxnet подходили к концу. Мало того, что он больше сможет возиться с центрифугами в Натанзе, так еще и любые будущие проблемы с системами на заводе немедленно вызовут подозрение, что причиной является вредоносный код. Теперь осуществить подобную атаку будет намного сложнее.

И сейчас, когда были решены почти все загадки Stuxnet, исследователи Stuxnet сосредоточились на том, чтобы привести в порядок некоторые незавершенные дела, завершить свое длинное досье по коду Stuxnet, и, наконец, переключить свое внимание на новые угрозы.

Но через неделю после того, как остановленные центрифуги в Натанзе восстановили свою работу, история со Stuxnet приняла новый, еще более мрачный и зловещий оборот, давая всем понять, что настоящие усилия по срыву ядерной программы Ирана только начинали прилагаться. Если использование кибератаки более не было жизнеспособным вариантом остановки иранской ядерной программы, то кроме нее в распоряжении злоумышленников оставались другие средства.

Движение в час пик на бульваре Артеш в Северном Тегеране было особенно оживленным 29 ноября 2010 года, среди прочих, Маджид Шахриари, сорокалетний худощавый профессор ядерной физики, умело маневрировал на своем Peugeot по дороге на работу. Было только 7:45 утра в тот понедельник, но слой смога уже витал в воздухе, когда Шахриари медленно продвигался к университету Шахида Бехешти, где он работал преподавателем. С ним была его жена, также профессор ядерной физики и мать двоих детей, и телохранитель.

Когда седан остановился на оживленном перекрестке, к машине резко подъехал мотоцикл, и вот на двери водителя уже была установлена «липкая» бомба. Через несколько секунд после того, как нападавшие умчались, бомба взорвалась, поразбивав все стекла, и оставив дверь водителя искореженным месивом из расплавленного метала. Шахриари умер на месте, жена и телохранитель сильно пострадали. Небольшая яма в асфальте рядом с машиной свидетельствовала о силе взрыва.7

Вскоре после этого в другой части города Фарейдун Аббаси, 52-летний специалист по делению изотопов, также пробирался сквозь поток машин к тому же месту назначения, когда краем глаза заметил резко приближающийся мотоцикл. Через секунду он услышал характерный звук прикрепления какого-то предмета к двери. Аббаси был членом Иранской Революционной Гвардии, поэтому его инстинкты самосохранения были более отточены, нежели у Шахриари. Он быстро выпрыгнул из машины, и вытащил свою жену из пассажирского сиденья. Хотя они и были ранены, но оба пережили покушение.

В новостях сообщалось, что эти два ученые были выбраны как цели за их выдающуюся роль в развитии иранской ядерной программы. «Это плохие люди», – сказал позже неназванный американский чиновник, – «их работа заключается в разработке ядерной бомбы.»8

Шахриари был экспертом в области транспортировки нейтронов – это было необходимо для создания ядерных цепных реакций для реакторов и бомб – и, как утверждали западные новостные сообщения, только политические назначенцы занимали более высокое положение, чем Шахриари, в ядерной программе Ирана. Глава ядерной программы Ирана Али Акбар Салехи заявил журналистам, что Шахриари работал над «крупным проектом» для иранской Организации по атомной энергетике, но не стал вдаваться в подробности.9

Аббаси был еще более важным человеком для ядерной программы. Он был одним из немногих специалистов в Иране, который имел опыт в разделении изотопов урана, основной части процесса обогащения урана. За свою роль старшего научного советника Министерства обороны Ирана и тесные рабочие отношения с Мохсеном Фахризаде-Махабади, офицером Иранской Революционной Гвардии, Аббаси был включен в санкционный список Совета Безопасности ООН. Если Иран действительно имел ядерную программу, то именно Фахризаде-Махабади считался ее главным архитектором.

Президент Ахмадинежад, особенно не разбираясь, возложил вину за нападения на «сионистский режим и западные правительства».10 Саид Джалили, генеральный секретарь Высшего Совета национальной безопасности Ирана, назвал эти нападения актом отчаяния со стороны бессильных врагов.11 «Когда враг не видит другого выхода, он прибегает к террору», – сказал он. – «Это показатель вовсе не силы, но слабости».12 После своего выздоровления Аббаси был назначен главой иранской Организации по атомной энергетике, как бы утверждая решимость Ирана достичь своих ядерных целей, несмотря на вражеские заговоры. Говорили, что в честь этого, Аббаси поставил в своем кабинете фотографию Шахриари, отдавая этим свою дань погибшему коллеге.13

В любом случае, два нападения, совершенные на оживленных улицах средь бела дня, возымели желаемый результат и дали ясно понять всем, кто был вовлечен в ядерную программу Ирана, что никто не был в безопасности или вне досягаемости убийц. Другие иранские ученые, по сообщениям, в течение нескольких дней после подрывов, не выходили на работу, боясь избежать участи своих коллег.14

В ответ на обвинения Ахмадинежада Госдепартамент США выступил лишь с кратким заявлением. «Все, что я могу сказать, это то, что мы осуждаем акты терроризма, где бы они не происходили, и кроме этого, у нас нет никакой информации о том, что произошло», – сказал пресс-секретарь Филип Дж. Кроули.15 Израиль отвечать и вовсе отказался, по крайней мере напрямую. Вместо этого в день терактов премьер-министр Израиля Биньямин Нетаньяху объявил об отставке Моссада Меира Дагана, который руководил шпионским агентством в течение последних восьми лет. Судя по времени заявления об отставке, нападения на ученых и кибератака на центрифуги в Натанзе были прощальной песней Дагана. Он был известен тем, что считал убийство лучшим политическим оружием.16 После его назначения на пост в 2002 году, тогдашний премьер-министр Ариэль Шарон грубо похвалил его за умение отделять арабов от голов.

В день нападения на ученых президент Ахмадинежад, похоже, связал атаки со Stuxnet и предоставил то, что казалось первым официальным подтверждением того, что Натанз все-таки был поражен цифровым оружием. Осуждая Израиль и Запад за теракты, он также обвинил их в кибератаке, которая, по его словам, была развязана против ядерной программы Ирана годом ранее. Вирус был встроен в программное обеспечение, «установленное в электронных деталях», сказал он, и повредил неназванное количество центрифуг. Но он преуменьшил последствия атаки, сказав, что червь создал проблемы только для «ограниченного числа наших центрифуг», прежде чем рабочие обнаружили и обезвредили его.17 И хотя он не называл ни вирус, ни объект, где были повреждены центрифуги, всем было ясно, что речь идет о Stuxnet и Натанзе.

Когда известие о нападении на ученых дошло до Ральфа Ленгнера в Германии, у него свело живот. Он задался вопросом, не подтолкнула ли работа его команды над разоблачением вируса злоумышленников к принятию еще более радикальных мер. Он подчеркнул для себя тот факт, что работа его команды над Stuxnet поставила их всех в центр очень темного и кровавого бизнеса.

Исследователи из Symantec были не менее потрясены этой новостью. Все те месяцы, что они работали над Stuxnet, черный юмор и паранойя витали между ними в воздухе – побочный продукт неуверенности в том, кто стоит за атакой, и на что способны эти люди. О`Мурчу начал слышать странные щелкающие звуки в своем телефоне, и однажды, покидая офис в пятницу, он пошутил Чиену и Фальеру, что, если он окажется мертвым в эти выходные, то хочет, чтобы они знали, что это не было самоубийство. Чиен, в свою очередь, каждое утро, выходя из дома, оглядывался по сторонам, чтобы убедиться, что за ним никто не наблюдает. Он никогда всерьез не верил, что ему грозит опасность, но в тот день, когда стало известно о нападении на ученых в Иране, он пошутил О`Мурчу, что если мотоциклист когда-либо приблизится к его машине, он его собьет. Но в тот день, когда он ехал с работы и остановился на первом светофоре, то на мгновение вздрогнул в ужасе, увидев в зеркале заднего вида мотоциклиста, подъезжавшего сзади.

Никто из них на самом деле не думал, что наемные убийцы будут охотиться за ними за их работу над Stuxnet, но было ясно, что ситуация в мире изменилась, и что как компании, так и отдельные исследователи, в будущем будут вынуждены делать новые расчеты рисков в отношении информации, которую они раскрывают.

На разных этапах работы над Stuxnet они действительно спорили, следует ли раскрывать информацию, которую они обнаружили, публично, или все же обнародовать ее анонимно. В конце концов, хотя они и утаили некоторые обнаруженные детали – такие, как личности пяти первых жертв Stuxnet – они решили вопрос в пользу раскрытия, полагая, что чем больше информации они опубликуют, тем будет лучше, это даст шанс предприятиям защититься от Stuxnet и его будущих копий. Они пришли к выводу, что есть только одна вещь, которая заслуживает цензуры, и это личность нападавших. Но это не имело никакого значения, поскольку они так и не нашли разработчиков, стоявших за нападением.

На самом деле, они также никогда не располагали неопровержимыми доказательствами того, что Stuxnet был нацелен именно на Натанз. Хотя информация о частотных преобразователях добавила большой пазл в головоломке Stuxnet, они так и не нашли доказательств того, что конкретная конфигурация, на которую был нацелен Stuxnet, существовала в Натанзе. Дэвид Олбрайт и его коллеги из Института науки и международной безопасности предоставили последние доказательства.  

Symantec опубликовали свой последний отчет о частотных преобразователях в середине ноября, но только спустя две недели Олбрайт окончательно соединил все кусочки пазлов воедино. Это случилось в декабре, когда он сидел на совещании со своими сотрудниками в Институте науки и международной безопасности и горсткой экспертов по центрифугам, которых они пригласили в свой офис, чтобы обсудить ядерную программу Ирана, и группа начала ломать головы над загадкой, которая беспокоила тысячи исследователей по всему миру уже на протяжении больше года.

Институт науки и международной безопасности опубликовал спутниковые снимки Натанза 2002 года, чтобы заставить Иран разрешить инспекторам ООН осмотреть обогатительный завод, и с тех пор Олбрайт и его сотрудники следили за ядерным прогрессом Ирана, иногда получая информацию от правительственных источников, но в основном собирая ее из ежеквартальных отчетов МАГАТЭ о своих инспекциях. Последнее было единственной инсайдерской информацией о Натанзе, которую могли получать интересующиеся люди.

В течение восемнадцати месяцев Олбрайт и его сотрудники ломали головы над колебаниями цифр, которые появлялись в отчетах. Каждые три месяца инспекторы перечисляли количество центрифуг и каскадов, установленных иранцами в Натанзе, а также количество центрифуг, которые фактически обогащали газ, в отличие от тех, которые просто стояли в пустых каскадах. Они также предоставляли информацию о количестве газа, подаваемого иранскими инженерами в центрифуги, и количестве произведенного обогащенного газа.

На протяжении большей части 2007 и 2008 годов все эти цифры росли довольно стабильно и с редкими сбоями. Но в середине-конце 2009 года цифры начали заметно меняться. Количество обогащенного газа, производимого центрифугами, внезапно упало, и центрифуги, которые до этого моменты вращались в 11 из 18 каскадов в одном из помещений Натанза, были неожиданно отключены. В отчетах не было никаких указаний на то, почему это произошло, хотя было ясно, что что-то явно пошло не так.

Олбрайт и коллеги корпели над статистическими данными в течение многих месяцев, рассматривая их с разных углов: возможно, проблемы были вызваны из-за несоответствующего качества оборудования и низкокачественных материалов, или, возможно, техники просто неправильно настроили трубы и клапаны в каскадах, что привело к утечке газа. Однако ни одно из этих предположений, казалось, не объясняло всех изменений, которые они видели в отчетах. В декабре 2010 года, во время очередной конференции со своими гостями, кто-то вспомнил об отчете Symantec о Stuxnet, в котором шла речь о частотных преобразователях. Олбрайт не читал этот отчет, но знал, что Иран использует частотные преобразователи производства Vacon, финской компании, упомянутой Symantec, и что в прошлом страна также закупала преобразователи в Турции и Германии. Но он никогда раньше не слышал о преобразователях иранской фирмы Fararo Paya. Это было довольно важно: он и его сотрудники внимательно следили за закупочной и производственной деятельностью Ирана для ядерной программы, и даже не подозревали, что Иран производит собственные преобразователи. Если Иран использовал эти преобразователи в Натанзе, то можно сделать вывод, что нападавшие знали о программе обогащения, больше чем он и его команда.

Когда совещание закончилось, Олбрайт вернулся к своему столу и нашел отчет Symantec, чтобы внимательно изучить его. Он также нашел отчет Ленгнера, в котором тот писал об отключенной атаке на 417-модель ПЛК. Следующие две недели он провел за изучением технических деталей атаки, и даже связался с Чиеном, чтобы получить объяснения по поводу вещей, которые были ему непонятны. Однажды, во время разговора с Чиеном, Олбрайта поразило нечто, чего он раньше не замечал. Каждый раз, когда Stuxnet завершал цикл саботажа, он сбрасывал частоту до 1064 Гц. Он никогда не обращал внимания на эту цифру. Олбрайт знал, что двигатели центрифуг имеют различные оптимальные частоты для работы, в зависимости от модели центрифуги и материалов, из которых она была изготовлена. А оптимальная частота для центрифуг IR-1, установленных в Натанзе, была равна как раз 1064 Гц.

Больше того, частота 1064 Гц была уникальной частотой именно для центрифуг IR-1. Ни одна другая центрифуга не имела такой же номинальной частоты, и ни одна страна кроме Ирана не использовала центрифуги IR-1. (Хотя IR-1 были разработаны на основе конструкции P-1, которую Пакистан использовал в первые годы своей программы обогащения, с тех пор он перешел к более совершенным конструкциям, которые работали на отличной от 1064 Гц частоте.)

Однако информация об оптимальной частоте для центрифуг IR-1 не была широко известна. Сам Олбрайт узнал о этой частоте только потому, что это ему сообщил правительственный источник в 2008 году. Кроме оптимального показателя частоты в 1064 Гц, правительственный источник также сообщил Олбрайту, что Иран фактически эксплуатирует свои центрифуги на несколько более низкой частоте, которая, как позже выяснили Олбрайт и его сотрудники, составляла 1007 Гц, это было связано с тенденцией центрифуг ломаться при более высоких показателях частоты оборотов. Олбрайт на минуточку задумался над этим несоответствием. Либо разработчики Stuxnet не знали о пониженной частоте, либо Иран уменьшил частоту своих центрифуг спустя некоторое время после того, как хакеры уже написали свой код.

Но это была не единственная деталь, которая бросалась в глаза Олбрайту. Он также заметил, что, когда Stuxnet проводил саботаж, он на пятнадцать минут увеличивал частоту преобразователей до 1410 Гц, что было почти максимальной частотой, которую выдерживал ротор IR-1, прежде чем он начнет ломаться от слишком большого напряжения.

Затем он посмотрел на то, что писали Symantec и Ленгнер о коде атаки на S7-417. Хотя то, что им было известно об атаке, все еще было отрывочной информацией, они знали, что она нацелена на устройства, собранные в шесть групп по 164 устройства в каждом. Олбрайт знал, что центрифуги в Натанзе были установлены по 164 в каждом каскаде, предполагая, что атака на S7-417 была нацелена на шесть каскадов, в общем содержащих 984 центрифуги.

           Чиен также рассказал Олбрайту, что вместо смены частоты вращения центрифуг, как в атаке на S7-315, атака на S7-417, по-видимому, просто включала и выключала их. Олбрайт и его коллеги пробежались по списку компонентов, которые могут быть установлены на заводах по обогащению урана, которые могли бы соответствовать этому сценарию, и единственным вразумительным вариантом для них показались клапаны.

Центрифуги в Натанзе имели по три клапана, контролирующих движение газа внутрь, и наружу из центрифуг, плюс вспомогательные клапаны, контролирующие движение газа внутрь и наружу из каскада, а также между рядами центрифуг в каскаде. Олбрайт и его коллеги рассмотрели различные сценарии, чтобы определить, что произойдет, если определенные клапаны будут открыты или закрыты в течение длительного периода, и в каждом сценарии результатом, скорее всего, будет повреждение или разрушение центрифуги.

Олбрайту стало ясно, что они наконец-то нашли смысл в загадочных цифрах, которые они видели в докладах МАГАТЭ. В своих заявлениях для прессы Ахмадинежад утверждал, что ущерб, нанесенный их центрифугам в следствии атаки Запада, был минимальным. Но для Олбрайта, который на протяжении полутора года наблюдал за отчетами МАГАТЭ, было очевидно, что в течение определенного периода в Натанзе было повреждено или заменено по крайней мере тысяча центрифуг.

Олбрайт опубликовал статью, в которой изложил свои мысли, и этим, казалось, решил вопрос Натанза раз и навсегда. Вскоре после того, как он опубликовал свою статью, New York Times напечатала историю, которая и разрешила вечную загадку Stuxnet – кто создал и запустил вирус. Эта история никого не удивила. В газете сообщалось, что Stuxnet – это совместная операция Израиля и Соединенных Штатов, при поддержке со стороны немцев и англичан.18

Согласно рассказу, который спирался на анонимные источники, червь был написан американскими и израильскими программистами и испытан на израильском комплексе Димона в пустыне Негев – месте, где еще в 1960-х годах разрабатывалась собственная незаконная ядерная программа Израиля. Димона использовался в качестве испытательного полигона для контроллеров Siemens и центрифуг, которые были идентичны IR-1 из Натанза. Там измерялась эффективность червя в уничтожении центрифуг. Но американцы также сыграли свою роль. В 2004 году Национальная лаборатория Ок-Риджа в Теннеси получила несколько центрифуг P-1, по образцу которых были смоделированы иранские IR-1. Также могли сыграть свою роль и британцы, которые были партнерами в консорциуме Urenco. Когда испытания были успешно завершены, Соединенные Штаты и Израиль объединили свои силы для заражения машин в Иране.

Когда его спросили о роли, которую Соединенные Штаты могли бы сыграть в Stuxnet, Гэри Сэмор, главный советник Обамы по оружию массового уничтожению и контролю над вооружениями, просто улыбнулся репортеру Times и сказал: «Я рад слышать, что у них возникли проблемы с центрифугами, и США и наши союзники делают все возможное, чтобы сделать эти проблемы еще более серьезными.»19

 Новость об участии США в разработке и выпуске цифрового оружия должна была вызвать ажиотаж в Вашингтоне и других правительственных кругах за его пределами. Но новость была встречена в основном молчанием, несмотря на то, что она подняла ряд тревожных вопросов – не только о рисках, которые Stuxnet создал для критических инфраструктур США, которые также были уязвимы к такому роду атак, но и об этических и юридических соображениях развязывания разрушительных цифровых атак, которые по сути являлась актом войны. Ральф Ленгнер был прав, первоначально подписывая свой пост о Stuxnet. Получив подтверждение, хотя и неофициальное, что за атакой стоят Израиль и Соединенные Штаты, мир официально вступил в эпоху кибервойн.

Сноски, ссылки и используемая литература:

1.    Эта и все остальные цитаты Чиена взяты из интервью автора в 2010 и 2011 годах.

2.    «STL» расшифровывается как Statement List programming language.

3.    Чиен не имел понятия, почему Siemens никак не реагировал на происходящее. Вполне возможно, что компания не считала этот вопрос срочным, поскольку только около десятка их клиентов сообщили компании о заражении Stuxnet. Возможно также, что компания не привыкла иметь дело с настолько глубокими вопросами, касающимися их продукции. Исследователи из Symantec не задавали вопросов, на которые могли бы легко ответить представители компании, это были фундаментальные инженерные вопросы о том, как работает код в программном обеспечении Siemens. А это требовало от компании разыскать программистов, которые работали над созданием системы Step 7. Но также возможно, что Siemens были относительно спокойны в отношении Stuxnet, потому что не хотели возбуждать громкие дискуссии о своих делах в Иране. Компания недавно оказалась в неудобном положении после того, как в Дубае была перехвачена партия их контроллеров, направлявшихся в Иран для их ядерной программы. Еще одна партия турбопроцессоров Siemens по пути в Иран была перехвачена экспортными властями в Гамбурге. Обе эти поставки нарушали экспортный контроль Европейского Союза, запрещающего продажу Ирану оборудования двойного назначения без соответствующего разрешения. В Siemens утверждали, что они не знали о том, что поставки направлялись в Иран, но инциденты в конечном счете вынудили генерального директора объявить в январе 2010 года, что Siemens не будет инициировать никаких новых деловых отношений с Ираном после середины 2010. Когда Stuxnet был обнаружен в Иране несколько месяцев спустя, молчание Siemens можно объяснить нежеланием компании заводить дискуссии относительно того, как их оборудование попало на иранский завод по обогащению урана. Некоторые источники утверждают, что в Siemens были сотрудники, которые призывали компанию принять более активное участие в исследовании Stuxnet, но их заставили замолчать. Siemens, по сути, хотели, чтобы этот вопрос попросту растворился во времени, и надеялись, что Symantec и другие исследователи сдадутся в своих попытках разгадать тайну Stuxnet.

4.    Поскольку в 2006 году Иран стал жертвой саботажа, когда детали, закупленные у Турции для ее ядерной программы, были якобы ненадлежащего качества, иранские чиновники, возможно, решили, что им необходимо производить собственные частотные преобразователи с целью избежать повторного саботажа.

5.    Смотрите Главу 10.

6.    Эрик Чиен, “Stuxnet: A Breakthrough,” Symantec blog, 12 ноября, 2010, доступно по адресу: http://www.symantec.com/connect/blogs/stuxnet-breakthrough.

7.    “Iranian Nuclear Scientist Killed in Motorbike Attack,” BBC, 29 ноября, 2010, доступно по адресу: http://www.bbc.co.uk/news/world-middle-east-11860928.

8.    Уильям Йонг и Роберт Ф. Уорт, “Bombings Hit Atomic Experts in Iran Streets,” New York Times, 29 ноября, 2010.

9.    Смотрите предыдущую сноску.

10. Смотрите предыдущую сноску.

11. Дитер Беднарц и Ронен Бергман, “Israel’s Shadowy War on Iran: Mossad Zeros in on Tehran’s Nuclear Program,” Spiegel Online, 17 января, 2011, доступно по адресу: http://www.spiegel.de/international/world/israel-s-shadowy-war-on-iran-mossad-zeros-in-on-tehran-s-nuclear-program-a-739883.html.

12. “Iran’s Chief Nuclear Negotiator: ‘We Have to Be Constantly on Guard,’ Der Spiegel, 18 января, 2011.

13. Шахриари и Аббаси были не первыми иранскими учеными, на которых покушались убийцы. В 2007 году, Ардешир Хассанпур, физик-ядерщик, работавший на заводе по переработке урана в Исфахане, умер при загадочных обстоятельствах, в причине смерти указывалась промышленная авария. Затем, за десять месяцев до смерти Шахриари, его коллега, Масуд Алимохаммади был убит в результате подрыва автомобиля. Иран обвинил Моссад в организации нападения на Алимохаммади, но позже на этот счет возникли вопросы, так как в новостях стало известно, что Алимохаммади был вовсе не ядерщиком, а ученым в области квантовой теории. В декабре того же года за это был арестован 26-летний кикбоксер Маджид Джамали Фаши, который позже признался иранскому телевидению, что он был завербован и обучен Моссад после посещения Турции в 2007 году. Он сказал, что ему предложили 30 тысяч долларов вперед за убийство, и еще 20 тысяч долларов после выполнения своего задания. Иранские информагентства сообщили, что Фаши был казнен через повешение в мае 2012 года. В интервью 2014 года вдова Алимохаммади заявила, что ее муж действительно тайно работал над ядерной программой Ирана. Смотрите Скотт Питерсон, “Covert War Against Iran’s Nuclear Scientists: A Widow Remembers,” Christian Science Monitor, 17 июля, 2014.

14. В качестве еще одной тактики запугивания, рассказывал иранский чиновник в интервью 2014 года, Моссад однажды приказал отправить букет цветов от имени иранского флориста семье иранского инженера-ядерщика с открыткой, выражающей соболезнования в связи с его смертью. Однако инженер был еще жив и здоров. Шпионское агентство, по его словам, также создало ряд видео поддельных иранских новостных передач, показывающих изображения убитых иранских ученых, и отправило эти видео еще живим ученым в качестве предупреждения. Смотрите, “How West Infiltrated Iran’s Nuclear Program, Ex-Top Nuclear Official Explains,” Iran’s View, 28 марта, 2014, доступно по адресу: http://www.www.iransview.com/west-infiltrated-irans-nuclear-program-ex-top-nuclear-official-explains/1451.

15. Уильям Йонг и Роберт Ф. Уорт, “Bombings Hit Atomic Experts in Iran Streets.”

16. Сообщается, что Даган был отстранен премьер-министром Натаньяху и министром обороны Эхудом Бараком за то, что он выступал против авиаудара по Ирану.

17. Уильям Йонг и Роберт Ф. Уорт, “Bombings Hit Atomic Experts in Iran Streets.”

18. Уильям Дж. Брод, Джон Маркофф и Дэвид Э. Сэнгэр, “Israeli Test on Worm Called Crucial in Iran Nuclear Delay,” New York Times, 15 января, 2011.

19. Смотрите предыдущую сноску.

Глава 14. Сын Stuxnet.

С приходом весны в 2011 году история с Stuxnet, казалось, начала затихать. Компания Symantec наконец раскрыла тайну устройств, на которые была совершена кибератака, Олбрайт установил окончательную связь между Stuxnet и центрифугами в Натанзе, и, хотя правительство США до сих пор официально не признало свою ответственность за нападение, газета New York Times подтвердила то, что все подозревали – за атакой стояли Соединенные Штаты и Израиль.

Компания Symantec, со своей стороны, была готова двигаться дальше. Исследователи потратили полгода на то, чтобы полностью разобрать код, и составили 70-страничное досье со всеми своими находками. Они были необычайно рады, что наконец-то это все закончилось. Но у них не получилось отложить проект на дальнюю полку. Вскоре в Европе появились новые поразительные доказательства того, что Stuxnet был всего лишь одним из арсенала инструментов, которые злоумышленники использовали против Ирана и других целей.

Болдизар Бенксат откусил бутерброд и уставился на экран компьютера. Программное обеспечение, которое он пытался установить, загружалось целую вечность, а ему еще предстояло сделать дюжину дел до начала осеннего семестра 2011 года. Он преподавал компьютерные науки в Будапештском университете технологий и экономики. Однако, несмотря на большой список дел, он чувствовал себя счастливым и расслабленным. Это был первый день сентября, один из тех прекрасных вечеров позднего лета, когда теплый воздух и ясное небо заставляют забыть о предстоящей осенней погоде.

Бенксат, известный своим друзьям как Болди, сидел за рабочим столом в университетской лаборатории криптографии и системной безопасности, сокращенно CrySys Lab, когда его обед прервал телефонный звонок.  Звонил Йоска Бартос, генеральный директор компании, для которой лаборатория иногда выполняла мелкую работу.1

«Болди, у тебя есть время? У меня есть для тебя небольшое поручение», – спросил Бартос.

«Это связано с тем, о чем мы говорили на прошлой неделе?» – ответил Бенксат, ссылаясь на предыдущий разговор, в котором Бартос рассказывал о тестировании новых услуг, которые компания планировала предложить своим клиентам.

«Нет, кое-что другое», – отрезал Бартос. – «Можешь приехать прямо сейчас? Это очень важно. Только не говори никому куда ты едешь.»

Бенксат проглотил остаток своего обеда и сказал коллегам в лаборатории что у него «срочное поручение» и он должен идти. «Не спрашивайте», – кинул он, выбегая за дверь.

Через 15 минут он уже был в офисе Бартоса, где он уже собрал всю свою команду. «Мы думаем, что нас взломали», – взволнованно заявил Бартос.

На одном из главных компьютеров они нашли подозрительный файл, который был создан поздно ночью, когда в офисе никого не было. Файл был зашифрован и сжат, так что они понятия не имели, что было внутри, но они подозревали, что это были данные, которые хакеры скопировали с компьютера и, скорее всего, в будущем выгрузят его себе. Изучив сеть компании, они обнаружили еще несколько машин, которые также были заражены. Специалисты кибербезопасности были уверены, что сдержали атаку, но хотели, чтобы Бенксат помог определить, как злоумышленники попали в систему, и что конкретно они искали. У компании были все рекомендуемые средства защиты – фаервол, антивирус и система обнаружения и предотвращения вторжений – и все же злоумышленников это не остановило.

Бенксат был учителем, а не охотником на вирусы, и никогда раньше не занимался такими расследованиями. В лаборатории CrySys, где он был одним из четырех специалистов, работавших с горсткой аспирантов, он занимался научными исследованиями для Европейского Союза и иногда брал мелкие задания от других клиентов. Последнее было заурядной работой по очистке-восстановлению систем после случайных заражений компьютеров вирусами. Раньше ему никогда не приходилось исследовать целенаправленный взлом, и сейчас у него было шанс попробовать свои силы в расследовании самой настоящей кибератаки. Единственная загвоздка заключалась в том, что он никому не мог разглашать, над чем он работает. Компания Бартоса сильно зависела от доверия клиентов, и, если о взломе компании станет известно, они могут потерять клиентов.

Команда программистов сделала зеркальные снимки зараженных жестких дисков, так что остаток дня они вместе с Бенксатом провели з за их изучением, ища в них что-нибудь подозрительное. К концу дня они нашли что искали – кейлоггер/стиллер, который записывал пароли и регистрировал нажатия клавиш на зараженных машинах, а также крал документы и делал скриншоты. Он также каталогизировал любые устройства или системы, которые были подключены к зараженной машине, так что злоумышленники могли построить схему сетевой архитектуры компании. Вредонос не передавал собранные данные сразу, вместо этого он хранил информацию во временных файлах, таких, какой вчера программисты обнаружили на одном из компьютеров. Файл становился все больше и больше каждый раз, когда стиллер высасывал данные, пока в какой-то момент хакеры не получали файл с их командно-контрольного сервера в Индии.2

День подходил к концу, поэтому Бенксат, забрав с собой зеркальные изображения и системные журналы компании, разумеется после их очистки от конфиденциальных данных клиентов, изучал их в течении следующих несколько дней, пытаясь полностью разобрать природу вируса. Все это время он скромничал перед своими коллегами в лаборатории, мол сосед попросил его о небольшом одолжении. Спустя несколько дней параллельно работающая команда программистов обнаружила еще три подозрительных файла – включая драйвер режима работы ядра и еще один драйвер, который был найден только на некоторых системах.

 Когда Бенксат осмотрел драйвер ядра, его сердце резко забилось быстрее – он был под подписан действительным сертификатом от тайваньской компании. «Подожди минутку», – подумал он. Stuxnet также использовал драйвер, подписанный сертификатом от тайваньской компании. Сертификат драйвера Stuxnet был получен компанией RealTek Semiconductor, но этот сертификат принадлежал другой компании – C-Media Electronics. Драйвер был подписан сертификатом в августе 2009 года, примерно в то же время Stuxnet впервые был обнаружен на машинах в Иране.

Могут ли эти две атаки иметь какую-то связь? Он удивился. В течении минуты он думал об этом, но потом отклонил это дурацкое предположение. Ключ подписи и сертификат C-Media мог украсть абсолютно любой хакер, а не только разработчики Stuxnet.

Затем один из программистов заметил в драйвере что-то знакомое – то, как он вводил код в определенный процесс на зараженных машинах. «Мне известна только одна атака, которая делает так же», – сказал он Бенскату. Ему не нужно было произносить это слово, Бенксат знал, что речь идет о Stuxnet. Но Бенксат отверг и это совпадение, поскольку был уверен, что эта техника не была уникальной для Stuxnet.

 Еще дважды в течение следующих нескольких дней Бенксат и команда программистов находили в коде атаки вещи, которые напрямую или косвенно были связаны со Stuxnet. Но каждый раз они убеждали себя, что это просто совпадение. Просто не может быть, чтобы молния дважды ударила в одно и то же место, рассуждали они. Кроме того, не было никаких признаков того, что эта новая атака была нацелена на ПЛК.

Просидев над вирусом около недели, Бенксат начал задаваться вопросом, не был ли кто-нибудь еще заражен этим вредоносом, поэтому он решил посмотреть, сможет ли он выкурить других жертв или даже самих нападавших с помощью хитрой уловки. 8 сентября он разместил хэши вредоносных файлов на своем лично веб-сайте, boldi.phishing.hu, приложив к ним загадочный текст: «Ищу друзей или врагов 9749d38ae9b9ddd8ab50aad679ee87ec, чтобы поговорить. Ты знаешь, что я имею ввиду. И ты знаешь почему.» Его сайт, странный сборник рыбных рецептов и кулинарных обзоров рыбных консервов (доменное имя «фишинг» было каламбуром на термине из компьютерной безопасности для вредоносной электронной почты), был идеальным прикрытием для размещения этого сообщения, ведь единственный способ найти хэши – это целенаправленно искать их в Google, или это может быть жертва, которая также нашла на своем компьютеры неизвестные файлы и начала искать информацию об этом в интернете, либо же сами злоумышленники, которые, возможно, захотели узнать, нашли ли жертвы их файлы или что говорили о вирусе в интернете. Если кто-то действительно захотел посмотреть на хэши на сайте Бенксата, он бы увидел IP-адрес каждого входящего пользователя.

К сожалению, никто не повелся на его приманку, поэтому через несколько дней он удалил хэши.

К этому времени начался осенний семестр, и Бенксат был занят другими делами. У него были аудиторные занятия, и также время для практических занятий со студентами. Вскоре ему также предстояло выступить с докладом на конференции в Дубровнике. Но несмотря на все это, кибератака постоянно терзала его в глубине сознания, не отпуская его мысли ни на минуту. Когда после конференции Бенксат вернулся в Будапешт, он и команда программистов решили сравнить код одного из драйверов, которые они нашли на зараженных машинах, с одним из драйверов, которые использовались в Stuxnet – просто чтобы раз и навсегда решить, связаны или не связаны между собой эти две атаки. Когда они поместили исходные коды в шестнадцатеричный редактор, чтобы изучить их бок о бок, их взору предстал большой сюрприз. Единственным отличием между ними были используемые цифровые сертификаты.

Бенксат немедленно позвонил Бартосу, генеральному директору компании, и сказал, что ему нужно привлечь к расследованию остальных сотрудников Лаборатории CrySys. Это больше не было просто взломом, это было умышленное нападение на государство с последствиями для национальной безопасности. Бартос согласился, но только при условии, что Бенксат не раскроет своим коллегам названия компании. Единственными людьми, кроме Бенксата, которые знали, что компания была взломана, была местная команда реагирования на чрезвычайные ситуации, но и они были уведомлены только из-за особенностей характера бизнеса компании.3

Бенксат планировал рассказать об этом своим коллегам в следующий понедельник. За выходные он собрал всю техническую литературу, которую он смог найти о Stuxnet, включая длинное досье, подготовленное Symantec, которое он полностью перечитал, дабы освежить свою память. Когда он дошел до части, где рассказывалось о процедурах шифрования, которые Stuxnet использовал для сокрытия своего кода, он вытащил эти самые процедуры из новой атаки и обнаружил еще один сюрприз. Они были практически идентичны. Код новой атаки также использовал одни и те же ключи дешифрования, что и Stuxnet.4

Затем он изучил шесть «крюков» захвата ядер, которые использовал новый вирус – специфические функции на машине, которые вредоносная программа использовала для осуществления атаки – и сравнил их с функциями, которые использовали другие известные вирусы. Он обнаружил, что некоторые из самых популярных вирусов использовали по две или три те же функции, но ни один из них не использовал все шесть. Он тут же схватил литературу по Stuxnet, и начал искать информацию об используемых функциях захвата, и вот оно – Stuxnet использовал все шесть идентичных с этими функций.

Разумеется, это не означало, что код Stuxnet и этой новой атаки был написан одними и теми же людьми, но было ясно, что создатели нового вируса разработали свою атаку на основании того же источника, что и разработчики Stuxnet. Stuxnet саботировал иранскую программу обогащения урана, но кто знает, что делала эта новая атака, и сколько систем ей уже удалось заразить?

Бенксат отправил Бартосу электронное письмо, рассказывая о своих находках. До сих пор они работали в неторопливом темпе, изучая код только когда у них появлялось свободное время. Но теперь он осознал, что они должны как можно быстрее определить цель атаки и уведомить об вирусе общественность, прежде чем кто-либо сможет остановить их. После того, как Symantec опубликовала свое исследование Stuxnet, многие задавались вопросом, почему правительство США никогда не пыталось помешать им. Так вот Бенксат опасался, что на этот раз в расследование могут вмешаться.

 На следующий день он рассказал об атаке своим коллегам, Левенте Бутьянну и Габору Пеку. Все трое понимали, что они не были достаточно компетентны для самостоятельного анализа исходного кода – никому из них ранее не приходилось делать анализ вредоносных программ, и они имели недостаточный опыт работы с инструментами отладки, необходимый для реверс-инженеринга. Но они понимали, что чтобы на это дело обратили внимание более серьезные исследователи, им придется это сделать. Лаборатория CrySys, как и VirusBlokAda, была едва ли знакома в мире компьютерной безопасности, а посему им нужны были веские доказательства причастности этой атаки к Stuxnet, в ином случае их даже не станут слушать.

Они назначили дедлайн через десять дней и решили сосредоточиться только на тех участках атаки, которые были схожи с Stuxnet. К их удивлению, чем больше они изучали код, тем больше сходств они находили, казалось, их было слишком много, намного больше чем они ожидали. По истечении десяти дней они составили 60-страничный отчет. Бартос дал Бенксату разрешение поделиться им с Symantec, но только при условии, что, если они обнародуют отчет, в нем не должно быть никаких упоминаний о Лаборатории CrySys. Бартос беспокоился, что если кто-нибудь узнает о том, что лаборатория расположена в Венгрии, то опознание жертвы вируса не займет много времени.

Они послали отчет правительственной группе реагирования на чрезвычайные ситуации, Чиену и его команде в Symantec, а также еще нескольким другим – Петеру Шору, венгерскому исследователю из McAfee; компании VeriSign, именно ей предстояло отозвать цифровой сертификат, используемый вредоносным ПО; и исследователю из Microsoft.5 Сердце Бенксата походило на отбойный молоток, когда он нажимал ОТПРАВИТЬ по электронному письму с отчетом. «Я был очень взволнован», – говорит он. «Вы бросаете что-то с холма, и можете только предполагать какой силы лавину вы можете вызвать.»

Проснувшись в ту пятницу, 14 октября, Чиен, как всегда, потянулся к своему мобильному, чтобы проверить электронную почту. Тема одного из сообщений сразу же привлекла его внимание. Она гласила просто: «важный вредонос», к нему прилагалось вложение. Он был отправлен двумя компьютерными учеными из малоизвестной университетской лаборатории в Венгрии, которые написали на ломанном английском об обнаружении новой атаки, которая имела «сильное сходство» со Stuxnet. Они окрестили его «Duqu» (dew queue) – потому что все временные файлы, созданные вредоносом на зараженных машинах, имели имена, начинающиеся с ~DQ. Венгерские компьютерщики были уверены, что это «откроет новую главу в истории Stuxnet.»

«Поскольку у нас еще нет опыта работа с такого рода инцидентами, мы не уверены в том, какие следующие шаги нам следует предпринять», – писали они. «Мы готовы сотрудничать с многими исследователями, в том числе с вами, предоставляя доступ к вредоносному ПО и участвуя в его дальнейшем анализе.»

Чиен переслал сообщение остальным членам группы реагирования на инциденты в Symantec и отправил О`Мурчу текстовое сообщение с просьбой прочитать его, как только он проснется. Затем он направился в офис, его чувства были смешаны.

За прошедший год Чиен стал опасаться людей, которые обращались к нему с сообщениями о новых наблюдениях насчет Stuxnet – все они были пустышками. Работая на кибероборонную фирму он уже привык к тому, что его друзья и соседи иногда обращаются к нему, когда им кажется, что их компьютеры заражены вирусом. Но после того, как работа его команды над Stuxnet получила широкую огласку, ему начали писать незнакомые люди, настаивая на том, что за ними, с помощью Stuxnet, следило правительство. Один парень даже прислал конверт, набитый пятью десятками скриншотов и журналов сетевого трафика, которые тут и там были обведены желтым цветом, указывая на какие-то детали. На одном из них он обвел кружком URL-адрес посещенного им веб-сайта, который содержал текст «en/us» – с его слов, доказательство того, что за ним следит правительство США.6 Другой случай, женщина, автор кулинарной книги, отправила Чиену несколько электронных писем через Hushmail – зашифрованную электронную почту, используемую активистами и преступниками, чтобы скрыть свою личность. Когда Чиен проигнорировал электронные письма, она отыскала его номер телефона и написала сообщение. Она также была уверена, что кто-то шпионил за ней с помощью Stuxnet, потому что каждый раз, когда она шла в библиотеку и вставляла флешку в компьютер библиотеки, ее домашний компьютер, затем, заражался вирусом с той же флешки.

Несмотря на циничное отношение Чиена ко всем новым заявлениям насчет Stuxnet, которые попадались ему на глаза, ему достаточно было прочитать первые две страницы отчета из Венгрии, чтобы понять, что этот отчет отличался от всех остальных. «Это Stuxnet», – уверенно сказал он.

Несмотря на отсутствие опыта анализа вредоносного кода, венгры подготовили впечатляющий доклад, хотя и извинялись, что «многие вопросы все так же остаются без ответа». Они включили фрагменты декомпилированного кода, показывающие поразительное сходство Duqu и Stuxnet, и создали параллельный контрольный список, выделяющий более дюжины моментов, в которых эти две атаки были полностью одинаковыми или сильно схожими. В этом коде не было атаки на ПЛК – фактически, там вообще не было никакой полезной нагрузки, если не считать кейлоггер как полезную нагрузку. Но следы работы создателей Stuxnet прослеживались повсеместно. Duqu был написан либо той же командой вирусописателей, которая стояла за Stuxnet, либо, по крайней мере, людьми, имеющими доступ к тем же источникам и инструментам.

Чиен отправил Бенксату электронное письмо, в котором сообщил, что они получили отчет, а затем с тревогой продолжил ждать прибытия О`Мурчу. Его чувства были смешаны. Они давно надеялись, что они сами, либо кто-то другой, все-таки сможет найти дополнительные улики, которые помогут им решить оставшиеся открытые вопросы о Stuxnet. И Duqu казался хорошим источником ответов хотя бы на пару нерешенных вопросов. Но их анализ кода Stuxnet забрал у них месяцы работы, включая работу по ночам и выходным, и Чиен опасался, что новый код может потребовать такого же количества времени и энергии. 

О`Мурчу все еще находился в состоянии полусна, когда утром увидел сообщение от Чиена. Его сонливость быстро рассеялась, когда, открыв приложение почты, он прочитал пересланный Чиеном отчет. Нет лучшего способа рассеять туман в голове, чем посмотреть прямо в дуло, пускай и кибер, но оружия. «Мне нужно в офис», – кинул он своей девушке, быстро собрался и вылетел в дверь.

По дороге на работу он все еще пытался осмыслить то, что только что прочел – он не мог поверить, что создатели Stuxnet все еще у дела. После того, как все внимание средств массовой информации, каждый палец, тыкали на Израиль и Соединенные Штаты, он полагал, что нападавшие на время залягут. По крайней мере, размышлял он, они должны были хоть немного изменить свой код, чтобы убедиться, что в случае обнаружения их новой атаки, следы не приведут к ним – разработчикам обеих атак. Но судя по отчету из Венгрии, все, что они удосужились изменить, это цифровую подпись. «У них должно быть стальные яйца», – подумал он. Они были полны решимости довести дело до конца, и им, видимо, было наплевать, что они рискуют раскрыть свои личности. Либо так, либо они уже настолько увлеклись использованием кода Duqu, что не хотели изменять его даже после того, как Stuxnet был обнаружен.

Когда О`Мурчу добрался до офиса, Чиен и остальные сотрудники уже вовсю обсуждали новую атаку. Они связались с Фальером, который к этому времени переехал из Парижа в Соединенные Штаты и теперь работал в офисе Symantec в Северной Каролине. Они загрузили предоставленные венграми бинарные файлы Duqu, и работали над ними в течение всего дня и выходных. Они были рады обнаружить, что Duqu был намного меньше, чем его предшественник, Stuxnet, и состоял всего из нескольких файлов, расшифровать которые не представляло особой сложности. К понедельнику они знали о коде почти все.

По сути, Duqu был трояном удаленного доступа, или RAT, который действовал как простой бэкдор, предоставляющий атакующим точку опоры на зараженных машинах. Однако, как только бэкдор был установлен, Duqu связывался с командно-контрольным сервером, с которого злоумышленники могли загрузить дополнительные модули, предавая коду своей атаки больше функциональности. В роли тех самых дополнительных модулей мог выступать кейлоггер/стиллер, который венгры обнаружили на одной из своих зараженных систем.

Что касаемо намерений Duqu, было совершенно понятно, что в отличие от Stuxnet саботажем он не занимался, а являлся инструментом шпионажа. В то время как Stuxnet был тайным кибероружием, нацеленным на физическое уничтожение оборудования, Duqu, являлся передовым разведчиком, посланным собирать разведданные для будущих атак. В Symantec подозревали, что это было предвестником новой атаки, подобной Stuxnet. Также стоить отметить, что срок жизни Duqu был ограничен, при чем самими разработчиками. Дата его самоуничтожения заставляла полностью заметать следы своего существования с зараженной машины после истечения 36 дней.7

Все это казалось каким-то подозрительно простым, но копнув глубже, в файлах Duqu, они обнаружили сюрприз, который, похоже, связывал его с еще одним загадочным нападением, которое ранее озадачило команду Symantec на многие месяцы. Полгода назад, представители Ирана заявили, что тамошние компьютеры подверглись второй цифровой атаке, которая, похоже, была наследником Stuxnet. Это заявление было сделано спустя несколько месяцев после того, как иранские чиновники наконец признали, что компьютеры, контролирующие иранские центрифуги, были подвержены кибератаке. Хотя иранцы никогда не называли конкретного имени вируса, поразившего их центрифуги, этой новой атаке они все же дали название – «Stars». Голам-Реза Джалали, командир иранской организации гражданской обороны, не дал никаких объяснений по поводу названия, также, как и не предоставил никакой толковой информации об атаке, кроме того, что она была направлена на кражу данных. Он также сказал, что это, вероятно, будет «ошибочно принято за исполняемые файлы правительства», предполагая, что вредоносное ПО могло появиться на компьютерах в результате фишинг-атаки с прикрепленным вредоносным файлом, замаскированным под документ из государственного источника.8

В это же время Symantec и другие исследователи из сферы кибербезопасности не знали, что делать с отчетом, поскольку Иран так и не предоставил никаких образцов вредоносного ПО для их изучения независимыми экспертами. Тот факт, что никто в мире больше не сообщал о заражении вирусом Stars, заставил некоторых исследователей отвергнуть отчет исследователей из Венгрии, полагая, что Иран либо сфабриковал эту историю, чтобы обвинить Запад в новых кибератаках, либо просто перепутал обычный вирус с атакой государственных масштабов.  

Но нечто, что они нашли в Duqu, подсказывало, что он и мог быть Stars. То есть на самом деле, Duqu и Stars могли быть просто разными названиями одного и того же вируса. Когда разработчики Duqu отправляли на зараженный компьютер кейлоггер, они встраивали его в .JPEG файл – обычный файл изображения – чтобы он попал в систему незамеченным. Содержимое большей части изображения в этом файле было удалено, так что внутрь можно было спрятать код кейлоггера. В результате, когда О`Мурчу открыл изображение, на экране появился дюйм, или около того изображения, состоявшего из нескольких слов белого текста, напечатанного на черном фоне. Верхняя половина текста была обрезана, но его все же получилось разобрать: «Система взаимодействующих галактик NGC 6745». Поиск в Google показал целое изображение, которое злоумышленникам пришлось обрезать для освобождения места, – изображение 1996 года, полученное с космического телескопа Хаббла. Поразительной красоты картинка изображала скопление светящихся белых и голубых звезд, окутанных тонкой завесой золотистой материи и газов – последствия, как гласила надпись, «столкновения» двух галактик, после того, как маленькая галактика звезд задела край более крупной галактики. Возможно ли, что Duqu и был тем самым загадочным вирусом Stars, поразившим Иран?9 Исследователи из Symantec и Лаборатории CrySys считали, что это было именно так.

Компания Symantec хотела обнародовать новости о Duqu, но, согласно их договору, прежде чем они могли осуществить свое желание, им следовало поработать с Бенксатом, чтобы очистить файлы образцов и отчет CrySys от всего, что могло бы навести на след жертвы вируса или саму лабораторию.10 18 октября команда Symantec опубликовала анонимизированный отчет CrySys, а также свой собственный анализ Duqu, в котором жертва указывалась как «организация, базирующаяся в Европе», а лаборатория CrySys – как «исследовательская лаборатория с сильными международными связями.»11

Не прошло и часа после публикации поста Symantec, как Бенксат получил первое сообщение, уведомляющего его о первой жертве, желавшей посмотреть на хэши, которые он разместил еще несколько недель назад. И хотя он удалил хэши из своего сайта, кэш Google сохранил его сообщение, и онлайн форумы кибербезопасности буквально гудели вопросами об удаленных хэшах. На следующий день на его сайт обратилось более четырех сотен человек, и как следствие, быстро распространился слух, что этот странный венгерский сайт о рыбных консервах каким-то образом связан с Duqu. На сайте не было никакой личной информации Бенксата, но узнать это не стоило слишком многих усилий, достаточно было посмотреть регистрацию домена сайта и найти там его имя. Оттуда потребовался всего лишь простой запрос в Google, который напрямую соединил бы его с Лабораторией CrySys.

