Kim Zetter Stuxnet Книга Перевод

Ким Зеттер. Отсчёт к нулевому дню (Kim Zetter – Countdown to Zero Day). Эксклюзивный перевод на русский

Пролог Кейс с центрифугами В январе 2010 должностные лица Международного агентства по атомной энергетике (МАГАТЭ),...

Ким Зеттер. Отсчёт к нулевому дню (Kim Zetter – Countdown to Zero Day). Эксклюзивный перевод на русский

Пролог

Кейс с центрифугами

В январе 2010 должностные лица Международного агентства по атомной энергетике (МАГАТЭ), органа Организаций Объединенных Наций, которому поручено следить за ядерной программой Ирана, впервые заметили что-то странное, происходящее на заводе по обогащению урана неподалёку от городка Натанз в центральном Иране.

В большом зале, зарытом под более чем пятьюдесятью футами пустыни, тысячи сверкающих алюминиевых центрифуг, вращающались со сверхзвуковой скоростью, обогащая газообразный гексафторид урана на протяжении вот уже последних двух лет. Но за последние недели работникам завода пришлось заменить эти центрифуги на новые. И делалать это очень быстро.

Каждая центрифуга, известная как IR-1, имеет срок службы около 10 лет. Даже при нормальных условиях Иран должен заменять до 10% центрифуг каждый год из-за дефектов оборудования, проблем с техническим обслуживанием и неполадками на производстве.

По состоянию на ноябрь 2009 года, в Иране было около 8700 центрифуг установленных в Натанзе, и считалось бы совершенно нормальным, если технические специалисты в течении года выводили из эксплуатации около 800 центрифуг, поскольку устройства выходили из строя по тем или иным причинам. Однако, как только должностные лица МАГАТЭ подсчитали центрифуги, снятые с эксплуатации за несколько недель в декабре 2009 года и в начале января 2010, они поняли, что Иран заменяет их намного быстрее чем положено.

Инспекторы Департамента гарантий МАГАТЭ посещали Натанз в среднем 2 раза в месяц – иногда по предварительной записи, иногда без уведомления – для отслеживания обогатительной деятельности и ядерного прогресса Ирана. Каждый раз, когда работники завода выводили из эксплуатации поврежденные или непригодные для использования центрифуги, они должны были выстраивать их в контрольной зоне около дверей комнат, где машины находились до тех пор, пока инспекторы МАГАТЭ не приедут осматривать их в следующий раз. Инспекторы тестировали каждую центрифугу ручным гамма-спектрометром, чтобы убедиться в отсутствии контрабанды ядерного материала, затем утверждали непригодные центрифуги и отмечали их количество в отчетах, отправляемых в штаб-квартиру МАГАТЭ в Вене.

Цифровые камеры наблюдения МАГАТЭ, установленные за дверью каждой комнаты с центрифугами, для контроля обогатительной деятельности Ирана, фиксировали техников, бегающих в белых халатах, синих бахилах на ногах вокруг блестящих цилиндров, каждый из которых был около шести футов в длину и около половины фута в диаметре. По соглашению с МАГАТЭ, рабочие должны были проносить все устройства открыто, чтобы камеры регистрировали каждый предмет, который попадал в комнаты.

Камеры наблюдения, которые не могли находится в помещениях, где были центрифуги, хранили изображения для их последующего просмотра инспекторами. Каждый раз, когда те посещали Натанз, они проверяли записи, чтобы убедиться, что Иран не убрал дополнительные центрифуги или не сделал чего-либо запрещенного во время их отсутствия. Но по прошествии нескольких недель после того, как инспекторы отправили отчеты в Вену, тамошние чиновники поняли, что количество убранных центрифуг намного превышает допустимые значения.

Официально МАГАТЭ не сообщает сколько центрифуг Иран заменил в этот период. Но в новостях со ссылкой на европейских “дипломатов” их число составляет от 900 до 1000. Однако бывший высокопоставленный чиновник МАГАТЭ считает, что фактическое число было намного больше. “Моё обоснованное предложение состоит в том, что это число было ближе к двум тысячам”, – говорит Олли Хейнонен, бывший заместителем директора отдела гарантий, пока тот не ушел в отставку в октябре 2010 года.

Независимо от числа, было ясно, что с центрифугами происодит что-то не так. К сожалению, Иран не был обязан сообщать инспекторам, почему они их заменили, а инспекторы МАГАТЭ не имели права уточнять детальные подробности. Задача агентства заключалась в том, чтобы следить за тем, что на обогатительной фабрике происходит с ураном, а не отслеживать неисправное оборудование.

Что инспекторы не знали, так это то, что ответ на их вопрос был у них прямо под носом, скрываемый в битах и памяти компьютеров в промышленном диспетчерском пункте Натанза. Месяцами ранее в июне 2009 года, кто-то незаметно запустил разрушительное цифровое оружие на компьютерах по всему Ирану, откуда оно незаметно проскользнула в критические системы Натанза, с единственной цель – саботировать иранскую программу по обогащению урана и предотвратить создание Ираном ядерной бомбы.

Ответ скрывался совсем рядом, на компьютерах в Натанзе, однако пройдёт около года, прежде чем инспекторы узнают правду. И то только после того, как более дюжины экспертов по компьютерной безопасности со всего мира потратят месяцы на разбор кода, в конечном итоге станет известным, что виновником всего этого был один из самых сложных из когда-либо обнаруженных вирусов – настолько уникальное программное обеспечение, которое войдет в историю как первое в мире цифровое оружие, открывшее новую эпоху цифровых войн.

Глава 1. Раннее предупреждение.

Важно: ссылки и сноски находятся в конце текста главы. Чтение сносок необходимо для концептуального понимания текста

Знакомьтесь, Сергей Уласень. Это не тот человек, которого вы ожидаете увидеть в эпицентре международного скандала. У тридцати однолетнего белоруса с коротко подстриженными волосами, стройной мальчишеской фигурой, открытым лицом и приветливым характером, мало врагов и ещё меньше внутренних противоречий. Он любил проводить выходные в загородном доме его бабушки под Минском. Там Сергей отдыхал от стресса, перенесенного в будние дни, отключив свой сотовый и интернет. Но судьба распорядилась так, что в июне 2010 года именно Уласень столкнулся с кое-чем необычным, что вскоре привлекло к его фирме пристальное внимание международного сообщества.

На дворе стоял тёплый летний четверг. Сергей, возглавлявший небольшое антивирусное подразделение белорусской компьютерной компании VirusBlokAda, сидел со своим коллегой Олегом Купреевым в маленьком захламленном офисе. Это было одно из многочисленных зданий советской эпохи в центре Минска, недалеко от реки Свислочь. Один за одним они проверяли подозрительные компьютерные файлы, обнаруженные ими на одном из компьютеров в Иране. В этот момент Купреев столкнулся с чем-то подозрительным. Переведя дыхание и откинувшись на спинку стула, он тихо позвал коллегу взглянуть на находку. Окинув взглядом содержимое экрана, Уласень прокрутил код ещё раз, не веря увиденному. Этот код они разбирали уже несколько дней и считали его заурядным вирусом. Только вот этот “заурядный вирус” всё больше и больше походил на по истине гениальное творение самого дьявола.

Малварь, изучаемая ими, не просто использовала искусно написанный руткит, чтобы скрыть себя от антивирусных движков. В программе использовался ещё и эксплоит нулевого дня для распространения с машины на машину. Эксплоит, атаковавший столь фундаментальную для Windows функцию , что это подвергало риску заражения миллионы компьютеров по всему миру.

Эксплоиты – это специально созданный код, которые хакеры используют для атаки и установки вирусов и других вредоносных программ на компьютеры. Компрометируя уязвимости в браузерах, таких как Internet Explorer или приложених, например, как Adobe PDF Reader, они внедряют в систему вирус или троян, подобно грабителю, использующему лом, чтобы открыть окно и ворваться в дом. Заходя на вредоносный веб-сайт, скрывающий эксплоит, или щелкая на вложения электронной почты, жертва открывает лазейку в безопасности программного обеспечения для внедрения вредоносных файлов в систему. Когда производители программного обеспечения узнают о таких дырах в своих продуктах, они выпускают так называемые патчи, исправляющие уязвимость. А антивирусные компании, такие как компания Уласеня, добавляют сигнатуры эксплоитов к своим сканерам.

Однако с эксплойтами нулевого дня – все намного сложнее. Это самые ценные ресурсы хакерского мира, поскольку они атакуют дыры, которые до сих пор неизвестны производителям программного обеспечения или антивирусов, а это значит, что для них пока нет никаких антивирусных сигнатур и доступных патчей, которые бы исправляли уязвимость.

Эксплойты нулевого дня встречаются редко. Хакерам требуется время и навыки, чтобы найти новые бреши в системах и написать работоспособный код, чтобы атаковать их, поэтому большинство хакеров просто используют старые уязвимости и эксплойты для распространения своих программ, рассчитывая на то, что большинство пользователей не часто обновляют свои компьютеры или на них не установлены новейшие антивирусы. А также на то, что производителям могут понадобиться недели или месяцы, чтобы создать исправления для своих продуктов. Ежегодно обнаруживают более 12 миллионов вирусов и других вредоносных программ, но среди них не найдется и десятка, содержащих 0day. Тем не менее, на экране Уласень ясно видел, что в этом коде был использован чрезвычайно ценный эксплойт нулевого дня и искусно созданный руткит. Такая комбинация до сих пор была обнаружена только на машине в Иране. Что-то не складывалось.

Файлы привлекли их внимание неделей ранее, когда реселлер программного обеспечения безопасности VirusBlokAda в Иране сообщил о проблеме с клиентскими компьютерами. Компьютеры несколько раз давали сбой и перезагружались несмотря на всяческие усилия технических специалистов исправить проблему.2 Служба технической поддержки VirusBlokAda удаленно из Минска просканировала систему, чтобы найти вредоносные программы, которые мог пропустить их антивирус, но ничего не обнаружила. Это и был тот момент, когда они обратились к Уласеню.

Сергей Уласень был нанят антивирусной фирмой еще во время учебы в колледже. Его приняли на должность программиста, но персонал VirusBlokAda был таким маленьким, а его навыки были настолько сильными, что через три года, Сергей возглавил команду, которая разработала и продвигала антивирусный движок. Иногда он сотрудничал с исследовательской группой, искавшей новые вредоносы. Эта часть работы ему очень нравилась, хоть это и случалось редко. И когда команда технической поддержки обратилась к нему, он был не против помочь.

Сергей предположил, что проблема заключается в неправильной конфигурации программного обеспечения или несовместимости между приложением установленным на машине и операционной системой. Но затем он узнал, что сбой давали сразу несколько машин, в том числе те, которые администраторы уже почистили и восстановили, переустановив операционную систему. Таким образом, он подозревал, что виновником проблемы может быть червь, скрывающийся в сети и повторно заражающий обновленные машины после каждой их чистки.

Получив разрешение на подключение к одному из компьютеров в Иране и дистанционно изучив его, Уласень и Купреев сосредоточились на шести подозрительных файлах, которые, как они решили, являются источником проблемы.4 Затем, с несколькими коллегами из их лаборатории, они потратили следующие несколько дней, разбирая эти файлы и пытаясь расшифровать то, что оказалось на удивление сложным кодом. Купреев определил , что руткит предназначен для скрытия четырёх вредоносных файлов. Проблема состояла в том, что для небольшой фирмы, разрабатывавшей антивирусные продукты для государства, они не привыкли к таким сложным задачам. Большую часть своего времени они проводили предоставляя техническую поддержку клиентам, а не анализируя вредоносный код. Тем не менее, они продвигались вперёд и в итоге определили, что один из модулей, драйвер, на самом деле был руткитом уровня ядра, как и предполагал Уласень..

Руткиты бывают нескольких разновидностей, но наиболее сложными для обнаружения являются руткиты уровня ядра, которые внедряются глубоко в систему, чтобы установить себя на тот же уровень, на котором работают антивирусы. Если вы представите структуру компьютера как мишень для стрельбы из лука, то ядро – это яблочко. Ядро – это часть операционной системы, которая заставляет всё работать. Большинство хакеров пишут руткиты, которые работают на внешних уровнях системы – на уровне пользователя, где запускаются приложения – потому что это намного проще. Но антивирусные сканеры могут их обнаружить. Поэтому опытные хакеры размещают свой руткит на уровне ядра системы, где он может блокировать антивирус. Там он служит прикрытием для вредоносных файлов, мешая антивирусам и позволяя вредоносной программе выполнять работу беспрепятственно и незаметно. Руткиты уровня ядра являются редкостью. Для их создания требуется глубокие знания и серьезные технические навыки..

Купреев определил, что руткит предназначен для сокрытия четырёх вредоносных файлов .LNK, которые они обнаружили в системе в Иране. Было похоже, что вредоносная программа использовала эксплоит, состоящий из этих 4 файлов, для распространения через зараженные USB-накопители, а руткит скрывал их на USB-флэшке. Именно на это Купреев позвал взглянуть своего коллегу Сергея Уласеня.

Эксплойты, распространяющие вредоносные программы через USB-устройства, не так распространены, как эксплоиты, передающие их через веб-сайты или вложения электронной почты. USB-эксплойты, которые два исследователя видели ранее, использовали функцию автозапуска операционной системы Windows, которая позволяла запускать вредоносные программы на USB-накопителе сразу после его подключения к компьютеру. Но этот эксплойт оказался куда сложнее.

Файлы Windows .LNK отвечают за отображение иконок содержимого USB-накопителя или другого мультимедийного устройства, когда оно подключено к ПК. Вставьте флэшку в компьютер, и Windows Explorer или аналогичный файловый менеджер автоматически будет сканировать её на наличие файлов .LNK, чтобы автоматически отобразить иконку для музыкального файла, документа Word или программы, хранящейся на флешке. И в этом случае создатели малваря внедрили эксплоит в специально созданный файл .LNK, так что, как только Windows Explorer сканировал файл, он исполнял эксплоит, который незаметно “сбрасывал” вредоносную нагрузку с USB на компьютеры, подобно военному самолету, который сбрасывает замаскированный десант на территорию противника.

.LNK атаковал такую фундаментальную особенность системы Windows, что Уласень удивился тому, что никто не заметил этого раньше. Этот эксплоит был намного совершеннее, чем эксплоиты Autorun, ведь их действие можно было легко предотвратить, отключив функцию Autorun на компьютере – шаг, который многие сетевые администраторы предпринимают как само собой разумеющейся. Но способа легко отключить функцию .LNK, не создавая других проблем для пользователей, не существовало.

Сергей тщетно искал в онлайн-реестре эксплоитов любые другие, которые в прошлом использовали файлы .LNK. Именно тогда он понял, что смотрит на 0day.

Он взял зараженную USB-флэшку и подключил её к тестовому компьютеру, работающему на новейшей версии операционной системы Microsoft Windows 7. Машина была полностью укомплектована всеми последними обновлениями безопасности. Если эксплоит .LNK уже был известен Microsoft, то патчи в системе предотвратят загрузку вредоносных файлов на компьютер. Но если эксплоит .LNK был 0day, его ничто не остановит. Он подождал несколько минут, потом осмотрел компьютер, и, разумеется, там были вредоносные файлы.

Кибераналитик не мог в это поверить. Крошечная антивирусная фирма VirusBlokAda, о которой мало кто слышал, только что обнаружила один из самых редких трофеев для охотника за вирусами. Это был не просто 0day, это был код, работающий на любой версии Windows, начиная с Windows 2000. Злоумышленники объединили вместе четыре версии эксплоита в четыре разных .LNK файлах, чтобы быть уверенными, что их “связка” сработает на любой версии Windows7.

Уласень попытался представить потенциальное количество машин, которые могут быть заражены. Но его поразила еще одна деталь: вредоносный модуль драйвера и сам код, сбрасываемый на целевые машины, загружалась на тестовом компьютере без всяких предупреждений об установке. В Windows 7 была функция безопасности, сообщающая пользователям, когда устанавливался неподписанный драйвер или драйвер, подписанный ненадлежащим сертификатом. Но эти два драйвера загрузились без проблем. Уласень с тревогой понял, что это произошло потому, что они были подписаны, как оказалось, действительным цифровым сертификатом компании RealTek Semiconductor..