На тот момент уже было бесполезно как-то скрывать название лаборатории, поэтому 21 октября Бенксат опубликовал краткое заявление на сайте лаборатории, признав их роль в обнаружении и исследовании Duqu, и призвал всех прекратить любые поиски жертвы. Однако, было уже слишком поздно. Слух о том, что жертва Duqu была центром сертификации в Европе, уже распространился после того, как Петер Шор, исследователь из McAfee, получивший первоначальный отчет Бенксата, опубликовал пост в своем блоге под названием «День Золотого Шакала», в котором говорилось, что Duqu был нацелен на центры сертификации и посоветовал остальным центрам сертификации проверить свои системы, чтобы убедиться, что они не были заражены. Поскольку Лаборатория CrySys находилась в Венгрии, очевидно, что жертва была там же. А поскольку в этой стране было всего несколько центров сертификации – NetLock и Microsec e-Szigno были основными из них – для некоторых исследователей не представило много трудностей, чтобы остановиться на NetLock как жертве, хотя ни одна компания не выступала с публичными заявлениями по этому поводу.12

Последствия были пугающими. Центры сертификации лежат в основе доверительных отношений, которые обеспечивают функционирование интернета. Именно они выдают сертификаты, которые правительства, финансовые учреждения и всякого рода компании используют для подписи своего программного обеспечения и веб-сайтов, предоставляя пользователям уверенность в том, что они загружают оригинальную программу Microsoft, или вводят свои учетные данные для входа в сервисы именно Bank of America или Gmail, а не их вредоносных копий. Успешная атака на такой орган позволит злоумышленникам выдавать себе законные сертификаты от имени любой компании и использовать их для подписи своих вредоносных программ. Этот шаг был немного предприимчивей, нежели взлом отдельных компаний, таких как RealTek, Jmicron и C-Media, как это было сделано со Stuxnet. Если Duqu и в правду был работой Соединенных Штатов и Израиля, это означало, что страна или союзник НАТО скомпрометировали фундаментальную часть надежной инфраструктуры, которая сделала возможными транзакции в интернете, и все это ради продвижения тайной компании против Ирана. Если за атакой стояли Соединенные Штаты, это также означало, что в то время как одна ветвь власти пропагандировала важность обеспечения безопасности критической инфраструктуры и необходимость разработки приемлемых норм поведения в интернете, другая была занята компрометацией этих самых критических систем, принадлежащих союзникам НАТО, которые выступают важной частью безопасности интернета, и установлением сомнительных норм поведения, подавая пример для подражания другим странам. Но поскольку достоверная информация насчет создателей Duqu так и не была раскрыта, общественность была лишена возможности обсуждать эти вопросы.

Несмотря на упущение этой важной детали, распространение новости о Duqu вызвало диаметрально противоположную против Stuxnet реакцию со стороны сообщества кибербезопасности. Исследовательские группы, сидевшие на трибунах, пока Symantec месяцами работала над деконструкцией полезной нагрузки Stuxnet, быстро набросились на код Duqu, желая поскорее изучить все его закоулки – отчасти, наверное, потому, что он был менее сложным, чем Stuxnet, и не имел полезной нагрузки на ПЛК, но также и потому, что они видели, к чему приводит их молчаливая отсидка в сторонке. Stuxnet ознаменовал начало новой эры, и, разумеется, никто не хотел быть выброшенным за борт.13

Одной из кибероборонных компаний, которые на этот раз решили возглавить гонку исследований, была российская «Лаборатория Касперского.» Исследователи из Лаборатории Касперского не сидели сложа руки еще когда был обнаружен Stuxnet, они провели обширную работу по деконструкции Windows-части атаки и были первыми частными исследователями, обнаружившими нулевые дни в Stuxnet и сообщившими о них в Microsoft. Но кроме большого числа нулевых дней, они не находили в Stuxnet ничего интересного и стоящего полноценных исследований. Незнакомый код ПЛК был препятствием для изучения полезной нагрузки, и в конечном счете, они решили, что из этого исследования будет мало профита. Поэтому, закончив анализ ракетной части, они бросили Stuxnet и перешли к другим угрозам. Но на этот раз они не собирались повторять свою ошибку снова.

Костин Райю, директор глобальной исследовательской и аналитической группы Касперского, готовился на ранний утренний рейс в Гонконг для встречи, когда в интернете стали появляться первые новости о Duqu. Его первой мыслью было позвонить своим коллегам в Москву, но они еще спали. Поэтому перед посадкой в самолет он быстро скачал предоставленные Symantec файлы Duqu, и изучал их на протяжении всего времени полета.

Как только он приземлился в Гонконге, он сразу связался с Александром Гостевым, молодым, высококвалифицированным реверс-инженером и главным исследователем вредоносных программ компании. Symantec и Лаборатория CrySys тщательно изучили файлы Duqu, но Райю и Гостев подозревали, что они нашли не все, и были правы.

Они сразу поняли, что Duqu – работа рук отменных программистов. Его код разительно отличался от других шпионских программ, которые проходили мимо их рук – Райю сравнил его с разницей между «Звездной ночью» Винсента Ван Гога и любительским исполнением этой же картины студентом художественной школы. Опытный глаз быстро определял мастерские мазки и гениальность кода.

Райю бы 33-летним румыном, который работал на Касперского из крошечного офиса в Бухаресте с одним исследователем и горсткой маркетологов. У него были темные, коротко подстриженные седеющие волосы, а его зрелость и мудрость не соответствовали возрасту. Последнее делало его действительно хорошим наставником для молодых членов его исследовательской группы. Кроме того, у него было спокойное поведение, которое служило ему отличную службу во время напряженных ситуаций, например, когда команде приходилось жонглировать несколькими сложными проектами одновременно. Это было качество, которое окажется неоценимым на протяжении многих месяцев, которые последуют вслед за усилением внимания его команды в отношении дела банды разработчиков Stuxnet-Duqu.

Райю пришел в компанию в 2000 году в возрасте 23 лет, когда у него было всего несколько десятков сотрудников. Его наняли для работы над одним пражским проектом, имя, он и его команда оказывали помощь в создании антивирусного движка нового поколения.

Выросший в коммунистической Румынии, Райю больше увлекался химией, нежели компьютерами. Он был очарован взрывной реакцией при смешивании некоторых веществ, и фундаментальными знаниями, которые химия давала о природе и структуре мира. Но после одного из его неудачных экспериментов, который чуть не закончился подрывом квартиры его родителей, они купили ему компьютер, пытаясь направить силы отпрыска на менее опасные увлечения. Это было незадолго до того, как он выучил свой первый язык программирования, и, будучи еще подростком, с нуля разработал свой собственный антивирусный движок под названием RAV.

Он начал работу над RAV, когда сеть его средней школы была подвержена заражению вирусом, который не смог обнаружить школьный антивирусный сканер. Райю провел ночь, записывая сигнатуры и создавая для него модуль обнаружения. Со временем он добавил больше кода и функций, и в конце концов начал бесплатно распространять его под именем MSCAN. Когда программный продукт обрел некую известность, румынский предприниматель нанял подростка для работы в своей компании GeCAD Software, которая начала продавать его софт под названием RAV – Romanian Anti-Virus. Он быстро стал самым продаваемым продуктом компании, уверенно обходя конкурентов тест за тестом, и своими результатами смог привлечь внимание Microsoft. В 2003 году софтверный гигант приобрел RAV у GeCAD, но к тому времени Райю уже покинул корабль, перебравшись работать на Касперского.14

В то время Лаборатория Касперского была относительно неизвестной компанией в Соединенных Штатах, где на антивирусном рынке доминировали Symantec и McAfee. Как российская фирма, Лаборатория Касперского столкнулась с борьбой недоверия на Западе – особенно из-за того, что Евгений Касперский, основатель компании, получил образование в институте, поддерживаемом КГБ, и служил в российской военной разведке. Но постепенно компания сделала себе имя в Восточной Европе и других странах, особенно на Ближнем Востоке, где Соединенные Штаты столкнулись с подобным недоверием.

Райю начинал в Касперски как программист, но в 2004 году, когда компания запустила исследовательскую группу для изучения и реверс-инжениринга вредоносных программ, Райю присоединился к ним. В 2010 году он стал ее директором, курируя исследовательские группы на нескольких континентах. Сейчас, с появлением Duqu, несколько из этих команд были сосредоточены на исследовании новой угрозы.

Техническую работу возглавлял Гостев, худощавый аналитик с короткими светло-каштановыми волосами и легкой сутулостью, которая давала понимать о количестве часов, проводимых ним в положении сидя перед компьютером. Разбирая код, он и его коллеги были впечатлены рядом моментов.

Особенно интересным был компонент, который злоумышленники использовали для загрузки на машину жертвы дополнительных модулей для перекачки данных. В отличие от всех других модулей Duqu и Stuxnet, этот был написан не на С или С++, а на языке, который Гостев и Руйю видели впервые. В попытках идентифицировать незнакомый язык они потратили несколько недель, и даже консультировались со специалистами по языкам программирования. Но все тщетно. Поэтому они обратились за помощью в свой блог, и наконец, собрав все догадки воедино, они смогли сделать вывод, что хакеры использовали редкий диалект С, а также специальные расширения, которые искажали код, а также сжимали его размер и делали портативным.15 Это походило на стиль программирования, общий для коммерческих программ, созданных лет так десять назад, но не для современного софта, и уж точно не для вредоносного ПО. Было ясно, что это были не молодые и горячие ребята, программисты, которые были в тренде всех последних новшеств, а кодеры старой школы, осторожные и консервативные. Иногда, скомпилированный код на С++ мог быть непредсказуем и выполнялся непреднамеренно. Так что вирусописатели решили выбрать С, который предоставлял им полный контроль над кодом, а затем модифицировали его во время компиляции, чтобы сделать его более компактным и легким для последующей доставки жертве.16

Их ограничения с Duqu распространялись на его механизмы распространения. В этом отношении Duqu, в отличие от Stuxnet, был полностью контролированной атакой. Атака, похоже не имела никаких эксплойтов нулевого дня, которые помогали ей в распространении, и она также не имела возможности автономного распространения, например, через USB-флешки, как это мог Stuxnet. Вместо этого, однажды оказавшись на машине, он будет заражать другие машины только в том случае, если хакеры вручную отправят такое указание со своего командного сервера.17 Также, в отличие от Stuxnet, Duqu был намного более скрытным в своем взаимодействии с командным сервером.18 Сообщения были зашифрованы с помощью мощного алгоритма под названием AES, и прятались внутри .JPEG файла изображения, что помогало им скрыться в общем трафике. И как следствие всех отличий Duqu от Stuxnet, первый был обнаружен всего на трех десятках машин, в то время как второй поразил более чем 100 тысяч.19

Жертвы были разбросаны по разным странам и по сфере своей работы варьировались от военных объектов до производителей промышленного оборудования, такого как трубы и клапаны. Все они, по-видимому, были тщательно выбраны из-за своих «стратегических активов» – продуктов, которые он производили, или услуг, которые оказывали.20 Неудивительно, что многие из обнаруженных Касперским жертв так или иначе были связаны с Ираном. Либо у них был офис в Исламской Республике, либо какие-то торговые отношения с Ираном. Единственной жертвой, связи с Ираном у которой найти не удалось, была компания в Венгрии, которая и обнаружила новую атаку.

Судя из информации, почерпнутой из файлов журналов, предоставленных некоторыми жертвами, злоумышленники, по-видимому, были особенно заинтересованы в краже файлов AutoCAD – особенно тех, которые были связаны с промышленными системами управления, используемые в различных областях промышленности Ирана. AutoCAD, оно же автоматизированное проектирование – это программное обеспечение, используемое для составления 2D и 3D архитектурных чертежей, и проектирования компьютерных плат и потребительских товаров. ПО также используется и для отображения плана компьютерных сетей и оборудования на этажах промышленных зданий. Последнее было бы очень кстати для тех, кто планирует взорвать фабрику или запустить кибератаку, похожую на Stuxnet. 

К каждой жертве злоумышленники подходили индивидуально, компилируя новые файлы вируса для каждой цели и устанавливая отдельные командные серверы по всей Европе и Азии так, что каждый сервер отвечал за связь всего с двумя-тремя жертвами. Такая сегментация, несомненно, помогала им отслеживать каждую операцию отдельно и по группам, но кроме того, она также гарантировала, что, если кто-либо из посторонних получит доступ к одному из серверов, их общее представление об операции будет очень ограниченным. Серверы, по сути, оказались прокси-машинами – промежуточными станциями для злоумышленников, которые служили для перенаправления украденных данных на другие машины – чтобы еще больше помешать кому-либо увидеть операцию целиком или отследить данные к самим вирусописателям. Например, данные жертвы из Венгрии сначала отправлялись на сервер в Индии, затем перенаправлялись на сервер в Филиппинах, откуда они отправлялись где-либо еще. Данные от жертв в Иране отправлялись на сервер во Вьетнаме, откуда они попадали на сервер в Германии, и так далее. Исследователи попытались отследить перенаправления, но после того, как каждый раз попадали на три разных прокси подряд, они поняли, что им никогда не удастся отследить сообщения до его истинного места назначения, и сдались.

Однако, с помощью компаний, размещающих серверы, Касперски получил зеркальные изображения пяти машин, в том числе одной во Вьетнаме, которая контролировала заражения в Иране. Они обнаружили, что 20 октября, два дня спустя, как Symantec опубликовала новость о Duqu, ее разработчики провели масштабную операцию по очистке, в панической попытке стереть данные с серверов. Оставалось неясным, почему перед своими ответными действиями – удалению данных – они выждали аж два дня.21 Но в своей спешке поскорее удалить все компрометирующие данные, они оставили исследователям Касперского следы журналов, которые предоставили экспертам некоторую информацию об их деятельности.22 Например, в журналах было указано, что впервые хакеры вошли на один из командных серверов еще в ноябре 2009 года, за два года до обнаружения Duqu. Это наводило на мысль, что Duqu гулял по сети по крайней мере столько же. Возможно, предположили исследователи Касперского, Duqu действительно был предшественником Stuxnet, а не его преемником, как предполагали в Symantec. Пройдет совсем немного времени, прежде чем они найдут доказательства, подтверждающие это.

 Поначалу не было никакой информации о том, как Duqu заражает машины. Stuxnet использовал эксплойт .LNK, встроенный в UBS-накопители, чтобы сбрасывать свой вредоносный груз. Но Лаборатория CrySys, исследовав машины компании Бартоса, не нашла ни одного метода заражения, ни каких-либо нулевых дней. Однако после публикации статьи Symantec о Duqu, Чиен попросил Бенксата, чтобы тот снова проверил системы жертвы на предмет чего-то подозрительного, что произошло, ориентировочно, 11 августа, в день заражения. Именно тогда они нашли электронное письмо, которое пришло в компанию с прикрепленным документом Word. Прикрепляемый файл был размером 700 Кб – намного больше, чем любые документы, которые обычно получала компания – что и привлекло внимание программистов. Конечно же, когда команда CrySys открыла вордовский документ на тестовой системе в своей лаборатории, на ней оказались вредоносные файлы Duqu.23

Учитывая, что код атаки до сих пор оставался незамеченным, исследователи из CrySys подозревали, что это дело рук эксплойта нулевого дня. Бенксат отправил исходные файлы вируса команде Symantec, которая смогла определить, что он действительно использовал уязвимость нулевого дня – переполнение буфера в движке синтаксического анализа шрифтов TrueType для Windows. Движок синтаксического анализа шрифтов отвечает за отображение шрифтов на экране. Когда код шрифта для символа появляется в Word, механизм обращается к соответствующему файлу шрифта, чтобы определить, как этот символ должен выглядеть. Но в этом случае, при попытке движка прочитать код шрифта, вместо того, чтобы обратиться к файлу шрифта, он запускал эксплойт.

Эксплойт был довольно «крутым», как назвал его один из исследователей, потому что обычный эксплойт, атакующий уязвимость переполнения буфера, в большинстве случаев, предоставлял хакерам доступ к машине только на уровне пользователя, что означало, что для получения привилегий административного уровня, необходимых для беспрепятственной установки вредоносного кода, им требовалась вторая уязвимость и эксплойт под нее.24 Но этот эксплойт проходил все слои защиты, и позволял хакерам устанавливать и выполнять вредоносный код на уровне ядра без особых помех. Уязвимости нулевого дня, которые использовались на уровне ядра, встречаются довольно редко и трудны в эксплуатации без вызова сбоя машины, но эксплойт, использованный в Duqu работал безупречно. Он был на несколько порядков сложнее .LNK эксплойта, использовавшегося в Stuxnet. Эксплойт .LNK был скопирован киберпреступниками в кратчайшие сроки после того, как Stuxnet был разоблачен в июле 2010 года, но в случае с эксплойтом переполнения буфера в Duqu, компьютерным гикам понадобились многие месяцы, прежде чем они смогут успешно воспроизвести его.25

Эксплойт был заметен сам по себе, но злоумышленники, как бы насмехаясь, также внедрили в его код него пару пасхальныц яиц. Имя, которое они дали фальшивому шрифту, который и выполнял их атаку, было указано как Dexter Regular, и в уведомлении об авторских правах хакеры написали: «Copyright © 2003 Showtime Inc. All Rights Reserved. Dexter Regular.»26

 Очевидно, что они ссылались на популярное одноименное телешоу Dexter, которое тогда транслировалось в сети Showtime. Но впервые шоу появилось на телеэкранах 1 октября 2006 года, что делало дату 2003, указанную в авторском праве, странной. Оставалось неясным, имела ли пасхалка какой-то подтекст, или это была просто шутка. Но отсылка, похоже, все же имела некую параллель со Stuxnet. Сериал Showtime был посвящен Декстеру Моргану, судебному эксперту и убийце-линчевателю, который убивал только преступников, что делало его убийцей с моральным кодексом – убийцей, который совершал преступления ради общественного блага. По крайней мере, так считал сам герой. Возможно, именно так Соединенные Штаты и Израиль могли рассматривать кибератаку на Иран или нападения на иранских ученых-ядерщиков – как средство достижения всемирного блага.27

Название шрифта и дата копирайта немного отвлекли исследователей, но более примечательной частью исходников была дата их компиляции – 21 февраля 2008 года – предоставляющая информацию о продолжительности существования вируса Duqu. Вскоре после этого открытия, специалисты из Касперски заполучили второй исходник, найденный на машине в Судане, который был написан еще раньше.28

Судан имел с Ираном тесные военные связи – в период с 2004 по 2006 год он получил от Ирана оружия на общую стоимость в 12 миллионов долларов – и был активным сторонником развития иранской ядерной программы. В 2006 году Иран публично пообещал поделиться с Суданом своими наработками из сферы ядерной промышленности. Судан также являлся объектом санкций ООН. Жертвой Duqu в Судане стала торговая фирма, машины которой были заражены за 4 месяца до попадания вируса в Венгрию – в апреле 2011 года. Вредоносный код прибыл через фишинговую атаку с использованием того же эксплойта нулевого дня, который использовался в Венгрии.  Фишинговое электронное письмо исходило якобы от менеджера по маркетингу по имени Б. Джейсон из Южной Кореи. По всей видимости, его компьютер был взломан специально для отправки этого сообщения.29 «Уважаемый», – говорилось в письме, – «я нашел подробную информацию о вашей компании на вашем веб-сайте и заинтересовался в сотрудничестве. Вы можете просмотреть список требований в прилагаемом файле.» Прилагаемый документ содержал несколько вопросов, а также изображение планеты Земля с растениями, растущими на ее верху. Как только жертва открывала документ, эксплойт Dexter приходил в действие и заражал машину жертвы.

Исходники вируса, установленного в Судане, были созданы в августе 2007 года, что еще раз подтверждало, что Duqu существовал еще в течение нескольких лет, до того, как его впервые обнаружили в Венгрии. Это было не единственное подтверждение его давнего существования. Исследователи также обнаружили доказательства того, что файл стиллера, использовавшегося в Duqu, также существовал еще много лет назад. Они наткнулись на это только из-за ошибки, которую совершили сами нападавшие.

Когда через 36 дней в Duqu срабатывал механизм самоуничтожения, он должен был стереть с машины любые следы своего существования, так, чтобы жертва никогда не узнала о своем заражении. Но команда Касперского обнаружила, что, удаляя себя, Duqu забывал удалить некоторые временные файлы, которые вирус использовал для хранения украденных данных. Один из таких файлов, оставленный на машине в Иране, был создан 28 ноября 2008 года.

Касперски и Symantec всегда подозревали, что для подготовки такой серьезной кибератаки как Stuxnet, злоумышленникам необходимо было собрать все возможные разведданные, которые они могли получить о своей цели в Иране. Такая информация могла быть получена от крота, но теперь более вероятной казалась версия с использованием цифрового шпиона на подобии Duqu.

Вполне вероятно, что создатели Stuxnet также могли использовать Duqu для кражи ключей цифровой подписи и сертификатов от RealTek и JMicron, поскольку этот же инструмент был применен против центра сертификации в Венгрии.

Если Duqu действительно существовал и находился на зараженных машинах незамеченным с 2007 года, то его внезапное открытие в Венгрии в 2011 году выглядело каким-то странным. «Почему именно сейчас?», – удивлялся Райю. Для себя он заключил, что, скорее всего, с хакерами сыграло плохую шутку их высокомерие и плохой выбор цели. После стольких лет, которые вирус просуществовал незамеченным, нападавшие стали через чур уверены в том, что их не поймают никогда. Они, вероятно, считали обнаружение Stuxnet чем-то из ряда вон выходящим, аномалией, которая произошла только потому, что неконтролируемый вирус распространился на слишком большое количество машин. Но Duqu был куда более управляемым вирусом, а его цели подбирались с предельной ответственностью, что уменьшало шанс его обнаружения практически до нуля. Вот только заразив ту самую венгерскую компанию, хакеры явно ошиблись с выбором цели. Венгерский центр сертификации гораздо более серьезней относился к своей безопасности, чем все предыдущие цели, которые выбирали нападавшие. И это был фатальный провал команды Duqu.30

Хотя Stuxnet и Duqu и использовали один и тот же код и технологии, Райю и его команда в конечном итоге пришли к выводу, что они были разработаны разными командами, но на базе одной платформы, которую они назвали «Тильда-Д», потому и Stuxnet, и Duqu использовали файлы с именами, начинающимися с ~D.31

Фактически, Касперски обнаружил доказательства того, что арсенал инструментов, возможно, служил базой не только для Stuxnet и Duqu. Они нашли по меньшей мере шесть драйверов, которые имели общие характеристики, и по-видимому, были построены на платформе Тильда-Д. Два из них использовались в Stuxnet, третий был задействован в Duqu.32­ Но кроме этого, было еще три «фантомных» драйвера, которые существовали сами по себе, они никак не были связаны с файлами с Stuxnet или Duqu, что затрудняло определение сферы их использования. Все три драйвера использовали алгоритмы и ключи, которые были идентичными или похожими на те, которые использовали Stuxnet и Duqu. Это давало веские доказательства того, что они были связаны с командой разработчиков Тильда-Д.

Первым из них был драйвер, обнаруженный в июле 2010 года словацкой антивирусной фирмой ESET и подписанный сертификатом JMicron.33 Поскольку драйвер был найден через несколько дней после новости об обнаружении Stuxnet, все предположили, что он был связан со Stuxnet. Но было одно «но» – его не было ни на одной системе, зараженной Stuxnet.33 Этот драйвер был гибридом драйверов Stuxnet и Duqu, используя код, который был практически идентичен драйверу Stuxnet, и некоторые из функций и методов, использовавшихся в драйвере Duqu. Он также использовал семиэтапное шифрование вместо четырехэтапного у Stuxnet, что делало его, логично, более сложным. Это заставило Райю и Гостева заподозрить, что он был разработан для другой версии Stuxnet или вообще другого вредоносного ПО.

Второй фантомный драйвер был обнаружен, когда кто-то отправил его в VirusTotal.34 Он был создан 20 января 2008 года. У этого драйвера также было семиэтапое шифрование, заставляющие исследователей полагать, что он и драйвер JMicron могли быль созданы для использования в одной и той же атаке – возможно в новой версии Stuxnet.

Третий таинственный драйвер также был отправлен в VirusTotal с IP-адреса в Китае 17 мая 2011 года, за несколько месяцев до того, как Duqu, заразил венгерские машины в августе.35 Этот драйвер использовал четырехэтапное шифрование, так же как и Stuxnet, и идентичный ключ шифрования. Кроме того, его дата компиляции совпадала с датой компиляции драйвера Stuxnet, и подписан он был тем же сертификатом RealTek, что и Stuxnet, правда драйвер Stuxnet был подписан 25 января 2010, а этот 18 марта того же года. 18 марта было всего за несколько недель до того, как злоумышленники выпустили свою апрельскую версию Stuxnet 2010 года, но по какой-то причине они не стали использовать этот драйвер в новой версии. Вместо этого они повторно использовали драйвер июньской версии Stuxnet 2009 года. Это наводило на мысль, что третий фантомный драйвер мог быть подготовлен к использованию в какой-то другой атаке.

Главные вопросы для Гостева и Райю, конечно же, заключались в том, для каких атак были созданы эти фантомные драйвера, и кто были их жертвы? И были ли они доказательством существования возможных необнаруженных версий Stuxnet до июня 2009 года или после апреля 2010 года?

Похоже, на этом история Stuxnet еще не заканчивалась. 

Сноски, ссылки и используемая литература:

1. Йоска Бартос – это псевдоним. Компания попросила Бенксата не раскрывать личности людей, работающих на нее. Описание этих событий взято из интервью из Бенксатом, если не указано другое.

2. Они загрузили кейлоггер в VirusTotal, бесплатный онлайн инструмент, который используется для проверки файлов на наличие в них вредоносного ПО. VirusTotal объединяет в себе почти четыре десятка антивирусных движков от нескольких компаний. Два сканера отметили файл как подозрительный, но оставалось неясным, светился ли ранее этот кейлоггер в сети, или же был использован впервые. Он был отмечен сканерами BitDefender и Avira. Файл также заподозрили F-Secure и G-DATA, они не пошли в счет, потому что использовали движок BitDefender. Иногда VirusTotal используется и самими злоумышленниками, они проверяют свой вредоносный код на предмет его обнаружения различными антивирусными сканерами. Но тот факт, что кейлоггер был помечен двумя движками, говорит о том, что нападавшие либо не удосужились проверить его на этих двух сканерах, либо были уверены, что эти два сканера не будут использовать жертвы.

3. Подтверждение характера деятельности компании пришло не от Бенксата или его лаборатории, а из других источников, которые знали о заражении компании.

4. Значение, которое использовал Stuxnet – 0х19790509 (которое Symantec интерпретировала как дату 9 мая 1979 года) также появилось в коде новой атаки. В Stuxnet значение использовалось для предотвращения заражения червем машин, которые имели это значение в своем реестре, но в Duqu он являлся частью шифрования. 

5. Исследователь из Microsoft, Тарек Сааде, был в списке, потому что правительственная группа реагирования на чрезвычайные ситуации уже отправила Microsoft копию файла кейлоггера после его обнаружения, поэтому Бенксат подумал, что Microsoft также должна увидеть отчет Лаборатории CrySys.

6. Значение «en/us» в URL-адресе просто указывает на то, чь ото человек посетил сайт, который был локализован для англоязычных читателей в Соединенных Штатах.

7. В конечном счете исследователи обнаружили несколько версий Duqu с различным временем удаления файлов. В некоторых случаях он удалялся спустя 30 дней, в других – через 36 дней. Одна из версий вируса совершала самоочистку спустя 120 дней.

8. Дугалд МакКоннел, “Iranian Official: New Computer Worm Discovered,” CNN, April 27, 2011. Доступно по адресу: http://www.cnn.com/2011/TECH/web/04/26/iran_computer_worm.

9. После опубликования новостей о Duqu, некто в Twitter, называющий себя иранским исследователем из Вирджинии, опубликовал твит, в котором говорилось, что, согласно исследованиям иранской группы реагирования на чрезвычайные ситуации, «#Duqu – это обновленная версия #Stars.» Однако после публикации, он быстро удалил твит, и спустя время также удалил весь аккаунт Twitter. Неясно, несло ли изображение галактик какой-то смысл, или вирусописатели выбрали его случайно, но Бенксат предположил, что оно могло быть использовано в качестве секретного сигнала, чтобы идентифицировать своих. Иногда разведывательные агентства одного и того же правительства нацеливались на одни и те же компьютеры. Если за Duqu стояли Соединенные Штаты или Израиль, то изображение могло быть сигналом союзников, которые столкнулись с кейлоггером на зараженной машине – в ходе попытки взломать их – что машина уже была заражена союзниками.

10. Некоторые критиковали Symantec за их быстрое решение выступить публично. Более стратегически оправданно было бы сохранять спокойствие, собирая о нападении больше разведданных – например, можно было попросить компании, размещавшие сервера, предоставить их зеркальные изображения, чтобы посмотреть, что на них делают злоумышленники, – прежде чем давать хакерам понять, что они уже обнаружены. На этой почве была постоянная напряженность, которая существовала между судебно-следственными потребностями и потребностями клиентов, которые хотели знать о своем заражении как можно раньше, чтобы они могли укрепить свою сеть и определить, побывали ли хакерами в их системах или нет. Но Лаборатория CrySys уже отправила свой отчет исследователю из McAfee, конкурирующей антивирусной компании, которая могла опубликовать эту новость первыми. В задерживании публичного заявления были и другие недостатки. Без расширения количества людей, знающих о вредоносном ПО, было бы труднее получить другие образцы Duqu, которые могли бы предоставить исследователям больше информации об атаке. Duqu был очень целенаправленным вирусом, который заражал крайне небольшое количество жертв, поэтому каждый файл, связанный с Duqu, который они могли получить от жертв, давал им немного новой информации о вирусе.

11. Отчет Symantec о Duqu доступен по адресу: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w1GV9Jm2u7rmsCe65wKzPTw5jtS38n2tVEGituxnet.pdf.

12. Я смог подтвердить название компании-жертвы (NetLock) из нескольких источников, не связанных с CrySys.

13. На этот раз по-другому отреагировали не только кибероборонные компании. Так же поступило и правительство. По какой-то причине, пока в течение многих месяцев исследователи Symantec анализировали Stuxnet и публиковали просьбы о помощи экспертов по ПЛК, ICS-CERT оставалась далекой от них, даже несмотря на то, что ее аналитики обладали исчерпывающими знаниями о ПЛК, в которых так нуждались исследователи Symantec. Позже в интервью с автором представитель Министерства внутренней безопасности признал, что департамент совершил ошибку, не связавшись тогда с Symantec. На этот раз ICS-CERT исправились, и связались c Symantec первыми, чтобы сравнить свои догадки касаемо Duqu. 

14. Программа Microsoft Security Essentials основана на антивирусном движке Райю RAV.

15. Злоумышленники использовали кастомный объектно-ориентированный диалект С, известный как ОО-С.

16. В то время как этот компонент демонстрировал отличные навыки программистов, были и другие части, о которых таких лестных слов сказать нельзя. Реализация шифрования, например, была довольно посредственной. Duqu был построен как элегантная китайская коробока с несколькими слоями шифрования, которые усложняли его обнаружение и исследование. Но реализация не соответствовала уровню задумки. Одна часть имела зашифрованный конфигурационный блок, который содержал ключ для расшифровки реестра. Внутри реестра находился еще один ключ, с помощью которого можно было расшифровать основной .DLL файл Duqu. Предполагалось, что такой ход должен был затруднить любому, кто завладел .DLL файлом, расшифровать его без предварительного получения двух других ключей. Но программисты испортили все сами, сделав ключи для реестра и .DLL файлов идентичными, и установив ключ для блока конфигурации 0. Как только кто-то получал доступ к блоку конфигурации, у него сразу же появлялся ключ для дешифрования основного .DLL файла, минуя отдельный ключ реестра. Stuxnet, напротив, использовал разные ключи шифрования для каждого этапа. Кроме того, алгоритм шифрования, использовавшийся в Stuxnet, был четырехэтапным, в то время как в Duqu использовался более слабый односторонний шифр. Stuxnet и Duqu разрабатывали явно разные, но родственные команды, но даже при том, что обе команды имели в своем распоряжении самые передовые методы шифрования, команда разработчиков Duqu почему-то не потрудилась использовать их.

17. Для этого на зараженной машине им сначала требовалось захватить контроль над учетной записью администратора, а затем создать задачу, предписывающую вредоносному ПО распространяться через общие сетевые ресурсы.

18. Команда разработчиков Duqu также имела некоторые сценарии для управления операцией не из командных серверов, а из других мест. Поэтому любой, кто захватил контроль над этими серверами, не мог определить, что делает Duqu.

19. Возможно, за эти годы жертв стало больше, но это были единственные жертвы, обнаруженные после разоблачения Duqu. Symantec обнаружила жертв в восьми странах – по одной машине во Франции, Индии, Нидерландах, Швейцарии, Судане, Вьетнаме и Украине, и две в Иране. Касперски обнаружили еще одиннадцать случаев заражения в Иране, три в Европе и четыре в Судане. Другие исследователи также нашли жертв в Австрии, Индонезии и Великобритании.

20. Келли Джексон Хиггинс, “Same Toolkit Spawned Stuxnet, Duqu, and Other Campaigns,” Dark Reading, 3 января, 2012, доступно по адресу: http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/232301225/same-toolkit-spawned-stuxnet-duqu-and-other-campaigns.html.

21. Если за Duqu стоял Израиль, то задержка могла быть как-то связана с тем, что 18 октября, дата публикации отчета Symantec, пришлась на праздник Суккот в Израиле, который проходил с 13 по 19 октября того же года. Суккот посвящен сорока годам, которые израильтяне провели в Синайской пустыне, спасаясь от порабощения египтян. Первый день праздника в Израиле был выходным. И хотя оставшиеся шесть дней не являлись обязательными выходными, для многих израильтян это было именно так, потому что в эти дни были закрыты школы. Суккот должен был закончиться 19 октября, а рабочие вернуться к работе 20 октября – включая, предположительно, и команду разработчиков Duqu. 

22. Они оставили и другие следы. В ночь перед появлением первых новостей о Duqu, злоумышленники изменили ключи шифрования и перекомпилировали файлы Duqu с новыми ключами, а только потом начали распространять вирус на новые системы. Хакеры, вероятно, намеревались заменить старую версию вируса новой на всех зараженных машинах, но они не рассчитывали на одну особенность операционной системы Windows, из-за которой в системах, после обновления Duqu, остались следы первой версии вируса. Позже эти следы, разумеется, обнаружили исследователи, когда просканировали системы антивирусным сканером. Скорее всего, злоумышленники почувствовали, что их вредонос был обнаружен, и пытались изменить ключи шифрования для усложнения процесса анализа кода. Но несмотря на то, что они подозревали, они, похоже, не знали, что их раскрыли почти полностью, потому что в новой версии Duqu также присутствовало обновление, в котором хакеры продлили срок жизни вируса с 30 до 36 дней. Видимо, они рассчитывали, что смогут продолжать свою операцию еще какое-то время. Однако после появления новостей об успешном исследовании вредоносного кода, они резко поняли, что дело было накрыто, и начали операцию очистки, стирая все данные со своих серверов. 

23. Вредоносный код устанавливался не сразу. Вместо этого вирус ожидал 10 минут, а только потом приступал к работе. Также для развертывания кода дата на компьютере должна была входить в рамки восьми праздничных дней в августе, иначе вирус просто не устанавливал свои файлы. Это является еще одним доказательством того, насколько серьезно хакеры подходили к делу и как они контролировали распространение кода.

24. Блогер финской антивирусной компании F-Secure назвал это «крутым эксплойтом.» 2 ноября 2011 год, “Duqu Attack’s Installer Discovered,” доступно по адресу: http://www.f-secure.com/weblog/archives/00002263.html.

25. Исследователи заметили признаки того, что киберпреступники пытались, благо безуспешно, воспроизвести эксплойт Duqu в июне 2012 года, через восемь месяцев после того, как Symantec опубликовала информацию о нем. В конце концов, в октябре 2012 года им это удалось, после чего в декабре 2012 года Лаборатория Касперского зафиксировала всплеск атак – копий эксплоита. Однако Microsoft исправила эту уязвимость годом ранее – в декабре 2011 года, поэтому злоумышленники могли использовать эксплойт только против непропатченных машин. 

26. Исследователи Лаборатории Касперского обнаружили в коде еще кое-что, что, по их мнению, могло быть пасхалкой. Ключ дешифрования в одной из версий Duqu имел значение 0xAE240682, которое также выглядело как дата – 24 июня 1982 года. Решив поискать информацию об этой дате, Райю нашел статью – оказалось, что в эту дату произошло известное в истории авиации событие. Рейс 09 British Airways на пути из Лондона в Новую Зеландию столкнулся с облаком вулканического пепла. Самолет только взлетел в Малайзии, когда пепел, извергающийся из горы Галанггунг, забил все четыре двигателя 747-го Боинга, оставив его мертвым в воздухе. Пилотами было принято решение садить самолет в ближайшем аэропорту, и когда самолет снизился с 32 тысяч до 12 тысяч футов, с потолка самолета попадали кислородные маски. Именно тогда британский капитан Эрик Муди сделал одно из самых известных преуменьшений в истории авиации. «Дамы и господа, – говорил он в громкоговоритель, – говорит ваш капитан. У нас возникла небольшая проблемка. Остановились все четыре двигателя. Мы делаем все возможное, что заставить их вновь заработать. Надеюсь, вы не слишком огорчены.» (Смотрите, “When Volcanic Ash Stopped a Jumbo at 37,000ft,” BBC, 15 апреля, 2010. Доступно по адресу: http://www.news.bbc.co.uk/2/hi/uk_news/magazine/8622099.stm.) Примерно через пятнадцать минут пилотам все-таки удалось перезапустить двигатели. Самолет был успешно посажен в Джакарте. Было ли это совпадением, что это было уже вторым упоминанием хакеров об авиации, после упоминания DEADF007 в Stuxnet? Или это был блеф, с помощью которого хакеры просто пытались запутать следы? Или это значение и вовсе было просто случайным числом, не имеющим никакого значения?

27. Костин Райю из Лаборатории Касперского купил все предыдущие серии шоу Декстера, чтобы узнать, есть ли какая-то причина, по которой хакеры ссылались на него в Duqu. Только один эпизод оказался актуальным, и то отдаленно. В нем сестра Декстера Дебра получила предложение руки и сердца от Дет. Джои Куинн. Во время обсуждения предложения с ее братом она подумала, что, если выйдет замуж, ее инициалы будут DQ.

Райю смотрел еще один эпизод, который напомнил ему о Duqu. Чтобы сбить с толку следователей, шедших по горячим следам серийного убийцы, Декстер написал манифест в тридцати страницах, полностью заваленный библейскими отсылками. Пока следователи тратили время на поиск улик в бессмысленном документе, Декстер продолжал убивать. Проведя параллели, Райю вспомнил о том, сколько он потратил время, просматривая телешоу в поисках подсказок о Duqu. 

28. Вредоносный драйвер пытался выдать себя за графический драйвер от Intel и отвечал за загрузку кода Duqu на машину жертвы.

29. Было предпринято две попытки заражения жертвы: первая 17 апреля 2011 года, которая была заблокирована спам-фильтром Outlook, вторая 21 апреля прошла успешно. 

30. Венгерская компания в плане своей безопасности была вдвойне бдительна, так как в предыдущие месяцы было два нападения нацеленных на другие центры сертификации. В марте того же года кто-то взломал аккаунт партнерской компании, которая работала с Comodo Group, центром сертификации, базирующимся в Нью-Джерси и Великобритании. Хакер, который использовал иранский IP-адрес, воспользовался доступом, чтобы выдать себе восемь сертификатов для mail.google.com, login.yahoo.com и еще шести других доменов, которые позволили бы ему использовать вредоносные сайты в своей атаке «человек внутри.» Четыре месяца спустя также был взломан голландский центр сертификации DigiNotar. В этом случае злоумышленники сгенерировали более двухсот поддельных цифровых сертификатов для основных доменов, принадлежащих Google, Yahoo и Mozilla, а также для веб-сайтов Моссад, MI6 и ЦРУ. Эти вторжения насторожили остальные центры сертификации, и в результате венгерская компания, вероятно, решила проверить свои системы на наличие вирусов. 

31. Кейлоггер/стиллер Duqu создавал имена файлов, которые начинались с ~DQ, другие части вредоносного ПО создавали файлы, имена которых начинались с ~DO и ~DF. Stuxnet также создавал временные файлы, имена которых начинались с ~D.

32. На зараженных машинах обнаруживалось несколько версий драйвера Duqu, и каждый раз он носил разные имена. Однако каждая версия содержала один и тот же код и была скомпилирована в один день. Примечательно, что один вариант драйвера Duqu, который был обнаружен на машинах в Венгрии, был неподписанным и пытался выдать себя за продукт компании JMicron – тайваньской компании, чей сертификат использовался для подписи драйвера, обнаруженного исследователями из ESET в июле 2010 года, считалось, что он был связан со Stuxnet. В свойствах драйвера злоумышленники указали JMicron Volume Snapshot Driver. Это была еще одна деталь, которая связывала Duqu и Stuxnet. 

33.  Имя файла драйвера – jmidebs.sys.

34. Имя файла драйвера – rndismpc.sys.

35. Имя файла драйвера – rtniczw.sys. 

Глава 15. Flame

К весне 2012 года команда Касперски завершила анализ Duqu и его серверов, но они были уверены, что в этой истории есть нечто большее, чем то, что они уже видели. Однако они даже не могли представить себе открытие, которое сами и сделали: Stuxnet – программа, поражавшая своей смелостью и разрушительным потенциалом, – была всего лишь ответвлением кибершпионажа, пускай он и был на несколько порядков выше, чем любое ранее созданное цифровое оружие.

Разоблачения начались в апреле, когда на компьютерах Министерства нефти Ирана и Иранской национальной нефтяной компании стремительно начал распространяться неизвестный вирус, уничтожающий жесткие диски каждой системы, на которую он попадал. Ущерб был невообразимым, в одно мгновение пропадали гигабайты данных. Сначала вредонос удалял документы и файлы данных, а затем – системные файлы, блокируя основные части жесткого диска и вызывая их сбой и вывод из строя.

Точно неизвестно, сколько компьютеров пострадали от атаки, но ходили слухи, что уничтожение жестких дисков на некоторых компьютерах началось еще в декабре. Изначально на это никто не обращал особого внимания, но со времен игнорировать происходящее стало невозможно. Также было неизвестно, как долго вирус скрывался на машинах, прежде чем начать свое действие, но удаление файлов происходило примерно в каждый двадцатый день месяца. Иранское правительство окрестило его Wiper и обвинили в атаке Соединенные Штаты и Израиль. Однако они утверждали, что атака не нанесла критического ущерба, так как для всех удаленных данных были созданы резервные копии.

Когда Райю и команда Касперского получили зеркальное изображение одного из стертых жестких дисков из Ирана, оно было наполнено тарабарщиной. Из жесткого диска были удалены не только все документы и важные системные файлы, но и любые следы существования самого вируса. Оставалась лишь одна важная зацепка – единственная ссылка в разделе реестра на временный файл с именем ~DF78.tmp, который создавался в системе за некоторое время до начала уничтожения файлов. Сам файл также был удален, но ссылка выдавала его прежнее присутствие. Префикс ~D в его названии уже был знаком для исследователей. Это была продолжающаяся тенденция, которая использовалась в именах, в создаваемых Duqu временных файлах, а также в именах некоторых из файлов, которые использовал Stuxnet.

Мог ли быть Duqu или другая программа, написанная той же командой, на машине до того, как все данные удалял Wiper?1 И был ли Wiper продуктом роботы той же команды, что разработали Duqu?

Райю и его команда запрограммировали антивирусные инструменты Касперского на поиск файла с именем ~DF78.tmp – и, на всякий случай, пометку любого другого временного файла, который начинался с ~D. Они получили совпадения на машинах в многих странах, но абсолютное большинство зараженных было, разумеется, в Иране. Когда они получили копию одного из файлов – на этот раз с именем ~DEB93D.tmp – они обнаружили, что это был журнал сниффера, который записывал пароли, проходящие через локальную сеть зараженной машины. Немного покопавшись, они также обнаружили модуль, который, по всей видимости, отвечал за создание журнала.2 Это оказалась одна из самых значимых находок.

Модуль не был похож ни один из файлов Stuxnet или Duqu, и также не выглядел как Wiper – он не содержал код удаления файлов из жесткого диска зараженных машин. Они решили проверить свой архив, возможно, что-нибудь похожее поступало в их автоматизированную систему отчетности в прошлом, и, к их удивлению, совпадения выскакивали одно за другим, модуль за модулем, пока они просто сидели и смотрели на это, не веря своим глазам. Всего система обнаружила двадцать разных файлов, каждый имел какое-то причудливое название, например, Euphoria, Munch, Limbo, Frog, Snack и т.д. Все файлы оказались подключаемыми модулями или компонентами соответствующих атак.

Однако, что из заинтриговало больше всего, это то, что один из файлов вошел в их систему в октябре 2010 года и был помечен системой как файл Stuxnet. Тогда это показалось им какой-то ошибкой, потому что после того, как они изучили файл, он оказался вовсе не похожим на Stuxnet. Но теперь, исследовав его вновь, они обнаружили в них схожесть – оба файла содержали эксплойт нулевого дня, который они и Symantec упустили из виду, исследовав Stuxnet двумя годами ранее.

Эксплойт был встроен в часть Stuxnet под названием Resource 207, которая появилась только в версии кода атаки от июня 2009 года, в последующих версиях вируса ее обнаружено не было, что объясняет, почему он тогда был упущен из виду. Большинство исходных файлов Stuxnet, исследованных Касперским и Symantec, были получены из атак 2010 года. Образцов вируса варианта 2009 года на зараженных машинах было обнаружено крайне малое количество.

Resource 207 содержал код, который Stuxnet 2009 использовал для эксплуатации функции автозапуска на машинах Windows для распространения через USB-накопители. Но также он содержал этот недооцененный эксплойт, который исследователи обнаружили в новой атаке. Эксплойт позволял хакерам повысить свои привилегии на зараженных машинах за счет использования уязвимости переполнения буфера в функции обоев Windows. В то время, когда злоумышленники создали этот эксплойт в феврале 2009 года он был нулевым днем, но к тому времени, когда в свет вышла первая версия Stuxnet, четыре месяца спустя того же года, Microsoft пропатчила ее.3 Когда пришло время выпускать новую версию Stuxnet в марте 2010 года, злоумышленники устранили этот эксплойт вместе кодом Autorun и заменили его эксплойтом .LNK и еще двумя эксплойтами повышения привилегий, которые на момент выхода новой версии вируса все еще были нулевыми днями.

Обнаружение эксплойта обоев Windows означало, что вместо четырех эксплойтов нулевого дня – что уже было рекордом – Stuxnet, на протяжении своего существования, фактически использовал пять эксплойтов нулевого дня. Но что более важно, связь между Stuxnet и новым вирусом Wiper дала дополнительные доказательства того, что Stuxnet был частью набора вредоносных программ, созданных и одной и той же командой.

Алекс Гостев и его команда разделили двадцать модулей, которые они нашли для новой атаки, и приступили к реверс-инженирингу, чтобы увидеть, как они связаны. Они работали день и ночь, питаемые кофеином и волнением от мысли, что только что они обнаружили еще один инструмент из арсенала Stuxnet.

По прошествии трех недель у них в руках оказался цифровой шпионский комплект, который был больше всех тех, что они видели раньше. Они окрестили его Flame, по названию одного из основных модулей атаки.4

В сжатом состоянии Stuxnet достигал 500 Кб, но Flame со всеми его компонентами весил не менее 20 Мб, и состоял при этом более чем из 650 тысяч строк кода. По их оценкам, команде из полудюжины программистов потребовалось бы по крайней мере три года, чтобы полностью разобрать код, а затем всей команде Касперского потребовались бы еще годы, чтобы довести исследование до его логического завершения. Вместо этого они решили разобрать только то количества кода, которое будет необходимо для понимания общего устройства вируса.

Команда Касперского видела большое множество инструментов цифрового шпионажа – многие из которых считались инструментами международного назначения из Китая – но этот полностью переписал книгу. Если бы у Джеймса Бонда был цифровой арсенал, Flame бы точно был его частью. Он изобиловал количеством шпионских функций, предназначенных для сбора разведданных о жертвах множеством способов. Среди прочих был модуль, который перекачивал с зараженных машин все документы, а также модуль, который делал снимки экрана каждый 15-60 секунд. Еще один модуль тайно задействовал микрофон зараженного компьютера для подслушки всего, что происходит в непосредственной близости с компьютером. Четвертый модуль использовал функцию Bluetooth компьютера для считывания данных с любых устройств с поддержкой Bluetooth в районе действия.

Flame являлся многоцелевым инструментом шпионажа, созданным для удовлетворения любых потребностей в зависимости от задачи. Однако не каждая жертва получала полный комплект Flame. Каждый компонент устанавливался по необходимости. Первым на зараженные машины всегда загружался стартовый комплект объемом 6 Мб, в который входил бэкдор, через который хакеры могли по желанию устанавливать новые шпионские модули со своего сервера.5

Инфраструктура, созданная для поддержки Flame, также впечатляла своими размерами. Исследователи признавались, что ранее не видели ничего подобного. Они обнаружили по меньшей мере 80 доменов, работающих в качестве контрольно-командных серверов в Германии, Нидерландах, Швейцарии и других странах, через которые злоумышленники контролировали зараженные машины и хранили все украденные документы.6 Такое большое количество доменов было создано, вероятно, для удобного управления зараженными машинами по одиночку и группами.