Цифровые сертификаты являются надежным средством безопасности. Производители программного обеспечения используют их для подписи своих программ, чтобы аутентифицировать их как продукты своей компании. Microsoft не является исключением и подписывает свои программы и обновления программного обеспечения цифровой подписью. Также это делают и антивирусные фирмы. Системы на которых происходит установка проверяют, чтобы файл был подписан действительным цифровым сертификатом, а значит, заслуживает доверия. Но если злоумышленники смогут украсть, например, сертификат Microsoft и личный криптографический ключ, который Microsoft использует с сертификатом для подписи своих файлов, то они могут обойти проверку и компьютер установит ПО, полагая, что вредоносный код – это код Microsoft.

Раньше злоумышленники уже использовали цифровые сертификаты для подписи вредоносных файлов. Но они использовали поддельные, самоподписанные сертификаты, маскируя их под действительные, или получали действительные сертификаты путем мошенничества, создавая подставные компании, и получая сертификат на имя этой компании8. В обоих случаях для злоумышленников есть риск, что компьютеры сочтут такой сертификат подозрительным и отклонят файл. Но сейчас неизвестные хакеры использовали действующий сертификат от RealTek – надежного тайваньского производителя оборудования, и таким образом заставляли компьютеры полагать, что вредоносное ПО – это сертифицированные драйверы RealTek.

О таком Уласень никогда прежде не слышал, и хотел понять, как хакерам удалось это провернуть. Вероятно, они похитили компьютеры разработчика программного обеспечения RealTek и использовали его машину и учетные данные, чтобы незаметно подписать свой код..

А может быть, злоумышленники просто украли ключ подписи и сертификат. В целях безопасности компании хранят свои сертификаты и ключи на автономных серверах или в аппаратных модулях безопасности, обеспечивающих дополнительную защиту. Но это делают не все, и вероятно, злоумышленники просто украли ключ подписи и сертификат компании RealTek, получив доступ к сети компании. Временная метка на сертификатах показывала, что оба драйвера были подписаны 25 января 2010 года. Один из драйверов был скомпилирован годом ранее, 1 января 2009 года, а другой за шесть минут до его подписания цифровым сертификатом. На последнее у злоумышленников ушло совсем немного времени, что говорит о том, что у злоумышленников мог быть ключ и сертификат RealTek.

Последствия были тревожными. Использование действительного цифрового сертификата для подписания вредоносных файлов подрывало веру в надежность фундаментальных основ электронной подписи и ставило под сомнение легитимность любого файла, подписанного цифровыми сертификатами. Это был лишь вопрос времени, когда другие злоумышленники начнут использовать эту тактику и воровать сертификаты9.

Обычно, исследователи, обнаружившие уязвимости в программном обеспечении, уведомляют поставщиков ПО, прежде чем сделать свою находку публичной, чтобы дать поставщикам время для исправления дыр, поэтому Уласень отправил электронные письма как в RealTek, так и в Microsoft, уведомив их о находках своей команды.

Но не получив ответа ни от одной из компаний, в течении двух недель Уласень и Купреев решили, что молчать бесполезно10. Сообщество безопасности должно было узнать об эксплойте .LNK. Они уже добавили соответствующие сигнатуры в антивирусное ядро VirusBlokAda для обнаружения вредоносных файлов и видели, как на компьютерах по всему Ближнему Востоку и за его пределами обнаруживался этот малварь. Вирус распространялся очень быстро . Они должны были обнародовать новости11.

12 июля Сергей Уласень опубликовал короткое сообщение о 0day на сайте своей компании и на англоязычном онлайн форуме, предупреждая о том, что вот-вот может разразиться настоящая компьютерная эпидемия в.12 Он также обнародовал несколько подробностей об уязвимости, которую атаковал вирус.

Три дня спустя технический журналист Брайан Кребс, перехватил инициативу и написал об этом пост в своём блоге, в котором кратко излагал то, что было известно об уязвимости и эксплойте на то время. Новость разнеслась по сообществу безопасности, заставив всех готовиться к волне компьютерных заражений, ожидаемых от обнаруженного червя и подражателей с использованием одного и того же эксплойта. Тем временем глава института в Германии, который исследовал и тестировал антивирусные программы, выступил посредником между Уласенем и Microsoft, что побудило компанию-разработчика программного обеспечения начать работу над патчем. С появлением новостей Microsoft решили выпустить предупреждение о критической уязвимости, а также несколько советов, которые помогут снизить риск заражений. Однако в отсутствии патча, который не выпускался еще две недели, проблема была далека от решения.

Индустрия компьютерной безопасности также взялась за дело, разбирая червя, у которого теперь появилось имя – “Stuxnet”, составленное из букв в названии одного из файлов драйвера (mrxnet.sys) и ещё одной части кода. По мере того, как ИБ компании добавляли сигнатуры в свои антивирусы, на зараженных компьютерах клиентов начали определяться тысячи вредоносных файлов.

Почти сразу же появился еще один сюрприз. 17 июля антивирусная компания в Словакии под названием ESET обнаружила еще один вредонос, который, по-видимому, был связан со Stuxnet.

Драйвер был обнаружен на компьютере, без каких-либо других файлов Stuxnet, но все полагали, что он должен быть связан со Stuxnet, поскольку имеет общие черты с драйверами, обнаруженными VirusBlokAda. В дате компиляции этого драйвера было что-то примечательное. Когда хакеры запустили свой исходный код через компилятор, чтобы преобразить его в двоичный, который может прочитать машина, компилятор помещает метку времени в двоичный файл. Однако злоумышленники могли манипулировать временной меткой, чтобы сбить с толку исследователей и выдать свои действия за легитимные. Там указывалось, что драйвер был скомпилирован 14 июля, через два дня после того, как VirusBlokAda заявила всему миру о Stuxnet. Хакеры Stuxnet запустили новую атаку, совершенно не обращая внимания на тот факт, что неизвестная антивирусная фирма в Беларуси только что раскрыла их. Вероятно они поняли, что их схема была практически раскрыта и спешили распространить Stuxnet на как можно большее количество машин, прежде чем его полностью ликвидируют. Были догадки, что хакеры подписали драйвер с помощью еще одного сертификата от JMicron, что наводило на мысль о том, что они действительно торопились.19 Было ясно одно: злоумышленникам нужен был новый сертификат для подписи их драйвера, поскольку срок действия сертификата RealTek истёк месяцем ранее, 12 июня. Цифровые сертификаты имеют ограниченный срок службы, и после истечения срока действия сертификата RealTek злоумышленники более не могли использовать его для подписи новых файлов. Сертификат также был аннулирован центрами сертификации после того, как Stuxnet был разоблачен, а это означало, что машины под управлением Windows теперь будут отклонять любые файлы, которые уже были подписаны этим сертификатом..

Обнаружение второго сертификата заставляло еще больше задуматься о том, как хакеры получили к ним доступ. Компании RealTek и JMicron располагались всего в двух кварталах друг от друга в Научно-промышленном парке Синьчжу в одноименном городе Тайвани. Учитывая их географическую близость, некоторые предположили, что злоумышленники, возможно, физически взломали два офиса, чтобы украсть ключи цифровой подписи и сертификаты. Другие предположили, что Китайская Народная Республика стояла за атакой Stuxnet и взломала две тайваньские компании, чтобы получить ключи цифровой подписи и сертификаты.

Каким бы ни был сценарий, это означало, что у злоумышленников в арсенале могли быть и другие украденные цифровые сертификаты. И если они приложили столько усилий, чтобы убедиться, что их атака сработает, это означало, что у них была серьезная цель и значительные средства для её реализации. Многие в сообществе безопасности чувствовали себя очень растеряно. “Мы редко встречаем такой профессионализм”, – отметил исследователь ESET Пьер-Марк Бюро.20

Когда антивирусные компании исследовали файлы Stuxnet , поступающие от клиентов, их ждал ещё один сюрприз. Судя по датам в некоторых файлах, оказалось, что Stuxnet был запущен еще в начале июня 2009 г., это означало, что он скрывался на компьютерах в течение как минимум года, прежде чем VirusBlokAda обнаружила его. Также оказалось, что злоумышленники провели уже три волны атак – в июне 2009 г., а также в марте и апреле 2010 г.