Для регистрации доменов они использовали различные псевдонимы – Иван Бликс, Паоло Кальцаретта, Траян Луческу – а некоторые из доменов приобретали с помощью предоплаченных кредитных карт, так, чтобы их нельзя было отследить. Исследователи Лаборатории Касперского получили трафик примерно для тридцати доменов, перенаправленных в воронку, которую контролировали хакеры. Как только исследователи дали знать о своем присутствии, зараженные машины в Иране и по всему миру начали работать на одной волне. Украденные файлы, предназначенные для злоумышленников, начали передаваться на сервера, и хотя исследователи понимали что происходит, они не могли даже посмотреть на содержимое файлов, так как все было зашифровано.

После добавления сигнатур Flame в антивирусные сканеры Лаборатории Касперского, заражения обнаружились на нескольких сотнях машин. Ни для кого не было сюрпризом что по количеству зараженных машин Иран занял первое место. Там было заражено не менее 189 компьютеров. Большое количество зараженных систем также оказалось на палестинских территориях – 98, и примерно по 30 машин в Судане и Сирии.

Пока Лаборатория Касперского все еще изучала модули Flame, С Райю связался Бенксат, и сообщил ему о некоем подозрительном файле, обнаруженном в Иране, который ему прислали. Во время исследования Duqu Бенксат и Райю подружились, поэтому для не было ничего необычного в том, что венгр написал ему. Файл из Ирана оказался одним из тех же модулей, с которыми Райю и его команда уже стыкались. Бенксат также передал файл Чиену из Symantec, который начал изучать новую угрозу параллельно с Касперски. Добавив сигнатуры Flame в свой антивирусный дивжок, исследователи из Symantec обнаружили еще больше жертв в Австрии, Венгрии, Ливане, России, Объединенных Арабских Эмиратах и Гонконге.

В конечном итоге было обнаружено более тысячи жертв, пораженных вирусом Flame, намного больше, чем 36 зараженных, которые, как известно, поразил Duqu, но далеко и не 100 тысяч, которые стали носителями Stuxnet. Причиной небольшому количеству зараженных было, как и в случае с Duqu, отсутствие автоматического распространения. Все его механизмы распространения работали только тогда, когда поступали соответствующие указания из контрольно-командных серверов. Таким образом всех, кого поразил Flame, предположительно, были намеченными целями, в то время как большинство зараженных Stuxnet являлись лишь сопутствующими. Райю подозревал, что жертвы были заражены группами, в зависимости от того, какую цель перед собой ставили нападавшие в то время.

Но в выборе жертв не было заметной закономерности – Flame нападал на отдельные лица, частные компании, правительственные учреждения и университеты. Но было несложно узнать, какие типы файлов искали злоумышленники – вредоносная программа содержала список искомых расширений файлов, среди которых были документы MS Word, презентации MS PowerPoint и файлы Excel. Но на первом месте в списке стояли чертежи AutoCAD, на которые также был нацелен Duqu. В частности, Flame также пытался украсть цифровые сертификаты. 

Хотя у Flame был довольно большой список искомых файлов, он не крал все найденные файлы. Вместо этого, он извлекал по 1 Кб текста из каждого файла и отправлял его на один из серверов. Оттуда он, вероятно, передавался в другое место, где, как подозревал Райю, у злоумышленников был суперкомпьютер, настроенный на анализ поступающих образцов текста. Он то и должен был определять необходимые хакерам файлы и получать их полную версию. Примечательно, что год спустя были опубликованы документы АНБ, слитые Эдвардом Сноуденом, которые описывали систему под кодовым названием TURBINE. Она была разработана, чтобы делать что-то очень похожее на это.

С такой сложной операцией, организованной вокруг Flame, неудивительно, что атака продолжалась такое долгое время. Самое первое обнаруженное заражение произошло в Европе в декабре 2007 года.7 В апреле 2008 года была поражена система в Дубае. Примерно в это же время были зарегистрированы некоторые из доменов, которые злоумышленники использовали для своих серверов. Несколько других были зарегистрированы в 2009 и 2010 годах, но основное большинство было зарегистрировано в 2011 году, после раскрытия Stuxnet. Из всего этого можно сделать вывод, что Flame был активен в течение как минимум пяти лет до того, как его впервые обнаружили, и продолжал работать, когда разрабатывались и выпускались в свет Stuxnet и Duqu. 

Начинала вырисовываться четкая картина всего цифрового арсенала, который содержал в себе шпионские инструменты и оружие, созданное для нападения не только на ядерную программу Ирана, но и на другие цели. Для создания обнаруженных вредоносов использовались две отдельные платформы. Первая была платформа Flame, на которой и был разработан многоцелевой шпионский инструмент Flame. Второй была платформа Тильда-Д, на которой были построены Stuxnet и Duqu. Платформа Flame была намного обширней и сложней, нежели платформа Тильда-Д, и поэтому, вероятно, она создавалась параллельно другой командой программистов. Обе платформы, однако, использовались для разработки Stuxnet на разных этапах.

Райю предположил, что разработка Flame, вероятно, началась еще в 2005 или 2006 году из-за того, что часть кода, написанного хакерами для своих серверов, была разработана в декабре 2006 года.8 Разработка шпионского инструмента, видимо, достигла своего пика в начале 2007. Самыми ранними известными датами создания файлов Duqu был август 2007 года, когда был создан один из дропперов, и ноябрь 2008 года, когда о своем существовании впервые заявил инфостиллер.

Райю считал, что, когда пришло время создавать Stuxnet, злоумышленники использовали Flame как стартовую площадку, а затем переключились на платформу Duqu, используя ее в последующих версиях атаки. Он частично основал это на том факте, что Resource 207, найденный в версии Stuxnet от 2009 года, который содержал код Autorun и эксплойт обоев Windows, очень напоминал раннюю версию основного модуля Flame. К 2007 году Flame уже существовал в качестве основного инструмента шпионажа, и когда в 2009 году пришло время написать ракетную часть Stuxnet, команда, стоящая за разработкой Flame, поделилась с командой Stuxnet кодом для Resource 207, что по сути послужило им хорошим толчком для начала создании ракетной части Stuxnet. Полезная нагрузка к тому времени уже была создана, поэтому все, что оставалось злоумышленникам, это придумать способ доставки кода непосредственно на машины. «Вероятно, в выпуске Stuxnet возникла какая-то срочность, поэтому команда программистов просто взяла проверенный плагин от Flame и использовала его в Stuxnet», – говорит Райю.

Однако после этого пути Stuxnet и Flame разошлись. Создатели Flame продолжали превращать свою платформу в мощный инструмент цифрового шпионажа, в то время как разработчики Stuxnet готовили новую версию своего кода для следующей атаки, они переключились на платформу Тильда-Д, которая уже использовалась для создания Duqu. Переход на платформу Duqu, вероятно, произошел из-за того, что ракетная часть варианта Stuxnet 2010 года со всеми ее уязвимостями нулевого дня и дополнительными механизмами распространения была намного сложнее и требовала большего количества кода. Под это требование как раз подходила платформа Тильда-Д, к тому же, она была более простой и компактной в использовании.

Последовательность событий, определенная Райю и его командой, похоже, соответствовала сценарию, описанному репортером New York Times Дэвидом Сэнгэро, который написал в своей книге «Confront and Conceal» со ссылкой на нынешних и бывших правительственных чиновников, что самая ранняя версия Stuxnet была разработана единолично Соединенными Штатами, а более поздние версии – при содействии Израиля. Райю считал, что вирус и платформа Flame были полностью созданы Соединенными Штатами, со своей стороны Израиль разработал Duqu и платформу Тильда-Д. Затем они задействовали обе свои платформы для создания разных версий Stuxnet.  

В любом случае, какой бы ни была роль Flame в Stuxnet, вся шпионская операция вокруг него потерпела крах 28 мая 2012 года, когда Kaspersky и Symantec почти одновременно опубликовали информацию о его обнаружении.9 В течение часа после публикации первых новостей серверы, используемые шпионским инструментом, отключились. Их выключили сами злоумышленники, таким образом завершив свою довольно успешную пятилетнюю шпионскую кампанию за считанные минуты. Они свернули свою операцию так быстро, будто сделали все заранее и просто ожидали новостей, чтобы завершить все единственным кликом.

Господство Flame закончилось, но последствия его существования останутся надолго. Через несколько дней после отключения серверов Microsoft заявила, что обнаружила еще более тревожное открытие о Flame, которое каким-то образом пропустили исследователи из Касперски и Symantec.

В Соединенных Штатах тогда праздновался День памяти, в штаб-квартире Microsoft в Рэдмонде, штат Вашингтон, по этому случаю было мало рабочих. И именно в тот день были опубликованы первые новости о Flame. Когда инженеры центра реагирования на угрозы компании Microsoft узнали о новой кампании нападения, которую исследователи приписывают той же команде, что стояла за Duqu и Stuxnet, они немедленно взяли образцы файлов Flame, которые прилагались в отчете. Ом нужно было знать, использовал ли Flame, как это было в Duqu и Stuxnet, новые уязвимости нулевого дня в Windows. Но когда они изучили один из полученных файлов, то поняли, что перед ними нечто гораздо худшее, чем нулевой день – Flame проводил изощренную атаку против центра обновлений Windows, чтобы с его помощью распространяться между машинами в локальной сети.

Центр обновления Windows – это автоматизированная система, которую Microsoft использует для распространения обновлений и исправления безопасности своего программного обеспечения среди миллионов клиентов. Для получения обновлений на стороне клиента устанавливается специальный инструмент, который связывается с серверами Microsoft. Оттуда он загружает все доступные обновления.

 В течение многих лет сообщество кибербезопасности волновалось о кошмаре, который произойдет, если хакерам удастся захватить систему обновлений Windows. С его помощью они смогут доставлять вредоносный код, что ставит под угрозу безопасность миллионы клиентов. Эта атака, однако, такого уровня не достигла, но была такой же опасной. Вместо взлома серверов Microsoft, которые доставляют обновления программного обеспечения миллионам клиентов, злоумышленники предпочли взломать центр обновлений Windows, имеющийся в любого пользователя ОС Windows. Различие тонкое, но очень важное. Если бы злоумышленники взломали серверы Microsoft, они бы имели доступ к распространению своего ПО в глобальном масштабе. Но их способ проведения атаки был немного иначе, получив доступ к центру обновлений Windows хакеры могли заражать машины только в определенных, необходимых им сетям, не затрагивая никого лишнего.

Как и программное обеспечение, центр обновлений, как бы иронично это не звучало, периодически также получает обновления от Microsoft. Каждый раз при запуске центра обновления на машине клиента, он обращается к серверам Microsoft, проверяя нет ли для него новых доступных обновлений. Microsoft распространяет свои обновления с помощью .CAB файлов, подписанных сертификатом Microsoft, которые подтверждают их подлинность.

Хакеры использовали этот процесс, заразив с самого начала всего одну машину в сети с помощью Flame. Затем центр обновлений Windows обращался к серверам Microsoft для проверки наличия обновлений, зараженная машина перехватывала запрос на обновление и отправляла Flame, маскируя его под .CAB файл, на новые машины, таким образом заражая их вирусом. Однако это была не самая изощренная часть атаки. Для успешного проникновения вредоносного файла в сеть Microsoft, они подписывали его подлинным сертификатом компании, исключая одну деталь, в графе компании, принадлежащей сертификат, хакеры указывали «MS», а не Microsoft Corporation, как должно быть на самом деле. Заметив эту деталь, исследователи из Microsoft заподозрили что-то неладное. Судя по поддельному сертификату, он был подписан центром сертификации лицензирования служб Micosoft в феврале 2010 года, но это был явно поддельный сертификат, который центр сертификации не должен был создавать и подписывать. Перед исследователями стоял вопрос, был ли это результат взлома серверов или кражи ключа для подписи? Узнав, что с серверами все было в порядке, инженерам предстояло в максимально короткий период времени определить, как хакерам удалось похитить ключ подписи, пока кто-либо другой не смог повторить подвиг создателей Flame. Они вызвали всех специалистов, которые в тот выходной день были на работе, и собрали команду.

Оказалось, что хакеры осуществили это с помощью так называемой хэш-коллизии MD5. Хэш MD5 – это криптографическое представление данных, в данном случае ключа подписи, сгенерированное криптографическим алгоритмом под названием MD5. Хэши работают как своего рода отпечатки пальцев, так что каждый набор данных, проходящий через алгоритм, создает свой уникальный хэш. Однако несколько лет назад было обнаружено, что алгоритм MD5 имеет уязвимость, из-за которой можно было сгенерировать один и тот же хэш из разных наборов данных.10 Это и было названо впоследствии хэш-коллизией. Именно из-за этой уязвимости многие компании в свое время прекратили использовать алгоритм MD5. Но Microsoft не меняла алгоритм, используемый для лицензирования служб терминалов, со времен создания системы – 1999 года.

 Лицензирование служб терминалов – это система, используемая клиентами Microsoft при настройке сервера с имеющимся на нем программным обеспечением Microsoft. Так несколько сотрудников могло использовать это программное обеспечение одновременно. Клиент приобретает лицензии у Microsoft – скажем 100 лицензий для 100 сотрудников или машин – затем отправляет запрос на сертификат в центр сертификации лицензирования служб терминалов. Центр сертификации Microsoft генерирует сертификат, в котором указывается имя клиента, метка времени, когда был выпущен сертификат, и серийный номер цифрового документа.

  Когда Microsoft выдает сертификат, он обрабатывает все его данные, включая временную метку и серийный номер, с помощью алгоритма MD5, создает хэш, подписывает его и отправляет сертификат клиенту. Затем клиент использует сертификат, чтобы доказать, что он (его сотрудники или компьютерные системы) используют лицензионное программное обеспечение от Microsoft. Но в случае с Flame злоумышленники использовали хэши от Microsoft для подписи своего поддельного сертификата, которым впоследствии они подписали свои вредоносные .CAB файлы.

Прежде чем отправить запрос на сертификат в Microsoft, злоумышленники создали другой поддельный сертификат, содержащий информацию, которую, как они полагали, будет содержать настоящий сертификат от Microsoft с внесенными небольшими изменениями, которые по убеждениям хакеров, должны были привести к получению хэша, идентичного с настоящим сертификатом Microsoft. Это была нелегкая задача. Помимо прочего, им потребовалось перепробовать тысячи и тысячи различных вариантов данных с помощью алгоритма MD5, чтобы получить такой же, бит в бит, хэш, что и у законного сертификата Microsoft, но который содержал другой набор данных – задача, для которой требовалась крайне большая вычислительная мощность. Им также потребовалось узнать серийный номер, который Microsoft генерировал для сертификата, и точное время, когда сервер лицензирования Microsoft подписал сертификат, поскольку метка времени и серийный номер были частью хэша, который генерировал и подписывал Microsoft.11 Допущение ошибки во временной метке хотя бы на миллисекунду бесповоротно приведет к неудаче, поскольку поддельный и настоящие хэши больше не будут совпадать.12 Хакерам требовалось тщательно исследовать систему Microsoft и перепробовать сотни, или даже тысячи, сертификатов, прежде чем они получат идентичные с настоящими время и серийный номер.13

Затем злоумышленники использовали подписанный хэш со своим поддельным сертификатом для подписи своих вредоносных .CAB файлов. На выходе у них получался неотличимый от подлинного файл, поскольку он имел хэш, который был сгенерирован и подписан компанией Microsoft.

Взлом центра обновления Windows был высшим пилотажем, который раздвинул границы математики и мог быть осуществлен только криптографами мирового уровня.14 Когда исследователи Лаборатории Касперского узнали об этом, они окрестили его эксплойтом Бога (ориг. «God-mod exploit»), так как это было настолько технически совершенно и намного искусней, чем распространение вредоносного ПО с помощью эксплойта нулевого дня.15 Единственное что могло сделать его еще более мощным и опасным – это взлом хакерами самих серверов центра обновления Windows.

 Изначально инженеры из Microsoft подсчитали, что другим высококвалифицированным хакерам потребуется всего двенадцать дней, чтобы узнать все, что им нужно знать о системе сертификатов и обновлений Windows, чтобы разработать копию этой атаки для ее дальнейшего распространения. Но когда они выполнили тестовый прогон, пройдя через все шаги, которые нужно было предпринять для воспроизведения взлома центра обновления Windows и при этом рассчитали время, они поняли, что хакеры действительно могут осуществить менее сложную версию атаки – ту, в которой не придется задействовать хэш-коллизии MD5 – всего за три дня.16

Работая на время, Microsoft выпустила экстренный внеплановый патч, исправляющий уязвимости, которые позволяли совершить атаку. За весь 2011 год компания выпустила только один внеплановый патч, и зарезервировала их только для наиболее значительных уязвимостей, так что это было показателем того, насколько серьезно Microsoft рассматривала атаку Flame совершая такой шаг.

Разработчики Stuxnet и Duqu уже нанесли удар по основам системы валидации, которая сделала возможным интернет – сначала путем кражи уникальных сертификатов безопасности у тайваньской компании для подписи вредоносных драйверов Stuxnet, затем путем заражения Duqu для кражи данных из самого центра сертификации. Но эта атака пошла еще дальше и подорвала доверие между крупнейшим в мире производителем программного обеспечения и его клиентами. Предполагая, что разработчиками новой кибератаки были американцы, они, вероятно, оправдали операцию и даже получили на нее юридическое разрешение, утверждая, что они взламывают не сервера компании Microsoft, тем самым подвергая их клиентов опасности, а взламывают клиентов напрямую. Таким образом они могли сосредоточить атаку на жертвах, которые не были в Соединенных Штатах, а использовали программное обеспечение Microsoft за ее границами.17

Но в конечном счете не имело значения, взламывали ли они серверы или нет. Взлома центра обновлений Windows было достаточно, чтобы вызвать у клиентов недоверие к целостности самой службы обновления, что могло привести к отключению инструмента обновления со стороны клиентов и невозможности получения обновлений безопасности, которые являлись критическими для защиты их систем.

Кто несет ответственность за подрыв доверия между Microsoft и их клиентами? Примерно через три недели после появления новостей о Flame, бывшие официальные лица правительства США приняли вину на себя, заявив Washington Post, что Flame был совместной операцией АНБ, ЦРУ и вооруженных сил Израиля.18

По словам неназванных источников, Flame был разработан примерно в 2007 году, что подтверждает общие временные рамки, установленные Райю и его командой, для сбора разведданных об представителях иранского правительства и составления карт компьютерных систем, которые являлись частью ядерной программы Ирана. Официальные лица также предположили, что Flame был инструментом раннего поколения, который в итоге превзошел своих нынешних конкурентов.

«Речь идет о подготовке поля битвы для другого типа негласных действий», – сообщил газете бывший сотрудник американской разведки, добавив что кибероружие, ранее использованное против иранской ядерной программы, было «гораздо дальше от цели, чем это». Возможно, он имел в виду такие вещи, как имплантаты, использованные АНБ для передачи украденных данных с зараженных машин с помощью радиоволн.

Примечательно, что источники Washington Post также раскрыли тайну об атаке Wiper, обрушившейся на Иран ранее этим же годом. Они заявили газете, что атака, в результате которой с жестких дисков машин Министерства нефти Ирана было стерто колоссальное количество данных, которая также привела к открытию Flame, также была разработана национальным государством. Но в отличие от Flame и Stuxnet, которые были совместными операциями Израиля и США, Wiper, по словам одного из источников, был запущен против Ирана только Израилем. По факту, заявляет газете некто из правительства, эта атака застала врасплох даже США.

Разоблачения межгосударственных атак в то время происходили очень быстрыми темпами, одна за другой, операции подвергались раскрытию, несмотря на то, что до этого времени им уже много лет подряд успешно удавалось скрываться. И это были еще не все разоблачения. Вскоре исследователи Лаборатории Касперского обнаружат доказательства того, что в открытом интернете таится еще больше вредоносов, созданных теми же командами.

Ключевой прорыв произошел, когда специалисты из Касперски получили доступ к некоторым серверам, используемых Flame. Они обнаружили, что за десять дней до появления первых новостей о Flame, хакеры начали масштабную кампанию по очистке любых следов своей деятельности с серверов, что в свою очередь свидетельствует о том, что злоумышленники действительно заранее знали о предстоящем раскрытии их атаки.19 Но они допустили одну большую ошибку, в результате которой сервер в Малайзии был практически не тронут. За несколько недель до операции по очистке киберпреступники по неосторожности изменили настройки сервера, и потеряли контроль к нему. В результате они не смогли стереть с него данные, оставив Лаборатории Касперского огромное количество компрометирующих данных.20

Неповрежденной осталась панель управления, которую злоумышленники использовали для доставки модулей Flame на зараженные машины и обработки украденных данных. Панель управления была создана таким образом, чтобы всем своим видом напоминать издательскую платформу для компании под названием NewsforYou. Все задумывалось таким образом, что в случае получения сторонними доступа к серверу, они думали, что он принадлежит газете или какой-то медиа-компании. Вредоносные модули, которые хакеры отправляли на зараженные машины, хранились в каталогах «Новости» и «Реклама», а каталог «Записи» содержал в себе данные и файлы, украденные из машин-жертв.

Исследователи Лаборатории Касперского также обнаружили журналы, в которых были перечислены IP-адреса всех зараженных машин, которые когда-либо обращались к серверу. Сервер существовал не так давно, с 25 марта, но за десять дней его работы к нему обратилось не менее 5377 машин. Около 3700 из них были в Иране, еще примерно 1300 – в Судане. В других странах было менее ста случаев заражения.

Райю и его команда поняли, что если только один сервер из более чем 80 существовавших взаимодействовал с 5 тысячами машин всего за десять дней, а вирус находился в интернете с 2007 или 2008 года, то общее значение жертв должно быть в десятки тысяч больше, чем они рассчитывали изначально. На малазийском сервере они также обнаружили файл, который был заполнен 5.7 Гб данных, украденных с зараженных машин за тот же десятидневный период. Учитывая, что хакеры украли такой объем данных всего за десять дней, Райю подозревал, что их общая «добыча» за пять с лишним лет работы, должно быть, составляет терабайты данных.21

Но эти открытия меркли по сравнению с другой зацепкой, оставленной инженерами Flame, которая показала, что малазийский сервер был настроен для связи не с одним вредоносным ПО, но с четырьмя. Они были подписаны злоумышленниками как SP, SPE, FL и IP, и были созданы именно в таком порядке, самым старым из них являлся SP. Каждый из них был разработан для связи с сервером с использованием отдельного протокола, написанного хакерами.22

 FL был связан с Flame, но остальные три кода атаки были загадкой. Исследователи наверняка знали о существовании SPE, поскольку видели доказательства этого в интернете. Когда они создали свою воронку для перехвата данных, направляемых к серверам Flame, около 90 машин в Ливане, Иране и Франции, зараженные вирусом SPE, пытались обратиться к воронке, используя специальный протокол этого кода. А вот об оставшихся двух вирусах они слышали впервые. У них не было возможности получить копию SPE, поэтому они до сих пор не знали о целях вируса.

Но все это подтверждало, что какими бы шокирующими не были разоблачения Stuxnet, Duqu и Flame, они, вероятно, были лишь верхушкой всего арсенала инструментов и оружия, созданных Соединенными Штатами и Израилем.

Действительно, через пару недель после того, как появилась новость о Flame, исследователи из Лаборатории Касперского наткнулись на еще один шпионский инструмент, которому годами удавалось ускользать от обнаружения.

Каждый раз, когда команда Райю обнаруживала новые файлы, или немного больше информации о Stuxnet, Flame или Duqu, они указывали их сигнатуры в своих антивирусных сканерах и настраивали условия поиска по архиву таким образом, чтобы увидеть, смогут ли они найти совпадения. Во время одного из поисков в своем архиве они обнаружили подозрительный файл, поступивший в архив через автоматическую систему отчетов с компьютера клиента на Ближнем Востоке. Файл был помечен системой как модуль Flame и взаимодействовал с теми же серверами, что и Flame. Но это явно был не Flame или какой-либо из трех загадочных вирусов – SP, SPE или IP.

Они добавили сигнатуры файла в свой антивирусный сканер и обнаружили около 2,5 тысячи зараженных им систем в 25 странах. Более 1600 из них находились в Ливане. Следующим по количеству зараженных шел Израиль – 482, еще 261 – на палестинских территориях. Около 40 жертв было в США, и только 1 – в Иране.

После реверс-инженеринга и анализа кода, исследователи увидели, что он содержит некоторые из тех же библиотек, алгоритмов и базового кода, что и Flame, что объясняет, почему их система пометила его как модуль Flame. Кодировщики даже оставили путь и данные проекта в некоторых файлах, которые показали, что файлы хранились на машинах злоумышленников в каталоге, который они назвали Flamer.23

Исследователи Лаборатории Касперского именовали новый вирус Gauss, по названию, которое хакеры дали одному из главных модулей вируса. В названии кодеры, видимо, отдавали дань уважения выдающемуся математику Иоганну Карлу Фридриху Гауссу, поскольку другие модули были названы Лагранж и Гедель, скорее всего, в честь математика Жозефа-Луи Лагранжа и криптографа Курта Геделя. Благоговение перед математикой и криптографией стало очевидным, когда исследователи обнаружили, что в атаке использовалась очень сложная и изощренная схема шифрования, достойная только опытного криптографа.

Как и Flame, этот новый загадочный вирус был инструментом цифрового шпионажа. Он был намного меньше, чем его предшественник, Flame, и явно был частью отдельной шпионской операции. Вредоносная программа содержала несколько модулей для кражи системных паролей, записи данных конфигурации и считывания учетных данных для входа в учетные записи социальных сетей и электронной почты. Также был модуль передачи вируса через USB-носители – эксплойт .LNK, тот же, который использовал Stuxnet.

Но в новой атаке было еще кое-что, что исследователи видели впервые, – троянская программа для учетных данных для доступа к банковским счетам. Однако это не был обычный банковский троян. Скорее, он был ориентирован на клиентов банков в Ливане – Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. При этом не было признаков того, что вирус использовался для кражи денег со счетов, но некоторые из ливанских банков подозревались в отмывании средств для ядерной программы Ирана и поддерживаемой Ираном Хезболлы, поэтому злоумышленники могли следить за балансами и транзакциями для отображения взаимосвязей между счетами и отслеживать движение денег.

В коде было две загадки, которые исследователи никак не могли решить: одна связана с файлом кастомного шрифта под названием Palida Narrow, который Gauss устанавливал на зараженные машины. Как и в случае с Dexter в Duqu, название Palida Narrow, разумеется, было вымышленным. Но в отличие от внедряемого шрифта в Duqu, шрифт Palida Narrow не содержал в себе эксплойтов или вредоносного кода. Похоже, что он вообще не имел никаких функций, поэтому оставалось непонятным, зачем злоумышленники устанавливали его на компьютер жертв.24

Еще большей загадкой была зашифрованная полезная нагрузка, помещаемая Gauss на некоторые машины, которая была заперта в непроницаемой оболочке.

В отличие от Stuxnet, который доставлял полезную нагрузку на каждую зараженную машину и выполнял ее только на машинах с определенной конфигурацией, Gauss доставлял ее только на машины с определенной конфигурацией. Слаживалось впечатление работы над ошибками, допущенными командой программистов в коде Stuxnet. Ограничив количество машин, на которые Gauss доставлял полезную нагрузку, они тем самым значительно снизили вероятность обнаружения вируса.

Gauss доставлял свои файлы в очень ограниченном режиме через USB-накопители. Он заражал только одну флешку, вставленную в зараженную машину, и ничего больше. Когда этот флеш-накопитель затем вставлялся в другой компьютер, он передавал полезную нагрузку только в том случае, если машина имела определенную искомую Gauss конфигурацию. Он также собирал данные конфигурации с каждой машины, к которой был подсоединен, и сохранял эти данные на самой флешке в скрытом файле. Если флешка попадала на компьютер, уже зараженный Gauss и подключенный к сети интернет, он передавал скрытый файл обратно на сервер злоумышленников. Таким образом злоумышленники имели информацию о количестве зараженных машин.

 Gauss также предпринимал еще одну предосторожность с полезной нагрузкой. В отличие от Stuxnet, ключи для разблокировки этой загадочной полезной нагрузки не хранились в коде самого вируса. Вместо этого полезную нагрузку можно было расшифровать только с помощью ключа, который динамично генерировался из данных конфигурации на машине, на которую был нацелен вирус.

Но для генерации ключа вредоносная программа производила ряд тщательно продуманных искажений, которые гарантировали, что полезная нагрузка не попадет на нецелевые машины, и ее не удастся разблокировать с помощью брут-форса. Сначала он собирал конкретные данные конфигурации целевой машины – информацию о каталогах, программных файлах и других данных – затем объединял имена всех файлов, один за другим, с именем верхнего каталога в папке Windows Program Files. К этой строке данных вирус добавлял специальное значение и прогонял его через алгоритм MD5 10 тысяч раз, повторно хэшируя полученный хэш, каждый раз производя новый.25 Если в конце этого процесса он генерировал необходимый хэш, вредонос переходил к следующему этапу.

Но даже если Gauss находил подходящий хэш, он все еще не разблокировал свою полезную нагрузку. Вместо этого он пересчитывал последний полученный – десятитысячный – хэш, в этот раз добавляя еще одно специальное значение. В конце концов хэш, полученный в этом процессе и являлся ключом, который разблокировал полезную нагрузку. Как только полезная нагрузка была разблокирована, Gauss использовал тот же путь и данные программы, на основании которых был сгенерирован самый первый хэш и добавлял к нему еще одно новое значение и расшифровывал второй раздел кода атаки, затем повторял эти шаги для расшифровки третьего раздела вредоносного кода.

Если вы хотите провести исключительно осторожную и контролируемую операцию, то это был лучший способ сделать это. В сравнении с Gauss, полезная нагрузка Stuxnet была не защищена от слова совсем, что и позволило исследователям разблокировать ее и определить, что она делает. Но сложная схема шифрования, используемая для полезной нагрузки Flame, гарантировала, что она будет заперта в непроницательной оболочке, взломать которую будет нереально.

Исследователи из Касперски перепробовали миллионы сочетаний данных, чтобы раскрыть конфигурацию, которая разблокировала полезную нагрузку Gauss, но так и не смогли найти ключ, который смог бы ее взломать. Они задались вопросом, что такого особенного могло быть в этой полезной нагрузке, что хакеры приложили столько усилий для ее безопасности. Они не исключали возможность того, что это могло быть что-то деструктивное, как, например, Stuxnet или Wiper. Возможно там была очень ценная информация, которая имела какое-то отношение к банковскому трояну и финансовым сетям.

Намертво заблокированная полезная нагрузка Gauss помешала исследователям полностью раскрыть атаку, но в ходе анализа этой угрозы они наткнулись на другую находку, которая доселе ускользала из их виду: образец загадочного малваря SPE.

SPE был одним из четырех вирусов, которые связывались с командными серверами Flame, и которые за несколько месяцев до этого попали в воронку исследователей, тем самым заявив о себе миру кибербезопасности. Исследователи обнаружили, что на самом деле SPE был не вирусом, а отдельным модулем, который мог использоваться самостоятельно или для расширения функционала Gauss или Flame.26 Модуль, который Лаборатория Касперского назвала mini-Flame была первой прямой связью, которая связывала Flame и Gauss. До этого они считали, что эти две атаки были совершенно разными операциями, проводимые одной и той же командой, но mini-Flame доказал обратное. Исследователи даже нашли машину, она находилась в Ливане, зараженную всеми тремя вирусами – Flame, Gauss и mini-Flame.27

Flame-младший был бэкдором зараженных компьютеров, а также работал в качестве инфостиллера, позволяющего злоумышленникам удаленно проверять конфигурацию машин и отображать любые другие системы, подключенные к ним. Скорее всего, хакеры сначала заражали систему с помощью Flame или Gauss, чтобы собрать базовые данные о ней и определить, является ли она подходящей целью, а затем устанавливали mini-Flame только на ключевые машины, если им нужно было напрямую контролировать компьютер или исследовать локальную сеть жертвы. После установки на машину mini-Flame злоумышленники, вероятно, отправляли со своих серверов модуль, который удалял с системы объемный шпионский комплект Flame, тем самым уменьшая свой размер и вероятность обнаружения.

Касперски обнаружил всего около 50 жертв, зараженных mini-Flame, расположенных в основном в Иране и других частях Ближнего Востока, а также в Литве и США. Среди жертв они также обнаружили шесть различных вариаций модуля, все они были созданы между октябрем 2010 года и сентябрем 2011 года. Но его разработка, скорее всего, происходила в 2007 году, вместе с разработкой Stuxnet, Duqu и более сложного Flame, поскольку именно тогда был создан протокол связи, который использовал mini-Flame. Как ни странно, хотя mini-Flame обращался к воронке, созданной исследователями Касперского, около 14 тысяч раз за четырехмесячный период летом 2012 года, он полностью прекратил связь с ним в период с 4 по 7 июля этого же года – пробел, который исследователи так и не смогли объяснить.

С обнаружением этого последнего модуля работа Лаборатории Касперского над кодом, созданным командой Stuxnet, начала сворачиваться – отчасти потому, что детальная работа, проделанная Райю и его командой по раскрытию всех этих вредоносных программ, начала приносить исследователям нежелательное внимание.

Когда они начали одну за одной публиковать находки о новых вирусах, некоторые специалисты из сообщества кибербезопасности начали сомневаться в их мотивах. Подобно тому, как Symantec критиковали за нелояльность к Соединенным Штатам в разоблачении Stuxnet и нанесению ущерба национальной безопасности США, некоторые личности задавались вопросом, не выполняет ли московская «Лаборатория Касперского» указания российской разведки, разоблачая и саботируя западные шпионские операции.

Райю, однако, говорит, что в своей работе на него и его команду никогда не влияло и не направляло какое-либо правительство или спецслужбы. Он и его команда всегда были за рамками политики, а их единственная цель, как и у исследователей из Symantec, заключалась в том, чтобы использовать свои навыки реверс-инжениринга для защиты клиентов и содействия развития компьютерного сообщества. На самом деле их работа над вирусами Stuxnet и Flame фактически противоречила бизнес-интересам их компании. Лаборатория Касперского была намерена выйти на рынок США, с этой целью основатель компании, Евгений Касперский, прилагал согласованные действия, чтобы найти поддержку для этого в Вашингтоне и Израиле. Но пока он пытался угодить этим двум странам, его исследователи были заняты раскрытием их тайных операций.

Однако их работа могла затронуть не только бизнес-интересы компании. Во время анализа Stuxnet исследователи Symantec были обеспокоены тем, что их робота может тайно мониториться Израилем, Соединенными Штатами, или даже Ираном, хотя конкретных знаков того, что это действительно было они не замечали. Райю, однако, убедился, что за ним следят, когда он был на конференции в Мюнхене весной 2012 года. Это произошло вскоре после того, как они обнаружили Flame, но еще не опубликовали новость о нем. Регистрируясь, Райю заметил, что за стойкой регистрации его отеля кто-то прячется, словно пытаясь узнать номер его комнаты. Позже он видел других людей, который следовали за ним, когда он выходил в туалет или заходил в свою комнату. Когда он рассказал об этом своим коллегам, они начали замечать то же самое. Он подозревал, что эти люди – агенты иностранной разведки, но не мог быть уверен в этом. В один из дней к нему подошли трое израильтян, которые хотели поговорить о его работе над Duqu, а также женщина, которая хотела знать, есть ли у Лаборатории Касперского возможность восстанавливать удаленные файлы с их жестких дисков. Последний вопрос вызвал у Райю подозрение, поскольку исследователи из Касперски пытались восстановить удаленные файлы из систем в Иране, которые были уничтожены вирусом Wiper.

Это была еще одна суровая проверка реальности: мир охоты на вредоносные программы кардинально изменился с приходом Stuxnet. Раньше единственным риском, с которым сталкивались исследователи при обнаружении вирусов был гнев киберпреступников, которые могли добавить проблем в жизнь исследователей за вмешательство в их труды. Но устранение межгосударственных угроз привело к возникновению целого нового мира проблем, и ради своей молодой семьи, Райю решил немного сбавить обороты. После инцидентов, произошедших на Мюнхенской конференции, он отказался от публичных заявлений о работе Лаборатории Касперского и предоставил возможность публичных высказываний в СМИ своим коллегам.

Не было совпадением, когда вскоре после этого исследователи из Касперски отвлеклись от семейства угроз Stuxnet-Duqu-Flame и сосредоточились на других проектах, в частности, на одном, который, как считается, был разработан российскими хакерами. Операция, получившая название «Красный Октябрь», была нацелена на дипломатов, правительства и исследовательские институты, в основном из Восточной Европы и Центральной Азии, с целью сбора конфиденциальных документов и геополитической разведки. Райю и его коллеги подозревали, что это была работа российских киберпреступников или внештатных шпионов, которые искали разведданные с целью их дальнейшей продажи.

После операции «Красный Октябрь» команда Касперского, казалось, навсегда оставила команду разработчиков Stuxnet в покое. Но это не значит, что их публикации, это последнее что мир услышит о Stuxnet. Оказалось, что у настырных хакеров был еще один сюрприз, который исследователям еще только предстояло раскрыть.

В ноябре 2012 года, спустя более чем два года после обнаружения Stuxnet, когда даже Duqu и Flame уже были далеким прошлым, исследователи Symantec наткнулись на недостающее звено, которое они потеряли в ходе расследования, и которое уже не надеялись найти – самую раннюю версию Stuxnet, предшествующую всем другим известным доселе версиям.

Они обнаружили его, просматривая свой архив на предмет вредоносных файлов, сигнатуры которых совпадали с сигнатурами Stuxnet – что они периодически делали с вредоносными программами, дабы убедится, что они не пропустили ничего важного. При поиске появился элемент, которого исследователи раньше не замечали. Он хранился в архиве с 15 ноября 2007 года – кто-то отправил его в VirusTotal – что означало, что первая атака Stuxnet была проведена намного раньше, чем предполагалось ранее.28 Как уже отмечалось, исследователи всегда подозревали, что существует как минимум еще одна версия Stuxnet – об этом свидетельствуют пробелы в нумерации версий 2009 и 2010 годов – 1.001, 1.100 и 1.101. Теперь они нашли его – Stuxnet версии 0.5.

Однако, поближе изучив файлы вредоноса они обнаружили, что это была не простая версия Stuxnet. Это была та самая версия, которая содержала полный код атаки на Siemens S7-417, полностью рабочий и готовый к работе код.

Их предыдущая попытка раскрыть атаку Stuxnet на Siemens S7-417 провалилась, так как ее код был неполным и отключенным в более поздних версиях Stuxnet. Николас Фальер из Symantec предполагал, что, возможно, злоумышленники отключили его, потому что ждали критического бита данных конфигурации для завершения атаки. Но теперь стало ясно, что он был отключен, потому что хакеры решили изменить свою тактику. Хотя более поздние версии содержали код атаки на S7-315 и отключенный код для S7-417, в этой ранней версии не было никаких признаков наличия кода атаки на 315-ую модель контроллера, а только код, атаковавший ПЛК Siemens 417. Из этого можно сделать вывод, что атакующие сначала сосредоточили атаку на 417-ой модели ПЛК в Натанзе, а затем по какой-то причине – атака не достигла своей цели или требовала слишком много времени для ее достижения – перенастроили и сконцентрировали все силы на Siemens S7-315.

Теперь, когда команда Symantec – за исключением Фальера, который ушел из Symantec ради работы в Google – получила в свои руки эту самую раннюю версию, они наконец могли определить, что контролируют S7-417 ПЛК и что с ними делает Stuxnet. Оказалось, что эта версия вируса была нацелена на клапаны, которые управляли потоком газообразного гексафторида урана внутрь и наружу центрифуг и каскадов в Натанзе.29 Stuxnet открывал и закрывал клапаны, чтобы увеличить давление внутри центрифуг до пятикратного нормального уровня. При таком давлении газ, вероятно, начинает затвердевать, нарушая процесс обогащения и заставляя центрифуги, вращающиеся на высоких скоростях, выходить из равновесия и сталкиваться с другими центрифугами вокруг себя. По крайней мере, таков был план. Возможно, это сработало не так хорошо или не так быстро, как задумывали нападающие, поэтому в 2009 году они изменили тактику и вместо этого сосредоточились на атаке преобразователей частоты – более прямой способ повреждения центрифуг.

Хотя Stuxnet 0.5 не имел даты самоуничтожения и должен был оставаться на машинах, когда были выпущены более поздние версии Stuxnet, исследователи так и не нашли эту версию ни на одной машине.30 В принципе, это могло быть связано с тем, что его попросту удалили. Одна из первых вещей, которые совершали более поздние версии Stuxnet, когда они оказывались на машине, – это проверка наличия более ранних версий Stuxnet и их замена. Таким образом, вероятно, Stuxnet 0.5 был попросту заменен более поздними версиями 2009 и 2010 годов.31

Также возможно, что Stuxnet 0.5 никогда не был обнаружен в связи с тем, что эта версия находилась под гораздо более строгим контролем атакующих и распространилась на ограниченное количество машин. Вместо использования эксплойтов нулевого дня, для распространения эта версия вируса использовала только один способ – заражая файлы проекта Siemens Step 7. Это были файлы, которыми между собой делились программисты, и которые использовались для программирования всей линейки ПЛК Siemens S7, что делало их идеальным вариантом для установки Stuxnet на целевые ПЛК. Тот факт, что эта версия распространялась только через файлы Step 7, наводит на мысль, что у злоумышленников должен был быть внутренний путь, чтобы внедрить вирус в основные системы Натанза. Таким образом, Stuxnet 0.5, вероятно, уже никогда не будет обнаружен, поскольку нулевая жертва – первая машина, которую он заразил, – могла быть одной из тех самых программных машин, на которые нацелились злоумышленники. В более поздних версиях вредоносного ПО, они добавили в Stuxnet дополнительную силу распространения, чтобы увеличить шансы достижения своей цели.32 К сожалению, увеличенная сила распространения и местонахождение нулевой жертвы в офисе за пределами Натанза, сыграли ключевую роль в раскрытии Stuxnet.33

После запуска Stuxnet 0.5 был полностью автономным, поэтому злоумышленникам не нужно было его контролировать. Но если он оказывался на машине, подключенной к интернету, он связывался с одним из четырех командных серверов, с которых злоумышленники, при необходимости, могли отправить новый код для обновления вируса.34 Stuxnet был запрограммирован так, чтобы прекращать связь с серверами 11 января 2009 года, но к тому времени злоумышленники уже готовили следующую версию своей атаки – драйвер, который скомпилировали 1 января 2009 года для использования в следующей версии Stuxnet, которую они выпустили пять месяцев спустя.

Отправка Stuxnet 0.5 в VirusTotal в 2007 году, а также другие даты, связанные с кодом, вынудили исследователей пересмотреть свою оценку того, когда началась разработка Stuxnet.35 Похоже, что предварительная работа над атакой началась еще в ноябре 2005 года. Это было примерное время регистрации некоторых из доменов, которые использовались для серверов Stuxnet 0.5. Код для других серверов, которые использовались в атаках Stuxnet 2009 и 2010 годов – домены todayfutbol.com и mypremierfutbol.com – был скомпилирован в мае 2006 года. Хотя сам Stuxnet не был запущен в 2006 году – советники Буша предложили эту идею только в этом году – в это время уже создавалась командно-контрольная инфраструктура для управления Stuxnet. Возможно, серверы изначально были настроены для взаимодействия с Flame, Duqu или другими шпионскими инструментами, который злоумышленники использовали для сбора разведданных для операции, а затем снова использовались для Stuxnet. Эти ранние даты, безусловно, совпали с тем временем, когда как предположили исследователи из Лаборатории Касперского, началась разработка Flame.

Сроки также совпали с периодом, когда политическая ситуация вокруг ядерной программы Ирана приближалась к критической точке: в августе 2005 года, спустя два месяца после избрания Ахмадинежада президентом, международные переговоры по ядерной программе Ирана были сорваны и страна вышла из соглашения по приостановлению обогащения урана. Через три месяца после этих событий злоумышленники зарегистрировали серверы для Stuxnet 0.5.

В то время Иран действительно установил центрифуги в Натанзе, но только на экспериментальном заводе. В феврале 2006 года, спустя три месяца после регистрации серверов, Иран попытался обогатить свою первую партию урана в небольшом каскаде на экспериментальном заводе. Но попытка с крахом провалилась, так как 50 центрифуг попросту взорвались. Возможно, причиной этому была первая версия Stuxnet. Иранские же власти приписали саботаж неисправным ИБП из Турции, которые, по их словам, была настроены таким образом, чтобы в некоторый момент вызвать резкий скачок напряжения.

Иран быстро оправился от этой неудачи и в мае объявил, что инженерам удалось достичь 3,5-процентного обогащения в полноразмерном каскаде на экспериментальном заводе. Началось планирование по установке первой из 3 тысяч центрифуг в одном из подземных залов. Однако только в начале 2007 года в зале начали появляться первые центрифуги. К ноябрю того же года в зале было установлено порядка 3 тысяч центрифуг. В том же месяце впервые появился на свет Stuxnet, когда кто-то отправил Stuxnet 0.5 в VirusTotal.

С открытием самой ранней версии Stuxnet исследователи получили, вероятно, наиболее полную картину того, что произошло с революционной атакой в Иране.

Это был долгий и тяжелый путь, который стал возможен только благодаря серии неудач и ошибок, которых никогда не должно было случиться – от эксплойтов нулевого дня, которые не контролировано распространили Stuxnet на тысячи машин по всему миру, до сбоев машин в Иране; от «зеленых» исследователей из Беларуси, которым не хватало навыков и опыта для борьбы с угрозами, подобных Stuxnet, до исследователей Symantec, которые проделали путь с нуля в изучении кода ПЛК; от вируса Wiper в Иране, который привел команду Касперского к обнаружению Flame, до сервера в Малайзии, к которому злоумышленники потеряли доступ и который хранил в себе массу доказательств. Обнаружению и успешному анализу всех инструментов из арсенала Stuxnet последовала огромная череда удачных совпадений, в которую до сих пор трудно поверить.

Когда все закончилось, исследователи из Касперски и Symantec оглянулись назад, на два года кропотливой труда, который они вложили в реверс-инжениринг и анализ вредоносных инструментов команды Stuxnet, и диву давались уровню навыков и мастерства, которые потребовались для их создания. Ровно с таким же удивлением исследователи ломали голову от шокирующей скорости, с которой операции, которые оставались незамеченными на протяжении стольких лет, так быстро были рассекреченными их собственными руками – как выпавшая ниточка на свитере, которая при дергании за нее приводит к распаду всей вязаной вещицы.

Злоумышленники, несомненно, предполагали, и даже рассчитывали на то, что иранцы не имеют навыков, чтобы самостоятельно раскрыть или исследовать кибератаки. Но они явно не ожидали, что огромное количество исследователей по всему миру решит заняться их обнаружением и анализом.

С появлением Stuxnet появился новый мировой порядок, в котором исследователи кибербезопасности и реверс-инженеры стали невольными призывниками нового типа ополчения – ополчения, призванного защищать наши компьютеры от цифрового оружия, которое страны используют друг против друга. Этот новый порядок создал множество новых этических дилемм и дилемм национальной безопасности для исследователей, имевших выбор между потребностями пользователей и интересами спецслужб и правительств. Так, как Stuxnet ознаменовал начало милитаризации киберпространства, ровно также он ознаменовал начало политизации вирусных исследований.

«На этой почве возник новый вопрос о хороших и плохих парнях, который потенциально ставит нас в очень трудное положение», – сказал Эрик Чиен в 2012 году после того, как анализ Stuxnet был успешно завершен. К счастью, их работа над Stuxnet не была испорчена и затруднена политическим влиянием, и он надеялся никогда не оказаться в ситуации, когда они были бы вынуждены выбирать между клиентами и интересами национальной безопасности. Но он не был настолько наивен, чтобы думать, что до этого никогда не дойдет.

«Возможно, это прозвучит немного банально, но мы просто пытаемся помочь людям и поступаем так, как считаем правильным», – говорит он. «Если мы дойдем до того, что нам придется задать себе вопрос, это будет очень трудный вопрос. Я думаю, если мы дойдем до такой точки, то мы окажемся в очень плохом положении.»

Сноски, ссылки и используемая литература:

1.    Еще одна подсказка, обнаруженная в системе, также, похоже, указывала на злоумышленников, стоящих за Stuxnet и Duqu. Согласно этой подсказке, первое, что делал Wiper оказавшись на машине, – это искал и уничтожал любые файлы с расширением .PNF. Райю напоминает, что файл полезной нагрузки в Stuxnet, а также некоторые другие его файлы имеют расширение .PNF. У Duqu, пускай и очень редко, но также использовались файлы с расширением .PNF.

2.    Журнал также содержал внутренние компьютерные имена зараженных машин в Иране.

3.    Microsoft исправила дыру 9 июня, примерно за две недели до выхода июньской версии Stuxnet 22 июня 2009 года.

4.    Что касается связи Flame и Wiper, между атаками возникла некая путаница после того, как исследователи из Лаборатории Касперского обнаружили в Flame модуль, который носил название Viper. Но задача этого модуля заключалась в передаче украденных данных на сервера, а не стирании жесткого диска зараженных машин. Однако само его существование изначально вызывало вопросы о том, действительно ли обнаруженный иранцами вирус Wiper являлся компонентом Flame. Не помогло и то, что в некоторых иранских отчетах Wiper назывался как Viper из-за ошибки в транслитерации с персидского на английский. Но в итоге Касперски не нашел прямой связи между Flame и Wiper.

5.    На большинстве зараженных машин была установлена версия с 6 Мб. Они также нашли меньший стартовый комплект, объем которого составлял около 900 Кб без дополнительных модулей, и который, возможно, использовался для заражения машин через медленные сетевые соединения, поскольку для удаленной установки модуля 6 Мб в странах с медленным и нестабильным интернетом потребуется целая вечность.