Однако назначение Stuxnet по прежнему оставалось загадкой. Исследователи не могли обнаружить никаких признаков того, что Stuxnet воровал пароли к банковским счетам или другие учетные данные, как делали многие другие вредоносные программы. Также они не могли найти признаков какого-либо другого очевидного мотива в коде. Так продолжалось пока исследователь из Германии не нашел возможную подсказку, определяющую цель Stuxnet.

“Привет, ребята”, – написал Фрэнк Болдевин на онлайн-форуме, где Сергей Уласень впервые опубликовал свое сообщение о Stuxnet, – “кто-нибудь вообще разбирал вредоносное ПО?” Болдевин развернул один из файлов Stuxnet и обнаружил внутри необычные ссылки на программное обеспечение, созданное немецкой фирмой Siemens. Похоже, что злоумышленники искали компьютеры, на которых была установлена одна из проприетарных программ Siemens – SIMATIC Siemens Step 7 либо SIMATIC WinCC. Обе программы являются частью систем промышленного управления, предназначенной для работы с программируемыми логическими контроллерами (ПЛК) Siemens – небольшими компьютерами, размером с тостер, которые используются на заводах по всему миру для управления такими вещами, как руки робота и конвейерные ленты на сборочных линиях.

Болдевин никогда до этого не видел вредоносных программ, нацеленных на системы промышленного контроля. Не было никакой очевидной финансовой выгоды от взлома заводского оборудования, такого как ПЛК. По крайней мере извлечь быструю прибыль, например такую, которую можно было бы получить, ломая банковские счета и системы кредитных карт. Для него это могло означать только одно. “Похоже что Stuxnet был создан для шпионажа”, написал он. Злоумышленники, должно быть, пытались украсть дизайн с фабрики конкурента или чертежи их продукта.

Это была оценка, которую многие в техническом сообществе были рады принять. Похоже, Stuxnet предназначался только для систем с установленным программным обеспечением Siemens, а это означало, что любой компьютер, не использующий ПО Siemens, был вне опасности. Уласень обнаружил, что в системах в Иране, с которыми изначально возникли проблемы с перезагрузкой, программное обеспечение Siemens установлено не было, и несмотря на произошедшие сбои системы, Stuxnet не нанес им серьезного вреда.

Спустя неделю после краткого упоминания таинственного червя, казалось, что о нём все забыли. Microsoft всё еще работала над патчами, залатывая дыру в безопасности, атакуемую эксплоитами .LNK. Большинство компаний, занимающиеся интернет безопасностью, добавили сигнатуры в свои сканеры для обнаружения вредоносных файлов червя и Stuxnet теперь не представлял особой опасности. История первого в мире цифрового оружия вполне могла бы закончиться, вот только некоторые исследователи в области безопасности не совсем были готовы с этим мириться.

Cноски, ссылки и используемая литература:

1. Уласень и его команда обнаружили вредоносную программу 24 июня 2010 года.

2. Уласень никогда не раскрывал имя торгового посредника, но ссылка на веб-сайте VirusBlokAda для его дистрибьютора в Иране указывает на сайт vba32-it.com, принадлежащий Deep Golden Recovery Corporation, фирме по восстановлению данных в Иране.

3. Информация о столкновении VirusBlokAda с вредоносными программами взята из интервью с Сергеем Уласенем и Олегом Купреевым, а также из записи, опубликованной «Лабораторией Касперского» в 2011 году, после того как российская антивирусная фирма наняла Уласеня. Это интервью “The Man Who Found Stuxnet—Sergey Ulasen in the Spotlight,” было опубликовано 2 ноября 2011 г, доступно по адресу: http://www.eugene.kaspersky.com/2011/11/02/the-man-who-found-stuxnet-sergey-ulasen-in-the-spotlight.

4. Модуль является автономным компонентом. Он часто взаимозаменяем и может использоваться с различными программами.

5. Драйверы – это программы, которые используются в качестве интерфейсов между устройством и компьютером для обеспечения работы устройства с машиной. Например, драйвер необходим для связи компьютера с принтером или подключенной к нему цифровой камерой – для разных операционных систем доступны разные драйверы, поэтому одно и тоже устройство будет работать с любым компьютером. В этом случае драйверы были фактически руткитами, предназначенными для установки и сокрытия вредоносных файлов на компьютере.

6. Проблема перезагрузки не возникала на других компьютерах, которые впоследствии были обнаружены зараженными вредоносным ПО. Поэтому некоторые исследователи подозревают, что проблема, возможно, заключалась в несовместимости одного из драйверов вредоносного ПО и антивирусного программного обеспечения VirusBlokAda. Злоумышленники использовали сам драйвер для установки, и исследователи из Лаборатории Касперского заподозрили, что драйвер загружал основной файл вредоносного ПО прямо в память машин в Иране, что и привело к сбою некоторых машин. Исследователи из Лаборатории Касперского позже попытались воспроизвести проблему, но получили противоречивые результаты – иногда машина выходила из строя, иногда нет. Ирония заключается в том, что злоумышленники приложили немало усилий, чтобы протестировать свои вредоносные программы на антивирусных сканерах Kaspersky, Symantec, McAfee и других, именно для того, чтобы убедиться, что их код не будет обнаружен антивирусными сканерами.

7. Автозапуск – это удобная функция в Window, которая позволяет программам на USB-накопителе, компакт-диске или DVD-диске автоматически запускаться, когда устройства вставляются в компьютер. Однако это известная угроза безопасности, поскольку она также позволяет запускаться вредоносным программам.

8. Если автозапуск отключен по соображениям безопасности, то вредоносный код на флэшке, использующий эту функцию, не сможет запускаться автоматически, и запустится только если пользователь щелкнет по файлу, чтобы открыть его.

9. Эксплойт работал з семью версиями Windows: Windows 2000, WinXP, Windows2003, Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2.

10. В Windows Vista и Windows 7, драйвер, который не подписан доверенным цифровым сертификатом, который распознает Microsoft, будет иметь проблемы при установке на компьютер. На 32-битных компьютерах, на которых установлена Vista или Windows 7, отобразится предупреждение, сообщающее пользователю, что файл не подписан доверенным сертификатом, заставляя пользователя принять решение о том, разрешить ли ему установку. На 64-битных компьютерах с ОС Windows, драйвер, не подписанный доверенным сертификатом, не будет установлен вообще. Вредоносное ПО, обнаруженное VirusBlokAda работает только на 32-битных компьютерах с Windows.

11. Центры сертификации выдают сертификаты подписи, которые компании используют для подписи своего кода и веб-сайтов. Предполагается, что центры сертификации должны подтвердить, что объект, запрашивающий сертификат, обладает полномочиями сделать это – например, чтобы предотвратить получение сертификата для подписи от имени Microsoft кем-либо кроме Microsoft, – и убедиться, что тот, кто подает заявку на сертификат подписи для компании, которую они утверждают, принадлежит им, что это настоящая компания, производящая код. Однако некоторые центры сертификации не проявляют должной осмотрительности, и сертификаты иногда выдаются злоумышленникам. Есть также компании, которые за определённую плату будут использовать свой ключ и сертификат для подписи кода для других. Хакеры использовали эти компании в прошлом, чтобы подписать свои вредоносные программы.

12. В сентябре 2012 года именно это произошло с Adobe.. Программный гигант, распространяющий популярные программы Adobe Reader и Flash Player, объявил, что злоумышленники взломали его сервер, чтобы подписать два вредоносных файла с помощью сертификата Adobe. Adobe хранил свои закрытые ключи подписи на устройстве, которое называется аппаратным модулем безопасности, что должно было предотвратить доступ злоумышленников к ключам для подписи их вредоносных файлов. Но они взломали сервер сборки – сервер, используемый для разработки программного обеспечения – которые взаимодействует с системой подписи кода, и подписывали свои файлы.