6.    Файл конфигурации вредоноса содержал список из пяти статических доменов, в том числе traffic-spot.biz, dailynewsupdater.com и bannezone.in, а также еще один список, который можно было произвольно изменять при добавлении злоумышленниками новых серверов.

7.    С Flame злоумышленники были осторожны, и изменили временные метки файлов, чтобы исследователи не могли точно датировать его разработку. Хотя некоторые временные метки оказались точными, другие, которые указывали на дату создания в 1994 и 1995 годах, были явно неверны, поскольку файлы содержали код из библиотек, которые создались после 2010 года.

8.    В коде сервера действительно была заметка, которую программисты вставили, чтобы идентифицировать авторов и дату создания. В примечании говорилось: “@author OCTOPUS in 12/3/2006; @author DeMO (modifications).” Имена, вероятно, были никнеймами отдельных лиц или команд, которые устанавливали серверы.

9.    В то время как Лаборатория Касперского работала над полученными ими файлами Flame, Symantec изучала файлы, полученные от Бенксата, а также другие модули, полученные от машин зараженных клиентов после добавления функции обнаружения в свои антивирусные инструменты. Ни одна из команд не сообщала друг другу о своей работе, хотя обе тайно узнали, что их конкурент работает над тем же кодом. Когда исследователи из Symantec узнали, что Касперски планирует опубликовать свои результаты в День Памяти, они поспешили завершить свой анализ и опубликовать свой отчет в тот же день. Обе компании по отдельности связались с автором – сначала Касперски, потом Symantec – перед своими объявлениями. Смотрите, Ким Зеттер, “Meet Flame, the Massive Spy Malware Infiltrating Iranian Computers,” Wired.com, 28 мая, 2012, доступно по адресу: wired.com/threatlevel/2012/05/flame.

10. Эта уязвимость была известна как минимум с 2004 года.

11. Обычно сертификат создается и подписывается в течение нескольких секунд после отправки запроса на серверы Microsoft. Злоумышленники могли оценить, сколько времени требовалось Microsoft для выдачи подписанных сертификатов, отправив в компанию несколько запросов на сертификат. Но бывший сотрудник Microsoft предположил, что злоумышленники также могли находиться во внутренней сети Microsoft, наблюдая за поступающими запросами, чтобы узнать, сколько времени требовалось для получения запросов извне и их дальнейшей обработки. Однако этому нет никаких доказательств.

12. В дополнение ко всей работе им также пришлось изменить сертификат, чтобы использовать его для установки своего вредоносного ПО на машины с Windows Vista, поскольку в исходном виде он не был принят ни одной системой, использующей Vista или более поздней версией операционки Windows. Модификация заключалась в избавлении от расширения сертификата. Они не удаляли расширение – это могло привести к тому, что компьютер не прошел бы прошел проверку подписи кода, вместо этого они немного «закомментировали» код сертификата – окружили его маркерами, чтобы машина просто игнорировала расширение. Это позволяло ему работать на машинах с Vista. Однако согласно статистике Касперски, всего лишь на 5% машин, зараженных Flame, была установлена Windows Vista. Большинство машин использовали Windows 7 или Windows XP.            

13. Согласно неназванным источникам, Microsoft пытались выяснить, кто и в каком количестве отправлял запросы на сертификаты, но прошло слишком много времени между тем, когда сертификат был выпущен – в феврале 2010 года – и когда в 2012 году был обнаружен Flame. Со временем журналы Microsoft переписываются, поэтому на тот период они стали недоступными.

14. Голландский криптограф и академик Марк Стивенс, который вместе с коллегой Бенном де Вегер разработал в 2007 году одну из первых практических атак хэш-коллизий MD5 для исследовательских целей, охарактеризовал атаку Flame как «криптоанализ мирового класса», который открыл новые горизонты и вышел за рамки той работы, которую он проделал со своим коллегой. Стивенс и де Вегер входили в группу исследователей, включая Александра Сотирова, которая продемонстрировала аналогичную, хотя и технически отличную, коллизионную атаку в 2008 году на Конгрессе Компьютерного Клуба Хаос – конференции хакеров, ежегодно проводимой в Германии. В попытке сгенерировать идентичный хэш для сертификата, они использовали кластер из двухсот PlayStation 3, для выполнения необходимой вычислительной работы. Использовался сертификат другой компании, а не Microsoft. Однако во время проведения эксперимента, они неправильно указывали временную метку и сгенерировали хэш четырежды, прежде чем у них получилось сделать это правильно. Когда в 2012 году была обнаружена атака Flame, Сотиров подсчитал, что осуществить ее было в 10-100 раз сложнее, чем атаку, которую экспериментально совершили он и его коллеги. Слайды презентации Сотирова и его коллег можно найти на сайте: http://www.events.ccc.de/congress/2008/Fahrplan/attachments/1251_md5-collisions-1.0.pdf.

15. Следует отметить, что после решения всех этих проблем для получения своего поддельного сертификата злоумышленники не могли использовать его для подписи своего вредоносного кода. Но они смогли сделать это, потому что Microsoft не смогли внедрить определенные ограничения, так чтобы сертификаты, выданные компанией для лицензирования, были предназначены только для «лицензирования программного обеспечения.»

16. Этот сертификат       позволит вредоносному ПО, по крайней мере, проскользнуть мимо машин с Windows XP, но не мимо Vista, которая имеет более высокий уровень безопасности.

17. Некоторые, однако, скажут, что эта атака была даже хуже, чем взлом серверов Центра обновления Microsoft Windows для доставки вредоносного программного обеспечения, потому что при взломе серверов, хотя злоумышленники могли бы отправлять вредоносное ПО клиентам прямо с серверов Microsoft, клиентские машины отвергали его, если он также не был бы подписан сертификатом Microsoft. Но взломав процесс сертификации Microsoft для подписи своего вредоносного кода, злоумышленникам не требовались серверы Центра обновления Windows. Они могли доставить свое вредоносное ПО на компьютеры с любого сервера и выдать его за подлинный код Microsoft.

18. Эллен Накашима, “U.S., Israel Developed Flame Computer Virus to Slow Iranian Nuclear Efforts, Officials Say,” Washington Post, 19 июня, 2012.

19. С Duqu, злоумышленники начали операцию по очистке после появления новостей о его обнаружении, но тот факт, что команда Flame, приступила к очистке примерно за десять дней до появления новостей о нем, говорит о том, что они заранее знали о своем раскрытии. Вероятно, их случайно предупредили исследователи Лаборатории Касперского, когда подключили к интернету машину, зараженную Flame. Как только машина получила доступ к сети, вредонос сразу обратился к одному из серверов Flame. Злоумышленники, должно быть, поняли, что этой машины нет в списке целей, и, возможно, даже идентифицировали ее как тестовую машину Kaspersky Lab, и пришли к выводу, что дни Flame сочтены. В панике они стерли все данные с серверов и разослали модуль уничтожения под названием Browse32 на зараженные машины, чтобы стереть любые следы вредоносного ПО так, чтобы жертвы никогда не узнали о том, что они были заражены.

Кампания по очистке в большинстве своем прошла успешно. Но у Browse32 был фатальный недостаток – он оставил один контрольный файл, ~DEB93D.tmp, который и выдал его. Это был временный файл, который создавался всякий раз, когда Flame выполнял ряд различных операций на зараженной машине. После завершения операции Flame должен был удалить временный файл автоматически. Из-за этого злоумышленники и не включили его в список файлов, которые Browse32 должен был удалить – они ожидали что он удалится автоматически. Однако по иронии судьбы, если Browse32 доставлялся на машину во время выполнения Flame одной из операций, модуль очистки удалял Flame до того, как тот стирал временный файл. Касперский обнаружил, что временный файл-сирота оказался оставленным на сотнях систем, зараженных Flame. Фактически именно этот файл, оставленный на машине в Иране, в первую очередь привел к тому, что исследователи Лаборатории Касперского наткнулись на Flame.

20. Это была не единственная их ошибка. Они также провалили операцию по очистке серверов, к которым имели доступ. Они создали сценарий для стирания журналов активности под названием LogWiper.sh, чтобы никто не мог проследить за действиями, который они выполняли на зараженных системах. Как только сценарий завершал свою работу, он должен был удалить себя, подобно змею Уроборосу, пожирающему свой собственный хвост. Но злоумышленники допустили ошибку в команде удаления внутри сценария, идентифицировав файл сценария по неправильному имени. Вместо удаления файла LogWiper.sh они указали удалять несуществующий файл logging.sh. В результате скрипт LogWiper не мог найти себя и оставался на серверах, пока его не нашли исследователи из Касперски. Злоумышленники также оставили имена или никнеймы программистов, которые писали сценарии и разрабатывали алгоритмы шифрования и другую инфраструктуру, используемую Flame. Имена появились в исходном коде некоторых разработанных ими инструментов. Это была ошибка неопытных хакеров, поэтому исследователи сильно удивились, увидев такие элементарные просчеты в операции такого масштаба. Один из них по имени Хикару оказался руководителем команды, создавшим большую часть серверного кода, включая сложное шифрование. Райю назвал его мастером шифрования. Был также некто Райан, который работал над некоторыми из сценариев.

21. Злоумышленники, похоже, управляли своим проектом как жестко контролируемой военной операцией, в которой несколько команд выполняли тщательно разделенные задачи. Из них была команда управления, которая наблюдала за ходом операции и выбирала жертв; кодировщики, которые создали модули Flame; команда командования и контроля, которая настраивала и управляла серверами, доставляла модули Flame на зараженные машины и извлекала украденные данные из машин; и, наконец, группа разведки, ответственная за анализ украденной информации и отправку запросов на кражу дополнительных файлов с машин, которые оказались полезными. Документы Сноудена предполагали, что эта была именно та система, которой располагало АНБ.

Команда, управляющая серверами, имела ограниченный обзор всей операции, и, возможно, даже не знала истинного характера миссий, которым способствовала их работа. Процесс загрузки новых модулей на зараженные машины строго контролировался, поэтому ни они, ни посторонние лица, которые могли получить доступ к серверам, не могли изменять или добавлять модули для их отправки на зараженные машины. Командные модули, например, доставлялись на сервер заранее написанными, где они проходили автоматический анализ системой и помещались в директорию для доставки жертвам командой сервера, которым требовалось просто нажать одну кнопку. Данные, украденные у жертв, также были зашифрованы с помощью сложного алгоритма и открытого ключа. На сервере нигде не было ключа для его расшифровки, что наводит на мысль, что данные, скорее всего, передавались отдельной команде, которая была единственной, способной расшифровать и изучить данные.

22. Протоколы были идентифицированы как Old Protocol, Old E Protocol, SignUp Protocol и Red Protocol.

23. Два имени – Flame и Flamer – появились в разных частях кода. Касперски решил назвать вредоносную программу Flame, но Symantec в своем отчете об обнаружении называла вирус Flamer.

24. Возможно, в какой-то период времени Gauss мог содержать тот же экслплойт шрифтов Windows, который использовал Duqu, хотя никаких доказательств этому найдено не было. Если бы он использовался, злоумышленники могли бы удалить его после того, как Microsoft исправила уязвимость, которую использовал эксплойт в 2011 году.

25. Злоумышленники проверяли, была ли установлена на машине очень специфичная программа, которая, вероятно, была уникальной для региона, в котором она находилась. Целевая программа была неизвестна, но исследователи Лаборатории Касперского говорят, что она начиналась со странного символа, и поэтому они полагали, что программа могла иметь арабское или еврейское название.

26. После обнаружения SPE остались нераскрыты два из четырех вируса, используемых с серверами Flame – SP и IP. Райю предположил, что SP, вероятно, была ранней версией SPE, которая была не зашифрована.

27. Файлы Gauss были названы в честь именитых математиков и криптографов, но в SPE хакеры приняли более популистский подход и использовали простые имена, такие как Фиона, Соня, Тиффани, Элвис и Сэм.

28. Когда вредоносные файлы отправляются в VirusTotal, веб-сайт отправляет копию файла каждой антивирусной компании, чей сканер не смог обнаружить файл, хотя иногда он также отправляет файлы, которые также обнаруживаются. Запись VirusTotal об отправлении на сайт самой ранней версии Stuxnet показывает, что файл был отправлен на сайт как минимум дважды, 15 и 24 ноября. Оба раза только 1 из 36 сканеров пометил файл как подозрительный, что являлось комплиментом его разработчикам. Как ни странно, в записи отправки отсутствует информация, которая обычно появляется в записях других файлов, отправленных на сайт. Графа с информацией, указывающей общее количество раз, когда файл был отправлен на сайт, пуста, как и графа, указывающая на страну-источник, из которой был отправлен файл, что могло бы дать ценную информацию о местонахождении злоумышленников, если это они проверяли свой файл, или же информацию о первой жертве, которая кинула на сайт вредоносный файл. Неясно, была ли эта информация удалена из записи намеренно. VirusTotal был основан группой инженеров в Испании, но Google приобрел компанию в сентябре 2012 года, всего за пару месяцев до того, как Symantec наткнулись на Stuxnet версии 0.5. На вопрос почему в записях отсутствовали данные Google дать ответ не смог.

29. По данным конфигурации этой версии Stuxnet было еще легче, чем в более поздних версиях, заметить, что Stuxnet искал точную конфигурацию систем в Натанзе. В коде было указано, что он ищет объект, в котором системы, на которые он нацелился, были помечены с А21 по А28. В Натанзе было два каскадных зала – зал А и зал B. На момент кибератаки Stuxnet центрифуги находились только в зале А. Зал был разделен на каскадные комнаты или модули, каждый из которых был обозначен как Unit A21, A22 и так далее, вплоть до A28.

30. Stuxnet 0.5 имел дату остановки заражения – 4 июля 2009 года. После наступления этой даты он больше не будет заражать новые машины, но продолжит оставаться активным на уже зараженных машинах, если не будет заменен новой версией Stuxnet. Следующая версия Stuxnet была выпущена 22 июня 2009 года, всего за две недели до даты остановки Stuxnet 0.5.

31. Как и в более поздних версиях Stuxnet, в этой была возможность обновляться на зараженных машинах, не подключенных к интернету. Это было реализовано посредством одноранговой связи. Все, что нужно было сделать злоумышленникам, – это доставить обновление с одного из серверов на машину, подключенную к интернету, или доставить его через USB-накопитель, и другие машины в локальной сети получат обновление с этой машины.

32. Еще одно замечание об этой версии: в ней был файл драйвера, который вызывал принудительную перезагрузку зараженных машин на базе OC Windows через двадцать дней после их заражения. Интересно отметить, что Stuxnet был обнаружен в 2010 году, после того, как машины в Иране продолжали сбоить и самопроизвольно перезагружаться. Хотя тамошние машины были заражены Stuxnet более поздних версий, это повышает вероятность того, что некоторые файлы, в том числе тот драйвер, могли оставаться в системе и проводить к их многократной перезагрузке. И хотя VirusBlokAda никогда не находили Stuxnet 0.5, они могли просто пропустить его.

33. Обнаружив Stuxnet 0.5 в своем архиве, исследователи из Symantec выполнили поиск и обнаружили ряд ошибочных и скрытых заражений в Иране, а также в США, Европе и Бразилии.

34. Серверы были установлены в США, Канаде, Франции и Таиланде. Они были разработаны так, что маскироваться под фирму онлайн-рекламы Media Suffix, чтобы скрыть свое истинное предназначение, если кто-то получит к ним доступ. У доменов для серверов – smartclick.org, best-advertising.net, internetadvertising4u.com, and ad-marketing.net – была одна и та же домашняя страница фейковой рекламной компании, слоган которой гласил: «Доставим все, о чем вы мечтаете.» Текст на домашней странице сайта: «Интернет становится самым популярным средством рекламе и маркетинга в мире. MediaSuffix специализируются исключительно на интернет-сегменте рекламы. MediaSuffix готов показать вашей компании, как извлечь выгоду из этого невероятно растущего рынка. Не оставайтесь позади… Мы предлагаем клиентам огромный выбор креативных ответов на самые разные потребности наших клиентов.»

35. Stuxnet 0.5 мог быть выпущен раньше ноября 2007 года, но это была первая запись о его появлении. Согласно дате создания, найденной в компоненте Stuxnet, представленном VirusTotal, он был создан в 2001 году, хотя Чиен и О`Мурчу считают, что эта дата неверная.

36. Интервью автора с Чиеном, апрель 2011 г.

Глава 16. Олимпийские игры.

В 2012 году Чиен, возможно, размышлял о темном и сложном будущем, созданным Stuxnet, но четырьмя годами ранее разработчики кода размышляли о другом темном будущем – в котором Ирану удастся создать ядерную бомбу.

В апреле 2008 года президент Ахмадинежад совершил широко разрекламированную поездку в обогатительный завод в Натанзе, чтобы отметить вторую годовщину работы завода, и в процессе дал специалистам по контролю над вооружениями первый осмысленный взгляд на загадочный завод. В белом лабораторном халате и синих защитных ботинках Ахмадинежад был главной целью всех фотографов, когда он смотрел на группу компьютерных мониторов в диспетчерской, сверкнул ироническим знаком «мира» для камер и повел свиту суровых ученых и бюрократов между двух рядов сверкающих шестифутовых центрифуг, стоявших по стойке смирно, словно военные в полном облачении, построившейся для проверки.

Администрация президента опубликовала около пятидесяти снимков этого тура, которые поразили ядерных аналитиков, дав им взглянуть на усовершенствованные центрифуги IR-2, о которых они были так много наслышаны. «Это информация, за которую стоит умереть,» – написал об изображениях один лондонский аналитик.1

Но среди свиты, сопровождающей Ахмадинежада во время его визита в Натанз, также присутствовал иранский министр обороны – странное дополнение к группе, учитывая настойчивость Ирана в том, что его программа обогащения урана носит исключительно мирный характер.

Иранские технические специалисты потратили весь 2007 год, устанавливая 3 тысячи центрифуг в один из подземных залов Натанза, и во время своего визита Ахмадинежад объявил о планах начать установку еще 6 тысяч центрифуг, в результате чего Иран окажется в компании всего лишь нескольких стран, способных обогащать уран на промышленном уровне. Это был победный триумф над многими препятствиями с которыми Иран столкнулся за последнее десятилетие, включая технические проблемы, проблемы с закупками и санкциями, а также все политические махинации и саботаж, которые были направленные на то, чтобы остановить его программу. Теперь казалось, что успех иранской программы обогащения гарантирован.

Но Натанз еще не был полностью успешен. Для производства обогащенного урана в промышленных масштабах требовались тысячи центрифуг, вращающихся на сверхзвуковых скоростях в течение нескольких месяцев без перерывов.2 И пока Ахмадинежад совершал свой победный круг среди центрифуг, что-то, похороненное глубоко в битах и байтах машин, контролирующих их, готовилось вызвать новые проблемы.

Заканчивался 2007 год, когда президент Буш, как сообщается, запросил и получил от Конгресса 400 миллионов долларов на финансирование крупной эскалации тайных операций, направленных на подрыв ядерных амбиций Ирана. Деньги предназначались для операций по сбору разведданных, политических операций по дестабилизации правительства и стимулирования смены режима, а также для проведения секретных операций по саботажу оборудования и объектов, используемых в ядерной программе.3 Последние включали экспериментальные попытки манипулирования компьютерными системами управления в Натанзе.

Хотя советники Буша, как сообщается, предложили саботаж где-то в 2006 году, подготовка к нему началась задолго до этого, возможно даже за несколько лет, если верить меткам времени в файлах атаки – блоки вредоносного кода, которые Stuxnet внедрял в ПЛК Siemens S7-315 и S7-417 имели временные метки, указывающие, что они были созданы в 2000 и 2001 годах, а у вредоносной .DLL Step 7, которую Stuxnet использовал для замены подлинной .DLL Siemens Step 7, была метка времени 2003 года.4

Однако вполне вероятно, что часы на компьютере, который использовался для компиляции файлов были намеренно изменены, чтобы сбить с толку исследователей. Но если временные метки были правдивыми, это означало, что злоумышленники держали вредоносный код в резерве от трех до шести лет, пока Соединенные Штаты ждали, как разыграется дипломатическая игра с Ираном, а затем достали код только в 2006 году, когда стало ясно, что достичь взаимопонимания путем переговоров и санкций не получится.

Часть кода атаки была характерна для многих систем Siemens и не была специально адаптированной для систем в Натанзе, поэтому вполне возможно, что части кода атаки были результатом общего исследовательского проекта, направленного на обнаружение уязвимостей во всех ПЛК Siemens, а не только для ПЛК в Натанзе. Системы управления Siemens широко использовались по всему Ирану в различных отраслях – нефтегазовой, а также нефтехимической и горнодобывающей – а не только в его ядерной программе. Они также широко использовались в других регионах Ближнего Востока. Поскольку кибервойна была на горизонте еще в конце 90-х, Соединенным Штатам и Израилю было бы разумно инвестировать в ранние исследования для выявления уязвимостей в системе Step 7 и взаимодействующих с ней ПЛК Siemens – которые появились на рынке в середине 90-х – в перспективе того, что эти знания пригодятся позже.

Однако не весь код был применим к системам Siemens в таком общем смысле: блоки, нацеленные на преобразователи частоты и клапаны, были разработаны исключительно для систем в Натанзе и требовали предварительного знания тех компонентов, которые Иран планировал установить на заводе, а также сведения об их точной конфигурации и работе. Чтобы установить правильные временные метки во внедряемых блоках кода, программисты в 2001 году должны были знать, какое оборудование будет установлено на заводе, который еще даже не был построен.

Эта часть не так диковинна, как кажется: Иран уже испытывал свой процесс обогащения урана в небольших каскадах центрифуг на заводе Kalaye Electric примерно в 1999 году. Кроме того, в 2000 и 2002 годах ЦРУ наняло ключевых поставщиков в сети Хана, которые предоставляли агентству разведданные о некоторых компонентах, которые сеть поставляла Ирану и другим клиентам Хана. Таким образом, к моменту подготовку фундамента для завода в Натанзе в 2000 году разведка, возможно, уже знала, какое оборудование Иран планировал установить на заводе, включая системы управления Siemens.

Дэвид Олбрайт из Института науки и международной безопасности согласен с тем, что большая часть информации о Натанзе могла быть известна еще в 2001 году.

«Детали каскада, включая 164 центрифуги на каскад, количество ступеней в каскаде, большинство клапанов, датчиков давления и трубопроводы, могли быть известны до постройки завода,» – говорит он.5 Но, скорее всего, информация о частотных преобразователях Vacon и Fararo Paya была недоступна. «Другое дело – преобразователи частоты, поскольку Иран закупал их за границей у множества компаний. Так что трудно поверить в то, что разработчики Stuxnet в 2001 году могли знать, что на завод в Натанзе попадут преобразователи именно из Финляндии, или и вовсе будут собраны внутри страны [Fararo Paya]. Более того, первый модуль каскадов, установленных в Натанзе в 2007 году был построен с использованием ряда импортных преобразователей частоты.»6

В 2003 году, как указывает метка времени создания двойника .DLL файла для системы Step 7, о Натанзе было доступно больше информации.

Когда инспекторы МАГАТЭ впервые посетили Натанз в феврале 2003 года, Иран уже имел небольшой каскад на экспериментальном заводе и готовился установить там до тысячи центрифуг к концу года. В рамках расследования ядерной программы специалистами из МАГАТЭ, Иран должен был предоставить списки оборудования, закупленного для Натанза и других ядерных объектов – списки, которые включали станки, клапаны и вакуумные насосы.7 Спецслужбы также следили за секретной закупочной деятельностью Ирана и знали, что в закупках для ядерной программы участвовала компания под названием Neda Industrial Group – ведущая фирма по промышленной автоматизации в Тегеране. Эта компания сотрудничала с Kalaye Electric, бывшей часовой фабрикой, которая была переоборудована в завод центрифуг, для установки оборудования в Натанзе.8 Neda также была местным партнером Siemens в Иране, а в 2000 и в 2001 годах, согласно информации из веб-сайта компании, она устанавливала ПЛК Siemens S7 на других объектах страны – ту же модель ПЛК, которую атаковал Stuxnet. Несложно предположить, что если Neda устанавливала эти системы на других объектах, то она, вероятней всего, установила их и в Натанзе. 

Компания Siemens, по сути, вела активный бизнес, продавая оборудование для автоматизации различным неядерным отраслям в Иране, но их устройства нашли свое применение и в ядерной сфере. В письме от одной иранской фирмы к другой в 2003 году, которое позже было получено западными источниками, говорилось, что контроллеры Siemens S7-300 и S7-400 вместе с программным обеспечением SIMATIC, необходимым для работы с ними, закупленные компанией Kimia Maadan, участвует в переработке урана в Иране.9 Считалось, что контроллеры были приобретены для иранского рудника Гачин, где Иран планировал добывать природный уран для обработки в центрифугах.10 Вся эта информация была известна Соединенным Штатам и Израилю.

Хотя первоначальный заговор мог быть разработан Стратегическим командованием США под командованием генерала Джеймса Картрайта, его должны были осуществить кибервоины из АНБ и Киберкомандования США, работающие вместе с кодерами из элитного Подразделения 8200 Израиля.

Но, чтобы осуществить атаку, требовалось гораздо больше информации, чем просто знание оборудования, установленного в Натанзе. Злоумышленникам необходимо было знать, например, точную частоту, с которой работали преобразователи, и точную конфигурацию оборудования. Они не могли полагаться только на старые чертежи и планы, которые могли быть устаревшими. Им также требовались обширные знания о том, как работает система Step 7, и как компьютеры в Натанзе объединены в сеть, чтобы убедить юрисконсультов Белого дома в том, что атака не распространится на нецелевые машины. Если бы они предположили, что связи с внешними компьютерами на заводе не было, а она была, то код попал бы наружу и распространился на другие машины, возможно, повредив их и этим самым раскрыв операцию. Вот где пригодились такие инструменты, как Flame и Duqu, с их помощью можно было собирать данные с компьютеров системных администраторов, которые помогали устанавливать и поддерживать сеть, а также с подрядчиков и других лиц, программировавших ПЛК. Если бы использовался Duqu, он мог быть доставлен с помощью фишинг-атаки, подобной той, которая использовалась для заражения венгерского центра сертификации. Это все работало для компьютеров, подключенных к интернету, таких, как ноутбук программиста. Но в ПЛК, не подключенных к интернету, были спрятаны данные конфигурации о количестве подключенных к ним карт Profibus, а также модель и количество частотных преобразователей.

Чтобы получить данные, если их нельзя было получить другим способом, злоумышленникам требовалась флешка, которая попадет на завод и перенесет шпионский инструмент на машину, подключенную к ПЛК. Поскольку, как отмечалось ранее, программисты ПЛК обычно работают на ноутбуках, не подключенных к промышленной сети, они физически подключают свой ноутбук к машине в сети ПЛК или копируют программные файлы на флэш-накопитель и переносят их на машину в этой сети, это была довольно легкая часть операции. Злоумышленники могли получить информацию о ПЛК и промышленной сети в обратном порядке – используя вредоносное ПО, которое записывало данные из этих систем на флэш-накопитель, который программист мог бы подсоединить к своему подключенному к интернету ноутбуку, где их можно было бы извлечь. Также сообщалось, что спецслужбы использовали специальные имплантаты, встроенные в машины, не подключенные к сети, которые передавали данные о зараженных системах с помощью радиоволн.11

Для получения необходимых данных у злоумышленников могли уйти месяцы. Но некоторая разведывательная работа могла быть выполнена уже в 2005 году, когда были зарегистрированы домены для серверов, используемых Stuxnet 0.5. Хотя Stuxnet был выпущен позже, домены могли первоначально использоваться для взаимодействия с шпионскими инструментами. Разведка также могла проводиться примерно в мае 2006 года, когда, как обнаружили исследователи, был разработан код для серверов, используемых более поздними версиями Stuxnet.

Как только информация о системах была собрана, можно было приступать к финальному этапу работы над кодом атаки. Согласно Symantec, код атак на ПЛК Siemens S7-315 и S7-417 был разработан двумя отдельными командами, которые использовали различные способы написания вредоносного ПО. Неизвестно, работали ли США и Израиль над ними обеими вместе, или израильтяне работали только над ракетной частью, в то время как американцы разрабатывали полезную нагрузку. Третья группа, возможно, работала над кодом, которые захватывал систему Step 7, заменяя подлинный .DLL файл на вредоносный и внедряя вредоносные команды в ПЛК. В Symantec подсчитали, что на написание этой части кода ушло около шести месяцев и немного меньше на написание блоков вредоносного кода ПЛК. Однако еще требовалось время на испытания.

Кто бы не отвечал за этот код, эта часть операции должна была быть предельно точной. Разрабатывая подобную атаку, вариантов ошибиться было большое множество, но для ошибок не было места, ибо было трудно оценить влияние работы кода в полевых условиях или перенастроить его после того, как он уже был запущен. Это означало, что злоумышленникам было необходимо провести обширное тестирование – не только на испытательном стенде Siemens, чтобы убедиться, что их код не блокируется системой Step 7 или ПЛК, но и на всех версиях Windows, чтобы проверить установку, распространение кода и корректность его работы для более поздних версий Stuxnet 2009 и 2010 годов.12

Больше всего злоумышленникам требовалось точное знание того, как каждое изменение кода атаки повлияет на центрифуги, в частности из-за того, что их атака была не грубым брутфорсом, но атакой тонкой и искусной. Малейшая ошибка, и они могли уничтожить слишком много центрифуг одновременно, или уничтожить достаточное количество, но слишком быстро, что неминуемо привело бы к раскрытию операции.

Чтобы добиться этого, им потребовалась бы команда ученых-материаловедов и экспертов по центрифугам, которые понимали плотность и прочность алюминиевых роторов и корпусов центрифуг, а также понимали, как подшипники в нижней части центрифуги, которые поддерживают ее вращение в равновесии, будут реагировать на повышенную вибрацию. Им также требовалось рассчитать нормальное давление на стенку внутри центрифуги и определить, насколько оно будет увеличиваться по мере роста давления газа внутри центрифуг.13

Для всего этого им точно понадобились бы настоящие центрифуги, на которых бы можно было полноценно тестировать свою атаку. К счастью, как отмечалось ранее, Окриджская национальная лаборатория Министерства энергетики в штате Теннесси располагала некоторым количеством центрифуг P-1, на которых базировались IR-1 в Натанзе.

История приобретения центрифуг Ок-Риджем началась в августе 2003 года, через три года после того, как ЦРУ проникло в сеть незаконных ядерных поставок Хана, и через шесть месяцев после того, как МАГАТЭ впервые посетило Натанз. Шпионское агентство перехватило партию компонентов для обогащения, проданную на черном рынке – включая 25 тысяч корпусов центрифуг, а также насосы, трубки и другие компоненты – направляющиеся из Малайзии на секретный завод по обогащению в Ливии. Захваченные ящики использовались Западом для противостояния ливийскому диктатору Муаммару Каддафи. С их помощью, как доказательства наличия ливийской секретной ядерной программы, западные правительства настаивали на отказе Каддафи от ядерных разработок. 19 декабря министр иностранных дел Ливии объявил по национальному телевидению, что страна отказывается от своих программ создания ядерного и химического оружия – программ, наличие которых она до этого времени отрицала.

МАГАТЭ узнало, что в Ливии имеется дополнительное оборудование для обогащения, которое власти США планировали демонтировать и отправить в лабораторию Ок-Ридж. Итак, в канун Рождества, Олли Хейнонен, его босс Мохамед эль-Барадей, и другие коллеги из МАГАТЭ поспешили вылететь в Триполи, чтобы провести инвентаризацию оборудования до его отправки в США. Там они нашли более ста тонн оборудования на сумму около 80 миллионов долларов, включая ИБП из Турции (аналогичные тем, которые позже будут саботированы в Иране в 2006 году), двести центрифуг P-1 из Пакистана, которые ливийцы успешно собрали в небольшой каскад, а также компоненты для создания около четырех тысяч центрифуг.14 К марту 2004 года изъятое оборудование было упаковано и отправлено в Комплекс национальной безопасности Y-12 в Ок-Ридже, где оно находилось под охраной вооруженных бойцов с автоматами.

«По любым объективным меркам», – сказал собравшимся в то время журналистам министр энергетики США Спенсер Абрахам, – «Соединенные Штаты и остальные страны цивилизованного мира стали более спокойными в отношении своей безопасности в результате усилий по удалению ядерных материалов с территории Ливии.»15 Возможно, так оно и было, но на самом деле захват оборудования означал, что у Соединенных Штатов появилась возможность построить свой секретный завод для изучения центрифуг и испытания на них кибератак.16

Национальная лаборатория Ок-Ридж, основанная в 1943 году и расположенная за пределами Ноксвилла, находится под управлением UT-Battelle – некоммерческой компании, основанной в 2000 году Мемориальным институтом Баттелле и Университетом Теннесси – и позиционирует себя как научный центр, ориентированный на передовые исследования в области материалов, ядерных технологий, альтернативных источников энергии и суперкомпьютеров. Но именно секретная работа по обеспечению национальной безопасности, которую лаборатория выполняет для Министерства обороны, Министерства энергетики и разведывательных агентств – сосредоточенная на ядерном нераспространении, добыче разведывательных данных, взломе шифрования и других областях – действительно помогает оставаться лаборатории на плаву.

Секретный завод центрифуг, часть уж как десятилетней засекреченной программы изучения разрушения центрифуг, был построен где-то в 2005 году на участке в глуши резервации Ок-Ридж площадью в 35 тысяч акров, невидимый и недоступный для большинства работников лаборатории, которые не имели соответствующих допусков безопасности. По словам одного человека, который знал о существовании завода, к секретному объекту, прозванному «Холмом» или иногда «Куриным ранчо», можно было добраться по неотмеченной на картах дороге общей продолжительностью около 10 миль, с обеих сторон покрытой густым лесом деревьев, которая вела сначала к одному контрольно-пропускному пункту, а затем к другому.17

На самом деле Холм состоял из двух сооружений – надземного, и подземного, которое находилось прямо под ним. Подземный зал, ранее существовавшее сооружение, построенное задолго до этого для другой цели, был реквизирован для первого этапа программы центрифуг, который изначально был сосредоточен только на выяснении устройства работы центрифуг, полученных из Ливии. Лаборатория получила из Ливии центрифуги как более ранней модели P-1, так и его преемника, P-2, но устройства были доставлены по большей части в разобранном виде и без руководства по сборке и эксплуатации. У исследователей имелось огромное количество ящиков, полностью забитых деталями, но так как у них не было предыдущего опыта работы с такими проектами, поначалу им пришлось потратить очень много времени, просто пытаясь понять, как собрать компоненты воедино и заставить их работать.

Исследователи из Ок-Риджа столкнулись с некоторыми их тех же проблем, с которыми перед этим столкнулись иранцы, пытаясь запустить дорогие и хрупкие устройства. Ковши и подшипники оказались для них особенно проблематичными, и некоторое время задержали их продвижение в сборке.

Вначале программа заключалась не в разработке вируса для саботажа центрифуг: речь шла просто о том, чтобы узнать, как работают центрифуги и каскады, чтобы понять возможности иранцев и оценить, насколько далеко они продвинулись в своей программе обогащения и оценить, насколько близко они могут быть к обладанию достаточным количеством обогащенного урана для создания ядерной бомбы. Когда ученые из Ок-Риджа завершили свои первые исследования и испытания, они подсчитали, что Ирану потребуется от 12 до 18 месяцев, чтобы произвести достаточное количество расщепляющего материала для создания бомбы.

И все-таки изучение центрифуг не было чуждым для Ок-Риджа. Лаборатория имеет долгую историю исследований и разработок центрифуг, в 1960-х она произвела одни из первых роторных центрифуг. Но в 1985 году, их программа центрифуг была прекращена после того, как лазеры заменили центрифуги в качестве основного метода обогащения урана в Соединенных Штатах. В результате закрытия программы были уволены тысячи квалифицированных рабочих и исследователей, в специализированных знаниях которых более не было необходимости.

Затем, в 2002 году, примерно в то время, когда мир узнал о секретном заводе по обогащению урана в Натанзе, центрифужное обогащение вернулось, и Ок-Ридж возродил свою программу по разработке центрифуг нового поколения для Корпорации обогащения урана США, которая сейчас является главным производителем обогащенного урана для коммерческих атомных станций в США. Чтобы укомплектовать эту операцию, лаборатория вернула из пенсии многих своих бывших специалистов по центрифугам – чтобы те работали и учили более молодых ученых.

После того, как партия ценных центрифуг была изъята из Ливии, многие их этих ученых были переведены для изучения устройств. По словам кого-то, кто знаком с программой, он считал, что работа проводилась под эгидой Национального управления ядерной безопасности (NNSA), подразделения Министерства энергетики, которое отвечает за безопасность национального ядерного оружия, но также проводит программу исследования и разработок по ядерному нераспространению, известную как NA-22.18 Последняя собирает информацию о незаконных ядерных операциях, а также проводит дистанционное зондирование и экологические испытания для сбора доказательств скрытой деятельности по обогащению и ядерных взрывов, совершаемых преступными режимами.19

Национальное управление ядерной безопасностью какое-то время пыталось заполучить иранские центрифуги, поэтому поставка P-1 и P-2, полученных из Ливии в 2004 году, на которых базировались иранские центрифуги, была огромным благом.

В конце концов, они также получили детали непосредственно из иранской программы обогащения через разведывательные источники. Эти запчасти были очень ценными – считалось, что в Северной Корее используются центрифуги той же общей конструкции – и рабочим было приказано быть очень осторожными в использовании компонентов, потому что в некоторых случаях разведывательные источники отдавали свои жизни, чтобы заполучить детали. Другими словами, способа заменить испорченную деталь, по факту, не было, и поэтому нужно было ценить каждый тест оборудования.

Исследование центрифуг началось уже в 2006 году, когда Иран объявил, что начнет обогащение урана в Натанзе, но, по словам человека, принимающего участие в программе, исследования продвигались медленно. Но в 2007 году за работу взялись посерьезней, так как Иран уже начал установку своих первых центрифуг в подземном зале в Натанзе.

Тем временем надземный зал был построен с единственной целью – тестировать и уничтожать центрифуги. Считается, что некоторые из этих исследований, возможно, первоначально были сосредоточены на определении возможных разрушительных эффектов от кинетической атаки, такой как воздушная бомбардировка центрифуг, закопанных глубоко под землей, и что кибератаки стали частью проверок только позже. Затем, после того, как была предложена цифровая операция, изначальная цель заключалась не в уничтожении центрифуг в Натанзе с помощью вируса, но простое внедрение кода для наблюдения над оборудованием завода и сбора данных, на основании которых ученые смогут определить, на каком этапе обогащения находится Иран. Но в какой-то момент программа уничтожения центрифуг и разведывательная операция объединились, чтобы создать единый план цифровой кинетической атаки. Вероятно, большинство ученых, тестирующих центрифуги, никогда не догадывались о возможности существования такой атаки, и были просто сосредоточены на оценке воздействия различных условий на работу центрифуг – таких, как повышенная или пониженная скорость, или повышенное давление на стенки внутри центрифуг – способов, не связанных с причинами этих условий.

Внутри большого испытательного зала высокие стеллажи с системами управления Siemens и других компаний были расставлены словно книжные полки в библиотеке в передней части огромного свободного пространства, в то время как более дюжины центрифуг размером с человека были расставлены по всему залу напротив них. Разбросанные кабеля, прикрепленные к датчикам, выходили из некоторых центрифуг для регистрации диагностических данных и измерения таких параметров, как нагрев корпуса или колебания и вибрация болтов и подшипников, которые поддерживали баланс центрифуги.

  Некоторые центрифуги могли безостановочно вращаться месяцами, пока по ним собиралось достаточное количество данных. Однако это были лишь образцы для исследований. Но были и другие центрифуги, чья судьба была не такой хорошей. Прямо у входа в зал находилась большая усиленная клетка из акрила и металлической сетки – так могла бы выглядеть больничная комната для наблюдения за детьми, если бы она была спроектирована Разрушителями мифов – куда отправлялись на уничтожение обреченные центрифуги. Рабочие завода всегда знали, когда одна из центрифуг уничтожалась в клетке, так как она издавала ужасающий взрывной звук, сопровождающийся вибрациями пола.

К 2008 году операция была в полном разгаре, а центрифуги уничтожались иногда даже ежедневно. «Можно было сказать, что бюджет значительно вырос», – говорит один источник. Президент Буш, возможно, не просто так сумел получить 400 миллионов долларов от Конгресса для тайных операций против ядерной программы Ирана.

  По сообщениям из неназванных источников, во время испытаний в Ок-Ридже, параллельно проводились другие испытания на центрифугах на ядерном объекте в Димоне, Израиль. Неясно, сколько времени длились все эти тесты и когда правительства решили, что у них достаточно убедительных данных для успешного проведения атаки.

Во время испытаний в 2006 году полным ходом также шла разработка кода атаки. Точные временные рамки создания кода также остаются неизвестными, но исследователи Symantec обнаружили, что ключевая функция, использованная в коде атаки, по-видимому, была изменена в мае 2006 года. Это был код, который Stuxnet использовал для установления связи с преобразователями частоты в атаке на 315-ую модель ПЛК Siemens. И, как уже отмечалось, код, используемый для двух командных серверов, которые использовались с этой версией Stuxnet – mypremierfutbol.com и todaysfutbol.com – также был написан в мае 2006 года. Остальные ключевые функции в коде атаки были изменены в сентябре 2007 года. Через несколько месяцев после этого, в ноябре 2007 года, на сайте VirusTotal появился Stuxnet 0.5 после того, как он был отправлен тестировщиками или зараженной системой.

В какой-то момент некоторые центрифуги в Ок-Ридже или каких-то других лабораторий были изъяты для другого рода испытаний – прямого измерения эффективности цифрового оружия против центрифуг. После проведения общих тестов, чиновники, как сообщается, предоставили Бушу результаты своего труда – обломки разрушенной центрифуги, которые доказали, что с первого взгляда сумасшедший план может оказаться успешным.20 Как и испытание генератора Аврора, проведенное лабораторией Ок-Ридж, на родственном предприятии в Айдахо в начале 2007 года, испытания центрифуг показали, что перед хорошо продуманным кодом не устоит даже самая тяжелая техника.  

Как и когда Stuxnet 0.5 оказался на компьютерах в Натанзе, до сих пор остается загадкой.21 Поскольку промышленные системы управления в Натанзе не были напрямую подключены к интернету, а у этой версии было мало механизмов распространения, злоумышленникам оставалось доставить вредонос либо физически, либо отправив его по электронной почте. Stuxnet 0.5 имел только один способ распространения – через зараженные файлы проекта Step 7. Это означало, что вирус нужно было внедрить непосредственно в машину программиста или оператора либо с помощью USB-накопителя – возможно, невиновным подрядчиком, который не осознавал, что он является носителем червя, либо оплачиваемым подставным лицом – или отправив сообщение с зараженным файлом проекта по электронной почте.22 Находясь на машине программиста или оператора, вредоносу оставался один или два шага, чтобы попасть на целевые ПЛК. В отличие от следующих версий вируса, в которых хранился файл журнала каждой зараженной машины, а также временная метка, указывающая, когда произошло каждое заражение, исследователи не обнаружили никаких цифровых следов для отслеживания пути, по которому прошел Stuxnet 0.5.

Эта версия никак не взаимодействовала с Siemens S7-315 и частотными преобразователями, а вместо этого атаковала ПЛК 417 и клапаны, открывая и закрывая последние для управления потоком уранового газа.

Каскады в Натанзе состояли из пятнадцати ступеней, на каждой из которых было установлено разное количество центрифуг. По мере того, как газ перемещался от одной ступени к другой, количество обогащаемого газа уменьшалось по мере прохождение ступеней, количество центрифуг, необходимых для обогащения газа, также уменьшалось.

Например, на десятой ступени, которая была «ступенью подачи», где в каскад подавалось новое количество газа, было двадцать четыре центрифуги. Роторы, вращающейся внутри центрифуг с высокой скоростью, разделяли изотопы – газ, содержащий концентрат U-235 – и он направлялся на девятую ступень, где было уже двадцать центрифуг. Там он дополнительно обогащался, а затем попадал на восьмую ступень, на который было шестнадцать центрифуг. Тем временем обедненный газ, содержащий концентрацию U-238, направлялся на одиннадцатую ступень, где был дополнительно разделен. Концентрация U-235 из этой ступени затем попадала на ступень восемь, где он был готов объединиться к другому обогащенному газу. Это длилось до тех пор, пока обогащенный газ не достигал последней ступени каскада, а обеденный газ не был утилизирован. Последняя ступень каскада, куда отправляли обогащенный уран, обычно состояла из всего одной рабочей и одной запасной центрифуги на случай выхода рабочей из строя.

У каждого каскада имеются вспомогательные клапаны, которые контролируют подачу газа внутрь и наружу каскада, также и с каждой степенью обогащения. Кроме того, каждая центрифуга модели IR-1 имеет наверху три узкие трубы с клапанами, которые контролируют подачу газа внутрь и наружу центрифуги. Подающий клапан открывался, чтобы ввести газ в центрифугу, после чего обогащенный уран вычерпывался через продукционный клапан, а обедненный газ извлекался через хвостовой клапан и трубу.

Stuxnet атаковал не все клапаны в Натанзе. Напротив, в этом плане он был крайне избирателен. Подземный зал, в котором находились центрифуги, был разделен на модули, или каскадные помещения. Каждый модуль мог содержать 18 каскадов, насчитывающих по 164 центрифуги в каждом, всего, около 3 тысяч каскадов на комнату. На момент запуска Stuxnet только в одной комнате подземного зала были установлены центрифуги – 18 каскадов. Но Stuxnet нужны были только шесть из них. Также пострадали не все центрифуги из целевого каскада. Stuxnet саботировал клапаны только на 110 из 164 центрифугах в этих каскадах, оставив остальные 54 центрифуги в каждом каскаде нетронутыми.

Как только Stuxnet 0.5 оказался на системе в Натанзе, он находился на ней в бездействии около тридцати дней перед началом штурма, проводя проверки системы, чтобы убедиться в наличии всех необходимых клапанов, датчиков давления – для измерения давления газа – и других компонентов и просто мониторил их деятельность.23

В то время, как он составлял карту системы, Stuxnet также записывал различные данные, относящиеся к нормальной работе оборудования, чтобы воспроизвести их операторам после начала саботажа, точно так же, как это было реализовано в коде атаки на Siemens S7-315. Например, вредонос на короткое время открывал клапаны на последней ступени каскада, чтобы снять показания давления, а затем воспроизводил эти показания операторам во время атаки, чтобы скрыть от них факт того, что показатели давления увеличились.

После сбора всех необходимых данных, Stuxnet ожидал, пока будут выполнены определенные условия в каскаде, прежде чем продолжить свою атаку. Например, отдельный каскад должен был проработать более 35 дней до начала атаки, или все шесть целевых каскадов, если все они были запущены, должны были проработать в общей сложности 298 или больше дней.

Как только атака начиналась, Stuxnet закрывал все клапаны, исключая те, которые находились на стадии подачи, откуда газ поступал в каскады. На девятой стадии, например, он закрывал выпускные клапаны только на четырнадцати из двадцати центрифуг, а на восьмом стадии он закрывал клапаны на тринадцати из шестнадцати центрифуг. Клапаны, которые закрывал вирус, выбирались в результате сложного процесса.

Когда все необходимые клапаны были закрыты, Stuxnet просто ждал, пока давление внутри центрифуг начнет повышаться, поскольку газ продолжал поступать в центрифуги, но не мог никуда выйти. Он ждал два часа или пока давление в центрифугах не увеличивалось в пять раз, в зависимости от того, какое из этих условий выполнится раньше. На следующем этапе Stuxnet открывал все вспомогательные клапаны, кроме трех клапанов, которые, как предполагается, находились со ступенью подачи. Затем он ожидал еще около трех минут и отправлял операторам дополнительные поддельные данные и показатели, не допуская внесения изменений операторами в систему на протяжении следующих семи минут. К концу атаки он открывал примерно двадцать пять клапанов. Олбрайт и его коллеги из института подозревали, что эти клапаны находились на так называемой сливной линии. Каждая ступень каскада имела трубу, которая соединялась со сливной линией, так что в случае возникновения проблем с центрифугами или процессом обогащения, газ мог быть экстренно сброшен из каскада в охлаждаемый резервуар. Когда Stuxnet открывал клапаны на сливной линии, газ находящийся в каскадах сбрасывался в резервуар, что приводило к его потере.

После проделывания всех этих действий атака заканчивалась и перепускалась.

Тот факт, что саботировались только некоторые из клапанов, и что продолжительность атаки составляла всего два часа, в течение которых операторы получали ложные данные, вызывал большое замешательство среди тех специалистов в Натанзе, которые могли бы увидеть проблемы, возникающие с центрифугами с течением времени, а также уменьшение количества обогащенного урана, не будучи в состоянии определить закономерность или точную причину.

Исследователи до сих пор не знают, какие точно клапаны открывал и закрывал Stuxnet, поэтому невозможно однозначно сказать, каковы были последствия саботажа. Но, основываясь на определенных предположениях, Олбрайт и его коллеги выдвинули два сценария. В одном из них закрывались продукционный и хвостовой клапаны, находящиеся в конце каскада, так что газ продолжал поступать, но не мог никуда выйти. В этом сценарии давление будет увеличиваться быстро, и как только оно достигнет пятикратного нормального уровня, урановый газ внутри центрифуг начнет конденсироваться и затвердевать. Когда образовавшееся твердое вещество попадет во вращающийся ротор центрифуги, оно повредит ротор или приведет к его дестабилизации и ударению о стенки центрифуги. Это колебание также дестабилизирует подшипники в нижней части центрифуги, вызывая тем самым нарушение ее равновесия. Вращающаяся на большой скорости центрифуга начинает вырываться из креплений, и, оторвавшись, может вывести из строя другие центрифуги вокруг себя.