13. По иронии судьбы, 12 июля 2010 года, когда Уласень обнародовал новости о вредоносном ПО, исследователь финской компании по безопасности F-Secure опубликовал презентацию на конференции о цифровых сертификатах, заявив, что на тот момент вредоносное ПО, использующее украденные сертификаты все еще не обнаружено. Однако он отметил, что это неизбежно произойдет сейчас, когда новые версии Windows будут относиться к неподписанным драйверам с подозрением, заставляя хакеров делать себе новые легитимные сертификаты для подписи своих вредоносных программ (См. Ярно Нимела, “It’s Signed, Therefore It’s Clean, Right?” представленный на конференции CARO в Хельсинки, Финляндия доступен по адресу (https://archive.fsecure.com/weblog/archives/Jarno_Niemela_its_signed.pdf). На самом деле, вскоре после того, как VirusBlokAda обнаружила сертификат RealTek, другие хакеры уже пытались использовать эту же тактику. В сентябре 2010 года антивирусные фирмы открыли Infostealer Nimkey, троянский конь, специально разработанный для кражи закрытых ключей сертификатов с компьютеров. Последующие два года за этим последовало несколько вредоносных программ, подписанных сертификатами, которые были украдены у различных доверенных компании.

14. Уласень связался с Microsoft по электронной почте, Но группа по безопасности Microsoft получает более 100 000 электронных писем в год, поэтому было понятно. что письмо от неизвестной белорусской антивирусной фирмы, отправленное на общий электронный адрес, просто потерялось.

15. Исследователи позже обнаружат, что вредоносная программа представляет собой комбинацию червя и вируса. Часть червя позволяла ему распространяться автономно без действий пользователя, но как только он был в системе, другие компоненты заражали файлы, как вирус, и требовали действий пользователя для распространения.

16. Уласень опубликовал свою заметку на сайте своей компании и на форуме по безопасности Wilders, доступно по адресу: https://www.wilderssecurity.com/threads/rootkit-tmphider.276994/#post-1712146.

17. Кребс – бывший репортер Washington Post, ведет блог KrebsonSecurity.com, посвященный компьютерной безопасности и киберпреступности. Он опубликовал свой пост 15 июля 2010 года. Доступно по адресу: https://krebsonsecurity.com/2010/07/experts-warn-of-new-windows-shortcut-flaw/.

18. Ленни Зельцер, “Preempting a Major Issue Due to the .LNK Vulnerability—Raising Infocon to Yellow,” опубликовано 19 июля 2010 года, доступно по адресу: http://www.isc.sans.edu/diary.html?storyid=9190.

19. Андреас Маркс, глава av-test.org в Германии, выступил посредником во вступлении со своими прямыми контактами в Microsoft.

20. Советы Microsoft появляются на сайте http://www.technet.microsoft.com/en-us/security/advisory/2286198.

21. Большинство антивирусных компаний имеют автоматизированные системы отчетности, которые уведомляют их, когда на компьютере клиента обнаруживается вредоносный файл, если клиент выбрал эту функцию. В большинстве случаев все, что отправляется в компанию, это “хэш” файла – криптографическое представление содержимого файла, состоящего из последовательности букв и цифр, полученных при запуске файла через алгоритм – без указания того, кто жертва, кроме IP адреса отправителя. Но в других случаях компании могут получить вредоносный файл, если жертва решит отправить его, или антивирусная фирма определит через IP- адрес жертвы, и запросит копию файла.

22. Исследователи предположили, что драйвер мог использоваться с новой версией Stuxnet, которую злоумышленники выпустили после настройки кода, чтобы антивирусные сигнатуры не могли его обнаружить. Более поздняя версия Stuxnet никогда не была обнаружена, для дальнейшего обсуждения более поздней версии Stuxnet смотрите сноску 41 главы 17.

23. См. Костин Г. Раю и Алекс Гостин, “Повесть об украденных сертификатах”, опубликованная в SecureView, второй квартал 2011 года, ежеквартальный бюллетень “Лаборатории Касперского”. Ошибки появляются в блоке цифровой подписи на сертификате, где компания предоставляет информацию о себе. В этом случае если бы злоумышленники неправильно набрали URL для JMicron, и он возвратил ошибку “сервер не найден”, если кто-то попытался зайти на сайт. Им также не удалось заполнить несколько полей для названия компании, авторских прав других данных. В восьми полях вместо информации появилось “измени меня”.

24. Сертификат RealTek действовал с 15 марта 2007 года по 12 июня 2010 года. Сертификат JMicron был действителен до 26 июля 2012 года, но как только он был отозван центрами сертификации, злоумышленники больше не могли его использовать.

25. Пьер-Марк Бюро, “Win32/StuxNet Signed Binaries,” опубликовано 9 августа 2010 года в блоге Eset.com, доступно по адресу: http://www.blog.eset.com/2010/07/19/win32stuxnet-signed-binaries.

26. Болдевин опубликовал свое сообщение на форуме, доступно по адресу: https://www.wilderssecurity.com/threads/rootkit-tmphider.276994/#post-1712146.

Глава 2. 500 килобайт загадки.

За все 6 лет, пока Лиам О’Мурчу анализировал вирусы и червей, он не встречал ничего подобного тому коду, который оказался перед ним сейчас. В нем использовались техники, выходящие за пределы всего того, что он когда либо видел во вредоносных программах. Накануне его коллеги из Европы прислали ему файлы нового вируса. Но садясь за свой компьютер в офисе Symantec в северной Калифорнии и открывая файлы вируса Stuxnet, он этого не ожидал увидеть то, что оказалось перед его глазами.

Была пятница, 16 июля. Прошел всего день после того, как новость о Stuxnet ворвалась в техническое сообщество. О’Мурчу готовился к тому, что должно было быть обычным обзором обычного кода. Тридцатитрехлетний ирландец был руководителем операций по безопасности в офисе Symantec в городе Калвер-Сити в Калифорнии. Его обязанностью было делать обзор новых вредоносных программ, и проводить их детальный анализ, если это требуется.

Аналитики компании из офиса в Дублине, Ирландия, получили файлы Stuxnet поздно вечером и имели в своем распоряжении лишь пару часов на их анализ, пока не настало время передать их офису О’Мурчу в Калифорнии, где только наступало утро. Группа Symantec, занимающаяся анализом угроз, разбросана по разным континентам для того, чтобы в любой момент, когда появлялась опасность, нашелся тот, кто не будет спать и сразу же займется анализом вредоноса. Затем, когда заходит солнце для одного офиса и встает для другого, работники из одного часового пояса, закрывают свои наработки и, как борцы сборной команды, пересылают их другому.

Далеко не каждому малварю приходится “следовать за солнцем” вот таким вот образом.

Из более чем миллиона вредоносных файлов, которые каждый месяц обнаруживаются такими компаниями как Symantec, занимающиеся защитой информации, большинство являются копиями уже известных вредоносов, которые хакеры просто перешифровывают, меняя таким образом их цифровые отпечатки. Эти стандартные малвари обнаруживаются с помощью алгоритмов распознающих типичное поведение, присущее вредоносной программе. Необычный код исследователи рассматривают в ручную. Вредонос, который потенциально может содержать уязвимость нулевого дня всегда детально изучается вручную, что и являлось единственной причиной, по которой Stuxnet попал на рабочий стол к О’Мурчу.

O’Мурчу – приверженный сноубордист, мужчина с мелодично звучащей поэтичной речью, яркими каштановыми волосами и резко закрученной челкой. Совсем недавно переехав из Дублина в Штаты, он только устраивался в офисе Symantec в Калифорнии, и провел там около двух лет перед тем, как появился Stuxnet. Но с Symantec он работал с 2004 года. Он управлял командой первоклассных аналитиков и реверс-инженеров, которые были вовлечены в постоянную битву против против цифровых угроз, каждая из которых, как правило, была более продвинутой, чем предыдущая. Ни одна из них не была похожа на Stuxnet.

О’Мурчу думал, что анализ кода будет рутинной операцией подтверждения наличия 0day, которую к тому моменту уже обнаружили Уласень и Купреев. Поэтому он скинул этот код младшему инженеру, рассчитывая, что это будет для него неплохой практикой и лишь мельком пробежался по коду, уверяясь, не упустил ли он чего важного. Но, стоило ему открыть файлы, сразу стало понятно, что это очень необычный код.

Основной файл Stuxnet оказался невероятно большим – 500 килобайт, вместо обычных 10-15. Даже Conficker, вирус-монстр, который заразил свыше 6 миллионов устройств за прошедшие пару лет, весил всего 35 Кб. Любой малварь, крупнее этого в размере, обычно содержал в себе тяжелый файл с изображением, увеличивающим её общий вес, как например, фейковая страничка онлайн-банка, которая выскакивала в браузере зараженного устройства, чтобы одурачить жертву и выманить её банковские данные. Но в Stuxnet не было файла-изображения и никаких посторонних дополнений. И когда О’Мурчу стал открывать и разбирать файлы, он понял, что код был намного сложнее, чем кто-либо мог предположить.

Когда ты повидал столько малварей, как О’Мурчу, ты можешь лишь взглянув на код программы понять наверняка весь её функционал – вот эта содержит кейлогер и записывает всё, что печатает жертва, а это банковский троян, который крадёт данные для онлайн входа в банковский счет. Так же легко было понять, где код был написан как попало, а где был собран искусно и с пониманием дела. Stuxnet явно относился ко второму варианту. Он оказался обширной, грамотно скомпонованной программой с огромнейшим функционалом. Что это были за функции, все еще оставалось загадкой, но вирус мгновенно пробудил интерес О’Мурчу.

Первая встреча О’Мурчу с вирусами произошла ещё в 1996, когда он изучал компьютерные науки в Университетском колледже Дублина, и однокурсник запустил самодельный вирус, заразивший все компьютеры в учебных классах. В тот день вредонос захватил контроль над всеми устройствами и их. Пользователи могли авторизоваться, лишь ответив на ряд из 10 вопросов, которые один за другим всплывали на экране. Большинство были раздражены этим вторжением, но О’Мурчу хотелось раздобыть себе копию этого вируса, чтобы его разобрать. Анализ был заложен у него на клеточном уровне. Еще ребенком, росшим в деревне неподалеку от Атае, маленького торгового городка в графстве Килдэр, в Ирландии, он был одним из тех мальчишек, кому больше нравилось не играть с машинками, а разбирать их на части, чтобы понять их устройство.

Но О’Мурчу не намеревался становиться борцом с вирусами. Он начинал свою карьеру в колледже, прилежно изучая физику и химию, ради научной степени, которую он планировал получить, но, записавшись на один курс по компьютерам, он стал ими просто одержим и быстро променял лабораторию химиков на компьютерный класс. Хакинг был усиливающейся проблемой в университете, но О’Мурчу не рассматривал компьютерную безопасность в качестве возможной ступени своей карьеры, до тех пор, пока хакеры не взломали серверы, принадлежащие компьютерному клубу, и команде студентов было поручено их спасти. О’Мурчу был увлечен игрой в кошки-мышки, завязавшейся в результате работы, видя как злоумышленникам вновь и вновь удается перехитрить защитников и ворваться обратно.

Тот урок по преодолению цифровых барьеров пришелся кстати, когда он с группой друзей путешествовали по Штатам после колледжа, и с легкостью нашли себе заработок, тестируя интернет-киоски для стартапа в Сан-Диего. Их наняли на работу для того, чтобы проверить, смогут ли они обхитрить систему оплаты в киосках и получить к ним интернет доступ. Но вместо обычных пользователей интернета, компания получила группу продвинутых хакеров. O’Мурчу и его друзья должны были тестировать систему в течении нескольких недель перед тем, как компания установит эти киоски на улицах. Но команда друзей продолжала находить все новые и новые пути взлома платежной системы еще два месяца.

Следующую пару лет О’Мурчу провел путешествуя по свету, катаясь на сноуборде, вынашивая в себе желание попасть в сферу безопасности, но не имея ни малейшего плана о том, как это можно осуществить. Затем, в 2002 он получил работу в Брайтмейл, компании, занимающейся антиспам – фильтрацией, в Дублине. Он взялся за это лишь ради заработка на новые путешествия. Но когда в 2004 году Symantec выкупила эту компанию, у него появился шанс. Шанс попасть в сферу киберобороны. Во время базовой тренировки, которую офис Symantec в Дублине устроил для сотрудников Брайтмейл, О’Мурчу уже не терпелось познакомиться с разными департаментами компании. Больше всего он хотел увидеть команду исследователей вирусов, в которую он и надеялся попасть. Но в итоге, когда он встретил Эрика Чиена, американца, возглавлявшего команду исследователей, его мечта попасть туда резко рухнула. Он думал что, Symantec размещает сотни своих аналитиков по всему миру, и попасть в их число не так уж сложно. Но Чиен сказал, что в команде работают лишь шесть человек и все они находятся на этом месте уже долгие годы. “Никто не уходит” – сказал Чиен, – “Все любят свою работу”.

Это очень огорчило О’Мурчу. Он обучался аналитике и расшифровке вредоносного кода и писал крипторы, и когда через пару месяцев появилось большое количество новых шпионских и рекламных вредоносов, он был готов к тому моменту, когда Symantec решила расширить команду. Далее последовали 4 года его стажировки в Дублине – в том офисе, где компания до сих пор держит свою самую большую исследовательскую группу – пока не был переправлен в Калвер-Сити в Калифорнии в 2008.

За эти годы О’Мурчу и команда Symantec не раз работали над высококлассными и сложными угрозами. Но ни одна из них не была столь захватывающей и бросающей вызов, какой оказался Stuxnet.

При изучении главного файла Stuxnet, О’Мурчу столкнулся с несколькими уровнями шифрования и маскировки множества частей кода и внутреннего ядра. К счастью, первым уровнем оказался обычный упаковщик который было легко взломать.

Упаковщик – это инструмент для сжатия и искажения кода, который позволяет слегка усложнить задачу антивируса определить сигнатуру вируса, а эксперту мешает быстро понять, что именно делает код. Малварь проходит через упаковщик, где видоизменяется каждый раз. Один и тот же код, прогнанный через упаковщик тысячу раз создаст тысячу разных версий программы, хотя внутри это будет один и тот же код, выполняющий одними и те же функции. Антивирусные движки могут определить, был ли вредоносный файл пропущен через упаковщик, и на лету распаковать его, определяя реальную сигнатуру содержимого. Чтобы это обойти, более опытные программисты могут настроить обычный упаковщик так, чтобы сигнатуры распознавались сложнее. Но создатели Stuxnet не стали утруждать себя. Они использовали готовый упаковщик под названием UPX (Ultimate Packer for eXecutables), упаковщик исполняемых файлов, поддерживающий несколько различных платформ и форматов файлов. Это был пожалуй самый легкий шаг в анализе Stuxnet.

Однако, казалось странным: сделать одну часть малваря такой сложной – эксплоит нулевого дня и похищенные цифровые сертификаты, а другую содержащую обычный, самый распространенный упаковщик.

О’Мурчу предположил, что изначально цель использования упаковщика – просто сжать файлы и сделать их менее заметными. После распаковки основной модуль увеличился в размерах до 1.18 Мб.

После распаковки, О’Мурчу легко обнаружил строчки, касающиеся оборудования Siemens, которые до этого заметил Фрэнк Болдуин. Но важнее то, что он нашел основную зашифрованную часть кода, которой оказался большой файл .DLL в которой было тридцать шесть других .DLL файлов и компонентов внутри, упакованных в разных слоях шифрования, как матрешки. Также он нашел массивный файл конфигурации, в котором было более чем 400 конфигураций, в которых хакеры могли менять все, что угодно, от URL для командно-контрольных серверов, с которыми взаимодействовал Stuxnet, до количества устройств, которые вредонос должен заразить через USB флэшку перед тем, как USB эксплоит прекратит работу.1

Любопытно, что О’Мурчу так же нашел в файле дату окончания распространения вируса – 24 июня 2012 года. Каждый раз, встречая новое устройство, Stuxnet должен был проверять календарь на случай, не наступила ли эта дата. Если да, то Stuxnet должен был остановиться и более не заражать устройства. День остановки распространения был установлен на дату, через три года после того, как Stuxnet заразила свою первую цель – машину в Иране. К моменту установленной даты, цель злоумышленников предположительно должна была быть достигнута.2

Что показалось О’Мурчу наиболее интересным, так это сложный метод, которым Stuxnet скрывал свои файлы и вмешивался в работу зараженных машин.