В этом сценарии давление на более поздних ступенях каскада нарастало бы быстрее, чем на более ранних, в результате чего эти центрифуги выходили из строя первыми. Олбрайт и его команда подсчитали, что такая атака могла уничтожить около 30 центрифуг в каждом каскаде. Считается, что, сосредоточив усилия на центрифугах на более поздних ступенях каскадов, где обогащенный уран был наиболее сконцентрирован, саботаж имел бы больший эффект. Если центрифуга уничтожалась ближе к ступени подачи, где концентрация U-235 была наименьшей, требовалось бы меньше времени и работы, чем если газ проходил через весь каскад и был обогащен практически до необходимой концентрации, прежде чем были уничтожены конечные центрифуги и газ был потерян.

Однако возможно, что Stuxnet не закрывал продукционный и хвостовой клапаны в конце каскада. Если бы это было так, последствия саботажа Stuxnet были бы более скромными – он просто уменьшил бы количество обогащаемого урана. Газ все равно подавался бы в каскад, но при закрытии клапанов на 110 из 164 центрифугах он мог бы пройти только через 54 центрифуги в каждом каскаде, которые не затрагивал Stuxnet, чтобы привело бы просто к уменьшению количества обогащаемого урана и как следствие меньшему общему обогащению.

В то время как Stuxnet проводил саботаж и передавал операторам ложные данные, он также отключал систему безопасности в каскаде, предназначенную для отключения центрифуг перед тем, как они смогут нанести ущерб. Система безопасности была довольно сложной и включала в себя акселерометр на каждой центрифуге для контроля ее вибрации, а также еще пару десятков датчиков давления на каскад для контроля давления. Если центрифуга подвергалась риску аварии, система экстренного реагирования быстро – в течение миллисекунд после обнаружения проблемы – закрывала клапаны на центрифуге, чтобы изолировать газ внутри нее.24 Кинетическая энергия от неисправной центрифуги создала бы импульс горячего газа, который, если его не изолировать, попадет дальше в каскад и повредит другие центрифуги. Предполагалось, что система аварийного реагирования должна была работать мгновенно, чтобы остановить поток газа из центрифуги, но получалось так, что Stuxnet отключал эту систему, поэтому не оставалось ничего, что смогло бы изолировать газ внутри неисправной центрифуги.

Штурмовые возможности Stuxnet были довольно разносторонними: он увеличивал давление газа, чтобы повредить центрифуги и испортить газ, он сбрасывал часть газа из каскада, чтобы его более нельзя было обогатить, и, наконец, он уменьшал количество обогащенного урана, выходящего из конца каскада. Неясно, насколько успешной была эта версия Stuxnet. Но, судя по отчетам МАГАТЭ, определенное влияние на программу обогащения она все-таки оказала.

Установка каскадов в Натанзе происходила в три этапа, каждый из которых инспекторы МАГАТЭ отслеживали во время своих визитов.25 Во-первых, была создана инфраструктура каскада – трубы, насосы и клапаны. Затем устанавливались сами центрифуги, а двигатели запускали их вращение. На этом этапе вакуумные насосы выкачивали воздух, который мог вызвать чрезмерное трение и нагрев. По достижению центрифугами оптимальной скорости начинали подавать газ, стартовал процесс обогащения.

Иран начал установку центрифуг в зале А, одном из двух пещерных подземных залов Натанза, в начале 2007 года. Как отмечалось ранее, зал был спроектирован так, чтобы иметь восемь больших комнат, или блоков – с А21 по А28 – с восемнадцатью каскадами в каждой комнате.26

Инженеры приступили к установке первых центрифуг в блоке А24 в феврале 2007 года, и планировали к маю собрать все восемнадцать каскадов. Но этого не произошло.27 К середине августа было установлено только двенадцать каскадов, обогащающих газ. Остальные были установлены только к ноябрю. Но к этому времени уже появились первые признаки неприятностей. Ядерщики подавали в центрифуги меньше газа, хотя центрифуги были разработаны на большее количество, и удерживали часть газа в «технологическом буфере» между точкой подачи и каскадами. С февраля по ноябрь они подали около 1670 Кг газа в загрузочный корпус, но удерживали 400 Кг в буферной зоне, так что фактически, в каскады попало только 1240 Кг. Более того, газ, который попадал в каскады, производил гораздо меньшее количество обогащенного урана, чем ожидалось. Должно было произвестись 124 Кг низкообогащенного урана – 10 процентов от количества, подаваемого в каскады. Но вместо этого иранцы получили только 75 Кг.28 Эта тенденция оставалась неизменной на протяжении большей части 2007 года, иранцы подавали большее количество газа, и получали меньшее количество конечного продукта. Уровень обогащения также был низким. Иранские ученые утверждали, что их обогащение составляет 4,8 процента, но замеры МАГАТЭ показали, что на самом деле газ был обогащен до 3,7-4 процентов.

Был ли Stuxnet 0.5 в той же игре, что и его более поздние версии, возился ли он с клапанами и уровнями обогащения? Трудно сказать наверняка, но эти проблемы не остались незамеченными. В оценке национальной разведки за 2007 год, опубликованной Соединенными Штатами в декабре того же года, отмечалось, что у Ирана «серьезные технические проблемы с эксплуатацией» центрифуг. Частота отказов центрифуг была на 20 процентов выше ожидаемой. Высокопоставленный чиновник МАГАТЭ сообщил Дэвиду Олбрайту, что в результате поломки частично обогащенный газ был сброшен в емкости для отходов, что, вероятно, и являлось причиной низких производственных показателей.29

В то время Олбрайт и его коллеги объяснили высокий уровень поломок плохой конструкцией центрифуг и тем фактом, что Иран все еще «только осознавал трудности эксплуатации центрифуг в промышленных масштабах.» Но на самом деле, более логичным был бы вариант с саботажем клапанов Stuxnet 0.5.

Какой бы не была причина, Иран не мог позволить себе тратить урановый газ впустую. У страны были ограниченные поставки урана, импортируемого из-за границы, а его рудник Гачин не производил достаточное количество урана для поддержки его ядерной программы.30

В период с ноября 2007 года по февраль 2008 года технические специалисты не установили ни одного нового каскада и вместо этого сосредоточились на попытках разрешить то, что создавало проблемы. Однако после февраля все изменилось. К тому времени, когда Ахмадинежад совершил свой триумфальный тур по заводу той весной, каскады уже работали стабильно, с меньшим количеством поломок. Обогащение постоянно колебалось на уровне 4 процентов, и если раньше инженеры подавали в центрифуги только половину того количества газа, на который они были рассчитаны, то теперь они загружали их на 85 процентов от их общей вместимости. Даже увеличилась производительность отдельных центрифуг.

Судя по всему, Иран все-таки справился со своими проблемами, связанными с каскадами. Инженеры начали установку каскадов с головокружительной скоростью – темпом, который был намного быстрее, чем этого рекомендовали здравый разум или осторожность. Как только один каскад был установлен, они сразу же начинали подавать в него газ, и переходили к следующему каскаду. В мае 2008 года в Иране было установлено 3280 центрифуг для обогащения газа, но к августу это количество возросло до 3772 – прирост составил 500 центрифуг за три месяца.31

Внутри Ирана оказывалось сильное политическое давление с целью быстрого продвижения ядерной программы. Санкции со стороны ООН и отсутствие прогресса в переговорах с Западом раздражали иранских лидеров, и они устали от постоянных задержек. Но внезапное наращивание мощности было опрометчивым и, вероятно, не было поддержано иранскими учеными и инженерами. Даже в обычных условиях установка центрифуг и их правильная настройка была непростым делом. Добавьте к этому присущую IR-1 хрупкость, и вы поймете, что в такой скорости работ не было никакого смысла.

«С инженерной точки зрения, это своего рода безрассудные действия, потому что, если вы едва можете справиться с каскадом из 164 центрифуг, зачем вам куда-то спешить и пытаться управлять восемнадцатью или тридцатью каскадами одновременно?» – говорит Олбрайт. «Инженер сказал бы: делайте это помедленней и убедитесь, что вы понимаете, как работать со всеми этими устройствами как с единым целым, и только потом начинайте масштабирование производства.»32

Но за этот период произошло совсем небольшое количество проблем, и к концу лета специалисты Натанза, должно быть, начали становиться уверенными в том, что они оставили прежние проблемы позади. Но затем ситуация вновь начала ухудшаться.

В отчетах МАГАТЭ эта ситуация представлена серией сухих цифр.

Во время своего турне в апреле 2008 года Ахмадинежад оптимистично объявил, что рабочие к 3 тысячам уже установленных, скоро добавят еще 6 тысяч новых центрифуг. Но после того, как в августе было достигнуто отметку в 3772 центрифуги, инженеры резко остановились, и в следующие три месяца не было установлено ни одной новой центрифуги. Уровень производства также сильно упал. С начала процесса обогащения в начале 2007 года техники подали в каскады 7,6 тонн газа, но к концу августа 2008 года центрифуги произвели только 480 Кг обогащенного урана вместо 760 Кг, которые они должны были произвести. Низкие производственные показатели сохранялись на протяжении остальной части 2008 года. В период с августа по ноябрь технические специалисты подали в каскады 2150 Кг газа, но произвели за это время только 150 Кг обогащенного урана. Как и в 2007 году, они похоже, теряли необычно большое количество газа.

Но несмотря на все проблемы, 2008 год в целом был для Ирана лучшим по сравнению с 2007 годом.33 В то время как за весь 2007 год Натанз произвел только 75 Кг обогащенного урана, к концу 2008 года этот показатель вырос до 630 Кг. Олбрайт и его коллеги из института подсчитали, что при дальнейшем обогащении в оптимальных условиях Иран может превратить 700-800 Кг низкообогащенного урана в 20-25 Кг урана оружейного качества, чего будет достаточно для создания грубого ядерного оружия. Тем не менее, нельзя было обойти стороной тот факт, что ядерная программа Ирана находилась далеко не на том уровне, на котором она должна была быть на тот момент.

Время возникновения проблем в конце 2008 года, похоже, совпадало с тем, когда был разработан Stuxnet 0.5. После заражения вирусом ПЛК Siemens S7-417 необходимо было какое-то время для развертывания саботажа. Этап разведки занимал не менее месяца, пока Stuxnet записывал данные для воспроизведения операторам. Кроме того, каскады должны были быть активными в течение определенного времени, прежде чем Stuxnet будет готов начать свою работу – не менее 35 дней для одного каскада или более 297 дней для всех шести каскадов вместе взятых. После завершения первого цикла атаки проходило еще 35 дней, прежде чем вредоносное ПО вновь начинало саботаж сначала. Проблемы в конце 2008 года, казалось, были сосредоточены в блоке А26, где весной инженеры начали устанавливать центрифуги. Если бы Stuxnet начал саботаж контроллеров этого блока в конце 2007 или начале 2008 года, то потребовались бы месяцы – от повышения давления внутри центрифуг – для проявления первых негативных последствий.

Примечательно, что примерно в это время мужчина иранского происхождения из Канады пытался закупить партию датчиков давления у двух западных производителей для их отправки в Иран. В период с декабря 2008 года по март 2009 года Махмуд Ядегари купил десять датчиков по цене 11 тысяч долларов и отправил два из них через Дубай в Иран. Он разместил заказ еще на двадцать штук у второй фирмы, но компания отклонила заказ после того, как он не смог подтвердить личность конечного получателя. Он был арестован в апреле после того, как властям стало известно о подозрительном заказе.34 Пытался ли Иран закупить новые датчики взамен тем, которые вышли из строя в Натанзе, или никакой связи между Ядегари и проблемами, возникшими в Натанзе нет?

В 2009 году технические специалисты начали быстро устанавливать новые центрифуги и каскады в блоке А26. К февралю девять каскадов уже находились под вакуумом. Но вместо начала запуска в них газа, центрифуги оставались пустыми. Раньше инженеры начинали подачу газа сразу после установки каскада, но теперь по какой-то причине они решили делать по-другому. В то же время количество рабочих единиц разделения – мера того, сколько работы затрачивает каждая центрифуга в процессе обогащения, – резко упало с 0,8 до 0,55 для центрифуг, обогащающих уран в блоках А24 и А26. Уровень обогащения также снизился с 4 процентов, где он колебался на протяжении большей части 2008 года, до 3,49 процента. Если это были последствия работы Stuxnet, то цифровое оружие делало именно, для чего оно было разработано.

Но затем злоумышленники решили изменить стратегию.

В начале 2009 года новоизбранный президент Барак Обама был приглашен в Белый дом для встречи с президентом Бушем для стандартной беседы между новыми президентами и их предшественниками, когда они готовились обменяться эстафетной палочкой. В ходе беседы Буш изложил подробности цифровой атаки и вещей, которые он использовал в течение последнего года, чтобы саботировать центрифуги в Натанзе.35 Прогресс в отложении иранской ядерной программы явно был, но этого было мало, и операцию следовало продолжать. Но для продолжения операции ее должен снова санкционировать действующий президент, а это означало, что Обама должен был возобновить президентское заключение, которое давало операции зеленый свет. Учитывая, что другие варианты до того времени не имели никакого успеха, а авиаудар являлся единственной вероятной альтернативой, Обаму в конечном счете не пришлось убеждать.36

Летом 2008 года, в разгар своей президентской кампании, Обама посетил Израиль, где выразил израильтянам свое сочувствие, и сказал, что понимает их боль. По его словам, Иран, обладающий ядерным оружием, будет «серьезной угрозой» не только на Ближнем Востоке, но и во всем мире.37 Он пообещал, что под его руководством на столе совещаний будут лежать все возможные варианты предотвращения получения Ираном ядерного оружия. Хотя по сути это означало также и военный вариант, Обама, как и Буш, хотел любой ценой избежать военного столкновения. Поэтому более желанным выбором с его стороны была тайная операция, в которой вместо бомб использовались байты.

 Придя к власти, Обама сразу же столкнулся с серьезным давлением по нескольким направлениям. По дипломатическим каналам в отношении Ирана был достигнут незначительный прогресс, но санкции не давали желаемого эффекта. Существовали опасения, что израильтяне могут взять дело в свои руки, если Соединенные Штаты в ближайшее время не покажут никаких результатов. По этим и другим причинам Обама решил не только повторно санкционировать программу цифрового саботажа, но и ускорить ее. Именно в этой среде он дал зеленый свет на запуск новой, более агрессивной версии Stuxnet – той, которая была нацелена на частотные преобразователи.

Но зачем начинать новую атаку, когда казалось, что и первая удачно справлялась? Воздействие на клапаны было эффективным, но медленным. У разработчиков Stuxnet не хватало времени, поэтому им нужна была более быстрая атака, которая была бы конкретней нацелена на центрифуги и давала бы лучший результат в отношении отката ядерной программы Ирана. Они также хотели запутать инженеров завода в Натанзе иным набором проблем, которые будут происходить с центрифугами.

Ирония заключалась в том, что в то время как Обама санкционировал новую атаку на компьютерные системы Ирана, он также объявил о новых федеральных инициативах по защите киберпространства и критической инфраструктуры в Соединенных Штатах – чтобы защитить их от тех самых разрушений, который производил Stuxnet.38 Цифровая инфраструктура страны является стратегическим национальным достоянием, сказал он в речи через несколько недель после инаугурации, и ее защита является приоритетом национальной безопасности. «Мы обеспечим безопасность, надежность и отказоустойчивость этих сетей», – торжественно заявил он. «Мы будем сдерживать, обнаруживать и защищаться от атак и быстро восстанавливаться после любых сбоев или повреждений.»39

Пока Обама санкционировал тайную операцию, ее детали уже находились под угрозой раскрытия. Не было секретом, что США и их союзники пытались саботировать ядерную программу Ирана. В феврале 2009 года лондонская газета Telegraph сообщила, что Израиль начал масштабную тайную войну против ядерной программы Ирана, в которую входили киллеры, подставные компании, двойные агенты и саботаж.40 В статье бывший офицер ЦРУ, похоже, намекнул на существование Stuxnet, указав, что саботаж был спроектирован таким образом, чтобы замедлить продвижение ядерной программы таким образом, чтобы иранцы никогда не узнали истинных причин неисправности центрифуг. По его словам, цель заключалась в том, чтобы «откладывать, откладывать, откладывать ядерную программу, пока не будет придумано какое-то другое решение или подход… Это хорошая политика, если не считать их военного уничтожения, что, вероятно, несет в себе неприемлемые риски.»

Примерно в это же время газета New York Times также сообщила о начале новой тайной кампании против Ирана, но не вдавалась в подробности.41

Неизвестно, видели ли эти новости иранцы, ибо если видели, то они точно связывали их с проблемами, которые возникли в Натанзе. Они, безусловно, хорошо осознавали риски саботажа, поскольку уже испытали его на собственной шкуре в недалеком 2006 году с регуляторами мощности, импортированными из Турции. Но подозревать, что саботируется одна из деталей – это одно. А вот знание того, какая именно деталь или компонент были подвержены саботажу – это совсем другое.

Пока программисты готовились к запуску следующей версии Stuxnet, Обама выполнил еще одно предвыборное обещание, данное им в отношении Ирана. Согласно кампании, он обещал вести более жесткую дипломатию с Исламской Республикой. В рамках этого обещания он предпринял беспрецедентный шаг, напрямую обратившись к мусульманскому миру во время своей инаугурационной речи по телевидению. «Мы ищем новый путь вперед, основанный на взаимном интересе и взаимном уважении», – сказал он. «Тем лидерам в мире, которые стремятся сеять конфликты или винить в бедах своего общества Запад – знайте, что ваши люди будут судить вас по тому, что вы можете построить, а не по тому, как вы можете разрушать.»42

Он снова напрямую обратился к иранцам 20 марта, выступив перед лидерами Исламской Республики и ее народом с речью, транслировавшейся через «Голос Америки» по случаю Новруза, персидского Нового года.

 «В это время новых начинаний я хотел бы поговорить с иранским лидером», – сказал он. Соединенные Штаты были заинтересованы в продолжении конструктивных отношений с Ираном, которые были бы «честными и основанными взаимном уважении», говорил он, и ищут будущего, в котором иранский народ, его соседи и международное общество в целом могли бы жить «в большей безопасности.» Он завершил свое выступление цитатой персидского поэта Саади: «Дети Адама являются конечностями друг для друга, поскольку созданы из одной сущности.» Соединенные Штаты, заявлял он, готовы протянуть руку дружбы и мира, «если вы готовы разжать кулак.»43

Но пока Обама протягивал метафорическую руку мира иранскому народу, его настоящие руки подписывали бумаги, санкционировавшие новые версии Stuxnet.

Сноски, ссылки и используемая литература:

1.    Комментарий появился в сообщении о турне Ахмадинежада, опубликованном на сайте Arms Control Wonk. Уильям Дж. Броуд, “A Tantalizing Look at Iran’s Nuclear Program,” New York Times, 29 апреля, 2008.

2.    По словам Олбрайта, для того, чтобы партия газа прошла через каскад и завершила обогащение, требовалось всего один или два дня, но центрифуги вращаются без остановки годами, поскольку в них постоянно подают новые партии газа.

3.    Джодди Уорик, “U.S. Is Said to Expand Covert Operations in Iran,” Washington Post, 30 июня, 2008.

4.    Код, который заражал блоки OB1 и OB35 в ПЛК – организационные блоки, управляющие чтением команд на ПЛК и системой сигнализации – имел дату компиляции 7 февраля 2001 года. Код, который саботировал частотные преобразователи и манипулировал клапанами, имел схожие временные метки. К примеру, в атаке на S7-315 было тридцать блоков кода, которые саботировали преобразователи частоты Vacon и Fararo Paya. Два из них, по-видимому, были скомпилированы в мае 2000 года, а временная метка создания остальных блоков – 23 сентября 2001 года. Блоки кода, используемые для управления клапанами в атаке S7-417, имели временную метку создания все того же 23 сентября, но на три часа позже, как если бы человек, составляющий их, взял перерыв на обед, а затем вернулся, чтобы закончить работу.

5.    Как отмечалось ранее, каскады состоят из нескольких стадий обогащения, причем каждая стадия содержит разное количество центрифуг, в зависимости от того, сколько их требуется для этой стадии процесса обогащения.

6.    Интервью автора с Олбрайтом, ноябрь 2013 года. Считается, что первый каскадный модуль, известный как А24, был поражен Stuxnet версии 0.5, нацеленной только на клапаны центрифуг, а не на преобразователи частоты. Предполагается, что более поздние версии вируса, нацеленные на частотные преобразователи, были ориентированы на другой модуль, А26, который Иран начал устанавливать в конце 2007 или начале 2008 года.

7.    Иран обвинил МАГАТЭ в предоставлении США и Израилю разведданных о своей ядерной программе. Но даже если МАГАТЭ не предоставляло информацию добровольно, всегда был вариант взлома их компьютеров западными и израильскими спецслужбами для получения информации о Натанзе. В недавних новостях рассказывается о том, как американские спецслужбы шпионили за Советом Безопасности ООН, организацией МАГАТЭ, и взламывали систему видеоконференцсвязи ООН для сбора информации о ее деятельности.

8.    Для большей информации о Neda смотрите главу 17.

9.    Содержание документа от 4 мая 2003 года, озаглавленного «Относится к устройству ПЛК, проданному Siemens для Kimia Maadan для рудника Г`чин», было передано мне неким человеком, имевшем к нему доступ. Письмо было от Tehran Tamman Engineering к Kimia Maadan и указывало, что Иран получил оборудование и программное обеспечение для мониторинга и управления ПЛК SIMATIC S7-300 в 2002 году. В следующем году, согласно документу, Иран получил еще один S7-300 и два S7-400, а также программное обеспечение Siemens SIMATIC WinCC для мониторинга ПЛК. В письме оборудование описывалось как «компьютеризированная система для мониторинга и управления промышленным процессом с помощью информации, полученной от датчиков физических измерений, таких как давление, температура и контроллеры на клапанах, нагрев/охлаждение, с использованием специализированного программного обеспечения.» Описание полностью соответствует тому, что на самом деле делает система управления каскадом.

10. Когда в 2010 году был обнаружен Stuxnet, и выяснилось, что цифровое оружие атакует контроллеры Siemens, многие специалисты задавались вопросом, были ли у Ирана контроллеры Siemens на обогатительном заводе в Натанзе. Но только годом ранее британские военно-морские силы перехватили секретную партию из 111 ящиков контроллеров Siemens в порту Дубая, которые, по всей видимости, предназначались для ядерной программы Ирана. Компания Siemens отправила их покупателю в Китай, откуда они были отправлены в Иран через Дубай. Обнаружение секретного груза вызвало небольшой международный инцидент – поскольку продажа технологий для ядерной программы Ирана была запрещена санкциями ООН – и это в конечном счете вынудило Siemens объявить, что после лета 2010 года, компания не будет открывать новых бизнесов в Иране.

11. Дэвид Э. Сэнгер и Том Шанкер, “N.S.A. Devises Radio Pathway into Computers,” New York Times, 14 января, 2014.

12. В 2001 году Ральф Ленгнер предположил, что тесты, проведенные Национальной лабораторией Айдахо летом 2008 года на системе Siemens PCS7, которая включала программное обеспечение Step 7, WinCC и ПЛК S7-400, были использованы для выявления уязвимостей для атаки Stuxnet. Тесты проводились в рамках программы оценки поставщиков лаборатории, в ходе которой ученые исследовали различные системы промышленного управления на предмет уязвимостей. Ленгнер первый предположил, что тесты Национальной лаборатории Айдахо сыграли роль в разработке Stuxnet после того, как он обнаружил презентацию PowerPoint, подготовленную лабораторией по поводу исследований. Но исследования лаборатории Айдахо проводились с июля по сентябрь 2008 года, а мы знаем, что самая ранняя версия Stuxnet – Stuxnet 0.5 – была разработана до проведения этих исследований, и находилась в сети в ноябре 2007 года, когда кто-то загрузил ее на сайт VirusTotal. И если верить временной метке создания на вредоносном .DLL файле, он был создан в 2006 году. Руководители Национальной лаборатории Айдахо настаивали на присутствии репортеров во время осмотра лаборатории в 2011 году, в котором участвовал автор, чтобы публично заявить, что она никому не предоставляла информации об уязвимостях в системе Siemens для разработки Stuxnet.

13. Некоторые высказывали предположение, что Германия и Великобритания, две страны, входящие в консорциум Urenco, которые производили оригинальные центрифуги, послужившие основой для иранских IR-1, могли предоставить некоторую информацию об устройстве центрифуг.

14. Цифры меняются в зависимости от источника. Соединенные Штаты сообщают, что в Ливии было 4 тысячи центрифуг, но, по подсчетам Института науки и международной безопасности их было около двух сотен. Остальное являлось просто компонентами центрифуг – там были корпуса (полые алюминиевые цилиндры), а также другие компоненты, но для сбора центрифуг им не хватало роторов.

15. Джодди Уорик, “U.S. Displays Nuclear Parts Given by Libya,” Washington Post, 15 марта, 2004.

16. Уильям Дж. Броуд, Джон Маркофф и Дэвид Э. Сэнгер, “Israeli Test on Worm Called Crucial in Iran Nuclear Delay,” New York Times, 15 января, 2011.

17. Ок-Ридж расположен на бывших сельскохозяйственных угодьях, а «куриное ранчо» может относиться к настоящему куриному ранчо, существовавшему на этой земле в 1940-х годах до того, как эту землю купило правительство для военных действий.

18. NNSA размещается в Ок-Ридж в Мультипрограммном исследовательском центре, или МИЦ, большем объекте SIGINT, в подвале которого находится суперкомпьютер, который частично используется для анализа данных для Национального Агентства Безопасности. Другие сотрудники МИЦ, многие из которых являются бывшими сотрудниками ЦРУ и АНБ, работают над различными изолированными программами, включая попытки взломать шифрование и слияние данных, – то, что рабочие иногда называют «диареей данных», – что включает в себя слияние данных из различных отраслей разведки по всему миру.

19. Для этого используются различные методы, такие как исследование газовых шлейфов с подозрительных заводов на наличие следов частиц или измерение температуры воды вблизи подозрительных участков. Многие ядерные объекты строятся возле рек и других источников воды, так что высокая температура воды может указывать на ядерную активность. Другой метод заключается в измерении мерцания огней в фабричных окнах с большого расстояния. Поскольку центрифуги работают на определенных частотах, характер огней может иногда указывать на наличие и тип центрифуг, используемых в здании.

20. Дэвид Э. Сэнгер, Confront and Conceal (New York: Crown, 2012), 197.

21. Учитывая, что первая версия Stuxnet появилась на свет в ноябре 2007 года, это означает, что саботаж вполне мог начаться в том же году. Дэвид Сэнгер пишет, что первые несколько версий червя были выпущены еще при правлении Буша; исследователями была найдена только одна версия того периода. Остальные датируются периодом правления Обамы.

22. В 2008 году Иран повесил иранского продавца электроники по имени Али Аштари, который, как сообщают иранские новостные агентства, признался в попытке внедрить созданные Моссад вирусы и GPS устройства в оборудование, используемое членами Стражей исламской революции. После обнаружения Stuxnet появились сообщения, в которых говорилось, что именно он мог внедрить червя в компьютеры на заводе обогащения в Натанзе. Но новости из Ирана часто неправдивы, поскольку они обычно поступают от пропагандистских государственных изданий. На протяжении многих лет Иран обвинял многих людей в том, что они шпионят в пользу Моссада, часто практически не имея доказательств, подтверждающих это утверждение.

23. Stuxnet 0.5 ожидал, что его цель, например, будет иметь от двух до двадцати пяти вспомогательных клапанов и от трех до тридцати датчиков давления для измерения давления газа на каждой ступени каскада.

24. Вместе различные системы постоянно контролируют поток электричества к центрифугам, их скорость и вибрацию, давление и температуру газа, а также температуру воды, используемой для их нагрева или охлаждения.

25. Инспекторы МАГАТЭ посещали Натанз около двадцати четырех раз в год. Каждые три месяца инспекторы публиковали отчет, в котором перечислялось количество центрифуг во время последнего посещения, которые вращались и находились в вакууме, но еще не содержали в себе газа, а также количество центрифуг, которые уже обогащали его. В отчетах также указывалось, сколько газа инженеры подавали в каскады и сколько обогащенного урана было из него произведено.

26. Смотрите сноску №29 предыдущей главы для получения информации о зале А и действиях Stuxnet относительно него. Позднее в ноябре 2010 года Иран увеличит количество центрифуг в каскаде, но до тех пор количество центрифуг в каскаде оставалось неизменным и составляло 164.

27. Отчет МАГАТЭ Совету управляющих, “Implementation of the NPT Standards Agreement and Relevant Provisions of Security Council Resolution 1737 (2006) in the Islamic Republic of Iran,” 22 февраля, 2007, доступно по адресу: https://www.iaea.org/Publications/Documents/Board/2007/gov2007-08.pdf.

28. Отчет МАГАТЭ Совету управляющих, “Implementation of the NPT Safeguards Agreement and Relevant Provisions of Security Council Resolutions 1737 (2006) and 1747 (2007) in the Islamic Republic of Iran,” 15 ноября, 2007, доступно по адресу: https://www.iaea.org/Publications/Documents/Board/2007/gov2007-58.pdf.

29. Представитель МАГАТЭ в частном порядке рассказал Институту науки и международной безопасности о сломанных центрифугах и потерянном газе.

30. Дэвид Олбрайт, Жаклин Шир и Пол Браннан, “Is Iran Running Out of Yellowcake?,” Институт науки и международной безопасности, 11 февраля, 2009, доступно по адресу: https://isis-online.org/publications/iran/Iran_Yellowcake.pdf. Барак Равид, “Israel Slams Clinton Statement on Nuclear Iran,” Ha’aretz, 22 июля, 2009; Марк Фицпатрик, “Statement Before the Senate Committee on Foreign Relations,” 3 марта, 2009, доступно по адресу: http://www.iranwatch.org/sites/default/files/us-sfrc-fitzpatrick-iranrealities-030309.pdf.

31. В дополнение к восемнадцати каскадам в модуле А24, газ также подавался в пять каскадов модуля А26, еще один каскад находился под вакуумом, строительство остальных двенадцати каскадов в этом модуле продолжалось. Смотрите отчет Совета управляющих МАГАТЭ, “Implementation of the NPT Safeguards Agreement and Relevant Provisions of Security Council Resolutions 1737 (2006), 1747 (2007) and 1803 (2008) in the Islamic Republic of Iran,” 15 сентября, 2008, доступно по адресу: https://www.iaea.org/Publications/Documents/Board/2008/gov2008-38.pdf.

32. Интервью автора с Дэвидом Олбрайтом, январь 2012.

33. Дэвид Олбрайт, Жаклин Шир и Пол Браннан, “IAEA Report on Iran: Centrifuge Operation Significantly Improving; Gridlock on Alleged Weaponization Issues,” 15 сентября 2008, доступно по адресу: http://www.isis-online.org/publications/iran/ISIS_Report_Iran_15September2008.pdf.

34. Ядегари был осужден, объяснение Суда Онтарио с подробным описанием причин его осуждения можно найти на веб-сайте Института науки и международной безопасности: https://isis-online.org/uploads/isis-reports/documents/Yadegari_Reasons.pdf.

35. Броуд, Марков и Сэнгер, “Israeli Test on Worm Called Crucial in Iran Nuclear Delay.”

36. Майк Шустер, “Inside the United States’ Secret Sabotage of Iran,” NPR.org, 9 мая, 2011, доступно по адресу: http://www.npr.org/2011/05/09/135854490/inside-the-united-states-secret-sabotage-of-iran.

37. Встреча президента Буша и Барака Обамы описана Сэнгером, Confront and Conceal, 200–3.

38. Ребекка Харисон, “Obama Says Nuclear Iran Poses ‘Grave Threat,’ ” Reuters, 23 июля, 2008, доступно по адресу: http://www.reuters.com/article/2008/07/23/us-Iran-usa-Obama-idUSL23104041320080723.

39. В мае того же года он объявил о создании должности царя кибербезопасности для защиты критически важной инфраструктуры США от кибератак.

40. Ким Зеттер, “Obama Says New Cyberczar Won’t Spy on the Net,” Wired, 29 мая, 2009 года, доступно по адресу: http://www.wired.com/threatlevel/2009/05/netprivacy.

41.Филип Шервелл, “Israel Launches Covert War Against Iran,” Telegraph, 16 февраля, 2009.

42. Дэвид Сэнгер, “U.S. Rejected Aid for Israeli Raid on Iranian Nuclear Site,” New York Times, 10 января, 2009.

43. Смотрите https://www.whitehouse.gov/blog/inaugural-address.

 44. Смотрите https://www.whitehouse.gov/the_press_office/videotaped-remarks-by-the-president-in-celebration-of-nowruz.

Глава 17. Тайна центрифуг

Две недели, предшествовавшие следующей атаке, были бурными для Ирана. 12 июня 2009 года президентские выборы между действующим президентом Махмудом Ахмадинежадом и претендентом Мир-Хоссейном Мусави прошли не так, как ожидалось. Предполагалось, что гонка наконец будет завершена, но, когда были объявлены результаты через 2 часа после закрытия избирательных участков – Ахмадинежад победил с 64 процентами голосов против 34 процентов у Мусави. Электорат возмущенно кричал, и на следующий день толпы разъяренных протестующих вышли на улицы Тегерана, чтобы выразить свое недовольство результатами выборов. По сообщениям СМИ, это был самый крупный гражданский протест, который пережила страна со времен революции 1979 года, когда был свержен шах, и вскоре он обрел насильственный характер. Протестующие громили магазины, поджигали урны с мусором, в то время как полиция и басиджис – лояльные правительству ополченцы в штатном – пытались разогнать народ с помощью дубинок, электрошокеров и резиновых пуль.

В то воскресенье Ахмадинежад выступил с вызывающей победной речью, провозгласив новую эру для Ирана и назвав протестующих никем иным, как футбольными хулиганами, разочарованными проигрышем своей команды. Однако протесты продолжались уже неделю, и 19 июня, пытаясь успокоить толпу, аятолла Али Хаменеи санкционировал результаты выборов, настаивая на том, что перевес – 11 миллионов – слишком велик, чтобы считать выборы поддельными. Однако народ такое заявление не успокоило.

На следующий день 26-летняя женщина по имена Неда Ага-Солтан попала в пробку, вызванную протестующими, и была ранена снайперской пулей в грудь после того, как она и её учитель музыки вышли из машины, чтобы посмотреть, что происходит.

 Два дня спустя, 22 июня, в понедельник, Совет экспертов, который отвечает за выборы президента в Иране, официально объявил Ахмадинежада победителем, и после почти двух недель протестов на улицах Тегерана установилась устрашающая тишина. Для разгона демонстрантов полиция применила слезоточивый газ и боевые патроны, так что большинство из них покинули улицы. В тот же день, около 16:30 по местному времени, пока иранские протестующие зализывали свои раны, сидя по домам, была скомпилирована и выпущена новая версия Stuxnet.

Пока на улицах Тегерана царила полная суматоха, технические специалисты Натанза переживали период относительного затишья. В начале года они снова начали установку новых центрифуг, и к концу февраля у них уже было установлена около 5400 новых машин, что было близко к 6 тысячам, которые Ахмадинежад обещал установить еще в прошлом году. Пока ещё не все центрифуги обогащали уран, но, по прогресс снова пошел, и к июню число центрифуг подскочило до 7052, 4092 из которых уже работали в штатном режиме. В дополнение к восемнадцати каскадам, обогащающим газ в блоке А24, было установлено двенадцать каскадов в блоке А26, которые также занимались обогащением. Еще семь каскадов были установлены в блоке А28 и находились под вакуумом, готовясь к подаче газа.

Производительность центрифуг также улучшалась. Ежедневное производство низкообогащенного урана в Иране увеличилось на 20 процентов и оставалось стабильным на протяжении всего лета 2009 года. Несмотря на проблемы, Иран преодолел технический рубеж и преуспел в производстве 839 кг низкообогащенного урана – количество, достаточное для производства ядерного оружия. Если обогащение будет продолжаться такими же темпами, у Ирана будет достаточное количество обогащенного урана для производства двух ядерных боезапасов в течение года. Однако эта оценка была основана на мощности центрифуг IR-1, в настоящее время установленных в Натанзе. Но Иран уже начал испытания центрифуг IR-2 в небольшом каскаде на экспериментальном заводе, и после того, как их испытания будут завершены, и инженеры начнут их установку в подземных залах, оценку нужно будет пересмотреть. Чтобы произвести достаточное количество урана для ядерного оружия за один год, иранцы использовали 3 тысячи центрифуг модели IR-1. Но для произведения того же количества обогащенного урана за тот же период центрифугами модели IR-2 их понадобиться всего лишь 1200.

Но в дело вмешался Stuxnet 1.001, появившийся в конце июня.

Чтобы доставить цифровое оружие на завод, злоумышленники предприняли нападение на компьютеры четырех компаний. Все компании в той или иной степени участвовали в промышленном контроле и обработке, производили продукцию и собирали компоненты, либо устанавливали системы промышленного контроля. Вероятно, все они были выбраны потому, что имели некоторую связь с Натанзом в качестве подрядчиков и обеспечивали шлюз, через который ни в чем не подозревающие сотрудники могли пронести Stuxnet на завод.

Чтобы добиться большего успеха в доставке кода к целям, у этой версии Stuxnet было два дополнительных способа распространения. Stuxnet 0.5 мог распространяться только путем заражения файлов проекта Step 7 – файлов, используемых для программирования ПЛК Siemens. Однако эта версия также могла распространяться через USB флеш-накопители с помощью функции автозапуска Windows или через локальную сеть с помощью экплоита нулевого дня диспетчера очереди печати, который Лаборатория Касперского и Symantec обнаружат позже.

Судя по файлам журналов Stuxnet, первой жертвой стала компания Foolad Technique. Компания была заражена в 4:40 утра 23 июня, во вторник. И тогда до заражения следующей компании прошла целая неделя.

В следующий понедельник около пяти тысяч участников марша молча прошли по улицам Тегерана к мечети Гоба, чтобы почтить память жертв, погибших во время недавних протестов. Позже тем же вечером, около 23:20, Stuxnet поразил машины, принадлежащие его второй жертве – компании Behpajooh.

Несложно было понять, почему именно Behpajooh стала их следующей жертвой. Это была техническая компания, базирующаяся в Исфахане – месте нового иранского завода по конверсии урана, построенного для превращения измельченной урановой руды в газ для обогащения в Натанзе. В том месте также располагался Иранский центр ядерных технологий, который, как предполагается, был базой для разработки иранской программы развития ядерного оружия. Behpajooh также упоминался в документах федерального суда США в связи с закупочной деятельностью Ирана, находящейся под американскими санкциями.

Behpajooh занимался установкой и программированием промышленных систем управления и автоматизации, включая системы Siemens. На веб-сайте компании Натанз, разумеется, никак не упоминается, но указывается, что компания занимается установкой ПЛК Siemens S7-400, а также программным обеспечением Step 7, WinCC и коммуникационными модулями Profibus на сталелитейном заводе в Исфахане. Конечно же, это было именно то оборудование, на которые был нацелен Stuxnet и которое было установлено в Натанзе.

В пять часов утра 7 июля, через девять дней после атаки на Behpajooh, Stuxnet заразил компьютеры в Neda Industrial Group, а также атаковал компанию, указанную в журналах как CGJ, предположительно Control Gostar Jahed. Обе компании разрабатывали и устанавливали системы промышленного управления производством.

Neda разрабатывала и устанавливала системы управления, точные приборы и электрические системы для нефтегазовой промышленности Ирана, а также электростанций, горнодобывающих и технологических предприятий. В 2000 и 2001 годах компания установила ПЛК Siemens S7 на нескольких газопроводах, а также установила системы Siemens S7 на металлургическом комбинате в Исфахане. Как и Behpajooh, Neda была внесена в список наблюдения за распространением ядерного оружия за предполагаемое участие в незаконной закупочной деятельности и фигурировала в обвинительном заключении США за получение контрабандных микроконтроллеров и других компонентов.

Примерно через две недели после взлома Neda, инженер систем управления, работавший в компании, 22 июля появился на пользовательском форуме Siemens с жалобой на проблему, с которой работники его компании столкнулись на своих машинах. Инженер, который разместил пост под никнеймом Behrooz, указал, что на всех ПК в его компании была идентичная проблема с файлом .DLL Siemens Step 7, который продолжал выдавать сообщение об ошибке. Он подозревал, что проблема была в вирусе, который распространился через флеш-накопители.

Когда для передачи файлов из зараженной машины на чистую он использовал DVD или CD диски, все было хорошо, писал он. Но когда для передачи файлов он использовал флешку, на новом ПК начинались те же проблемы, что и на остальных зараженных машинах. USB-накопитель, конечно же, был основным методом распространения Stuxnet. И хотя Behrooz и его коллеги сканировали компьютеры антивирусом, он не обнаруживал никаких вредоносов. В ветке обсуждения не было никаких признаков того, что кто-то когда-то обсуждал эту проблему.

Неясно, сколько времени понадобилось Stuxnet, чтобы достичь своей цели после заражения машин в Neda и остальных компаниях, но в период с июня по август количество центрифуг, обогащающих уран в Натанзе, начало падать. Неизвестно, был ли это результат работы исключительно новой версии Stuxnet, либо же это был остаточный эффект предыдущей версии. Но к августу того же года на заводе работало уже 4592 центрифуги, что на 328 центрифуг меньше, чем в июле. Проблема, опять же, была в блоке А26, где проблемы возникли и в прошлый раз. В июне в этом модуле было двенадцать каскадов. Но к ноябрю газ был выкачан из половины их них, так что только шесть каскадов обогащало уран. Общее количество центрифуг для обогащения в Натанзе упало до 3936, минус 984 центрифуги за пять месяцев. Более того, хотя установка новых центрифуг все так же продолжалась, газ в них подавать не спешили. В блоке А28 также было установлено семнадцать каскадов, но ни одна из этих почти 3 тысяч центрифуг не использовалась для обогащения газа.

Понятно, что с центрифугами творилось что-то неладное, но инженеры никак не могли разобраться, в чём дело. Тем не менее всё шло именно по такому плану, для которого и был создан Stuxnet.

Новая версия Stuxnet, увеличивала частоту вращения роторов центрифуг до 1410 Гц в течение пятнадцати минут – почти 1000 км в час – а затем через три недели снижала ее до 2 Гц на пятьдесят минут. После большого количества циклов центрифуга получала повреждения, а уровень обогащения газа в ней падал.

Но Олбрайт и его коллеги определили, что для набора двигателями центрифуг наиболее разрушительной для них частоты в 1410 Гц – требовалось больше чем пятнадцать минут. Скорее всего за это время они достигали только частоты в 1324-1381 Гц. Но тем не менее, постоянно изменяющаяся скорость и непрервыное ускорение и замедление продолжались на протяжении долгого времени, это всё равно приводило бы к дополнительному напряжению и повреждению роторов центрифуг. Повышенная скорость также вызывала расширение алюминиевых центрифуг и нарушение их баланса.

IR-1 были хрупкими по своей конструкции, и к их повреждению могло привести малейшее неверное движение – например, пыль в камере могла вызвать их самоуничтожение. Глава Организации по атомной энергии Ирана Голам Реза Агазаде в интервью 2006 года доказал это, сообщив, что в первые дни программы обогащения IR-1 и в правду взрывались просто из-за наличия пыли внутри камер. Сначала они не могли понять, почему центрифуги взрываются, но он сказал, что в конечном итоге они приписали вину техническим специалистам, собирающим центрифуги без перчаток. Пыль, оставленная в машинах, буквально разрывала их, как только они начинали вращаться. «Когда мы говорим, что машина была уничтожена», – серьезно говорил он, – «мы имеем в виду, что она разлетается в пыль».

Подшипники, которые помогали центрифугам сохранять устойчивость, находились в верхней и нижней части. Центрифугам требовалось набирать скорость постепенно. Если это происходило так, то запуск центрифуги происходил нормально. Но в мгновение ока все могло пойти не так. Если центрифуга раскачиваться, она быстро выйдет из-под контроля. Сам по себе корпус центрифуги был массивным и не мог разбиться, но он мог расколоться в продольном направлении, как хот-дог в микроволновой печи, или изогнуться, после чего крышки сверху и снизу лопались. Как следствие, все остальные детали внутри корпуса также разваливались.

Повышенная скорость, вызванная Stuxnet, могла вызвать вибрации, которые в конечном итоге изнашивали подшипники после нескольких циклов атаки, вызывая разбалансировку и опрокидывание центрифуг. Но с ложными данными, которые Stuxnet скармливал ни в чем не подозревающим операторам, никто не замечал приближающихся разрушений и в последствии тяжело было выяснить, что именно привело к такому исходу.

Вторая последовательность атаки, которая снижала частоту центрифуг до 2 Гц на пятьдесят минут, дала понять, что нападавшие также пытались снизить производство обогащенного урана, а не только уничтожить центрифуги. Центрифуге, вращающейся с частотой 1064 Гц потребуется некоторое время, чтобы замедлиться до 2 Гц. Олбрайт и его команда также определили, что через пятьдесят минут скорость, вероятно, уменьшится только до 864 Гц, прежде чем саботаж закончится и скорость вернется к норме. Но за счет уменьшения скорости центрифуги даже на 50 или 100 Гц Stuxnet мог снижать обогащение вдвое. При обогащении урана для разделения изотопов U-235 и U-238 в газе, центрифуги должны постоянно вращаться с одной скоростью. Если скорость меняется, особенно если замедляется на пятьдесят минут, это вызывает нарушение процесса разделения. Ядерщики из Натанза ожидали получить из каскада уран одного сорта, но получали нечто другое. Этот прием был гораздо менее результативным, чем непосредственное разрушение центрифуг, и одного его было бы недостаточно, чтобы замедлить иранскую ядерную программу. Но в сочетании с другими эффектами это могло саботировать программу под совсем иначе. В таком сочетании атаки затрагивали не только процент обогащения, но и объем произведенного урана. В феврале 2009 года центрифуги производили около 0,62 единиц разделительной работы, но в мае этот показатель упал до 0,49. А в июне и августе он колебался от 0,51 до 0,55.

Вернувшись в США, Олбрайт и его коллеги из Института науки и международной безопасности прочитали отчеты МАГАТЭ, отметив изменения в Натанзе, и не удивились, увидев, что у Ирана возникли проблемы, учитывая то, как быстро инженеры устанавливали каскады в модуле А26. Из источников он узнал, что техники в Натанзе снизили скорость центрифуг, чтобы решить проблемы, но Олбрайт подозревал, что происходит нечто большее, чем обычные поломки или технические трудности. Он связался с источниками в правительстве и МАГАТЭ, чтобы узнать, что происходит, но не получил исчерпывающего ответа.

С наступлением 2010 года число центрифуг в Натанзе продолжало падать. Число установленных центрифуг составляло 8692, но количество активно обогащающих уран, в настоящее время сократилось до 3772, что на 1148 меньше по сравнению с июнем. До сих пор проблемы были ограничены блоком А26, но теперь, похоже, они распространились также на А24 и А28. Например, был выкачан газ из одного каскада в блоке А24.14

Наиболее показательным был тот факт, что инженеры начали отключать центрифуги от некоторых каскадов. В августе МАГАТЭ, идя в ногу с растущим количеством центрифуг, установило больше камер видеонаблюдения в подземном зале. Теперь эти камеры записывали, как рабочие снуют по цеху, разбирая центрифуги. В январе МАГАТЭ сообщило, что инженеры демонтировали неуказанное количество центрифуги из одиннадцати каскадов в блоке А26, а также демонтировали все 164 центрифуги из каскада в А28. Ни один из оставшихся шестнадцати каскадов в А28 не обогащал газ.15 The Washington Post позже сообщит, что за этот период было заменено 984 центрифуги, что эквивалентно шести полным каскадам.

Но работа Stuxnet всё еще не была завершена.

К концу 2009 года давление на Соединенные Штаты с целью остановить ядерную программу Ирана росло.

В конце сентября, когда цифры в Натанзе начали резко падать, президент Обама объявил на саммите Совета Безопасности ООН по ядерному нераспространению и разоружению, что в Иране был обнаружен новый секретный объект по обогащению урана. Этот был расположен на военной базе, похороненной под 150 футами гор Фордо, примерно в 30 километрах от священного города Кум.

Завод был намного меньше, чем в Натанзе, и был рассчитан всего на 3 тысячи центрифуг против 47 тысяч в Натанзе. Но он был достаточно большим, чтобы при желании, обогащать на нем уран для одной или двух бомб в год, если Иран решит использовать его для такой цели. «Иран имеет право на мирную ядерную энергетику, которая удовлетворит потребности его народа. Но размер и конфигурация этого объекта несовместимы с мирной программой», – сказал Обама в своем заявлении о Фордо.

Иранцы сообщили Мохамеду эль-Барадею из МАГАТЭ, что этот завод был лишь резервной копией Натанза, что угроза военного удара побудила их построить его в качестве непредвиденных обстоятельств. Новый завод все еще строился, и не ожидалось, что он будет завершен до 2011 года, но, по данным разведки США, работы на нем, вероятно, начались где-то между 2002 и 2004 годами, а это означало, что инспекторы МАГАТЭ постоянно проезжали по пути мимо объекта, и даже не подозревали о его существовании. Обама узнал о заводе ранее в том же году во время своего предынаугурационного брифинга в Белом доме, но спецслужбы знали о нем как минимум с 2007 года, когда глава Стражей исламской революции перешел на запад и сообщил ЦРУ, что Иран строит второй секретный обогатительный завод где-то в пределах Натанза. С тех пор спутниковая разведка обнаружила это место в Фордо.