О’Мурчу потребовался почти целый день, чтобы разобрать все эти детали. Закончив, он был поражен.

В ОС Windows код для выполнения простых операций, таких как открытие, чтение файлов или их запись на диск, хранится в .DLL файле операционной системы. Когда операционной системе или другим приложениям необходимо такое действие – программы запрашивают соответствующий код из системного .DLL, и код выполняется в памяти устройства. Обычные хакеры для своих целей могут попытаться сохранить код в .DLL Windows, но антивирусы распознают код, которого там не должно быть. Поэтому Stuxnet пошел дальше и помещал свой код прямо в память устройства, где его навряд ли бы нашла какая-либо антивирусная программа. Само по себе такое поведение не было чем-то особенным, ведь многие смышленые хакеры так уже делали – хранили свой код в памяти устройства. Но то, как это делал Stuxnet, по-настоящему удивляло.

Малварь, прячущийся в памяти, все равно вынужден запрашивать у системы дополнительный код из файлов, хранящихся на диске компьютера. Но антивирусные движки отлавливают эти запросы. В Stuxnet вся необходимая для функционирования информация хранилась внутри него самого, как виртуальные файлы с особыми именами. В обычной ситуации это бы не сработало, потому что, когда Stuxnet попытался вызвать этот код, операционная система не распознала бы имена или искала эти странно названные файлы на диске. Но Stuxnet “хукала”, то есть перехватывала запросы к части API Windows, интерфейсу между операционной системой и программами, поэтому, каждый раз, когда она искала эти файлы со странными именами – ОС просто отправляла запросы в Stuxnet, содержавшуюся в памяти и получала требуемый код. Если бы антивирусный движок что-то заподозрил в файлах из памяти и попытался бы их проверить, Stuxnet был готова и к этому. Так как он контролировала часть API Windows, ответственную за отображение файлов, он просто обводил сканер вокруг пальца, чтобы тот думал, что файлы пустые, по сути, сообщая ему: “Тут нечего смотреть, иди дальше”.³

Но и это было еще не все. Обычный малварь выполняет свой код довольно прямолинейно – просто запрашивает его и запускает. Но для Stuxnet это было слишком просто. Stuxnet создавался как машина Руба Голдберга, и вместо того, чтобы вызывать и использовать свой код напрямую, он “внедрял” его в другой блок кода, уже исполняемого процесса, затем брал код, который был запущен в этом процессе и помещал его в блок кода из другого процесса, чтобы скрыть свою работу.

О’Мурчу был изумлен объемом труда, который злоумышленники вложили в своё творение. С этим и рядом не стояли даже самые сложные малвари, которые он встречал за последние годы. Обычный создатель вирусов делал минимум работы, достаточной, чтобы запустить свой вирус и избежать его обнаружения, а здесь каждая деталь была продумана и работала, как швейцарские часы. Даже продвинутые китайские инструменты онлайн шпионажа рядом не стояли с теми технологиями, которые он увидел в Stuxnet. Изучив лишь первые 5 Кб из более чем мегабайта кода O’Мурчу начал волноваться все больше и больше.

Было ясно, что это был не обычный малварь и он требовал детального изучения. Но объем и запутанность кода означали, что потребуется целая группа людей для его расшифровки. И главный вопрос, который сейчас был на уме у О’Мурчу – должны ли они вообще заниматься этим? Никто не станет обвинять Symantec, если исследователи забросят этот код и займутся другими вещами. В конце концов, первостепенная задача любой антивирусной фирмы – это останавливать вирусы до того, как они запустятся или избавлять от них системы клиентов, если те оказалась заражены. А что именно вредоносный код делал с компьютером, оказавшись там – дело второстепенное.

Но даже при этом, их первостепенная задача сейчас застопорилась на этапе обнаружения, а любой клиент, заразившийся Stuxnet, все равно захочет узнать, что вирус сделал с его системой, даже если Symantec уже обнаружили и удалили все вредоносные файлы. Сумел ли она украсть учетные данные или важные документы? Изменил или удалил критически важные записи? О’Мурчу считал, что в его обязанности входило это выяснить.

Но то была не единственная причина, по которой он продолжил разбирать код. По правде, Stuxnet привлек его тем, что был огромной загадкой. Вирус был намного более сложным, чем просто инструмент для шпионажа. И намного более продуманным, чтобы быть творением обычных компьютерных жуликов.

К концу первого дня, О’Мурчу внес в свои заметки все, что уже выяснил и переслал это в офис Symantec в Токио, сожалея, что не имел в запасе больше времени. Команда из Токио проработала с кодом в отведенное им время, выявляя компоненты Stuxnet и проделывая высококлассный анализ кода, поэтому каждый приложил руку к общему делу.

Вернувшись в свой дом в Калифорнии, где он жил со своей девушкой-британкой рядом с пляжем в Марина дель Рэй, О’Мурчу попытался выкинуть код из головы, но не мог. Мысли о том, каким хитрым путем вирус захватывал систему, крутились у него в голове, не давая покоя. Его разум отказывался верить в то, что он видел это всё своими глазами. Чтобы успокоить свои сомнения, он вернулся в офис, хотел ещё раз взглянуть на код снова и убедиться во всем том, что он это действительно видел.

К утру понедельника ему не терпелось попасть в офис, встретиться с коллегой Эриком Чиеном и рассказать о том, что он нашел. Как и О’Мурчу, Чиен перебрался из офиса Symantec в Дублине в Калвер Сити и теперь был техническим директором команды безопасности Symantec. Чиен решил, что им следует позвать Николаса Фальера, молодого старшего инженера-программиста и аналитика из офиса Symantec в Париже, который был хорош в разборе кода. Втроем они разработали собственный план.

Stuxnet был огромен, с разными частями и компонентами. Но то, с чего очевидно стоило бы начать – это серверы управления и контроля. Поэтому, пока Фальер знакомился с той частью Stuxnet, которую O’Мурчу уже осмотрел – Чиен и О’Мурчу сконцентрировались на серверах.

Каждый раз, когда Stuxnet заражал систему, он “отзванивался” одному или двум интернет доменам, замаскированным под сайты для фанатов футбола – mypremierfutbol.com и todaysfutbol.com.

Названия доменов были зарегистрированы на фейковые имена и поддельные кредитки, указывающие на сервисы в Дании и Малайзии, которые выступали в качестве командно-контрольных станций в процессе атаки. Каждый раз, когда Stuxnet заражал устройство, он связывался с серверами, чтобы анонсировать свое достижение и передать разведданные о жертве. Эта коммуникация была зашифрована, чтобы предотвратить возможное прочтение кем-либо, но шифрование, которое использовали хакеры, было на удивление простым и легко вскрывалось. Как только О’Мурчу и Чиен его взломали они смогли увидеть, как Stuxnet передавала хакерам название устройства, доменное имя, так же как и внутренний IP-адрес, версию Windows, на которой работает устройство, и установлено ли на него целевое программное обеспечение Siemens.4

Все эти данные, по-видимому, помогали хакерам определить, приближалась ли Stuxnet к своей цели. Это было важно, потому что в ходе своей атаки действовали они, по сути, вслепую. Однажды запущенный, самораспространяющийся вирус типа Stuxnet жил сам по себе, и у хакеров не было бы никакого контроля над его перемещением. Данные, приходившие от него на сервер помогали хоть как-то отследить его путь, пока он пробирался сквозь сеть в поисках своей жертвы.