Завод в Фордо, хотя и был меньше Натанза, на самом деле представлял гораздо более серьезную опасность, нежели Натанз. Поскольку инспекторы МАГАТЭ внимательно следят за Натанзом, маловероятно, что Иран сможет тайно перенаправить ядерный материал из этого завода на другой, чтобы довести его до оружейного качества. Однако секретные заводы, такие как Фордо, на которых обогащение оружейного уровня могло производиться без ведома МАГАТЭ, вызывали гораздо большее беспокойство.

Фордо также вызывал особую озабоченность, потому что он строился под более чем сотней футов твердой породы, что делало его недосягаемым для нынешних противобункерных бомб и, возможно, даже нового поколения бомб, разрабатываемых Соединенными Штатами.

Премьер-министр Великобритании Гордон Браун отреагировал на новости о Фордо, назвав ядерную программу Ирана «самой неотложной проблемой распространения, с которой сегодня мог столкнуться мир». Он сказал, что у международного сообщества не остается другого выбора, кроме как «провести черту на песке» в отношении «серийного многолетнего обмана Ирана».

Однако иранские представители, похоже, не были особо обеспокоены разоблачением завода в Фордо, демонстративно заявив, что они планируют построить еще десять заводов по обогащению урана в ближайшие десятилетия, чтобы обеспечить парк атомных электростанций, количество которых они также планируют увеличить.20 По словам главы Организации по атомной энергетике, все обогатительные фабрики будут закопаны глубоко под горами, чтобы защитить их от нападения.

После новостей о Фордо Израиль стал настаивать на том, что с ядерной программой Ирана нужно что-то делать. На ноябрьской встрече в Тель-Авиве израильский военачальник сказал представителям США, что 2010 год будет «критическим годом» в противостоянии с Ираном. Если они не начнут действовать в ближайшее время, откат ядерной программы будет становиться все сложнее и сложнее.22 США уже тайно пообещали Израилю партию противобункерных бомб нового поколения, которые они разрабатывают, но до их производства оставалось еще минимум полгода.

В январе 2010 года давление усилилось, когда в СМИ просочился документ, раскрывающий секретную военную ветвь программы ядерных исследований Ирана, известную как FEDAT. Сообщается, что военное ответвление возглавляет Мохсен Фахризаде, профессор Университета Имама Хоссейна в Тегеране. В следующем месяце МАГАТЭ сообщило, что получило «в целом достоверную» информацию о том, что Иран разрабатывает ядерное оружие. «Это вызывает опасения по поводу возможного существования прошлой или нынешней нераскрытой деятельности, связанной с разработкой ядерной полезной нагрузки для ракет».

Вдобавок к этому провалились переговоры, призванные снизить обеспокоенность по поводу растущих запасов низкообогащенного урана Ирана. В течение многих лет Иран заявлял, что уран нужен ему для производства топливных стержней для своего исследовательского реактора в Тегеране для проведения исследований рака и лечения онкологий, но Соединенные Штаты и другие страны всегда были обеспокоены тем, что в какой-то момент уран может быть обогащен до оружейного качества. Поэтому в середине 2009 года советник Белого дома разработал умный компромисс, чтобы развеять опасения Запада по поводу урана. Согласно плану Белого дома, Иран отправит большую часть низкообогащенного урана в Россию и Францию, чтобы эти две страны произвели для него топливные стержни. Это предложение было гениальным, поскольку в этом случае и Иран был обеспечен топливом, которое, по его словам, требовалось для его реактора, и в то же время иранские чиновники более не имели возможности обогатить свои запасы урана до оружейного качества. В 2009 году иранское правительство заявило, что им нужно время, чтобы обдумать это предложение. Но 19 января они заявили, что отказываются от него. Это еще не все. Они также сообщили, что уже взяли часть низкообогащенного урана, производимого в подземном зале в Натанзе, и начали его дальнейшее обогащение до почти 20 процентов на экспериментальной установке – уровень, который, по их словам, необходим для медицинских исследований.

Шесть дней спустя команда Stuxnet начала подготовку к новой серии атак.

В течение первого года в должности президента Обама внимательно следил за развитием цифрового оружия. Многое зависело от его успешности, и пока что новости были только положительными. Фактически, дела шли даже лучше, чем ожидалось. Несмотря на то, что Stuxnet был нацелен на ограниченное количество центрифуг, иранцы сами усиливали последствия, отключая целые каскады центрифуг, пытаясь выявить источник проблем, тем самым способствуя дальнейшим задержкам в их ядерной программе. Похоже, что они все еще не догадывались, что проблемы кроются в компьютерах, управляющих каскадами, поэтому на данный момент не было причин останавливать саботаж. Особенно когда нарастало давление с целью принятия военных мер против Ирана.

Итак, 25 января злоумышленники подписали два файла драйверов Stuxnet цифровым сертификатом, украденным у RealTek в Тайване. 1 марта они скомпилировали свой код. Потом они стали ждать.

20 марта, праздник Новруз, и Обама вновь выступил с острым посланием иранскому народу о мирном сотрудничестве, как он сделал это во время предыдущего празднования персидского Нового года. Но на этот раз он прямо говорил о ядерной программе Ирана. «Вместе с международным сообществом Соединенные Штаты признают ваше право на использование ядерной энергии в мирных целях – мы настаиваем лишь на том, чтобы вы выполняли те же обязанности, что и другие страны», – сказал он. «Нам известны ваши обиды прошлого, у нас тоже есть свои обиды, но мы готовы двигаться вперед. Мы знаем против чего вы выступаете, а теперь расскажите, для чего вы есть».

Его тон стал мрачнее, когда он завуалированно упомянул недавний отказ Ирана от компромиссного предложения с ядерным топливом. «Столкнувшись с протянутой рукой», – сказал Обама, – «лидеры Ирана показали лишь сжатый кулак».

В течение нескольких недель до его речи, иранские техники тяжело работали, чтобы оправиться от проблем, созданных Stuxnet, возвращая количество каскадов в блоке А24 обратно ко всем восемнадцати, и запуская их. А также восстанавливая несколько каскадов, демонтированных из блока А26. Они увеличили количество газа, подаваемого в центрифуги, которые еще работали, чтобы наверстать потерянное время и хоть немного увеличить выработку обогащенного газа. Но они понятия не имели, что скоро их ждет новый удар.

Празднование персидского Нового года в Иране длилось тринадцать дней, но только первые четыре из них были официальным государственным праздником. Следующая волна Stuxnet ударила 23 марта, в четвертый день празднования, когда большинство рабочих все еще были дома со своими семьями и друзьями. Полезная нагрузка была идентична той, что использовалась в июне прошлого года, но эта версия включала в себя более крупный набор эксплойтов нулевого дня и других механизмов, способствующих распространению, включая эксплойт .LNK, который в конечном счете и привел к обнаружению червя.

Однако несмотря на все эти дополнительные навороты, на этот раз злоумышленники, похоже, нацелились только на одну цель – Behpajooh. Неизвестно, когда они запустили свой код, но первые машины в Behpajooh он поразил около 6 утра 23 марта. Behpajooh также был поражен во время предыдущей атаки 2009 года, и он же будет поражен вновь в следующей атаке, которая произойдет в следующем месяце, в апреле 2010 года. Фактически, это была единственная известная компания, пострадавшая во всех трех нападениях, что позволяет предположить, что она могла иметь более высокую ценность как канал для достижения целевых машин в Натанзе, чем остальные компании. К сожалению, именно эта жертва и стала причиной тысяч других заражений внутри и за пределами Ирана.

В последующие дни, когда отдыхавшие рабочие вернулись в свои офисы, червь начал стремительно размножаться, сначала распространившись через офисы Behpajooh в Иране, Великобритании и Азии, а затем вырвавшись на свободу и заразив другие компании в этих и других странах. Позже, проанализировав различные образцы Stuxnet, собранные с зараженных компьютеров, исследователи Symantec смогли отследить тысячи случаев заражения до иранской компании Behpajooh.

Почему нападающие решили увеличить свою огневую мощь, чтобы поразить цель именно в тот момент, неясно. Возможно, те два года, которые они провели на машинах в Натанзе сделали их безрассудными и самоуверенными. Но наиболее вероятным объяснением является то, что ранние версии Stuxnet были доставлены через инсайдера или кого-то имеющего доступ к целевым машинам. Если бы разработчики Stuxnet впоследствии потеряли этот доступ, они бы почувствовали необходимость увеличить мощность распространения, чтобы повысить свои шансы на достижение цели. Одним из косвенных доказательств, подтверждающих это объяснение, является различие задержек между составлением данных об атаках и заражением первых машин. Во время атаки в июне 2009 года, между компиляцией червя и его первым поражением прошло всего около двенадцати часов. Но версия от марта 2010 года была скомпилирована утром 1 марта, а заразила свою первую жертву только 23 марта. (Последняя известная версия, которая была выпущена в апреле, имела такую же длительную задержку в двенадцать дней между датой компиляции и первым заражением). Краткий промежуток между компиляцией и первым заражением в 2009 году позволяет предположить, что злоумышленники могли использовать инсайдера или невольную жертву, которая была предварительно выбрана для операции. В случае с последующими версиями Stuxnet, злоумышленникам, возможно, приходилось ждать, пока не появится возможность заразить первую жертву.

По мере распространения Stuxnet сообщал на сервера о тысячах своих заражений – и вскоре чиновники в Вашингтоне поняли, что червь вышел из-под контроля. В этот момент стало ясно, что операция, которая более трех лет была одним из самых больших секретов Вашингтона, внезапно оказалась под угрозой разоблачения.

Каким образом цифровое оружие, которое так тщательно создавалось и контролировалось в течение столь долгого времени, было рассекречено так быстро? Сначала всё указывало на Израиль. Весной 2010 года Белый дом, АНБ и израильтяне, как сообщается, «решили зайти за забор», нацелившись на определенную группу из тысячи центрифуг, которые они хотели атаковать. Это, вероятно, была группа из шести каскадов в блоке А26. В предыдущей атаке Stuxnet сократил количество атакованных каскадов в блоке А26 с двенадцати до шести. Скорее всего, именно эти оставшиеся шесть каскадов и хотели добить израильтяне. Шесть каскадов по 164 центрифуги в каждом – это 984 устройства. Очевидно, что израильтяне добавили свои последние штрихи – дополнительные эксплоиты нулевого дня и новые механизмы распространения – чтобы увеличить вероятность успеха. Сэнгер сообщает, что согласно его источникам, червь был запущен в Натанзе, и покинул его территорию, когда иранский ученый подключил свой ноутбук к зараженному компьютеру на заводе, а затем перенес вредонос на своем ноутбуке в интернет. Но это не соответствует данным, обнаруженным в коде. Как отмечалось ранее, каждый образец Stuxnet содержит файл журнала, в котором отслеживалась каждая зараженная машина. Эти файлы показали, что первые заражения произошли на компьютерах в Behpajooh и других компаниях, на компьютерах, которые, казалось, были общими системами, а не промышленными системами внутри Натанза, содержащие файлы Step 7 и программное обеспечение Siemens. Возможно, это были ноутбуки подрядчиков, которые работали внутри Натанза. Но Сэнгер также пишет, что червь должен был распознать, что его окружение изменилось, и он распространился за пределы своей целевой среды. Однако ни в одной версии Stuxnet не было ничего, что могло бы служить механизмом для распознавания целевой среды и предотвращения распространения за пределы Натанза.  Единственные ограничения, которые имел Stuxnet, заключались в запуске его полезной нагрузки, а не в его распространении.

Однако важно отметить, что операторы, управляющие командными серверами, которые взаимодействовали со Stuxnet, действительно имели возможность остановить распространение цифрового оружия, как только они замечали, что оно начинает выходить из-под контроля. В Stuxnet имелась функция лечения, которая позволяла злоумышленникам удалить вирус с зараженной машины. Поскольку Stuxnet начал бесконтрольно распространяться, и злоумышленники начали замечать зараженные машины, отправляющие запросы с Индонезии, Австралии и других стран, они могли отправить команду лечения, чтобы удалить вредоносный код с этих машин. Но почему они не сделали этого? Было ограниченное количество причин. «Либо их не волновало, что он распространяется, либо он начал распространяться быстрее, чем того ожидали хакеры, и они не могли справиться с ним», – предполагает О`Мурчу. Он не думает, что это произошло из-за некомпетентности атакующих. «У них был полный контроль над зараженными машинами, и я думаю, что оставить все на самотек было их осознанным выбором». Даже после того, как новости о распространении дошли до Вашингтона, было принято удивительное решение позволить операции продолжаться без видимых попыток остановить ее распространение. Хотя, опять же, подробности неясны, согласно источникам Сэнгера, после марта было выпущено, по крайней мере, еще две версии Stuxnet, но они были отозваны для устранения «ошибки», которая привела к распространению предыдущей версии.

14 марта злоумышленники скомпилировали еще одну версию Stuxnet, но на этот раз полезная нагрузка была точно такой же, как и у мартовской версии. И хотя в этой версии также были все те же механизмы распространения, она не распространилась на такое количество машин, как мартовская версия. Это была последняя версия вируса, которую удалось обнаружить исследователям.

Вполне возможно, что последующие версии Stuxnet все-таки были выпущены, но находились под гораздо более жестким контролем, так что они остались необнаруженными. Намёк на это был найден в июле 2010 года, когда исследователи случайно обнаружили файл драйвера, который, по их мнению, был связан со Stuxnet. Этот драйвер обнаружила компания ESET, и он был подписан сертификатом J-Micron. Как сообщается, драйвер был найден сам по себе, без сопровождающих его файлов Stuxnet, но предполагается, что он вполне мог быть частью следующей волны атаки Stuxnet.

В апрельской атаке, как и в атаке июня 2009 года, первой пострадавшей жертвой была компания Foolad Technique. Червь поразил компанию 26 апреля и, по-видимому, заразил тот же компьютер, который был заражен годом ранее. Спустя несколько недель, 11 мая, цифровое оружие было обнаружено на трех компьютерах, принадлежащих компании, использующей доменное имя Kala, предположительно Kala Electric или Kala Electronics, подставной компании, которую Иран использовал для управления Натанзом и тайной закупки компонентов для своей ядерной программы – та же компания, которую Алиреза Джафарзаде упомянул на своей пресс-конференции, разоблачающей Натанз, в 2002 году.32 13 мая Behpajooh была поражена той же версией Stuxnet.33

Примечательно, что, хотя Neda Industrial Group не упоминается в файлах журналов версий Stuxnet 2010 года, которые исследовали специалисты, Бехруз, инженер по контролю, который разместил сообщение на пользовательском форуме Siemens в прошлом году, снова появился с жалобой на продолжающиеся проблемы. 2 июня он снова написал пост, в котором говорил, что все компьютеры с ОС Windows в его компании по-прежнему испытывают те же проблемы, что и в прошлом году.

На это раз вмешались работники других компаний, которые жаловались на ту же проблему. Один пользователь, который также столкнулся с похожей проблемой, написал, что проблема, по-видимому, пришла из Ирана. «Потому что вы можете видеть, что многие люди в Иране (на форуме), столкнулись с этой проблемой еще как минимум месяц назад», – писал он. Обсуждение продолжалось весь июль, и Бехруз был настолько разочарован, что часто заканчивал свои сообщения сердитым смайликом с красным лицом. Затем, неожиданно, 24 июля, он опубликовал сообщение, в котором говорилось, что тайна, наконец, раскрыта. Он добавил ссылку на недавно опубликованную новостную статью о Stuxnet, и закончил свое сообщение тремя улыбающимися смайликами. Конечно, пройдет еще несколько месяцев, прежде чем он и весь остальной мир узнают, на что на самом деле был нацелен Stuxnet.

В отношении нападений 2009 года было неясно, какое влияние на Натанз оказали атаки 2010 года. Сэнгер пишет, что после того, как злоумышленники запустили третью версию Stuxnet в 2010 году, 984 центрифуги резко «остановились».33 Как отмечалось ранее, в то время в блоке А26 было ровно 984 центрифуги, обогащающих газ в шести каскадах, но в отчетах МАГАТЭ не было никаких упоминаний о том, что они прекратили свою работу. В сентябре в блоке А26 было шесть работающих каскадов и шесть каскадов, вращающихся под вакуумом. Вполне возможно, что указанные центрифуги действительно остановились, а затем вновь заработали или были заменені в период между посещениями Натанза инспекторов МАГАТЭ. Также возможно, что источники Сэнгера спутали даты и имели в виду тысячу центрифуг, снятых техниками в конце 2009 или начале 2010 года, процесс, который МАГАТЭ запечатлило на свои камеры видеонаблюдения.

Трудно сказать, что именно произошло с центрифугами в 2010 году, потому что в июне того же года правительство Ирана начало обвинять МАГАТЭ в утечке информации, касающейся работы заводы, в прессу. В письме от 3 июня Иран предупредил агентство, что, если конфиденциальная информация о ядерной программе «каким-то образом просочится и/или будет передана средствам массовой информации», это повлечет за собой последствия, первое из которых заключается в отказе Ираном посещать некоторым инспекторам МАГАТЭ их ядерные объекты.34 В том же месяце Иран «ликвидировал угрозу» и убрал два имени из списка примерно 150 инспекторов МАГАТЭ, которые могли посещать ядерные объекты, сославшись на «ложные и неправильные заявления», которое МАГАТЭ допустило в своем майском отчете. В этом отчете утверждалось, что в Иране пропало какое-то оборудование. Затем в сентябре были вычеркнуты еще два инспектора, основанием этому служил слив информации в средства массовой информации до того, как МАГАТЭ опубликовало ее в своем отчете.35

Оказалось, что этот упрек отрицательно сказался на объеме информации о Натанзе, которую после этого публиковало МАГАТЭ. К ноябрю МАГАТЭ и вовсе прекратило указывать информацию о центрифугах в своих квартальных отчетах. Вместо того, чтобы перечислять количество установленных и работающих центрифуг, агентство суммировало числа всех трех блоков – А24, А26 и А28 – в одно число. Это устранило основные средства, которыми общественность пользовалась для определения влияния Stuxnet на завод.36­

Что мы знаем точно, так это то, что в июле 2010 года центрифуги по-прежнему продолжали работать только на 45-66 процентов мощности. Институт науки и международной безопасности впервые в одном из своих отчетов отметил, что «саботаж» мог быть причиной некоторых проблем в Натанзе.37 К тому времени Stuxnet был обнаружен и публично разоблачен, но его связь с ядерной программой Ирана и Натанзом оставалось нераскрытой еще несколько месяцев.

Также известно, что количество установленных и обогащающих центрифуг в 2010 году сильно колебалось. В ноябре 2009 года, на пике производства, в Иране было установлено 8692 центрифуги. Это число упало до 8528 в мае 2010 года (при числе работающих центрифуг в 3936), но увеличилось до 8856 в сентябре (с 3772 работающими центрифугами), и снова упало до 8426 в ноябре (при обогащающих 4816 центрифугах). Возможно причиной колебаний был Stuxnet, который уже как год был обнаружен, но все еще доставлял проблемы иранской ядерной программе. Хотя большой скачок в тысячу центрифуг в период с сентября по ноябрь предполагает, что завод оправился после затяжных последствий Stuxnet, в Иране все еще было установлено 3600 центрифуг, которые просто стояли.38 Это предполагает, что, хотя проблемы и решались, но, очевидно, не все. Вскоре после этого, 16 ноября, правительство Ирана полностью остановило работу завода на шесть дней после того, как Symanteс опубликовала пост, в котором раскрыла, что Stuxnet был разработан для саботажа частотных преобразователей.39 Где-то в этом же месяце они также добавили центрифуг в шесть каскадов. Возможно для того, чтобы помешать полезной нагрузке Stuxnet, изменив конфигурации каскадов.

Возвращаясь к Вашингтону, разговоры о Stuxnet продолжались на протяжении всего 2010 года.  Где-то в начале лета директор ЦРУ Леон Паннета и генерал Джеймс Картрайт сообщили президенту о неконтролируемом распространении червя. Это открытие вызвало у Обамы множество вопросов. Были ли какие-то признаки того, что иранцы уже его обнаружили? Если да, то смогут ли они определить его назначение, или проследить его до источника? Его также беспокоил сопутствующий ущерб зараженных машин за пределами Натанза. И с учетом этого всего, следует ли прямо сейчас отменять операцию? Его советники напомнили ему, что червь являлся высокоточным оружием, который запускал свою полезную нагрузку только на машинах, которые соответствовали множеству определенных критериев. Просто от того, что машина была заражена вирусом, не означало того, что она получала какой-нибудь вред. Удовлетворенный тем, что операция, в большинстве своем, все еще находится под контролем, Обама приказал им продолжать.

Учитывая сложность Stuxnet и маленький шанс того, что его смогут обнаружить или расшифровать, решение должно было казаться в то время совершенно разумным. Действительно, даже первоначальная реакция Symantec и других кибероборонных компаний после раскрытия Stuxnet, казалось, подтвердила, что их тайная операция все еще была в безопасности – все указывало на то, что сообщество специалистов по кибербезопасности, загнанное в тупик сложностью и новизной вредоносного ПО, прекратило свою работу после того, как выпустило сигнатуры для их обнаружения, и двинулось дальше.

Но Вашингтон не рассчитывал на упорную решимость исследователей Symantec докопаться до сути загадочного кода или на обнаружение Ральфом Ленгнером целей цифрового оружия. Шли месяцы, а от Ленгнера и Symantec поступало все больше и больше информации, и все, что могли сделать правительства в Вашингтоне или Тель-Авиве – это сидеть и смотреть, как каждый кусочек головоломки, один за другим, послушно становится на свое место, пока, наконец, картина не соберется воедино.

Сноски, ссылки и используемая литература:

1.      Временная метка версии Stuxnet от июня 2009 года указывает на то, что злоумышленники скомпилировали вредонос 22 июня в 16:31 по местному времени (местное время на компьютере, на котором был скомпилирован код), и что он поразил свою первую жертву на следующий день в 4:40 (местное время жертвы). Очевидная разница в двенадцать часов, в зависимости от часового пояса, в котором код был скомпилирован, и в каком произошло первое заражение. Время заражения было взято из файла журнала, который хранился в каждом образце Stuxnet. Каждый раз, поражая машину, Stuxnet записывал время (основанное на внутренних часах жертвы) в этом журнале. Неизвестно, запускали ли злоумышленники атаку сразу после ее компиляции – зловреду потребовалось двенадцать часов, чтобы добраться до своей первой жертвы, – либо же они отложили запуск до следующего дня.

2.    Дэвид Олбрайт, Peddling Peril: How the Secret Nuclear Trade Arms America’s Enemies (New York: Free Press, 2010), 202–3.

3.    Дэвид Олбрайт и Жаклин Шайр, “IAEA Report on Iran: Centrifuge and LEU Increases; Access to Arak Reactor Denied; No Progress on Outstanding Issues,” 5 июня, 2009, доступно по адресу: http://www.isis-online.org/publications/iran/Iran_IAEA_Report_Analysis_5June2009.pdf.

4.    Дэвид Олбрайт, Peddling Peril, 202–3.

5.    Дэвид Олбрайт и Жаклин Шайр, отчет МАГАТЭ, 5 июня, 2009.

6.     Foolad Technique, похоже, работал под доменным именем ISIE. Возможно, ISIE была приобретена компанией Foolad или являлась ее подразделением.

7.    В 2006 году американец иранского происхождения был обвинен в попытке переправить в Иран запрещенные оружейные технологии. Он приобрел датчики давления у компании в Миннеаполисе и отправил посреднику в Дубае, который должен был передать устройства компании Behpajooh. Смотрите, “Dubai Firm Implicated in Iran ‘Bomb Component’s Investigation in US,” Khaleej Times, 12 мая, 2006.

8.    Одним из других заказчиков Neda была газовая станция на острове Харк в Иране, месте одного из взрывов, привлекших внимание Эрика Чиена в 2010 году после обнаружения Stuxnet. Согласно веб-сайту Neda, в период с 2008 по 2010 год компания модернизировала системы управления турбокомпрессорных агрегатов завода. Нет никаких доказательств тому, что, взрыв на заводе был вызван цифровым саботажем, но тот факт, что Stuxnet заразил компьютеры в Neda, показывает, насколько просто может быть использование цифровых атак против других типов объектов в Иране.

9.    В 2004 году торговая компания в Дубае заказала 7,5 тысяч микроконтроллеров у фирмы в Аризоне и перенаправила партию в Neda, очевидно, для использования иранскими военными. Дело находится в Окружном суде США, Mayrow General Trading et al., обвинительное заключение от 11 сентября 2011 года, доступно по адресу: http://www.dodig.mil.iginformation/Mayrow%20Mayrow%20Superseding%20Indictment.pdf.

10. Хотя он размещал свои комментарии под никнеймом Behrooz, он подписывал свои сообщения снизу «М.Р. Таджалли». Поиск по Behrooz и другому имени привел к профилю в LinkedIn и другим пользователям, которые идентифицировали его как Мохаммада Резу Таджалли, инженера по контролю, который работал на Neda с 2006 года. Согласно его профилю в LinkedIn, Таджалли специализировался на системах контроля для нефтяной промышленности. На сообщения автора он не ответил.

11. Смотрите главу 13.

12. Уильям Броуд, “A Tantalizing Look at Iran’s Nuclear Program,” New York Times, 29 апреля, 2008.

13. На каждом конце центрифуги находятся крышки, которые ненадежно балансируют на шарикоподшипнике, прикрепленному к штифту. Верхняя часть штифта прикреплена к колпаку, а нижняя половина штифта с подшипником вставлена в чашу, прикрепленную к пружине. Вся эта установка позволяет центрифуге слегка раскачиваться во время вращения, но при этом сохраняет ее устойчивость. Однако слишком большое движение может дестабилизировать центрифугу и привести к износу деталей.

14. В интервью с несколькими источниками они предположили, что центрифуги в блоке А24 могли быть сконфигурированы иначе, чем в А26 – что преобразователи частоты, используемые для их управления, были другой модели. Если это правда, то возможно, что Stuxnet 0.5, предназначенный для клапанов центрифуг и каскадов, использовался против А24, а последующие версии Stuxnet, нацеленные на преобразователи частоты, использовались против каскадов в А26. Это объясняло, почему у каскадов в блоке А24 были проблемы в 2008 году, когда был выпущен Stuxnet 0.5, но было меньше проблем в 2009 году, когда саботаж осуществляли более поздние версии вируса.

15. МАГАТЭ, “Implementation of the NPT Safeguards Agreement and Relevant Provisions of Security Council Resolution 1737 (2006), 1747 (2007), 1803 (2008) and 1835 (2008) in the Islamic Republic of Iran,” February 18, 2010, доступно по адресу: https://www.iaea.org/Publications/Documents/Board/2010/gov2010-10.pdf.

16. “Statements by President Obama, French President Sarkozy, and British Prime Minister Brown on Iranian Nuclear Facility,” 25 сентября, 2009, в Питтсбургском конференц-центре в Питтсбурге, штат Пенсильвания, доступно по адресу: http://www.whitehouse.gov/the-press-office/2009/09/25/statements-president-obama-french-president-sarkozy-and-british-prime-minister-Brown-on-Iranian-Nuclear-Facility.

17. Сначала на спутниковых снимках было запечатлено нечто похожее на туннели и подземные сооружения, а затем в 2008 году на них были запечатлены рабочие, укладывающие большие бетонные площадки у входа в туннель. Площадки напоминали те, которые используются на обогатительных заводах для крепления центрифуг. Соединенные Штаты думали о том, чтобы тайком направить в Иран группу специальных людей, которые смонтировали площадки так, чтобы они в последствии привели к уничтожению центрифуг, но дальше обсуждений ничего не зашло. Смотрите Дэвид Э. Сэнгер, Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power (New York: Crown, 2012), 152, 155.

18. Совет по оборонным наукам, который в 2004 году посоветовал Пентагону создать это оружие, написал, что сооружение, закопанное глубоко в горах Фордо, может создать «серьезную проблему» даже для нового поколения бомб. «Чтобы взорвать противовзрывные двери и распространить смертельный взрыв необходимо использовать несколько тысяч фунтов взрывчатки», – писали они. Уильям Броуд, “Iran Shielding Its Nuclear Efforts in Maze of Tunnels,” New York Times, 5 января, 2010.

19. “Statements by President Obama, French President Sarkozy, and British Prime Minister Brown on Iranian Nuclear Facility,” Белый дом.

20. Год спустя, в сентябре 2010 года, когда исследователи Symantec и Ральф Ленгнер все еще расшифровывали полезную нагрузку Stuxnet, иранская группа диссидентов, разоблачившая Натанз, заявила, что у нее есть информация об еще одном секретном заводе по обогащению урана, строящемся недалеко от Абьека, примерно в 120 километрах к западу от Тегерана. Смотрите Дэвид Э. Сэнгер, “Dissidents Claim Iran Is Building a New Enrichment Site,” New York Times, 9 сентября, 2010.

21. Уильям Броуд, “Iran Shielding Its Nuclear Efforts.”

22. Телеграмма Госдепартамента США, “40th Joint Political-Military Group: Executive,” November 18, 2009, опубликованная на WikiLeaks по адресу: http://www.wikileaks.org/cable/2009/11/09TELAVIV2500.html.

23. Дитер Беднарц, Эрих Фоллат и Хольгер Старк, “Intelligence from Tehran Elevates Concern in the West,” Der Spiegel, 25 января, 2010.

24. Эрих Фоллат и Хольгер Старк, “The Birth of a Bomb: A History of Iran’s Nuclear Ambitions,” Der Spiegel, 17 июня, 2010.

25. Олли Хейнонен, “Iran Ramping Up Uranium Enrichment,” блог «Power and Policy,» 20 июля 2011 года, опубликован Белферским центром Гарвардской школе Кеннеди, 20 июля 2011 года, доступен по адресу: http://www.powerandpolicy.com/2011/07/20/Iran-ramping-up-uranium-enrichment/#.UtM6Z7SYf8M.

26. “Remarks of President Obama Marking Nowruz,” Белый дом, 20 марта, 2010, доступно по адресу: https://www.whitehouse.gov/the-press-office/remarks-president-obama-marking-nowruz.

27. Он провел почти месяц, пробираясь через компьютеры в Behpajooh, и добился успеха, когда попал в компьютер, названный «Менеджер 115». Stuxnet зафиксировал, что этот компьютер содержит zip-папку с файлами проекта Step 7, хранящимися в ней. В течение следующих нескольких месяцев вредонос вырвался из сетей Behpajooh и распространился на другие компании. Компании идентифицируются в файле журнала только по их доменным именам, которые могут не совпадать с названием компании. Например, к ним относится MSCCO, Medal и S-Adari.

28. В пяти зараженных компаниях было десять «нулевых пациентов». То есть целью злоумышленников были десять машин этих пяти компаний. С этих десяти машин исследователи Symantec смогли составить карту из примерно 12 тысяч зараженных. Из пяти этих компаний Behpajooh была ответственна за 69 процентов этих 12 тысяч заражений.

29. Время компиляции и заражения не всегда указывается точное время. Системные часы на компилирующей машине или машине-жертве могли быть устаревшими, или код мог быть скомпилирован в часовом поясе, отличном от часового пояса жертвы. Сравнивая время, прошедшее между компиляцией трех версий Stuxnet и заражением их первых машин, исследователи предположили, что компилирующая машина и машины-жертвы находились в одном часовом поясе.

30. Дэвид Э. Сэнгер, Confront and Conceal, 204.

31. Хотя некоторые компании атаковали по несколько раз, каждый раз это была не одна и та же машина. Возможно, злоумышленники каждый раз искали машины, которые имели более выгодное расположение или предоставляли разные маршруты доступа к цели. Непонятно, почему апрельская версия не распространилась так же сильно, как и мартовская, поскольку они обе имели идентичные механизмы распространения, она также поразила Behpajooh, компанию, пострадавшую от мартовской атаки, в результате которой Stuxnet широко распространился по всему миру. Возможно, машины, пострадавшие во время апрельской атаки, были связаны не так сильно, как машины, пораженные в марте, что снижет распространение.

32. Доменное имя компьютера иногда может идентифицировать имя компании, которой он принадлежит, но не всегда.

33. Дэвид Э. Сэнгер, Confront and Conceal, 206. Сэнгер пишет, что АНБ перехватило разведывательные данные, свидетельствующие о том, что центрифуги остановились.

34. Иран обвинил МАГАТЭ в утечке информации в Reuters для статьи от 14 мая и в Associated Press для статьи от 30 мая.

35. Фарейдун Аббаси, который после покушения на его жизнь в 2010 был назначен главой Организации по атомной энергетике Ирана, обвинил Запад в использовании отчетов МАГАТЭ о ядерной деятельности Иран для «калибровки» его саботажа против иранской ядерной программы, и «оценки уровня разрушений, который они нанесли» ядерному оборудованию Ирана после каждой атаки Stuxnet. «Получив доступ к просочившимся данным из наших отчетов, они могут сказать, сколько центрифуг работает на иранских ядерных объектах, сколько их еще будет установлено и какие при этом будут использоваться запчасти», – сказал он. Когда Иран предоставляет МАГАТЭ отчеты о конструкции своих ядерных объектов и оборудовании, которое страна планирует закупить для программы, спецслужбы используют эту информацию для «заминирования устройств» и «установки вирусов в их системы контроля», добавил Аббаси. Со временем иранцы стали более осторожными в отношении предоставления точной информации о оборудовании инспекторам МАГАТЭ, и в какой-то момент они даже начали переклеивать наклейки марок оборудования, чтобы инспекторы не могли идентифицировать точную модель. Они также следили за инспекторами по камерам, чтобы знать все, что они делают. Аббаси также сказал, что Stuxnet не был первой или последней подобной атакой США и Израиля на ядерную программу, и что они неоднократно проникали в цепочку поставок ядерной программы Ирана, чтобы вывести из строя вакуумные клапаны, клапанные насосы и другое оборудование. «Шпионские агентства корректируют свои атаки в соответствии с нашими потребностями; они препятствуют нашим закупкам по обычным каналам и оставляют открытыми только те, над которыми они имеют полный контроль, чтобы передавать свои модифицированные материалы на наши предприятия», – сказал Аббаси, обвинив Siemens в причастности к американо-израильской операции. «Вот как они проникли в нашу электронную инфраструктуру, взломали нас и установили вредоносные программы, такие как Stuxnet. Они внедрили вирус в измерительные приборы, которые мы приобрели у Siemens, а также поместили в некоторое оборудование взрывчатку,» Смотрите “How West Infiltrated Iran’s Nuclear Program, Ex-Top Nuclear Official Explains,” Iran’s View, March 28, 2014, доступно по адресу: http://www.iransview.com/west-infiltrated-irans-nuclear-program-ex-top-nuclear-official-explains/1451/.

36. Бывший сотрудник МАГАТЭ сказал мне, что причина, по которой изменился объем информации в отчетах в конце 2010 года, не имела ничего общего с обвинениями со стороны Ирана, а была связана с неуверенностью в точности собранных данных. После того, как иранцы выкачали газ из некоторых центрифуг в 2009 и 2010 годах и вывели из эксплуатации ряд других центрифуг, они продолжили эксплуатацию некоторых каскадов с менее чем 164 работающими центрифугами в них. По его словам, это заставило администрацию МАГАТЭ понять, что у них нет возможности точно узнать, сколько центрифуг в каждом каскаде фактически функционируют и обогащают газ в данный момент времени. В прошлом они просто предполагали, что, если каскад обогащает уран, значит все 164 центрифуги в каскаде участвуют в обогащении урана.

37. Дэвид Олбрайт, Пол Браннан и Андреа Стрикер, “What Is Iran’s Competence in Operating Centrifuges?” Институт науки и международной безопасности, 26 июля, 2010, доступно по адресу: http://www.isis-online.org/isis-reports/detail/what-is-irans-competence-in-operating-centrifuges/8.

38. Иван Олрич из Федерации американских ученых отмечает, что на самом деле на этом этапе было большее количество центрифуг для обогащения, но они работали только на 20% своей эффективности.

39. Дэвид Олбрайт и др., “Natanz Enrichment Site: Boondoggle or Part of an Atomic Bomb Production Complex?” Институт науки и международной безопасности, 21 сентября, 2011, доступно по адресу: http://www.isis-online.org/isis-reports/detail/natanz-enrichment-site-boondoogle-or-part-of-an-atomic-bomb-production-comp.

40. Где-то в ноябре 2010 года технические специалисты Натанза увеличили количество центрифуг в шести каскадах со 164 до 174. Смотрите Совет управляющих МАГАТЭ, “Implementation of the NPT Safeguards Agreement and the Relevant Provisions of Security Council Resolutions in the Islamic Republic of Iran” (отчет, 23 ноября, 2010), доступно по адресу: http://www.iaea.org/Publications/Documents/Board/2010/gov2010-62.pdf. Хотя некоторые наблюдатели считают, что Иран увеличил количество центрифуг, чтобы увеличить количество газа, которое они могли бы обогатить в каскадах – возможно, чтобы компенсировать потерянное из-за Stuxnet время – источник в МАГАТЭ сообщил мне, что центрифуги были добавлены на последней ступени каскадов, что не поможет увеличить количество газа, которое может быть обогащено в каскаде. Он предположил, что дополнительные центрифуги были предназначены для изменения конфигурации каскадов, чтобы предотвратить влияние устаревших версий Stuxnet.

41. Сэнгер отмечает, что встреча Паннеты и Обамы произошла в середине лета, а должна была произойти где-то в июле, как во время разоблачения Stuxnet. Но он также говорит, что спустя несколько недель после этой встречи злоумышленники запустили две другие версии червя. Это говорит, что новые версии Stuxnet были выпущены сразу после того, как антивирусные компании выпустили сигнатуры для обнаружения предыдущей версии. Как уже отмечалось, более поздних версий Stuxnet обнаружено не было.

Глава 18. Успех

Спустя год после того, как инспекторы МАГАТЭ начали замечать, что иранские атомщики демонтируют из подземного зала в Натанзе необычайно большое количество центрифуг , тайна неисправных устройств наконец-то была раскрыта. Как только стало понятно, что Stuxnet – источник проблем, и стал ясен объем ресурсов, игроков и усилий, стоящих за его созданием, появились новые вопросы, требующие ответа: например, насколько успешно Stuxnet выполнил свою задачу? И стоило ли оно того риска, затрат, а также возможных последствий?

«Если целью Stuxnet было уничтожение всех центрифуг Натанза, то операция определенно провалилась», – отметил Дэвид Олбрайт из Института науки и международной безопасности в отчете за 2010 год. Но если цель состояла в том, чтобы уничтожить N-ное количество центрифуг, чтобы притормозить иранскую программу обогащения урана, то «возможно, это им удалось, – писал он, – «по крайней мере на какое-то время».

Несомненно, на момент в 2010 году, когда был обнаружен Stuxnet, все сроки реализации ядерной программы Ирана были сорваны. Два огромных подземных зала в Натанзе были способны вместить 47 тысяч центрифуг, но спустя более чем десять лет после завершения строительства завода только один из залов работал, да и тот был заполнен лишь на треть. «С этой точки зрения – то, что Иран планировал изначально и где по факту находилась их ядерная программа, ситуация ухудшилась…» – писал Олбрайт.

Но насколько успех операции был связан со Stuxnet, а насколько с другими причинами – санкциями, дипломатическим давлением и последствиями других тайных операций саботажа – остается неясным. Ральф Ленгнер считает, что кибератака имела огромный успех и была «почти так же эффективна, как военный удар», только без всех тех рисков и затрат, связанных с ним. The New York Times писала, что Stuxnet, по всей видимости, был «ключевым фактором, позволившим остановить время на ядерных часах Ирана».

Но существовали и другие мнения насчёт того, сколько центрифуг атаковал Stuxnet и насколько в результате была замедлена ядерная программа Ирана.

Еще в 2003 году израильское правительство предупредило, что к 2007 году у Ирана будет достаточно обогащенного урана для создания атомной бомбы, если ядерная программа не будет остановлена. Но две добровольных приостановки и множество других факторов отодвинули время вспять, заставив израильтян прогнозировать создание Ираном бомбы сначала на 2008, а затем и на 2010 год. После обнаружения Stuxnet, график был вновь отодвинут.

Когда уходящий глава Моссада Меир Даган ушел на пенсию в начале 2011 года, он сказал израильскому Кнессету, что Иран не сможет создать ядерный арсенал до 2015 года. Правительство США было менее щедро в своих оценках, заявив, что программа была отброшена только на 18-24 месяца, а не на четыре года. По словам госсекретаря США Хиллари Клинтон, ядерная программа была «замедлена» из-за технологических проблем и санкций, но не до такой степени, чтобы можно было расслабиться и больше не думать об иранской ядерной программе. «У нас есть время», – говорила она, – «но немного». Иванка Барзашка, научный сотрудник Центра исследований и безопасности Королевского колледжа в Лондоне, считает, что ядерная программа вообще не пострадала. Она изучила корреляцию между количеством центрифуг в отчетах МАГАТЭ и датами, когда в 2009 году действовал Stuxnet, и обнаружила, что доказательства успешности атаки были косвенными и неубедительными. Если Stuxnet действительно и повлиял на программу обогащения урана, то эффект прошел быстро.

«Если саботаж и имел место, то он длился недолго, и, скорее всего, в период с мая по ноябрь 2009 года», – заключила она. «Stuxnet не остановил программу обогащения Ирана, хотя, возможно, он сумел временно замедлить темпы расширения програмы».

Фактически иранцы продемонстрировали замечательную способность оправляться от любых невзгод и задержек, вызванных Stuxnet и другими факторами.

Например, в начале 2010 года, вскоре после того, как технические специалисты в Натанзе заменили проблемные центрифуги, они ускорили свою деятельность по обогащению, подавая в центрифуги больше газа для увеличения производительности. В результате в 2010 году производство низкообогащенного урана в Иране фактически увеличилось, и в дальнейшем оставалось довольно стабильным. Например, осенью 2008 года, когда Stuxnet саботировал клапаны каскадов, центрифуги производили только 90 Кг низкообогащенного урана в месяц. В конце 2009 года, когда была выпущена новая версия Stuxnet, это количество упало до 85 кг в месяц. Но в 2010 году, несмотря на выпуск еще как минимум двух новых версий Stuxnet, уровень производства подскочил до 120-150 кг в месяц, а к 2011 году Иран стабильно производил 150 кг низкообогащенного урана.

Однако следует отметить, что эти производственные показатели все еще были значительно ниже тех, которые центрифуги должны были производить по плану. В 2010 году для производства N-ного объема обогащенного урана потребовалось 4820 центрифуг, но в 2011 году для производства того же количества Ирану потребовалось уже 5860 центрифуг, что свидетельствует о том, что центрифуги работали менее эффективно, возможно, из-за длительного воздействия Stuxnet.

Несмотря ни на что, Иран все ещё производил обогащенный уран. К середине 2011 году центрифуги произвели в общей сложности 4400 кг низкообогащенного урана.Более того, Иран передал не менее 1950 кг этого урана на экспериментальный завод для дальнейшего обогащения до 19,75 процента, и к началу 2011 года Иран имел 33 кг, обогащенного до этого уровня урана, и объявил о планах утроить это количество.

До этого уровня Иранцы начали обогащать уран после того, как Stuxnet нанёс вред некоторым центрифугам. Иранское правительство заявило, что такой процент обогащения урана необходим им для исследований в области лечения рака. Но и это являлось проблемой для противников программы обогащения, потому что при достижении Ираном 20 процентов обогащения, до 90 процентов, необходимых для оружейного материала, необходимого для создания бомбы, остается не так много «На этом уровне обогащения, Иран более чем вдвое сокращает время до производства оружейного высокообогащенного урана с процентом обогащения около 90%», – отметила Барзашка. Если «целью Stuxnet было уменьшение иранского ядерного потенциала, зловред явно не поимел должного успеха».

Тем временем технические специалисты начали установку новых моделей центрифуг на экспериментальном обогатительном заводе в Натанзе – IR-2m и IR-4. Эти центрифуги были более эффективны, чем IR-1. IR-1 производили около 1,0 разделительной рабочей единицы в день (хотя они редко достигают этого показателя), более совершенные центрифуги могли производить примерно в три-пять раз больше. Кроме того, они были более прочными, чем IR-1, а это означало, что они были в меньшей мере подвержены воздействию Stuxnet.

Несмотря на быстрое восстановления после атак Stuxnet, цифровое оружие имело как минимум два долгосрочных эффекта для программы обогащения Ирана. Во-первых, он сорвал поставки Ирану уранового газа. Во время саботажа Stuxnet, несколько тонн обогащенного урана было потеряно. Вероятно, не все отходы были результатом работы червя. Технические специалисты тоже столкнулись с рядом проблем с центрифугами, но Stuxnet, несомненно, внёс свой вклад в нанесенный ущерб. У Ирана были ограниченные запасы урана. Часть импортировалось из-за границы, другая часть добывалась в рудниках Ирана, и любой потраченный впустую газ был большой потерей.

У Ирана также были ограниченные поставки центрифуг и материалов для изготовления новых. При более жестких, чем когда-либо ранее санкциях, замена поврежденных центрифугах сстала ещё более сложной задачей. В 2008 МАГАТЭ подсчитало, что у Ирана было достаточно компонентов и материалов для изготовления 10 тысяч центрифуг. Если Stuxnet уничтожил 1 тысячу из них, то это сократит это число на 10 процентов. Вдобавок к этому Иран ежегодно терял еще 10 процентов центрифуг из-за их естественного износа. При такой скорости истощения запасов центрифуг «через пять лет этим ребятам будет совсем худо», – сказал Олли Хейнонен из МАГАТЭ.

Но на самом деле Хейнонен считал, что Stuxnet повредил более чем тысячу центрифуг. Он полагал, что это число было ближе к двум тысячам. Он основывал свою оценку на том факте, что в отчетах МАГАТЭ содержалась лишь краткая информация об ситуации в Натанзе за трехмесячный период, а также на том факте, что в Натанзе были проблемы с защитными пломбами, что повышает вероятность того, что Иран мог тайно заменят некоторые из поврежденных центрифуг без ведома МАГАТЭ.

Хотя инспекторы МАГАТЭ посещали завод в среднем двадцать четыре раза в год, их отчеты публиковались только один раз в квартал, а цифры в каждом ежеквартальном отчете указывались только на количестве центрифуг, которое инспекторы наблюдали на заводе во время своего последнего посещения. Таким образом в перерывах между визитами МАГАТЭ у инженеров было множество возможностей заменить центрифуги втайне от глаз инспекторов – при условии, что они делали это вне поля зрения камере МАГАТЭ, которые теоретически должны были сделать такую скрытую замену невозможной.

Каждый раз, когда на заводе устанавливался новый каскадный модуль, техники устанавливали вокруг него переносные стены и открывали доступ к каскаду через единственную дверь – дверь, за которой снаружи размещалась камера видеонаблюдения МАГАТЭ. На стыках стен также были установлены пломбы, защищающие их несанкционированного вскрытия, чтобы гарантировать, что дверь действительно была единственным входом, и чтобы инженеры не могли просто сдвинуть стену в сторону и заменить центрифугу вне поля зрения камер. Но в Натанзе возникли проблемы со взломом этих защитных пломб. Иранское правительство заявило, что срыв пломб был случайностью, и что инженерам было сказано впредь «проявлять большую бдительность». Но Хейнонен говорит, что в Иране был «необычный образец» взломанных пломб, что повышает вероятность того, что стены могли быть перемещены, а центрифуги внутри них тайно заменены.

Даже если количество поврежденных центрифуг превышало тысячу, Stuxnet явно не сотворил магиии, если бы был разработан для быстрого и повсеместного уничтожения, – для уничтожения тысяч центрифуг одним ударом – он был разработан для медленного и тщательно просчитанного саботажа.

На самом деле были некоторые исследователи, которые задавались вопросом, почему Stuxnet не был разработан для быстрого и масштабного уничтожения центрифуг. Все просто, риск последствий такой агрессивной атаки куда более высоким. Если бы Stuxnet уничтожил, к примеру, три-четыре тысячи центрифуг одновременно, не было бы никаких сомнений в том, что причиной этому был саботаж, и Иран, вероятно, счел бы это военным нападением, на которое нужно ответить тем же.

Остались вопросы о том, чего можно было бы достичь с помощью Stuxnet, не будь он обнаружен в 2010 году. Когда Stuxnet нанес свой первый удар, программа обогащения Ирана только начиналась, и даже когда вирус был обнаружен в 2010 году, его код все еще был не идеальным. Неизвестно, чего бы он мог достичь со временем, когда не только Иран установил еще большее количество каскадов и центрифуг, но и код червя стал более совершенным.

Одно можно сказать наверняка: повторить подобное будет в несколько раз сложнее. Stuxnet, как подметил Ленгнер, был фактически одноразовым оружием: однажды обнаруженная атака сделала иранцев более осторожными, что затруднило проведение атак теми же средствами. После этого, любые проблемы, возникшие с оборудованием на заводе, иранцы сразу же будут связывать с саботажем, и оперативно реагировать на любые происшествия. При первых признаках проблем технические специалисты будут отключать системы и внимательно проверять их на наличие вредоносных программ или процессов.

Но несмотря на все факторы, которые ограничивали влияние Stuxnet и сокращали время его эффективной службы, эта скрытая атака сделала счастливой по крайней мере одну группу людей.

«В сообществе ядерного нераспространения, Stuxnet – это долгожданное событие», – говорит Дэвид Олбрайт. «Это означает, что нам не придется воевать с Ираном».

Но даже если операция Stuxnet выиграла для дипломатических переговорщиков немного больше времени, она явно не положила конец политическому кризису и полностью не исключила возможность войны. В 2011 году против Ирана был наложен пятый раунд санкций ООН, а Соединенные Штаты начали размещать ракеты Patriot по всему Ближнему Востоку, чтобы в случае войны они могли защитить своих союзников. Противники Ирана и дальше продолжали применять смертоносные меры против ученых-ядерщиков, пытаясь хоть как-то подорвать иранскую обогатительную программу. В июле 2011 года тридцатипятилетний физик Дариуш Резаинеджад получил пулю в горло, когда забирал свою дочь из детского сада в Тегеране. Сообщается, что двое вооруженных лиц скрылись на мотоциклах. МАГАТЭ сообщило, что Резаинеджад участвовал в разработке высоковольтных переключателей для инициирования взрыва, необходимых для срабатывания ядерной боеголовки.

В январе 2012 года, всего через день, после того, как глава военного штаба Израиля заявил, что 2013 год станет решающим для ядерной программы Ирана, было снова совершено убийство, на этот раз был убит Мостафа Ахмади Рошан с помощью взрывчатки, прикрепленной мотоциклистом к его машине. Первоначально Рошан считался 32-летним химиком, но иранский чиновник позже объявил, что в действительности он управлял заводом в Натанзе, а также занимался закупкой специального оборудования для ядерной программы Ирана. Рошан был заместителем по торговле в компании Kala Electronics, которая была поставщиком запчастей для Натанза. Kala, конечно же, была одной из компаний, которая, как полагают, входила в число пострадавших от Stuxnet.

Также Иран начала поражать череда загадочных взрывов. В ноябре 2011 года в результате мощного взрыва на полигоне для испытаний ракет дальнего действия погибло более тридцати членов Стражей исламского порядка, в том числе генерал, который, как утверждается, являлся одним из разработчиков иранской ядерной программы.Иран отрицал, что взрыв был результатом саботажа, утверждая, что это был несчастный случай. Но источник из западной разведки сообщил New York Times, что настоящая причина не имеет большого значения. «Все, что позволяет нам выиграть время и отсрочить тот день, когда иранцы смогут создать ядерное оружие – маленькая победа», – сказал он. «На данный мы делаем, что можем.»

В том же месяце произошел взрыв на заводе по переработке урана в Исфахане, в результате которого, как сообщается, был поврежден объект, на котором хранилось сырье для программы обогащения урана. Затем в августе 2012 года, взрывы вывели из строя линии электропередач, подводящие электричество из города Кум в подземный обогатительный завод Фордо. В новостях сообщалось, что, взрыв произошел, когда работники охраны обнаружили электронное устройство наблюдения, замаскированное под камень, и попытались его сдвинуть. По сообщениям, заминированное устройство было разработано для перехвата данных с компьютеров и телефонных линий на обогатительном заводе. Обсуждая этот инцидент, иранский чиновник также сообщил, что линии электропередач, подающие электричество на завод в Натанзе, также были отключены в ходе отдельного инцидента, но не оставил никаких комментариев по этому поводу. Каких бы результатов не достиг Stuxnet, их было недостаточно, чтобы позволит Западу расслабиться.

 По словам Генри Сокольски, исполнительного директора Образовательного центра политики нераспространения, все это не должно было никого удивлять. Он сообщил Новой республике, что каждый президент со времен Билла Клинтона занимался операциями по срыву ядерной программы Ирана, и ни одна из них не увенчалась успехом. «Это делал Буш, сейчас этим занимается Обама», – говорит он. Но тайные операции никогда не заменяли разумную внешнюю политику. По его словам, это могло быть только «сдерживающим действием», но не решением проблемы.21

Вопросы об истинной природе ядерных целей Ирана все так же оставались открытыми. Ближе к концу 2011 года в отчете МАГАТЭ, который агентство назвало «самым ужасающим из когда-либо опубликованных» отчетов об Иране, говорилось, что Исламская республика работает над созданием ядерного оружия с 2003 года, несмотря на более ранние утверждения американской разведки о том, что Иран в этом году отказался от своей программы ядерного вооружения.22 Отчет МАГАТЭ был основан не на новой информации, а на более ранних документах, полученных агентством, в том числе от иранского агента, известного как Дельфин. Но хотя информация не была новой, теперь МАГАТЭ было готово утверждать, что эти документы являются свидетельством наличия программы по созданию ядерного оружия. Премьер-министр Израиля Биньямин Нетаньяху снова повторил свой призыв к военному удару по Ирану. Однако на этот раз иранцы ответили. Министр иностранных дел Ирана Али Акбар Салехи демонстративно заявил, что Иран «готов к войне» с Израилем.

Что можно сказать о пользе Stuxnet точно, так это то, что цифровая атака, наряду с другими секретными операциями, действительно помогла предотвратить опрометчивую военную атаку на Иран. И, несмотря на продолжающуюся напряженность, никто не пожелал пойти на этот шаг после Stuxnet – факт, который в конечном итоге оставил открытой дверь для исторических переговоров с Ираном по поводу его ядерной программы, которые начались в 2013 году. Первоначальные обсуждения привели к согласию Ирана заморозить основные части своей ядерной программы, включая отказ от установки новых центрифуг и ограничение, количества обогащенного урана, производимого Ираном, в обмен на некоторое ослабление санкций.

Любые достижения Stuxnet необходимо также сопоставить с остаточными негативными эффектами. В то время, когда Соединенные Штаты боролись с эпидемией кибершпионажа из Китая, проведение тайных операций против Ирана усложнило осуждение других стран за киберпреступления против США. Как страна, выпустившая первое известное кибероружие, Соединенные Штаты более не могли проповедовать воздержание от использования цифрового оружия другим странам.

Еще одно наиболее долгосрочное последствие Stuxnet необходимо было сопоставить с его ограниченными неопределенными преимуществами: запуск Stuxnet вызвал гонку цифровых вооружений между всеми странами, от великой до малой, гонку, которая навсегда изменит картину кибератак. Авторы Stuxnet обозначили новую границу, по которой неизбежно последуют другие хакеры и государства. И когда они это сделают, цель саботажа рано или поздно окажется и в Соединенных Штатах.

Сноски, ссылки и используемая литература:

1.    Дэвид Олбрайт, Пол Браннан и Кристина Уолронд, “Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant? Preliminary Assessment,” Институт науки и международной безопасности, 22 декабря, 2010, доступно по адресу: http://www.isis-online.org/isis-reports/detail/did-stuxnet-take-out-1000-centrifuges-at-the-natanz-enrichment-plant.

2.    Уильям Дж. Броуд, Джон Маркофф и Дэвид Э. Сэнджер, “Israeli Test on Worm Called Crucial in Iran Nuclear Delay,” New York Times, 15 января, 2011.

3.    Йосси Мелман, “Outgoing Mossad Chief: Iran Won’t Have Nuclear Capability Before 2015,” Ha’aretz, 7 января, 2011.

4.    Марк Лэндлер, “U.S. Says Sanctions Hurt Iran Nuclear Program,” New York Times, 10 января, 2011.

5.    Иванка Барзашка, “Are Cyber-Weapons Effective?” Королевский институт США по изучению обороны и безопасности, 23 июля, 2013, доступно по адресу: http://www.tandfonline.com/doi/pdf/10.1080/03071847.2013.787735. Следует отметить, что Барзашка изучала отчеты МАГАТЭ только за 2009 год и не приняла во внимание другие волны атак Stuxnet в 2008 и 2010 годах.

6.    Дэвид Олбрайт и Кристина Уолронд, “Performance of the IR-1 Centrifuge at Natanz,” Институт науки и международной безопасности, 18 октября, 2011, доступно по адресу: http://www.isis-online.org/isis-reports/detail/test1.

7.    Олли Дж. Хейнонен, “Iran Ramping Up Uranium Enrichment,” блог Power and Policy, 20 июля, 2011, опубликовано Белферским центром Гарвардской школы Кеннеди, 20 июля, 2011, доступно по адресу: http://www.powerandpolicy.com/2011/07/20/Iran-ramping-up-uranium-enrichment/#.UtM6Z7SYf8M.

8.    Иванка Барзашка, “Are Cyber-Weapons Effective?”

9.    Дэвид Олбрайт, Жаклин Шир и Пол Браннан, “Enriched Uranium Output Steady: Centrifuge Numbers Expected to Increase Dramatically; Arak Reactor Verification Blocked,” Институт науки и международной безопасности, 19 ноября, 2008, доступно по адресу: https://isis-online.org/publications/iran/ISIS_analysis_Nov-IAEA-Report.pdf.

10.Интервью автора с Олли Хейноненом, июнь 2011.

11. Хейнонен покинул МАГАТЭ в октябре 2010 года, когда центрифуги еще стояли на местах, поэтому у него не было доступа к отчетам самих инспекторов, чтобы увидеть точные цифры, но он был уверен, что количество поврежденных центрифуг превышает тысячу.

12. В письме МАГАТЭ в Иран от июля 2010 г. упоминается «ряд инцидентов», связанных с сорванными пломбами на заводе. Смотрите, Совет управляющих МАГАТЭ, “Implementation of the NPT Safeguards Agreement and Relevant Provisions of Security Council Resolutions in the Islamic Republic of Iran” (отчет, 6 сентября, 2010), 3; доступно по адресу: http://www.iaea.org/Publications/Documents/Board/2010/gov2010-46.pdf. В отчете не уточняется, относятся ли ссылки к пломбам, установленным на стенах, или пломбам, установленным на газовых баллонах и другом оборудовании, но источник в МАГАТЭ сообщил мне, что ввиду имеются именно пломбы на стенах.

13. Источник сообщил мне, что именно Иран предупредил инспекторов о сорванных пломбах, а не инспекторы, обнаружившие их самостоятельно. МАГАТЭ провело расследование по поводу сорванных пломб и не обнаружило никаких нарушений со стороны Ирана. Но расследование, по его словам, было сосредоточено только на том, чтобы определить, мог ли Иран сорвать пломбы, чтобы удалить ядерный материал из комнат вне поля зрения камер, а не на том, могли ли инженеры тайком заменить сломанные центрифуги в комнатах. Когда инспекторы обнаружили, что количество урана не изменилось, они пришли к выводу, что пломбы и вправду были сорваны случайно, но они не исследовали возможность того, что они могли быть намеренно сорваны для тайной замены сломанных центрифуг.

14. Интервью автора с Дэвидом Облбрайтом, февраль 2011.

15. Ульрике Пуц, “Mossad Behind Tehran Assassinations, Says Source,” Spiegel Online, 2 августа, 2011, доступно по адресу: http://www.spiegel.de/international/world/sabotaging-iran-s-nuclear-program-mossad-behind-tehran-assassinations-says-source-a-777899.html. Смотрите также “Israel Responsible for Iran Killing: Report,” Global Security Newswire, 2 августа, 2011, доступно по адресу: http://www.nti.org/gsn/article/israel-responsible-for-iran-killing-report.

16. После его смерти, Рошану было присвоено звание «молодой ядерный мученик», а его именем было названы улицы и площади городов. Саид Камали Дехган и Джулиан Боргер, “Iranian Nuclear Chemist Killed by Motorbike Assassins,” Guardian, 11 января, 2012. Смотрите также Цви Бар’эль, “Iran Domestic Tensions Boil as West Battles Its Nuclear Program,” Ha’aretz, 8 апреля, 2014. Дэвид Олбрайт в личном разговоре подметил, что конечной целью убийства ученых состояла в том, чтобы уничтожить экспертные знания и, соответственно, нанести вред ядерной программе. Но убийство человека, который участвует в закупках для программы, предназначено для того, чтобы просто послать сигнал и отпугнуть остальных претендентов от выполнения этой роли.

17. Дэвид Э. Сэнджер и Уильям Дж. Броуд, “Blast That Leveled Base Seen as Big Setback to Iran Missiles,” New York Times, 4 декабря, 2011.

18. Шира Френкель, “Second Blast ‘Aimed at Stopping Tehran’s Nuclear Arms Plans’,” Times (Лондон), 30 ноября, 2011. Первоначально о взрыве сообщили иранские информационные агентства, однако позже сообщения были удалены с веб-сайтов, а чиновники отказались от сделанных ими заявлений, подтверждающих взрыв. В феврале 2012 года израильская реклама пошутила о взрыве. Рекламу израильской кабельной телекомпании HOT позже отключили. В рекламе участвовали участники израильского комедийного сериала «Асфур», который проникают в Иран в одежде мусульманских женщин – вероятно, это шуточная отсылка к тому времени, когда бывший палестинский лидер Ясир Арафат избежал ареста, переодевшись мусульманкой. Все трое прибывают в Исфахан, место расположения завода по конверсии урана в Иране, где произошел взрыв. Когда комики идут по городу, за их спиной виден ядерный объект, и один из них намазывает лицо солнцезащитным кремом. Когда его товарищи искоса смотрят на него, он отвечает: «Что? Разве вы не знаете, сколько здесь радиации?» Затем горе-путешественники встречают скучающего агента Моссада, сидящего в уличном кафе, который говорит им, что он был в городе два месяца, ведя наблюдение и убивая время просматривая по требованию эпизоды «Асфур» на своем планшете Samsung Galaxy, подарке, который он получил за подписку на канал HOT. «С ядерным реактором, или без него, я не скучаю, потому что у меня есть «Асфур», – говорит он. Один из путешественников тянется к планшету и спрашивает: «Что это за приложение?» Когда нажимает что-то на экране, позади них на ядерном объекте взрывается огненный шар. Его товарищи смотрят на него, и он говорит: «Что? Еще один загадочный взрыв в Иране.»

19. “Sources: Iran Exposed Spying Device at Fordo Nuke Plant,” Ynet (новостной интернет-сайт израильской газеты Yediot Ahronot), 23 сентября, 2012, доступно по адресу: http://www.ynetnews.com/articles/0,7340,L-4284793,00.html.

20. Фредрик Даль, “Terrorists Embedded in UN Nuclear Watchdog May Be Behind Power Line Explosion,” Reuters, 17 сентября, 2012, доступно по адресу: http://www.news.nationalpost.com/2012/09/17/terrorists-embedded-in-un-nuclear-watchdog-may-be-behind-power-line-explosion-iran.

21. Эли Лейк, “Operation Sabotage,” New Republic, 14 июля, 2010.

22. Джордж Ян, “UN Reports Iran Work ‘Specific’ to Nuke Arms,” Associated Press, 8 ноября, 2011, доступно по адресу: http://www.news.yahoo.com/un-reports-iran-specific-nuke-arms-184224261.html.

23. Али Ваез, “It’s Not Too Late to Peacefully Keep Iran from a Bomb,” The Atlantic, 11 ноября, 2011.

24. “Iran Says United and ‘Ready for War’ with Israel,” Ha’aretz, 3 ноября, 2011.

25. Энн Геран и Джоби Уоррик, “Iran, World Powers Reach Historic Nuclear Deal,” Washington Post, 23 ноября, 2013, доступно по адресу: http://www.washingtonpost.com/world/national-security/kerry-in-geneva-raising-hopes-for-historic-nuclear-deal-with-iran/2013/11/23/53e7bfe6-5430-11e3-9fe0-fd2ca728e67c_story.html.

Глава 19. Цифровая Пандора

30 мая 2009 года, всего за несколько дней до того, как была выпущена новая версия Stuxnet, президент Барак Обама предстал перед пресс-службой Белого дома в Восточном зале, чтобы обсудить опасное состояние кибербезопасности в Соединенных Штатах. «Сегодня мы встречаемся в переломный момент», – торжественно заявил он, – «момент истории, когда наш взаимосвязанный мир одновременно предоставляет нам большие надежды, но также и большую опасность».

Обама сказал, что точно так же, как в прошлом нам не удалось инвестировать в физическую инфраструктуру наших дорог, мостов и железных дорог, мы не смогли инвестировать в безопасность нашей цифровой инфраструктуры. Он предупредил, что киберпреступники уже проникли в нашу электрическую сеть, а в других странах погрузили во тьму целые города. «Такой статус-кво больше неприемлем», – говорит он, – «пока столь многое поставлено на карту.»

Какими бы ироничными не казались его слова год спустя, когда было обнаружено, что Stuxnet распространился на десятки тысяч машин по всему миру, и общественность узнала, что Соединенные Штаты не только нарушили суверенное пространство другой нации в агрессивной кибератаке, но и тем самым дали зеленый свет аналогичным атакам на уязвимые системы США.

В то время как Обама и другие высокопоставленные чиновники били тревогу по поводу злоумышленников, скрывающихся в системах США и закладывающих основу для будущих атак на энергосистему, американские военные и разведывательные агентства проникали в системы Ирана и других стран, создавая запасы цифрового оружия и открывая путь к новой эре ведения войны, и все это без публичного обсуждения правил ведения боевых действий для проведения и последствий таких атак. Возможно, именно знание того, что Соединенные Штаты делают в Иране и других странах, побудило президента срочно предупредить об опасности для американских систем.

Майкл В. Хайден, который был директором ЦРУ во время разработки и внедрения Stuxnet, после разоблачения червя сказал репортеру, что «кто-то пересек Рубикон», обнаружив вирус. Оказалось, что этим «кем-то» были сами Соединенные Штаты. И как уже отмечалось ранее, там, где лидировали Соединенные Штаты, большинство стран следовали за их примером.

Сегодня страны во всем мире стремятся расширить существующие или создать новые виды кибероружия. Более десятка стран, включая Китай, Россию, Великобританию, Израиль, Францию, Германию и Северную Корею, имеют программы разработки цифрового оружия или объявили о планах его создания. Китай начал осваивать эту сферу войны в конце 90-х, в то же время США уже совершили свои первые кибероперации. Даже Иран начал разработку программы цифрового вооружения. В 2012 году аятолла Али Хаменеи объявил о создании оборонительной и наступательной киберпрограммы и сказал группе студентов из университета, что им уже следует начать готовится к наступающей эре кибервойн с врагами Ирана.3

Что касается Соединенных Штатов, то Киберкомандование министерства обороны в настоящее время имеет годовой бюджет более 3 миллиардов долларов и планирует пятикратное увеличение сотрудников – с 900 человек до 4900, задействованых как в оборонительных так и в наступательных операциях. Агентство перспективных исследовательских проектов Министерства обороны США, или DARPA, также запустило исследовательский проект стоимостью 110 миллионов долларов под названием Plan X по разработке технологий кибероружия, которые помогут Пентагону доминировать на цифровом поле войны. Список желаемых технологий включает в себя постоянно обновляемую систему картографирования для отслеживания каждой системы в киберпространстве с целью составления потока данных, определения целей для атаки и обнаружения входящих атак. Пентагону также нужна система, способная наносить удары «со скоростью света», а также система контрударов, которая будет использовать заранее запрограммированные сценарии, исключая этим самым потребность во вмешательстве человека.

Соединенных Штатов и Израиля – первыми применившие кибероружие против другой суверенной нации утратили то моральное превосходство, с высоты которого можно было бы критиковать другие страны, и создали этим самый опасный прицидент, узаконивающий использования цифровых атак для достижения политических или целей национальной безопасности.

«Это была хорошая идея», – сказал Хайден в 60 Minutes о Stuxnet. «Но я также признаю, что это была огромная ошибка. Остальная часть мира смотрит на это и говорит: «Очевидно, кто-то узаконил такой вид деятельности как приемлемый»».

Теперь цифровые атаки вполне могут рассматриваться другими государствами как действенный способ разрешения проблем.

Генерал гражданской войны Роберт Ли сказал, что, если бы война не была бы такой ужасной, возможно, «мы бы даже полюбили её». Ужасы и цена войны побуждают большинство стран выбирать дипломатию, а не битву, но кибератаки, лишенные многих из этих издержек и последствий, которые к тому же позволяют оставаться атакующим анонимными, становятся слишком заманчивым видом ведения войны, и выгоднее начать кибервойну, нежели участвовать в очередной дипломатической конференции, которая, быть может, никогда не даст результатов.

Но цифровое оружие не просто открыло новую страничку в ведении войны, оно изменило ландшафт для всех видов кибердействий, открыв двери новому поколению атак со стороны как государственных, так и негосударственных субъектов, которые могут нанести физический вред и даже привести к гибели людей. «Ставлю ставку, что настанет время, когда мы все будем ностальгировать по дням массовых почтовых рассылок и сетевым червям, единственной целью которых является обретение славы их авторов на онлайн-форумах», – писал Кевин Хейли из Symantec о будущем после Stuxnet. LoveLetter, Conficker и даже банковский троян Zeus станут дивными воспоминаниями из тех дней, когда атаки были совсем простыми и безобидными, по сравнению со Stuxnet.

Учитывая его сложность и целенаправленность, Stuxnet был выдающимся достижением. Не стоит забывать и о том, что как достижение, он был поразительно безрассудным. Ибо, подобно атомным бомбам, взорвавшимся над Хиросимой и Нагасаки, он открыл врата использованию мощной технологии, которая будет приносить свои негативные последствия долгие годы. Кеннетт Бенедикт, исполнительный директор Bulletin of the Atomic Scientists, отметила несколько параллелей между Stuxnet и первыми атомными бомбами в статье, которую он написала для этой публикации, об отсутствии дальновидности при разработке и внедрении обеих технологий. В обеих случаях правительственные и научные лидеры спешили разработать и использовать новое оружие в страхе, чтобы показать, что Соединенные Штаты сделают это первыми. Долгосрочные последствия сброса атомных бомб в 1940-х годах также не предусматривались, как и последствия применения цифрового оружия сегодня – не только в отношении ущерба, который они могут нанести, но и в отношении глобальной гонки вооружений, которую они вызовут. «Мы узнали, как ядерное оружие может разрушать общество и человеческую цивилизацию в целом», – писал Бенедикт. «Но мы еще не поняли, как кибервойна может изменть наш образ жизни».

Ещё одна параллель с атомными бомбами: несмотря на тревожные звоночки по поводу их использования, Соединенные Штаты продолжали разрабатывать первое атомное оружие, а теперь и цифровое, без публичного обсуждения того, как его следует использовать или как оно может повлиять на глобальную безопасность и мир. Как иронично, отметил Бенедикт, «что первое признанное использование кибероружия – было произведено якобы для предотвращения распространения ядерного оружия. Новая эра массового уничтожения начнется в попытке закрыть предыдущую главу эры такого же массового уничтожения».

Но несмотря на все сходства, между атомными бомбами 1940-х годов и Stuxnet есть по крайней мере одно ключевое различие. Планка разработки или получения ядерного оружия – или любых ракет и бомб, если уж на то пошло – была очень высока. Но кибероружие можно легко купить на одном из многочисленных подпольных рынков или, в зависимости от целевой системы, можно создать с нуля руками умелого подростка-кодера, ведь перед каждым вирусом есть его предшественник, с которого можно позаимствовать «чертежи» для своей конструкции. Когда вы запускаете кибероружие, вы отправляете свою интеллектуальную собственность в сеть, и предоставляете своим жертвам возможность запустить оружие против вас. Это можно сравнить со сценарием, произошедшим в 1945 году, когда на Хиросиму и Нагасаки сбросили бомбы – последствиями были не просто радиоактивные осадки, но и грубо говоря, предоставленные всему миру физические уравнения и схемы для построения таких бомб.

Разумеется, страны, которые больше всего подвержены риску разрушительной цифровой атаки, обладают наибольшей взаимосвязью. Маркус Ранум, один из первых изобретателей компьютерных брандмауэров, назвал Stuxnet «камнем, брошенным людьми, живущими в стеклянном доме.»

Stuxnet был доказательством того, что цифровая атака, состоящая только из двоичных команд, может привести к таким же разрушительным последствиями, как и обычная бомба. Но это также показало, что даже такая могущественная страна, как Соединенные Штаты, с непревзойденной воздушной и морской обороной, может быть уязвима для аналогичного нападения со стороны противников, которым для запуска атаки не пришлось бы даже покидать границы своей страны. Как сказал комитету Сената США в 2011 году Майк МакКоннелл, бывший директор национальной разведки: «Если бы мы сегодня мы ввязались в кибервойну, мы бы ее проиграли. Мы самые уязвимые. Мы самые связанные. И нам есть что терять».

Целями, наиболее подверженными опасности цифровой атаки в США, являются не только военные, но и гражданские системы: транспорт, связь и финансовые сети; пищевые и химические предприятия; газопровод, водоснабжение и электроэнергетика; даже заводы по обогащению урана. «Сейчас мы живем в мире, где во время кризиса могут быть атакованы системы управления производством», – сказал Стюарт Бейкер, бывший помощник секретаря Министерства внутренней безопасности. «У нас нет никакого плана защиты наших систем управления производством, хотя от этого зависит все наше общество».

Критическая инфраструктура всегда был одной из главных целей во время войны. Но гражданская инфраструктура в Соединенных Штатах всегда пользовалась особой защитой из-за географической удаленности страны от врагов и полей сражений. Преимущество это, однако, теряется, когда полем битвы становится киберпространство. В мире компьютеров, объединенных в сеть, каждая система потенциально является передовой. Нет «никаких «охраняемых зон» или «тыловых территорий»; все одинаково уязвимы», – заявил Конгрессу генерал Кевин Чилтон, командующий Стратегическим командованием США.

Законы войны запрещают прямые нападения на больницы и другую гражданскую инфраструктуру, если только они не считаются необходимостью войны, а военным лидерам предъявляются обвинения в военных преступлениях, если они нарушат эти законы. Но защита, предусмотренная законом не действует, когда описание одного из законов нечеткое. Поскольку взлом киберармии в Тегеране или Пекине можно легко спроектировать так, чтобы он выглядел как взлом из Огайо, и будет трудно отличить атаку, инициированную Ираном, и атаку, инициированную случайной группой хакеров. Stuxnet был изощренным оружием и имел все признаки международной атаки, но не каждая атака была столь широко известной.

Некоторые утверждали, что международные атаки будет легко обнаружить, потому что они будут происходить в разгар уже существующей напряженности между странами, что сделает личность агрессора ясной – как, например, ряд атак типа «отказ в обслуживании», которые привели к отключению правительственных веб-сайтов в Грузии в 2008 году перед вторжением России в Южную Осетию. Но в таком случае третьей стороне будет легко использовать существующую напряженность для запуска своей анонимной атаки против одной из сторон, которая подозревала бы в нападении своего противника, но никак не третью сторону, что в итоге привело бы к еще большему ухудшению ситуации.

В ноябре 2013 года Израиль провел испытания в Тель-Авивском университете, которые продемонстрировали трудности идентификации злоумышленника, особенно, когда это была та самая третья сторона, которая вступала в конфликт с целью эскалации боевых действий между уже воюющими сторонами. Используя то, что было описано как крайние, но вполне реалистичные действия, военная игра противопоставила Иран и поддерживаемую Ираном Хезболлу в Ливане и Сирии против Израиля. Началась серия симулированных физических стычек против Израиля, которые переросли в кибератаки, угрожающие подтянуть в игру Соединенные Штаты и Россию, чтобы помочь защитить свои границы.

Симуляция началась со взрыва на морской буровой платформе, ракетами, выпущенными через границу с Ливаном в Северный Израиль, и взрывов в Тель-Авиве, после чего последовали сбои в сети, которые парализовали больницу в Израиле. Кибератаки были отслежены до иранского сервера, но Иран отрицал свою ответственность, настаивая на том, что израильтяне пытались возложить вину на них, чтобы заручиться поддержкой Запада для нанесения удара по Тегерану. Затем сетевые атаки распространились на Соединенные Штаты, вынудив Уолл-стрит прекратить контроль воздушного движения в аэропорту имени Джона Кеннеди. После того, как два самолета потерпели крушение, в результате чего погибло 700 человек, Белый дом объявил чрезвычайное положение. На этот раз атаки были связаны сначала с сервером в Калифорнии, а потом, как ни странно, с Израилем.

Когда игра закончилась, Израиль готовился к физическим атакам на Хезболлу в Сирии и Ливане – из-за кибератак, приписываемых им Ирану, – а напряженность между Соединенными Штатами и Израилем достигла опасного уровня. Виной этому стали вопросы о том, кто несет ответственность за кибератаки на США.18 «Если бы мы не остановились, весь регион был бы охвачен пламенем», – прокомментировал Хаим Асса, эксперт по теории игр, разработавший эту симуляцию.

Симуляция была поучительной для ее участников на нескольких уровнях. Соединенные Штаты «осознали, насколько сложно, если не невозможно, установить источник атаки», – сказал генерал армии США в отставке Уэсли Кларк, который участвовал в учениях. Один израильский чиновник отметил, «как быстро локализованные киберсобытия могут превратиться в опасные физические, если лидеры плохо подготовлены к ведению дел в киберпространстве». С этой симуляции они поняли, что лучшая защита в данном случае – это действительно защита, а не нападение, потому что без должным образом защищенной критической инфраструктуры у лидеров оставалось мало места для маневров при принятии решений в случае нападения. Когда гражданские системы сбоили одна за другой и начали погибать мирные граждане, на лидеров оказывалось огромное давление, вследствие чего они вынуждены предпринимать быстрые решения, часто основанные на ошибочных или неполных выводах.

На вопрос почему вооруженные силы и правительство используют кибероружие ответить довольно легко. Помимо анонимности и предполагаемого снижения сопутствующего ущерба, кибероружие также быстрее чем ракеты, атакует цель за считанные секунды и может быть перенастроено на лету для борьбы с противодействием. Если используемую уязвимость нулевого дня исправят, хакеры могут извлечь из резерва альтернативный вариант – как это сделали разработчики Stuxnet – или модифицировать и перекомпилировать код, изменить сигнатуры и помешать обнаружению вируса антивирусными сканерами.

«Кибероружие, по моему скромному мнению, скоро станет величайшей революцией в войне, больше, чем в свое время были порох и авиация», – заявил израильский генерал-майор Авив Кохави.

Но кибероружие также имеет свои ограничения. При жесткой настройке, позволяющей избежать побочного ущерба, как это было реализовано в Stuxnet, кибератака может быть развернута только против небольшого набора целей. И в отличие от противобункерной бомбы или ракеты-невидимки, кибероружие может мгновенно «устареть», если конфигурация целевой системы или сети изменится. «Мне неизвестна ни одна система вооружения, когда-либо использовавшаяся в истории войн, которая могла бы вывести цель из строя одним щелчком мыши», – отмечает Маркус Ранум.21 И каждый раз, когда исследователи обнаруживают новое цифровое оружие, прогорают не один, но все вирусы, которые используют те же техники и методы атаки. «На данном этапе мы можем быть уверены, что каждый, кто будет строить каскад газовых центрифуг, отныне будет намного более осторожен в отношении используемого программного обеспечения», – сказал Томас Рид, военный исследователь из Королевского колледжа в Лондоне.

Еще одна проблема с кибероружием заключается в сложности ее контролирования. Хороший вирус должен работать предсказуемым образом, чтобы оказывать контролируемое воздействие и давать ожидаемые результаты при каждом развертывании, не причиняя при этом побочного ущерба. Такому вирусу необходима точная настройка, его действия должны полностью соответствовать задумкам его создателя, выполняться только по команде, или автоматически, как только находит свою цель. Он также должен иметь функцию отката или механизм самоуничтожения – на случай изменения условий или необходимости прервать миссию. Энди Пеннингтон, бывший офицер системы вооружений ВВС, которого я цитировал в предыдущей главе, сравнивает неконтролируемое кибероружие с неконтролируемым биологическим и химическим оружием. «Если у вас нет контроля над вашим оружием… у вас нет оружия, у вас есть просто незакрепленная пушка. Мы создали соглашения и сказали, что не собираемся использовать биологическое и химическое оружие, потому что у нас нет точной его фокусировки на цель, нет контроля доступа, его нельзя отозвать и оно не способно к самоуничтожению».

Stuxnet имел некоторые элементы управления, но не все. Он был направленным высокоточным оружием, которое освобождало свою полезную нагрузку только в тех системах, которые были описаны разработчиками вируса. Также у него был механизм выпуска полезной нагрузки по времени, так что Stuxnet инициировал саботаж только при соблюдении определенных условий на целевых машинах. Но однажды запущенный Stuxnet не мог быть отозван, у него не было механизма самоуничтожения – у него была только дата прекращения работы механизмов распространения, после которой вирус более не мог заражать новые системы. И хотя самые ранние версии Stuxnet имели ограниченные механизмы распространения, версия от марта 2010 года явно была «незакрепленной пушкой», хотя и не такой опасной, поскольку, хотя она бесконтрольно распространилась на тысячи машин, которые не были ее целью, она не саботировала их.

Но будут ли все остальные вирусы такими же удачными или тщательно продуманными? Сопутствующий ущерб в киберпространстве имеет куда больший охват, нежели в физической сфере. Сброшенная бомба может вызвать не желаемый ущерб, но он будет локальным. Компьютерные сети, однако, представляют собой сложные лабиринты взаимосвязей, а пройденный путь вируса и его влияние не всегда предсказуемы. «У нас пока нет возможности оценить сопутствующий ущерб каждой отдельно взятой кибератаки», – заявляет Джим Льюис из Центра стратегических и международных исследований. «В случае атак, нацеленных на вывод из строя сетей, непредсказуемый ущерб может повредить не только цель, но и ни в чем не винных пользователей и даже самих атакующих, все зависит взаимосвязей целевой сети или машины. Это делает непредсказуемым политический риск непредвиденных последствий (например, атака на сербскую сеть наносит ущерб коммерческой деятельности союзников по НАТО) и влечет за собой риск эскалации конфликта (нападение на Северную Корею наносит ущерб службам в Китае)».

Несмотря на кажущийся марш к цифровой войне, инициированный Stuxnet, справедливо спросить, какова вероятность того, что катастрофическое цифровое событие вообще случится. Министр обороны Леон Панетта заявил, что Соединенные Штаты переживают «момент до 11 сентября», когда противники разрабатывают и готовятся к подходящей возможности для проведения разрушительных кибератак на их системы. Но Томас Рид назвал кибервойну «скорее шумихой, нежели настоящей опасностью» – «блестящей новинкой», которая привлекла внимание военных как новый сверкающих поезд, проезжающий мимо города в рождественское утро. В действительности, он считает, что кибероружие окажет гораздо меньшее воздействие, нежели считают люди.25 Любое будущее использование цифрового оружия, вероятно, будет как дополнение к обычным боевым действиям, а не как их полноценная замена. Критики любителей преувеличить значение кибероружия также указывают на тот факт, что на сегодняшний день не произошло ни одной катастрофической атаки, как свидетельство того, что их предсказания и в правду преувеличены.

Но другие утверждают, что до 11 сентября ни один пассажирский самолет не влетал в небоскребы. «Я думаю… говорить, что это невозможно или маловероятно, на самом деле слишком рано. В ближайшие пару лет может произойти все что угодно», – говорит Джейсон Хили, глава Cyber Statecraft Initiative в Атлантическом совете в Вашингтоне, округ Колумбия, который был одним из первых членов первой военной кибергруппы. «По мере того, как все больше систем подключается к интернету, а кибератаки прогрессируют от простого взлома до разрушения зданий, сделанных с бетона и стали, все будет меняться, и дни, когда в результате кибератак не погибали люди останутся в прошлом».

Некоторые полагают, что угроза преувеличена, потому что большинство стран находятся не в том состоянии, чтобы отражать кибератаки, или наносить контрудар. Фактически, были исследователи, которые после обнаружения Stuxnet задались вопросом, был ли вирус намеренно рассекречен Израилем или Соединенными Штатами, чтобы показать Ирану и остальным странам новую возможность проведения цифровой атаки этих двух стран. Тот факт, что он так долго оставался незамеченным и был обнаружен какой-то малоизвестной антивирусной конторой в Беларуси, заставил некоторых экспертов поверить в то, что Stuxnet был не столько обнаружен, сколько намеренно раскрыт. Генерал Джеймс Картрайт, бывший вице-председатель Объединенного комитета начальников штабов – человек, который, как говорят, сыграл большую роль в операции «Олимпийские игры» в США – на самом деле был сторонником громких заявлений о кибервозможностях Соединенных Штатов.

  «Чтобы киберсдерживание сработало», – говорил Картрайт в 2012 году, – «вы должны верить в несколько вещей: во-первых, у нас есть намерения; во-вторых, у нас есть возможности; и в-третьих, мы практикуем – и люди знают о том, что мы практикуем.»27 С тех пор Картрайт подвергся расследованию Министерством юстиции по подозрению в утечке секретной информации о Stuxnet в New York Times, хотя на момент написания этой статьи, он не был обвинен в каких-либо нарушениях и отрицал все обвинения.

Но хотя сдерживание такого рода может сработать в некоторых странах – если они считают, что атака может быть приписана им – иррациональные субъекты, такие как государства-изгои и террористические группы, не сдерживаются подобным подходом. «В тот день, когда какая-то террористическая группировка получит кибероружие, она тут же воспользуется им», – заявил Джим Льюис Конгрессу в 2012 году.28

Льюис предполагает, что в будущем между Соединенными Штатами и Россией или Китаем могут возникнуть некоторые цифровые конфликты, которые нарушат работу военных систем, но эти страны, скорее всего, не будут атаковать критически важную инфраструктуру «из-за риска эскалации». Но как только такие страны как Иран и Северная Корея откроют для себя возможности для кибератак, вероятность нанесения удара по гражданским целям в Соединенных Штатах резко возрастет. Когда военные силы США будут наносить удары по целям внутри страны, они «не будут чувствовать никакого смущения в том, чтобы атаковать своих», – писал он в статье 2010 года.29 И угроза возмездия со стороны Соединенных Штатов для сдерживания таких атак не будут оказывать никакого эффекта на такие группы, поскольку «их расчет для принятия решения об атаке основан на различном восприятии рисков и выгод», – отметил он. Аналогичным образом, по мере того как небольшие государства и негосударственные повстанцы начнут получать доступ к цифровому оружию, «сбои в политических целях и даже кибератаки, направленные на повреждение или уничтожение, могут стать обычным делом», – говорит он. У талибов в Афганистане или Аш-Шабааб в Сомали мало шансов нанести ответный удар по территории США, но, когда в конечном счете в их руки попадет кибероружие, ситуация изменится. «Подобное оружие будет им очень интересно, так как оно предоставит им возможность перенести боле битвы на родину США», – отмечает Льюис. Хотя у них может не появится возможность проведения массовых атак, «атаки преследования», нацеленные на конкретные цели, такие как Вашингтон, округ Колумбия, говорит Льюис, безусловно, будут в пределах их возможностей, и, в зависимости от серьезности атаки или ее каскадных эффектов, критические системы могут быть выведены из строя на длительные периоды времени.  

Льюис отмечает, что, когда кибероружие появится в руках противников, Соединенным Штатам также потребуется пересчет риска отдачи при планировании обычных атак. В 2003 году американские войска, вторгшиеся в Ирак, не встретили почти никакого сопротивления, но что, если бы страна обладала кибероружием, которое она могла бы использовать в ответ? «Однозначно, это бы не изменило исход вторжения, но дало Ираку возможность хотя бы небольшой мести», – говорит он.30

Кроме разногласия по поводу вероятности возникновения цифровых атак на критически важную инфраструктуру, существуют также разногласия по поводу уровня ущерба, который могут нанести такие атаки. Леон Панетта и другие предупредили о цифровом Перл Харборе и кибер-9/11, которые посеют страх по всей стране. Но есть те, которые отмечают, что цифровое разрушение, о котором все так говорят, не так просто осуществить, как может показаться на первый взгляд. Проведение разрушительной атаки, которая будет иметь долгосрочные последствия, «является значительно более сложным мероприятием, нежели влететь в здание на самолете или завести грузовик, полный взрывчатки, на людную улицу», – отмечает У. Эрл Боберт, бывший эксперт по кибербезопасности Национальной лаборатории Сандия, в работу которого отчасти входило исследование таких сценариев. Сети и системы можно в мгновение ока вывести из строя, но их также можно относительно быстро восстановить. «Чтобы повысить вероятность успеха до той точки, при которой может быть принято рациональное решение действовать, требуется тщательная подготовка», – пишет он.31 Хотя можно утверждать, что для атаки 11 сентября потребовалось, по крайней мере, такое же тщательное планирование и координация, как для какой-то из разрушительных кибератак, хорошо спланированное цифровое нападение – даже с физическим разрушением – скорее всего, никогда не сможет сравниться с визуальным воздействием или пугающим эмоциональным эффектом, которые имели самолеты, летящие на башни-близнецы.

  Несмотря на риски и последствия использования цифрового оружия, по факту, публичного обсуждения вопросов, возникающих в связи с наступательными операциями, у правительства не было. Критики отмечают, что администрация Обамы куда более открыто обсуждает убийство Усамы бен Ладена, нежели распространяется о киберстратегиях и наступательных операциях страны. Когда во время слушаний по подтверждению назначения генерала Кейта Александра на пост главы Киберкомандования США в 2010 году были подняты вопросы о правилах применения цифровых атак, Александр отказался публично комментировать этот вопрос, и заявил, что ответит на него только на закрытом заседании.32 И хотя в открытом доступе существует множество фундаментальных руководств, которые охватывают вопросы ведения обычной войны, таких же руководств по цифровой войне найти у вас не получиться. Даже те, кто построил свою карьеру в секретных службах, отмечают крайнюю секретность этого вопроса. «Это может прозвучать странно с моих уст, учитывая мой опыт работы в АНБ, ЦРУ и так далее, но я думаю, что эта информация ужасно засекречена», – сказал бывший директор ЦРУ и АНБ генерал Майкл Хайден. «Истоки американской киберсилы лежат в американском разведывательном сообществе, и мы, откровенно говоря, привыкли работать в мире секретов и тайн. Боюсь, что эта культура повлияла на то, как мы относимся ко всем вопросам, связанным с кибероружием».

Без большей прозрачности, без готовности участвовать в дебатах о наступательных операциях у сторон, которые не имеют прямого интереса в продолжении операций, довольно-таки мало возможностей для оценки их успеха, неудач и рисков.

«В плане того, как можно провести такую атаку, Stuxnet выпустил джинна из лампы. Теперь вы можете нацелиться на любые виды устройств», – говорит один бывший государственный служащий. «Где это заканчивается? Не похоже, что за этими программами ведется какой-либо надзор. К сожалению, но ученые не выступают здесь сдерживающим средством. Они рады тому, что кто-то финансирует их исследования. Не думаю, что когда-нибудь видел, чтобы кто-нибудь задавался вопросом о том, что они делают. Не думаю, что все это было по-настоящему осознанно».

  О последствиях цифровой гонки вооружений, запущенной Stuxnet, или о последствиях выпуска оружия, которое может быть непредсказуемым и даже обращенным против самих Соединенных Штатов, не было никаких публичных дискуссий.

В отчете для Конгресса в 2011 году разведывательное сообщество отметило, что защитники компьютерных сетей в Соединенных Штатах постоянно проигрывают атакующим и никак не успевают за постоянно изменяющейся тактикой ведения нападения, которую они применяют. Эксплойты и методы эксплуатации развиваются слишком быстро, методы обнаружения и противодействия делают это не так быстро. И эта проблема будет только усугубляться по мере того, как страны будут разрабатывать и применять все более изощренные кибератаки. До сих пор развитие компьютерных атак определялось нововведениями в криминальном подполье, но это изменится, поскольку теперь объектами подражания и стимулами для будущих достижений станут такие атаки, как Stuxnet и Flame. Теперь, вместо того, чтобы правительственные хакеры учились новым методам у подполья, подполье будет набираться ценного опыта у правительства. А по мере разработки средств противодействия цифровому оружию потребность в производстве еще более совершенного оружия будет расти, что способствует дальнейшему развитию и инновациям в сфере цифрового оружия. Один американский чиновник назвал Stuxnet оружием первого поколения, наравне с «первыми лампочками Эдисона или Apple 2», предполагая, что его уже заменили более сложные и совершенные наработки.34

Преступное подполье извлечет выгоду из богатства финансируемых государством исследований и разработок, направленных на создание цифрового оружия и шпионских инструментов, как они уже сделали со Stuxnet и арсеналом тулзов, используемых вместе с ним. Например, после обнаружения Duqu в 2011 году, эксплойты, использующие уязвимость рендеринга шрифтов, появились в различных готовых вирусах, продаваемых в подпольных онлайн-магазинах. В течение года после того, как был обнаружен Duqu, это была наиболее часто используемая уязвимость, которую киберпреступники использовали для тайной установки банковских троянов и другого вредоносного ПО.35 Но даже когда негосударственные хакеры не могут бит-за-битом воспроизвести изощренную правительственную атаку, они все еще могут учиться и извлекать из этого пользу. Как показывает Microsoft, хакерам понадобилось всего три дня, чтобы воспроизвести неполную, но действующую версию взлома Центра обновления Windows, которую осуществил Flame.

Брэд Аркин, старший директор, отвечающий за безопасность продуктов и конфиденциальность Adobe, сказал, что в наши дни основная проблема безопасности его компании – это не киберпреступники из сети, а высококлассные хакеры, спонсируемые правительством, которые приходят с чемоданом, под завязку забитым нулевыми днями, готовые в два счета взломать программное обеспечение компании. «За последние восемнадцать месяцев единственные уязвимости нулевого дня, обнаруженные в нашем программном обеспечении, были обнаружены… да, отлично финансируемыми хакерами», – сказал он на конференции в 2011 году. «Это группы, у которых денег хватит даже на постройку собственного авианосца. Это наши основные противники».36 Эксплойты, используемые против продуктов Adobe, «очень, очень дорогие и сложны в создании», – говорит Аркин, и, как только они будут разработаны и использованы государственными взломщиками, о них тут же узнают все подпольные киберпреступники.

Главный кибервояка страны, генерал АНБ Александр, признал эту тенденцию на заседании комитета Сената в 2013 году. «Мы считаем, что остается лишь вопросом времени, когда профессиональные инструменты, разработанные хорошо финансируемыми государственными структурами, найдут свое применение для групп или даже отдельных лиц, которые в своем рвении сделать какое-то политическое заявление не знают границ, и не заботятся, или не знают, о сопутствующем ущербе, который они могут нанести случайным прохожим или критической инфраструктуре», – сказал он. Александр имел в виду первоклассные инструменты, которые такие страны как Китай, создают для нападения на Соединенные Штаты, но никто из комитета не спросил о его собственном вкладе в арсенал цифрового оружия, который будут применять преступные хакеры и хактивисты. Комитет также умолчал об этичности, последствиях накопления эксплойтов нулевого дня и сокрытии информации об уязвимостях безопасности от владельцев систем в США, чтобы правительство могло и дальше использовать их для атак на системы злоумышленников. Майкл Хайден отмечает существование некоего стратегического компромисса между наращиванием наступательного потенциала и усилением обороны. Одна из основных концепций, которые правительство традиционно использовало для достижения компромиссов в кинетической сфере – что также применимо и к киберсфере – это нечто, известное как NOBUS, или Nobody But Us («Никто кроме нас»).  

«Никто, кроме нас, не знает этого, никто, кроме нас, не может использовать это», – сказал он мне. «Насколько уникальны наши знания об этом или наша способность использовать это по сравнению с другими?… Да, это слабость, но если вам нужно завладеть полутора акром суперкомпьютеров Cray, чтобы использовать это…» Если бы это был NOBUS, говорит он, чиновники могли бы «позволить этому прокатить» и какое-то время пользоваться этой уязвимостью, в то же время прекрасно понимая, «что чем дольше это длится, тем больше посторонних людей фактически могут эксплуатировать эту уязвимость».

Но, учитывая нынешнее состояние компьютерной безопасности и количества производимых на Соединенные Штаты кибератак, Хайден сказал, что он готов признать, что, возможно, пришло время переоценить этот процесс.

«Если привычки агентства, которые были сформированы еще в доцифровую эпоху аналоговых технологий… являются привычками агентства, которое культурно слишком склонно к совершению преступлений в мире, в котором сейчас все уязвимы», говорит он, тогда правительство необходимо переоценить это.

В отчете, выпущенном советом по реформе системы наблюдения, созванным Белым домом после утечки информации Эдвардом Сноуденом, члены совета специально затронули этот вопрос и рекомендовали Совету национальной безопасности разработать процедуру контроля использования правительством нулевых дней. «Политика США, как правило, должна быть направлена на то, чтобы обеспечить быструю блокировку нулевых дней, оперативно исправляя основные уязвимости правительственных и других сетей США», – написала комиссия по обзору, отметив, что только «в редких случаях правительство США может на короткое время разрешить использование нулевых дней для высокоприоритетных операций по сбору разведывательной информации после их межведомственной проверки с участием всех соответствующих отделов».39 Они писали, что во всех случаях «в национальных интересах необходимо устранять уязвимости программного обеспечения, а не накапливать их разведывательными агентствами США». Группа также рекомендовала, чтобы кибероперации, проводимые Киберкомандованием США и АНБ, для обеспечения большей подотчетности и контроля, так же рассматривались Конгрессом, как и тайные операции ЦРУ.

Ричард Кларк, бывший царь кибербезопасности при администрации Буша и член комиссии, позже объяснил причины, по которым в их отчете было подчеркнуто использование нулевых дней. «Если правительство США обнаружит уязвимость нулевого дня, его первая обязанность – сообщить о ней американскому народу, чтобы они могли исправить ее, а не скрывать и использовать ее для взлома телефонной системы Пекина», – заявил он на одной из конференций по безопасности. «Первая обязанность правительства – защищать».40

В своей речи, обращаясь к отчету совета, президент Обама проигнорировал как рекомендации группы относительно обработки нулевых дней, так и проведения надзора над ними. Но во время слушаний по подтверждению кандидатуры вице-адмирала Майкла Роджерса в марте 2014 года для замены уходящего в отставку генерала Александра на посту главы АНБ и киберкомандования США, Роджерс заявил комитету Сената, что у шпионского агентства уже есть зрелый процесс обработки уязвимостей нулевого дня, обнаруженных в коммерческих продуктах и системах, и что агентство будет работать с Белым домом над разработкой нового межведомственного процесса для борьбы с этими уязвимостями. Он сказал, что политика АНБ состоит в том, чтобы полностью задокументировать каждую уязвимость, определить варианты смягчения последствий и подготовить предложения насчет ее исправления.41 По его словам, имея дело с нулевыми днями, важно, чтобы «баланс был склонен к снижению любых серьезных рисков, представляемых США и союзными сетями». А в случаях, где АНБ будет предпочтительней использовать нулевой день, а не раскрывать его, он сказал, что агентство попытается найти другие способы снижения риска для систем США, сотрудничая для этого с Министерством внутренней безопасности и остальными агентствами.

Спустя месяц в новостях сообщалось, что президент Обама скрыто опубликовал новую правительственную политику в отношении уязвимостей нулевого дня после разоблачений Эдварда Сноудена и отчета наблюдательного совета. Согласно этой новой политике, каждый раз, когда АНБ будет обнаруживать серьезную ошибку в программном обеспечении, оно обязано раскрывать уязвимость разработчикам, чтобы те могли пропатчить уязвимость. Но по правде говоря, эта политика далеко отстает от того, что рекомендовала наблюдательная комиссия, и содержит некие лазейки.43 Она применима только к уязвимостям, обнаруженным АНБ, без упоминания тех, которые могут быть обнаруженными государственными подрядчиками, а также к любым уязвимостям, имеющим «явную значимость для национальной безопасности или правоохранительных органов» и все еще может скрываться и использоваться правительством. Наблюдательный же совет рекомендовал, что эксплойты следует использовать только на временной основе и только для «сбора высокоприоритетной разведывательной информации», а затем раскрывать их общественности. Новая политика Обамы, однако, дает правительству возможность неразглашения количества уязвимостей нулевого дня и эксплойтов, которые уже находятся в арсенале цифрового оружия.

Еще одна проблема, даже не затронутая комиссией, заключается в подрыве доверия к цифровым сертификатам и системе Windows Update, виновниками чего являются Stuxnet и Flame.

Кристофер Согоян из ACLU сравнил взлом Центра обновлений Windows с тем, как ЦРУ хитро использовали прививание для убийства Усамы бен Ладена. В этом случае шпионское агентство, как сообщается, наняло в Пакистане врача, который распространял прививки для иммунизации в определенном районе, чтобы тайно собирать образцы ДНК у людей, которые живут в обнесенном стеной комплексе, где предположительно проживал бен Ладен.

Подобным образом взлом Центра обновления Windows и другие подобные атаки подрывают надежные системы и могут вызвать кризис доверия, который может привести к тому, что пользователи откажутся от систем, предназначенных для их же защиты.

«Автоматические обновления безопасности – это хорошо. Они защищают нас. Они защищают всех», – сказал Согоян находящимся на конференции слушателям после открытия Flame.44 «Какими бы ни были краткосрочными преимущества взлома процесса Windows Update, оно того не стоит».

Но Хайден утверждает, что иногда надежную систему стоит взламывать – в целях профилактики. Он говорит, что принял бы такое же решение, что и директор ЦРУ Леон Панетта, чтобы подорвать систему иммунизации и найти бен Ладена. «Я говорю вам, что такое своего рода принятие решений происходит постоянно», – говорит он. Хотя и признает, что «иногда мы можем ошибаться».

Как показывают отчеты, если Соединенные Штаты и в правду были ответственны за взлом Центра обновлений Windows в атаке Flame, есть вопросы о том, требовались ли для этого уведомление и согласие от Microsoft, перед тем, как цифровое оружие пошло в ход. Если компания и власть не дают своего согласия, американские спецслужбы не имеют права делать то, что может поставить под угрозу бизнес США. Они не могут, например, сделать IBM невольным сообщником, заставив агента выдать себя за сотрудника IBM, не проинформировав об этом руководство компании. «ЦРУ может сделать это», – утверждает Кэтрин Лотрионте, профессор права Джорджтаунского университета и бывший поверенный в Управлении генерального юрисконсульта ЦРУ, – «но, агентство должно уведомить об этом генерального директора, так как он или она имеет фидуциарные обязанности перед советом директоров компании».46

Если использование сертификата Microsoft с цифровой подписью считалось «операционным использованием» американской компании – поскольку оно предполагало использование легитимных учетных данных Microsoft для выдачи мошеннического файла за законный файл Microsoft – тогда Microsoft, возможно, нужно было бы уведомить. «Это зависит от того, что именно используется в технологическом мире», – говорит Лотрионте. «Мы знаем, как это выглядит в обществе, но этот технический бизнес – он сложнее».

После обнаружения вируса некоторые исследователи задались вопросом, могли ли в Microsoft заранее знать об атаке на Центр обновления Windows. Но другие отмечают, что, если бы Microsoft лично одобрила операцию, то для получения сертификата у правительственных вирусописателей не было бы необходимости сталкиваться с проблемой коллизии хэша MD5 – если только хэш MD5 не дает Microsoft правдоподобного отрицания сотрудничества.

«Вопрос в том, согласилась ли Microsoft на сотрудничество с правительством?», – задается вопросом Лотрионте. «Вот что меня беспокоит. Разведывательное сообщество попробует все варианты, и я часто задаюсь вопросом, почему компании так рискуют собой. Я думаю над тем, было ли это оперативным использованием, и была ли компания уведомлена о происходящем, это на самом деле интересно».

Источники, больше осведомленные о ситуации, говорят, что Microsoft не была уведомлена и не предоставляла никаких разрешений на проведение операции. «Если бы это произошло, это поставило бы точку на существовании компании», – сказал один из информаторов. «Это тот риск, который не возьмет на себя ни один сотрудник компании». Он также назвал вмешательство правительства в процесс сертификации Microsoft «безответственным» и «шокирующим».

«Мы плыли в очень бурных водах», – говорит он. «Ребята, которые совершают такие действия, создают проблемы для частного сектора, о существовании которых, я уверен, они даже не задумываются».

Но взлом такой гигантской компании как Microsoft не только подорвал отношения между компанией и ее клиентами, но и противоречил заявленному правительством обязательству по усилению компьютерной безопасности в Соединенных Штатах.

В 2011 году Белый дом опубликовал свою Международную стратегию для киберпространства, всеобъемлющий документ, излагающий президентское видение интернета, в котором подчеркивается ответственность правительства за помощь в повышении безопасности и устойчивости сетей и систем. Частично это было реализовано путем установления ответственных норм поведения и создания системы для обмена информацией об уязвимостях между государственным и частным сектором. Но Джейсон Хили утверждает, что действия правительства ставят под сомнение его искренность.

«Если вы выступаете с политикой, которая подрывает систему сертификации Microsoft, подрывает Центр обновления Windows, для распространения вредоносных программ, то вам будет трудно добиться того, чтобы американское киберпространство было более безопасным и устойчивым», – говорит Хили. «В некотором смысле я чувствую, что толпа в Форт-Миде – израильские поселенцы – не имеет значения, какова официальная политика, они могут выйти, они могут захватить эти холмы, и они жонглируют фактами как им угодно… Если мы когда-нибудь собираемся иметь защиту лучше, чем нападение, некоторые вещи должны стать неприкосновенными… Но, если вы считаете, что все в порядке, если вы намеренно создаете этот кризис доверия… это просто будет отбрасывать нас назад».

Хили утверждает, что бесцеремонный подход к наступательным операциям, который подрывает безопасность и доверие к критически важным системам, создает большую вероятность того, чтобы киберпространство стало полем для стычек и партизанской войны. «Нам стоит думать о том, чтобы кибератаки были не просто хорошими, но, чтобы они стали лучшими. И место, где киберпространство – это не просто Дикий Запад, это Сомали». 

Не все согласятся с утверждением Хили и Согоян о том, что некоторые системы должны быть запрещены. В аналоговом мире есть параллели, например, ЦРУ использует недочеты в дверных замках, сейфах и системах безопасности зданий для получения и сбора информации. Никто и никогда не предлагал ЦРУ раскрывать эти недочеты поставщикам, чтобы те их исправили.

Но без законодателей или соответствующего независимого правительственного органа, задающего правильные вопросы для защиты долгосрочных интересов безопасности и доверия в Интернете, дискуссии о наступательных операциях страны происходят только среди инсайдеров, в интересах которых постоянно расширять границы возможного, а не ограничивать их. «Все эти люди [которые принимают эти решения] имеют высокий уровень допуска к принятиям вопросов относительно безопасности страны, и вероятно, только несколько из них хотя бы один день проработали в реальном частном секторе, где им действительно приходилось защищать критически важную инфраструктуру Америки», – говорит Хили. «Таким образом, им очень легко дается принятие этих решений, и они продолжают идти дальше и дальше… потому что правительство получает все выгоды. Если мы используем нулевой день из Flame – правительство получит из этого выгоду. Именно частный сектор подвергнется контратакам и пострадает от законов, разрешающих кибератаки, которые сейчас пишет правительство США.

 Если Белый дом и Вашингтонский Капитолий не обеспокоены тем, как действия правительства подрывают безопасность компьютерных систем, они могут быть обеспокоены другими последствиями наступательных операций правительства. Как заметил Стивен Кобб, старший исследователь безопасности в компании ESET, «когда наше собственное правительство увеличивает угрозу атаки вредоносного ПО, это еще больше усугубляет эрозию доверия, подрывающую цифровую экономику страны».

Поскольку кибероперации настолько строго засекречены, то неясно, какой вид контроля – со стороны военных или законодателей – в настоящее время применяется для предотвращения происшествий и какие расследования проводятся, если происшествия все-таки происходят.

Хайден утверждает, что надзор довольно обширный. «Когда я был в правительстве, за кибероружием настолько сильно следили, что, по моему мнению, было бы чудом, если бы им удалось его когда-либо использовать… На самом деле это было лишь препятствием на пути к уместному и правильному использованию нового вида оружия, слишком трудно было достичь какого-то консенсуса».

В 2011 году – спустя более чем через три года после выпуска первой версии Stuxnet – Пентагон и Белый дом наконец предприняли первые шаги для решения этой проблемы. Тогда, как сообщается, Министерство обороны составило засекреченный список всех видов кибероружия и цифровых инструментов, имеющихся в их распоряжении, и начало составлять давно необходимые рамки того, как и когда они могут быть использованы.49 Военные регулярно составляли список одобренных видов классического оружия, но это был первый раз, когда в этот список было включено кибероружие. Как сообщает Washington Post, один высокопоставленный военный чиновник назвал это наиболее значительным достижением в военной кибердоктрине последних лет.

Затем, в 2012 году, президент подписал секретную директиву, устанавливающую несколько новую политику относительно компьютерных сетевых атак, подробности которых мы знаем только благодаря слитым Эдвардом Сноуденом секретным документам.50 Согласно директиве, использование кибероружия вне войны требует президентского одобрения, но во время войны военное руководство имеет право принятия быстрых решений по своему усмотрению. Цифровые атаки должны быть пропорциональны угрозе, а также ограничивать сопутствующий ущерб и избегать жертв среди гражданского населения – параметры, которые по-прежнему оставляют военным большую свободу действий. Любая цифровая атака, которая может нарушить работу, уничтожить или контролировать компьютеры, или «с большой долей вероятности может привести к серьезным последствиям», также требует личного одобрения президента. К серьезным последствиям относятся гибель людей, повреждение имущества и серьезные экономические последствия, а также возможные ответные меры против Соединенных Штатов или неблагоприятные последствия для внешней политики.

Президентское разрешение также требуется для установки в чужие системы логических бомб или маркеров для их последующей атаки. Но оно не требуется для проведения любых шпионских операцией, целью которых является сбор данных или маппинг сети, если только в ходе операции не будет использоваться червь или другое вредоносное ПО, имеющее возможность распространения. Примечательно, что прежде чем действовать, военные обязаны взвесить возможные последствия операции для стабильности и безопасности интернета, а также установить нежелательные нормы международного поведения. Хотя некоторые могут возразить, что Stuxnet и Flame уже нарушили это руководство и установили нежелательные нормы поведения, Герберт Лин, эксперт по кибербезопасности из Национального исследовательского совета, отмечает, что в директиве говорится только о том, что военное руководство должно только задавать вопросы о том, может ли операция установить нежелательные нормы. «Установление нежелательной нормы на самом деле могло быть ценой, которую они готовы были заплатить, чтобы остановить иранскую ядерную программу», – говорит он о Stuxnet и Flame.

Однако президентская директива касается только использования кибероружия военными. Все ограничения, описанные в ней, не касаются спецслужб, таких как АНБ и ЦРУ, а также правоохранительных органов, таких как ФБР и Секретная служба. И хотя она устанавливает общие правила проведения наступательных военных киберопераций, она не затрагивает вопросов, которые возникают при необходимости Соединенных Штатов реагировать на цифровую атаку. В 2011 году чиновники Пентагона сделали по крайней мере один шаг в этом направлении, объявив, что любая цифровая атака на Соединенные Штаты, которая приведет к отключению электросетей или человеческим жертвам, будет считаться актом войны и получит соответствующий ответ со стороны Штатов – даже применение кинетического военного оружия, если этого потребует ситуация, с использованием «всех необходимых средств». Другими словами, как выразился один военный чиновник: «Если вы тронете нашу энергосистему, возможно, мы захотим сбросить ракету в дымовую трубу одного из ваших заводов». По крайней мере, они не утверждали, как это сделал Объединенный комитет начальников штабов в заявлении от 2004 года, что Соединенные Штаты оставляют за собой право ответить на некоторые кибератаки с применением ядерного оружия. Лин указывает, что эта формулировка исчезла из последующих заявлений Объединенного комитета начальников штабов, но члены Совета по оборонной науке явно надеялись возродить ее, когда в 2013 году заявили, что Соединенные Штаты не должны исключать ядерный ответ. Пожалуй, хорошо, что Научный совет – всего лишь консультативная группа, не имеющая права голоса в политике США.

Хотя утечка Сноудена президентской директивы намекает на некоторые вопросы, которые правительство задает для решения этих проблем, общественность все-равно плохо понимает, на какие вопросы ответы уже есть, а какие остались нерешенными. Лин утверждает, что ради прозрачности происходящего некоторые важные разговоры можно сделать достоянием общественности, не навредив при этом секретным операциям. «Фактически, мы могли провести дискуссию о том, что на самом деле сейчас делает правительство США», – говорит он. Киберкомандование США и АНБ также вполне могут предоставить примеры обстоятельств, при которых они будут использовать кибероружие, или обстоятельства, при которых они накапливают информацию об уязвимостях нулевого дня, и сравнить эти условия с тем, когда они могут позволить раскрыть информацию об уязвимости ее разработчику для исправления. Также было бы важно знать, где правительство проводит черту в компрометации надежных систем, которые имеют решающее значение для целостности интернета – если оно вообще проводит какую-то черту.

«Сенаторы и конгрессмены должны быть осведомлены об этом», – говорит Лин, не говоря уже о простом народе. «Где-то должен существовать отчет обо всех кибератаках, которые США проводят с какой-либо целью… который сообщал бы всем, что было атаковано и при каких обстоятельствах… Его можно засекретить, но, по крайней мере, это станет первым шагом к лучшему пониманию того, чем на самом деле сейчас занимается правительство США». Законодатели, такие как члены палаты представителей Майк Роджерс, и вовсе настаивают на том, чтобы Конгресс провел частные обсуждения кибердеятельности правительства. Но до сих пор Капитолий не проявлял особого интереса к проведению хотя бы элементарных публичных обсуждений наступательных операций правительства. «Я безоговорочно считаю, что должен состояться полноценный разговор о доктрине и правилах ведения боевых действий», – сказал в 2011 году, перед проведением президентских выборов, генерал ВВС США Роберт Келер, нынешний глава Стратегического командования США. «Я не говорю, что должна быть раскрыта вся информация».

Однако, хотя США и другие страны начали бить в барабан кибервойны, без ответа остались не только вопросы политики. Многие юридические вопросы, связанные с проведением цифровых операций, так же до сих пор остаются нерешенными.

Некоторые, например, основатель «Лаборатории Касперского» Евгений Касперский, призвали к заключению договора об использовании кибероружия, который бы контролировал использование цифрового оружия и устанавливал нормы его применения. Но, как отмечалось ранее, помимо этого существуют очевидные проблемы с попытками контролировать накопление нефизического оружия. Правительства могут подписывать договоры о прекращении распространения ядерного оружия и использовать спутниковые снимки и инспекторов ООН для отслеживания перемещения ядерных материалов. Но спутники никак не отследят перемещение цифрового оружия, а таможенные проверки не смогут обнаружить контрабанду вирусов через границу. Также никто не может отслеживать всех участников киберпространства, которые могут появиться с целью эксплуатировать уязвимости в критически важных инфраструктурных системах, обнаруженных Stuxnet.

Что касается разработки новых законов, регулирующих использование кибератак странами мира, эксперты в области права, похоже, сходятся во мнении, что существующие законы ведения войны будут работать нормально – просто необходимо разработать новые интерпретации этих законов для решения проблем киберпространства.

В 2013 году группа из двадцати международных экспертов по правовым вопросам, созванная институтом, сотрудничающим с НАТО, попыталась сделать это. Результатом стало трехсот страничное Таллиннское руководство (Tallinn Manual), призванное помочь военным юрисконсультам в странах-членах НАТО разработать кибердоктрину для своих армий.56 Но несмотря на объем руководства, многие вопросы остались незатронутыми. Немного спустя эксперты обнаружили, что, хотя некоторые кибератаки имеют явные параллели с обычными атаками в физическом пространстве, есть также такие, которые совсем выбиваются из привычных норм ведения войны.

Например, в соответствии с Законом о вооруженных конфликтах Устава ООН они определили, что взлом системы управления плотиной с целью сброса воды в долину равносилен разрушению дамбы с помощью взрывчатки. А запуск атаки через прокси-систему, расположенную в нейтральной стране будет равносилен тому, как армия не может пройти через территорию нейтральной страны для нападения на противника. Они также определили, что, чтобы квалифицировать атаку как силовой акт, она должна была причинить физический либо личный ущерб – простое стирание жестких дисков, если оно не привело к физическому повреждению или травме, не квалифицируется. Но как насчет атаки на Уолл-стрит, которая вполне могла бы нанести непоправимый ущерб по экономике страны или была бы направлена на это? Здесь они поняли, что юридические воды не так прозрачны. Некоторые эксперты квалифицировали такую атаку, другие были менее уверены в этом.

Эксперты также разделили силовой акт и вооруженное нападение. Хотя последнее, логично, считается более серьезным, оно было определено нечетко. Обычно об этом толкуется как относящееся только к наиболее серьезным применениям силы, о которых судят постфактум – по последствиям нападения. Согласно статье 24 Устава ООН, страны могут ответить на силовой акт только с помощью ненасильственных контрмер, таких как применение экономических санкций или разрыв дипломатических отношений с государством-нарушителем.

Однако в соответствии со статьей 51, каждое государство имеет право использовать все меры защиты, также смертоносные, – индивидуально или коллективно от имени союзников – если оно или его союзник подвергается вооруженному нападению, при условии, что ответ необходим и соразмерен первоначальному нападению противников, и происходит, пока сохраняется угроза исходной атаки или существует угроза атаки в будущем. Что касается того, какой уровень ущерба квалифицируется как вооруженное нападение, и, следовательно, оправдывает смертельный ответ – жертва должна определить порог лично и оправдать свое решение перед Организацией Объединенных Наций.57 А как насчет нападения, которое призвано причинить большой вред? Ракета, запущенная одной страной против другой, которая уничтожается ответной ракетой Patriot не достиг при этом цели, все еще является попыткой вооруженного нападения. Верно ли то же самое в реалиях киберпространства? Кэтрин Лотрионте говорит «нет», поскольку решающими есть последствия нападения, а не его наличие как факт. Но Гэри Браун, старший юрисконсульт Киберкомандования США с 2010 по 2012 год, говорит, что это, вероятно, будет считаться вооруженным нападением: «если вы можете аргументировать, что кибератака имела кинетический эффект».58

А как насчет шпионажа? Согласно международному праву и политике США шпионаж не является актом войны. Но поскольку шпионаж может быть прелюдией к разрушительной атаке, как это было со Stuxnet и шпионскими инструментами, которые злоумышленники использовали для сбора разведданных для этой операции, могло ли обнаружение шпионских инструментов в системе указывать на намерение провести вооруженную атаку? Согласно нынешней доктрине, вооруженное нападение должно быть уже протекающим или неизбежным, чтобы в ответ можно было применить смертельное оружие. Но что определяет неизбежность? После катастрофы 11 сентября Соединенные Штаты заявили, что вторжение в Афганистан, в соответствии со статьей 51, было актом самообороны, поскольку в стране проживали лидеры «Аль-Каиды», которые, как считалось, планировали дополнительные удары по США.

В чем единодушно согласились таллиннские эксперты, так это в том, что Stuxnet был силовым актом, который, вероятно, нарушал международное право. Однако они разделились во мнениях относительно того, было ли это вооруженным нападением. Если считать его вооруженным нападением, то Иран имел бы право защищаться от цифрового нападения с помощью ответного удара – цифрового или кинетического – до тех пор, пока он был пропорционален ущербу, нанесенному Stuxnet за все время воздействия вируса. Как только атака прекратилась и не было очевидным нападение в скором будущем, то есть после того, как оружие было обнаружено и обезврежено, правильным ответом стала бы дипломатия или какая-то другая мера, не использующая физической силы.

Официальная политика США, в отличие от интерпретации таллиннских экспертов, не делает различия между актом применения силы и вооруженным нападением – они считаются одним и тем же. Согласно этой интерпретации, Stuxnet был незаконным вооруженным нападением, и Иран мог бы вполне отреагировать ответными мерами в порядке самообороны. Однако это также означает, что, если бы кто-то применил против Соединенных Штатов такое оружие как Stuxnet, правительство США сочло бы это вооруженным нападением, что из слов Лотрионте, беспокоит её.

Некоторые выводы Таллиннского руководства вызвали противоречивую реакцию. Мартин Либицки, эксперт по кибервойне из корпорации RAND, сомневается в целесообразности разрешения киберконфликтов с помощью кинетических атак. Он задается вопросом, не разумнее ли применить «правило Лас-Вегаса» к кибервойне, чтобы все, что происходит в киберпространстве, оставалось в киберпространстве. «Вероятность эскалации конфликта будет намного меньше, если вы останетесь в киберпространстве, и не будете переносить конфликты из интернета в реальность», – говорит он. «Таким образом, правило, которое гласит, что на кибероружие вы можете ответить лишь кибероружием, ограничивает возможные риски и последствия».

Лотрионте, однако, говорит, что вид контратаки не имеет никакого значения, поскольку эскалация контролируется тем фактом, что ответный удар должен быть оправданным и пропорциональным. «Оправданность означает, что вы должны установить, что другого способа устранить угрозу нет», – говорит она. «Вы не можете переговорить, не можете наложить санкции или позвонить в Совет Безопасности. Если есть какой-либо другой способ остановить атаку, вы должны использовать его и избегать применения силы. Вот как можно остановить эскалацию».

Другие и вовсе указывают на сложность применения обычных законов ведения войны к киберсфере, где атрибуция является проблемой. Закон вооруженного конфликта требует, чтобы атакующий был идентифицирован для проведения контрмер. Хотя причастность к кибератаке всегда можно атрибутировать – если не с помощью криминалистических, так с помощью разведывательных средств – анонимный характер атаки заставляет быстро реагировать на неё, пока угроза остается актуальной.

«Дымящееся ружье сложно разглядеть; разглядеть дымящуюся клавиатуру еще сложнее» – заявил в Конгрессе Фрэнк Киллаффо, директор Института политики внутренней безопасности Университета Джорджа Вашингтона. Киберпространство, говорит он, «создано для правдоподобного отрицания».

Если всего этого было недостаточно, чтобы усложнить проблему с развязыванием кибервойны, то есть и другие проблемы, связанные с отсутствием четкого понимания того, что представляет собой кибероружие. В мире кинетического оружия – это то, что может повредить, разрушить, убить или ранить, что сильно отличается от последствий шпионажа. Но Гэри Браун отмечает, что большинство действий в киберпространстве выполняются «парнем, сидящим за клавиатурой и набирающим какие-то команды» и делает все, от установки вредоносного ПО и уничтожения данных до уничтожения и повреждения систем и оборудования, которым она управляет. «Означает ли это, что программное обеспечение или метод, которые мы использовали для доступа к системе, превратились в оружие?» – спрашивает он. «Это означало бы что почти все в интернете можно назвать оружием. Это очень сложный вопрос. Я не думаю, что мы хорошо справимся с этой проблемой».

Браун говорит, что отсутствие ясности в отношении того, что представляет собой цифровое оружие и кибератаки в целом, в отличие от шпионажа, повышает риск эскалации ответных мер, поскольку методы и инструменты, которые используются для шпионажа и разрушительных атак в цифровой сфере, могут быть неотличимы для жертвы».63

«Традиционный шпионаж менее склонен к эскалации, банально потому, что его лучше понимают», – говорит он. «Даже если вы перережете проволоку на границе, на цыпочках войдете в офис и украдете файлы… это не будет выглядеть на акт войны… В киберпространстве, если кто-то получил доступ к критически важным системам, возможно, к системе управления на ядерном заводе… может они просто осматриваются. Или, может быть, они планируют вывести систему из строя и спровоцировать ядерный взрыв… Меня беспокоит такая эскалация».

Очевидно, что Stuxnet и перспектива цифровой войны подняли множество проблем, которые еще предстоит решить. И если вам кажется, что Соединенные Штаты опаздывают с их рассмотрением, то не они одни такие. «В Европе есть страны, которые даже близко не подошли к написанию подобных законов», – говорит Лотрионте.

За годы, прошедшие с тех пор, как впервые был обнаружен Stuxnet, многое изменилось – не только для военных, но и для охотников за вредоносным ПО. Для исследователей, которые потратили столько времени на реверс-инжениринг и анализ Stuxnet и сопутствующих ему шпионских инструментов, полное разоблачение червя было несравненным удовольствием, которое к тому же расширило границы исследования киберугроз. Но это также безвозвратно изменило характер их профессии, придав ей невиданный ранее уровень риска и политизацию.

В одной из заключительных командных оценок Stuxnet, Эрик Чиен и его коллеги из Symantec написали, что они не могут точно сказать, приведёт ли Stuxnet к новому поколению реальных атак, нацеленных на критическую инфраструктуру, или всё же это был одиночный случай, на повторение которого могут уйти десятилетия. Это был тот тип угрозы, говорит он, «который мы надеемся никогда больше не увидеть».

К счастью, на момент публикации этой книги не было никаких признаков ударов по системам промышленного контроля, о которых предупреждал Ральф Ленгнер, также, как и не было никаких признаков каких-либо других типов подобных цифровых атак со стороны Соединенных Штатов или кого-либо ещё. Stuxnet до сих пор считается единственным известным случаем кибер-нападения. Но это может измениться в любой момент, поскольку цифровой ящик Пандоры уже открыт…

Сноски, ссылки и используемая литература:

1.    “Remarks by the President on Securing Our Nation’s Cyber Infrastructure,” 29 мая, 2009, доступно по адресу: https://www.whitehouse.gov/the-press-office/remarks-president-securing-our-nations-cyber-infrastructure. Утверждение о том, что киберзлоумышленники погрузили иностранные города во тьму, часто повторяется многими чиновниками, но оспаривается – хотя это не мешает чиновникам продолжать повторять его. Впервые это заявление было сделано старшим аналитиком ЦРУ Томом Донахью во время выступления на конференции для профессионалов в области кибербезопасности в 2008 году: «У нас есть информация, что кибератаки использовались для вывода из строя энергетического оборудования в нескольких регионах за пределами США», – говорит он. «По крайней мере в одном случае сбой вызвал отключение электроэнергии в нескольких городах». Он также сказал, что за вторжением «последовали требования о вымогательстве». (Смотрите Томас Клэбэрн, «“CIA Admits Cyberattacks Blacked Out Cities,” InformationWeek, 18 января, 2008, доступно по адресу: http://www.informationweek.com/cia-admits-cyberattacks-blacked-out-cities/d/d-id/10635137.) Донахью так и не назвал страну, где произошли атаки, но в 2009 году 60 Minutes идентифицировали, что это Бразилия, утверждая, что в 2007 году в Эспириту-Санту было отключение энергии, оставившее без электричества 3 миллиона человек, которое было вызвано хакерами. (Смотрите “Cyber War: Sabotaging the System,” 60 Minutes, 6 ноября, 2009, доступно по адресу: http://www.cbsnews.com/news/cyber-war-sabotaging-the-system-06-11-2009.) Другие утверждают, что Донахью вместо этого имел в виду отключение в Бразилии в 2005 году. Согласно двум источникам, с которыми я общался в 2009 году, у которых 60 Minutes брали интервью для их шоу, новостной журнал отправил продюсера в Бразилию, чтобы тот попытался проверить заявление о хакерах/вымогательстве, но так и не смог докопаться до правды; зрители об этом уведомлены не были. Правительство Бразилии оспорило утверждение сразу после выхода в эфир шоу 60 Minutes, указав на огромный отчет об отключении питания в 2007 году, в котором его связывают с техническими проблемами и отказом оборудования. Furnas, бразильская энергетическая компания, столкнувшаяся с отключением электроэнергии, является клиентом Марсело Бранкиньо, который в то время управлял единственной в Бразилии фирмой по кибербезопасности. Бранкиньо сказал мне, что нет никаких доказательств того, что отключение электроэнергии было вызвано чем-либо, кроме отказа оборудования. «У нас есть полный доступ к документации и правительственным отчетам о расследовании того, что произошло во время двух этих отключений», – сказал он мне в октябре 2011 года, имея в виду инциденты 2005 и 2007 годов. «Нет ни одного свидетельства о том, что там побывали хакеры. Оба инцидента произошли из-за проблем с оборудованием, а не с программным обеспечением». Более того, он говорит, что подстанция, пострадавшая в результате отключения электроэнергии в 2007 году даже не имела автоматизированной системы SCADA, которой могли бы завладеть хакеры. «Там было только оборудование, поэтому там банально не было чего взламывать», – говорит он. «Я не утверждаю, что мы не можем быть взломаны. Как раз таки можем, и очень даже легко. Но… в этом случае все доказательства говорят о том, что нас не взламывали». Возможно, истории с отключениями электроэнергии вызванные хакерами были перепутаны с реальным инцидентом кибервымогательства, произошедшем в 2005 или 2006 году, но в том случае не было никакого отключения. Директор департамента информации и связи внутренней безопасности Бразилии сообщил Wired.com, что в этом случае злоумышленники взломали машину в правительственном учреждении, используя дефолтный пароль и удалили файлы с машины. Они оставили записку о выкупе за возвращение данных. Но опять же, в этом инциденте не шло речи ни о каком отключении электроэнергии. Смотрите Марсело Соарес, “WikiLeaked Cable Says 2009 Brazilian Blackout Wasn’t Hackers, Either,” Wired.com, 6 декабря, 2010, доступно по адресу: http://www.wired.com/2010/12/brazil-blackout.

2.    Дэвид Э. Сэнгер, “Obama Order Sped Up Wave of Cyberattacks Against Iran,” New York Times, 1 июня, 2012.

3.    “Iran’s Supreme Leader Tells Students to Prepare for Cyber War,” Russia Today, 13 февраля, 2014, доступно по адресу: http://www.rt.com/news/iran-israel-cyber-war-899.

4.    Эллен Накашима, “Pentagon to Boost Cybersecurity Force,” Washington Post, 27 января, 2013.

5.    Эллен Накашима, “With Plan X, Pentagon Seeks to Spread U.S. Military Might to Cyberspace,” Washington Post, 30 мая, 2012.

6.    Интервью с Майклом Хайденом в «Stuxnet: Computer Worm Opens New Era of Warfare,» 60 Minutes, CBS, впервые вышедшее в эфир 4 июня 2012 года, доступно по адресу: http://www.cbsnews.com/8301-18560_162-57390124/stuxnet-computer-worm-opens-new-era-of-warfare/?tag=pop;stories.

7.    Выступление в 1862 году после битвы при Фредериксбурге.

8.    Кевин Хейли, Internet Security Predictions for 2011: The Shape of Things to Come,” Symantec blog, 17 ноября, 2010, доступно по адресу: http://www.symantec.com/connect/blogs/internet-security-predictions-2011-shape-things-come.

9.    Кеннетт Бенедикт, “Stuxnet and the Bomb,” Bulletin of the Atomic Scientists, 15 июня, 2012, доступно по адресу: http://www.thebulletin.org/stuxnet-and-bomb.

10. Есть способы уменьшить этот риск, тщательно зашифровав цифровое оружие, чтобы не дать случайным пользователям, завладевшим кодом, перепроектировать его. Цифровое оружие должно расшифровать себя, чтобы освободить полезную нагрузку только тогда, когда обнаружит систему, на которую оно было нацелено, при этом ключи для этого не обязательно должны быть внутри самого оружия, как это было со Stuxnet. Вместо этого лучшим вариантом являлся тот, который использовал Gauss – использование сложной схемы шифрования, которая использовала фактическую конфигурацию системы, на которую он нацелен, для генерации ключа дешифрования. Gauss доставлял и освобождал свою полезную нагрузку только после обнаружения конкретной конфигурации. Это, конечно, не сработает, если конфигурация целевой системы изменится, тем самым обезвредив вирус, поэтому такой способ стоит использовать на системах, в неизменности конфигурации которых полная уверенность. Кроме того, чтобы ограничить уязвимость цифрового оружия после того, как оно будет расшифровано в системе, на которую оно нацелено, можно внедрить в него модуль самоуничтожения, который запускался сразу после того, как оно выполняло свою миссию и не задерживалось в системе дольше, чем это было необходимо. Однако это работает не для всех видов оружия. Stuxnet, например, для достижения цели необходимо было оставаться на машине в течение длительного времени. Но это будет хорошим вариантом для остальных вирусов, которые наносят урон быстро.

11. Маркус Ранум , “Parsing Cyberwar—Part 4: The Best Defense Is a Good Defense,” опубликованный на его блоге Fabius Maximus, 20 августа, 2012, доступно по адресу: http://www.fabiusmaximus.com/2012/08/20/41929.

12. Грант Гросс, “Security Expert: US Would Lose Cyberwar,” IDG News Service, 23 февраля, 2010, доступно по адресу: http://www.computerworld.com/s/article/9161278/Security_expert_U.S._would_lose_cyberwar.

13. Хотя системы управления Siemens не так широко используются в Соединенных Штатах, как в других частях мира, системы управления, которые преобладают на производственных объектах в Соединенных Штатах, работают по тем же принципам с некоторыми из тех же недостатков. Злоумышленнику просто нужно будет изучить систему, чтобы найти лучший способ вторжения, что уже сделали большое количество исследователей безопасности за все те годы, которые прошли с момента обнаружения Stuxnet.

14.Джерри Смит, “Stuxnet: U.S. Can Launch Cyberattacks but Not Defend Against Them, Experts Say,” Huffington Post, 1 июня, 2012, доступно по адресу: http://www.huffingtonpost/com/2012/06/01/stuxnet-us-cyberattack_n_1562983.html.

15. Подготовленное заявление для подкомитета стратегических сил комитета Палаты представителей по вооруженным силам для слушания 17 марта 2009 г., доступно по адресу: https://www.govinfo.gov/content/pkg/CHRG-111hhrg51759/html/CHRG-111hhrg51759.htm.

16. В августе 2012 года разрушительный вирус под названием Shamoon поразил машины в Saudi Aramco, национальной нефтегазовой компании Саудовской Аравии, и стер все данные с более чем 30 тысяч машин – атака, которая стала ярким напоминаем того, как любая машина, подключенная к интернету, может стать эпицентром разрушения в политическом споре и как сложно впоследствии идентифицировать нападающих. Вирус не просто стер все данные с компьютеров, он заменил каждый файл изображением с горящим флагом США, хотя ошибка в коде не позволяла полностью развернуть изображению флага на зараженных машинах. Вместо этого при открытии файлов появлялся только фрагмент изображения, остальная его часть просто отсутствовала. Правительство США обвинило Иран в организации теракта, но не представило никаких доказательств в пользу своего утверждения. Атака могла быть запущена Ираном в качестве возмездия за атаку Wiper, в результате которой были стерты данные с машин в Министерстве нефти Ирана и Иранской национальной нефтяной компании четырьмя месяцами ранее, или также это могло быть ответом на Stuxnet, нацеленным на союзника США, который был менее способным атаковать в ответ. Или же, это могла быть просто работа группы хактивистов, выступающих против внешней политики США на Ближнем Востоке (группа хакеров, называющих себя Cutting Sword of Justice, взяла ответственность за нападение на себя). Возможно даже, что эта операция «под чужим флагом» была инициирована другим государством, чтобы сделать виноватым Иран (документы АНБ, опубликованные Эдвардом Сноуденом, раскрывают, что Великобритания иногда использует операции «под чужим флагом», чтобы возложить вину на третьи стороны).

17. В августе 2008 года армия компьютеров с российскими IP-адресами начала распределенные атаки типа «отказ в обслуживании», в результате которых были отключены грузинское правительство и веб-сайты СМИ, что лишило правительство возможности общаться со своим населением. Выбор времени для атак, непосредственно перед вторжением России в Южную Осетию, для многих был достаточным доказательством того, что цифровая кампания была частью военного наступления.

18. В конце концов, разработчики симуляции показали, что непонятная сеть компьютеров, стоящих за кибератаками, была ключевой частью их стратегии. Согласно их плану, именно Аль-Каида фактически начала первые атаки на Израиль в надежде на эскалацию напряженности между Израилем и поддерживаемой Ираном Хезболлой в Ливане. Но нападение на США совершил Иран. Последнее было сделано таким образом, чтобы создать впечатление, будто это сделал Израиль с намерением подставить Иран. США должны были думать, что Израиль использовал самый грязный трюк – нанес удар по США, чтобы указать пальцем на Иран и заручиться поддержкой США для израильского авиаудара по Тегерану.

19. Барбара Опалл-Рим, “Israeli Cyber Game Drags US, Russia to Brink of Mideast War,” Defense News, 14 ноября, 2013, доступно по адресу: http://www.defensenews.com/article/20131114/DEFREG04/311140020/Israeli-Cyber-Game-Drags-US-Russia-Brink-Mideast-War.

20.“Israel Combats Cyberattacks, ‘Biggest Revolution in Warfare,’ ” UPI, 31 января, 2014, доступно по адресу: https://www.upi.com/Business_News?Security-industry/2014/01/31/Israel-combats-cyberattacks-biggest-revolution-in-warfare/UPI-24501391198261/.

21. Маркус Ранум, “Parsing Cyberwar—Part 3: Synergies and Interference,” опубликованный на его блоге Fabius Maximus, 13 августа, 2012, доступно по адресу: http://www.fabiusmaximus.com/2012/08/13/41567.

22. Томас Рид, “Think Again: Cyberwar” Foreign Policy, март/апрель 2012.

23. Интервью автора с Энди Пеннигтоном, ноябрь 2011.

24. Джеймс А. Льюис, “Cyberwar Thresholds and Effects,” IEEE Security and Privacy (сентябрь 2011): 23–29.

25. Томас Рид, “Think Again: Cyberwar.”

26. Эта и другие цитаты Хили взяты из интервью автора, октябрь 2013 г.

27. Джулиан Барнс, “Pentagon Digs In on Cyberwar Front,” Wall Street Journal, 6 июля, 2012.

28. Джеймс А. Льюис во время выступления перед Подкомитетом по кибербезопасности, защите инфраструктуры и технологиям безопасности, 16 марта, 2012, доступно по адресу: http://www.homeland.house.gov/sites/homeland.house.gov/files/Testimony%20Lewis.pdf.

29. Джеймс А. Льюис, “Thresholds for Cyberwar,” Center for Strategic and International Studies, September 2010, доступно по адресу: http://www.csis-org/publication/thresholds-cyberwar.

30. Смотрите предыдущую сноску.

31. У. Эрл Боберт, “A Survey of Challenges in Attribution,” Труды семинара по сдерживанию кибератак: стратегии информирования и разработка вариантов политики США. Опубликовано Национальной академией наук на http://www.na.edu/catalog/12997.html.

32. Правила ведения боевых действий – это военные приказы, которые учитывают международное право и политику США для составления единого документа, который военные используют для проведения своих операций. Существуют различные правила для ведения тех или иных боевых действий, поскольку правила меняются, будь то миротворческая миссия в Боснии или военное вторжение в Ирак. Отдельно от всего существует всеобъемлющий набор правил ведения боевых операций, который применяется к повседневным миссиям вооруженных сил. Последние, которые в большинстве своем являются секретными, также включают в себя киберсферу. По словам Гэри Брауна, который являлся юрисконсультом Киберкомандования США с 2009 по 2012 год, эти постоянные правила переписывались во время его работы, и в 2014 году он сказал, что до сих пор не знает, были ли они закончены. Военные использовали вторую версию правил от 2005 года, известную как версия Браво, пока Браун работал в Киберкомандовании. Третья версия, известная как Чарли, должна была быть завершена, когда Браун ушел в 2012 году. Версия Браво касалась киберпространства, но только в общих чертах. Версия Чарли, как предполагается, рассматривает эту же тему в более конкретных чертах.

33. Крис Кэрролл, “Cone of Silence Surrounds U.S. Cyberwarfare,” Stars and Stripes, 18 октября, 2011, доступно по адресу: http://www.stripes.com/news/cone-of-silence-surrounds-u-s-cyberwarfare-1.158090.

34. Дэвид Э. Сэнгер, “America’s Deadly Dynamics with Iran,” New York Times, 5 ноября, 2011.

35. Duqu был публично разоблачен в сентябре 2011 года, и хотя Microsoft исправила уязвимость отображения шрифтов, которую использовал Duqu, к концу 2012 года «количество атак на эту единственную уязвимость резко возросло», – отметила финская компания по кибербезопасности F-Secure в своем годовом отчете за 2013 год. Одна только эта уязвимость «составила удивительные 69 процентов всех отчетов об обнаружениях, связанных с эксплойтами».

36. Деннис Фишер, “Nation-State Attackers Are Adobe’s Biggest Worry,” ThreatPost, блог Kaspersky Lab, 20 сентября, 2011, доступно по адресу: http://www.threatpost.com/nation-state-attackers-are-adobes-biggest-worry-092011/75673.

37. Выступление перед комитетом Сената по ассигнованиям, “Cybersecurity: Preparing for and Responding to the Enduring Threat,” 12 июня, 2013, доступно по адресу: http://www.defense.gov/home/features/2013/0713_cyberdomain/docs/Alexander,_General_Keith_Testimony_6.12.13_Cybersecurity_Hearing.pdf.

38. Все цитаты Хайдена здесь и на следующей странице взяты из интервью автора в феврале 2014 года.

39. Президентская группа по анализу разведки и коммуникационных технологий, “Liberty and Security in a Changing World” (отчет, 12 декабря, 2013), 37. Отчет доступен по адресу: https://www.whitehouse.gov/sites/default//files/docs/2013-12-12_rg_final_report.pdf.

40. Кларк выступал на конференции по безопасности RSA в Сан-Франциско в феврале 2014 года.

41. “Advance Questions for Vice Admiral Michael S. Rogers, USN, Nominee for Commander, United States Cyber Command,” доступно на веб-сайте Комитета Сената по вооруженным силам по адресу: https://www.armed-services.senate.gov/imo/media/doc/Rogers_03-11-14.pdf.

42. Дэвид Э. Сэнгер, “Obama Lets N.S.A. Exploit Some Internet Flaws, Officials Say,” New York Times, 12 апреля, 2014.

43. Ким Зеттер, “Obama: NSA Must Reveal Bugs Like Heartbleed, Unless They Help the NSA,” Wired.com, April 15, 2014.

44. Согоян выступала??? на Personal Democracy Forum в июне 2012 года в Нью-Йорке.

45. Интервью автора, 2014.

46. Лотрионте работала в ЦРУ до 2002 года, после чего занимала должность советника президентского консультативного совета по внешней разведке в Белом доме и должность юрисконсульта Специального комитета Сената по разведке. Она покинула правительство в 2006 году примерно в то время, когда был подготовлен и впервые предложен Stuxnet.

47. Стивен Кобб, “The Negative Impact on GDP of State-Sponsored Malware Like Stuxnet and Flame,” блог We Live Security, 13 июня, 2012, доступно по адресу: http://www.blog.eset.com/2012/06/13/impact-on-gdp-of-state-sponsored-malware-like-stuxnet-and-flame.

48. Уильям А. Оуэнс, Кеннет В. Дам и Герберт С. Лин (ред.), “Technology, Policy, Law, and Ethics Regarding US Acquisition and Use of Cyberattack Capabilities,” National Academies Press, 2009, доступно по адресу: http://www.steptoe.com/assets/attachments/3785.pdf.

49. Эллен Накашима, “List of Cyber-Weapons Developed by Pentagon to Streamline Computer Warfare,” Washington Post, May 31, 2011.

50. Лолита Балдор, “Pentagon Gets Cyberwar Guidelines,” Associated Press, 22 июня, 2011, доступно по адресу: http://www.usatoday30.usatoday.com/news/military/2011-06-22-pentagon-cyber-war_n.htm.

51. Гленн Гринвальд и Юэн МакАскилл, Obama Orders US to Draw Up Overseas Target List for Cyber-Attacks,” Guardian, June 7, 2013. Согласно сообщению, директива президента № 20 была издана в октябре 2012 года.

52. Все цитаты Лина в этой главе взяты из интервью с автором в январе 2014 года.

53. “International Strategy for Cyberspace: Prosperity, Security, and Openness in a Networked World,” Белый дом, май 2011, доступно по адресу: https://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf.

54. Шивон Горман и Джулиан Э. Барнс, “Cyber Combat: Act of War,” Wall Street Journal, 30 мая, 2011.

55. Кэрролл, “Cone of Silence.”

56. Майкл Н. Шмитт, главный редактор, Tallinn Manual on the International Law Applicable to Cyber Warfare, Центр передового опыта в области совместной киберзащиты НАТО, доступно по адресу: http://www.ccdcoe/org/249.html.

57. В СМИ и правительстве многие называют атаки типа «отказ в обслуживании» на эстонские веб-сайты кибервойной, но они не могут квалифицироваться как таковые. Атаки, проведенные ботнетом из 85 тысяч машин в 2007 году, продолжались в течение трех недель и в пике охватили почти шестьдесят веб-сайтов, отключив крупнейший банк Эстонии, а также большинство правительственных сайтов. Но когда Эстония ткнула пальцем на Россию как на источник атак и обратилась к НАТО, пытаясь сослаться на соглашение о коллективной самообороне в соответствии со статьей 5 Организации Североатлантического договора, она получила отказ. НАТО определила, что согласно договору, эта атака не являлась вооруженным нападением. Проблема заключалась в том, что ЕС и НАТО ранее не определили обязательства своих государств-членов в случае кибератаки против одного из них. НАТО также не квалифицировала атаку как явный акт войны, поэтому статья 5 не вступила в силу. Согласно статье 5 «вооруженное нападение на одного или нескольких членов в Европе или Северной Америке считается нападением на всех участников договора». В случае такого нападения предполагается, что каждый член «поможет стороне или сторонам, подвергшимся нападению, незамедлительно и совместно с другими государствами предпримет действия, которые он сочтет необходимыми, включая использование вооруженной силы, для восстановления и поддержки безопасности в районе Северной Атлантики».

Однако премьер-министр Эстонии Андрус Ансип оспорил заключение НАТО, и задал вопрос: «В чем разница между блокадой гаваней или аэропортов суверенных государств и блокировкой сайтов правительственных учреждений и газет?» (Смотрите Томас Рид, “Think Again: Cyberwar,” Foreign Policy, 27 февраля, 2012, доступно по адресу: http://www.foreignpolicy.com/articles/2012/02/27/cyberwar.) Вопрос актуальный, но не решен должен образом. Если блокирование коммерческих поставок может быть актом войны, будет ли блокирование электронной коммерции эквивалентом в киберпространстве? И какого ответа заслуживают подобные действия? В 2010 году НАТО попыталась решить этот вопрос, и заключила, что, если союзник подвергнется кибератаке, НАТО поможет защитить сети жертвы, но в проведении кибератаки никакой помощи не предусмотрела.

58. Интервью автора с Брауном, февраль 2014.

59. Гарольд Кох, бывший советник по правовым вопросам Госдепартамента, выступая на Межведомственной юридической конференции US CyberCom в Форт-Миде в сентябре 2012 года, утверждал, что позиция правительства заключается в том, что применение силы аналогично вооруженному нападению. «С нашей точки зрения, не существует порога для использования смертоносной силы, чтобы отдельно квалифицировать «вооруженное нападение», которое может потребовать насильственного ответа. Смотрите http://www.state.gov/s/l/releases/remarks/197924.htm.

60. Интервью автора с Либицким, октябрь 2012.

61. Все цитаты из Lotrionte взяты из интервью автора, февраль 2014.

62. Килуффо выступал на слушаниях по теме «“Iranian Cyber Threat to the US Homeland” в совместном подкомитете Комитета по внутренней безопасности, 26 апреля, 2012, доступно по адресу: http://www.gpo.gov/fdsys/pkg/CHRG-112hhrg77381/pdf/CHRG-122hhrg77381.pdf.

 63. По этому поводу Браун написал статью. Смотрите Гэри Д. Браун и Эндрю О. Меткалф, “Easier Said Than Done: Legal Reviews of Cyber Weapons,” Journal of National Security Law and Policy, опубликовано Georgetown Law, 12 февраля, 2014, доступно по адресу: http://www.jnslp.com/wp-content/uploads/2014/02/Easier-Said-than-Done.pdf

Очень злой админ
Очень злой админ Автор статьи

Админ сайта. Публикует интересные статьи с других ресурсов, либо их переводы. Если есть настроение, бывает, что пишет и что-то своё.

Leave a Reply

Your email address will not be published. Required fields are marked *