Из всей информации, которую Stuxnet докладывал своим хозяевам, самой важной были данные Siemens, поскольку как только становилось известно, что на устройстве, где оказалась Stuxnet не установлено программное обеспечение Siemens, он прекращал свою деятельность. Он заражал новые устройства, но не производил каких-либо действий на устройстве, где не было установлено программное обеспечение Siemens. Любая система без этого программного обеспечения становилась концом для Stuxnet.⁵

O’Мурчу связался с провайдерами сервиса DNS (системы доменных имен) насчет двух командно-контрольных доменов и попросил их остановить весь трафик, идущий к этим доменам и вместо них перенаправить его в “воронку” – компьютер Symantec, предназначенный для приема такого трафика. Провайдеры DNS – это “регулировщики” интернета, отвечающие за то, чтобы e-mail и браузеры достигают своего назначения, поэтому каждый раз, когда кто-то набирает “ny-times.com” в своем браузере или кликает на ссылку, DNS подсказывает какой именно IP адрес стоит за тем или иным именем.⁶

Путем перенаправления трафика в эту воронку, специалистам можно было получить актуальные данные, которые Stuxnet, отправлял своим хозяевам. К утру вторника 20 июля поток трафика уже отправлялся в воронку.

С того момента, как каждое зараженное устройство стало “отзваниваться” и передавать данные, О’Мурчу и Чин начали сопоставлять домены и страны, откуда шла информация, которую теперь можно было изучить, выделить сходства и закономерности, определить количество жертв, использующих программное обеспечение Siemens. К концу недели более 38 000 зараженных устройств из десятков стран передали данные в воронку и со скоростью 9 тысяч новых зараженных в день, это число продолжало расти. В конце концов они могли отслеживать более ста тысяч вирусов в более чем ста государствах.⁷ Stuxnet по-прежнему распространялся, несмотря на то, что антивирусные организации уже выявили и начали “засекать” сигнатуру этого вируса, а во многих зараженных устройствах еще не было установлено новейшее антивирусное обеспечение. Среди зараженных устройств, “отзванивающихся” в “воронку”, попался ПК из одной антивирусной фирмы-конкурента, где исследователи все еще запускали Stuxnet на своих испытательных стендах.

С тех пор, как О’Мурчу и Чин стали отмечать географическое расположение каждого зараженного устройства, проявилась любопытная закономерность. Из 38 000 зараженных машин, которые изначально были отслежены, 22 000 располагались в Иране. На втором месте шла Индонезия со 6700 зараженными, а затем следовала Индия с цифрой в 3700. В Штатах было обнаружено менее 400 зараженных, а у остальных эта цифра была и того ниже. И лишь небольшое число устройств среди всех зараженных имели установленное обеспечение Siemens, которое так же преобладало в Иране – 217, в сравнении с США – там было всего 16. ⁸

Ситуация с этим вирусом не совпадала с предыдущими моделями вспышек во всем мире – Иран никогда не был впереди всех.

Даже во вспышках, которые начинались на Ближнем Востоке или в Центральной Азии, Иран никогда не поднимался в топ чарта. Становилось понятным, что это была целенаправленная атака, ориентированная на Исламскую Республику. Но, если атакующие были нацелены на устройства с установленным обеспечением Siemens, то получается, что Stuxnet ушел далеко за пределы своей цели. И почему он распространялся глубже в Индию и Индонезию, чем в Соединенные Штаты или в Европу? Что эти три государства могли иметь общего, что заставило вирус сконцентрироваться именно там? Имея деньги и время, которые очевидно были затрачены на разработку вируса, эти ребята были явно не из тех, кто собирался красть рецепты лекарств или секреты производства с какого-нибудь автомобильного завода, как предположил Болдевин. Атакующие, должны были нацеливаться на кражу сведений о критической инфраструктуре, или , возможно, стратегически важной для региона политической информации. Программное обеспечение Siemens, которое искал Stuxnet, использовалось на промышленных заводах и в системах критической инфраструктуры. Чиен провел небольшой поиск в Google касаемо Ирана и Индии, чтобы понять, что же в них может быть общего и обнаружил недавние новости о газопроводе, проложенном специально, чтобы соединить эти два государства. Газопровод “Мир”, включающий в себя 1700-мильный газопровод, проложенный через Южный Парс, крупнейшее нефтегазовое месторождение на юге Ирана, и идущий из Пакистана в Индию, он сильно противоречил планам и интересам США. Этот проект преодолел множество взлетов и падений за все годы смен политических настроений и вопросов финансирования, от которых Индия в 2009 году отстранилась под давлением США, но в мае 2010, лишь за два месяца до обнаружения Stuxnet, Индия вновь присоединилась к проекту. В тот же месяц Иран должен был начать проектирование и строительство завершающей части газопровода.

Но и еще кое-что пестрило в заголовках об Иране – их быстро расширяющаяся ядерная программа. Иран собирался запускать свой ядерный реактор в Бушере, на юге страны, что уже на протяжении многих лет было источником сильного напряжения между Израилем и странами Востока. Но даже более противоречивым, чем ядерный реактор был уранообогатительный завод в городе Нетанз, который был построен для того, чтобы снабжать реактор ядерным топливом. ООН голосовала за санкции против завода в Иране, и здесь даже шли разговоры о возможной воздушной атаке против строительства этого завода.

В связи с этим стала вырисовываться тревожная геополитическая картина. Загадочная сущность самого кода, плюс кража данных, а так же лидерство Ирана в числе этой вспышки зараженных наводило на мысли о том, что все это продукт тайного правительственного шпионажа, который явно вышел из-под контроля. С пониманием того, что что-то в Иране являлось мишенью, можно было определить небольшой список вероятных подозреваемых – Израиль, Китай, Россия или США.

Чиен попытался представить возможные последствия. Если Stuxnet был продуктом тайной правительственной организации, а конкретно Соединенных Штатов, это делало наличие их “воронки” для сбора данных чем-то особенно дерзким. Отлавливая те данные из зараженных устройств из Ирана, которые предназначались атакующим, они, вероятно, попали в эпицентр международного события и даже могли поспособствовать срыву секретной операции. Потенциальные последствия были просто пугающими.

Но Чиен не мог просто остановиться на этом. В работу Symantec не входила помощь в защите скрытых государственных операций, какая бы страна за этим не стояла. Их задачей было защитить устройства своих клиентов. И не важно, кто запустил этот код, и какая цель преследовалась. Если этот код продолжает заражать клиентов, он должен быть остановлен. Несмотря на то, что устройства, зараженные в Иране, где у Symantec не было клиентов, были основной мишенью этого вируса, Stuxnet так же добрался до сотен машин в других странах, и по-прежнему, оставался на воле, продолжая заражать все больше и больше жертв. Так же непонятным все еще оставалось то, как этот малварь мог воздействовать на нецелевые устройства.

Нельзя было исключать вероятность и того, что Иран мог сам быть источником атаки, а не целью. Возможно, иранские инженеры создавали Stuxnet, чтобы проникнуть в компьютеры США, но потеряли контроль над своей же разработкой, из-за чего произошли все эти заражения в самом Иране. Если он доберется до критических систем в Штатах – до электростанции, системы управления плотиной или железной дорогой – что тогда может произойти?

O’ Мурчу и Чин решили, что должны поторопиться.

Какими бы не оказались политические последствия, надо было еще раз это всё рассмотреть.

Сноски, ссылки и используемая литература:

1. Эксплоит .LNK на USB флэшке был распространял Stuxnet лишь на три новых устройства, а затем останавливался и стерал файлы с этой флэшки.

2. Доказательства, обнаруженные в Stuxnet, которую исследовал Symantec, указывали на то, что первое заражение в Иране произошло 23 июня 2009 г.

3. Николас Фальер, Лиам О’Мурчу и Эрик Чин, “W32. Stuxnet Dossier” (отчет, февраль 2011) 13-15, доступно на symantec.com/content/en/us/enter-prise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf. Детальный отчет от Synantec, описывающий технические функции Stuxnet, и на что направлена каждая функция кода.

4. Доменное имя устройства и внешний IP-адрес, выходящего в интернет – может резолвится в название организации или компании, владеющей зараженным устройством, основываясь на том, кому принадлежит блок IP адресов, куда входит и адрес этого устройства. Это помогало специалистам определять, как быстро и как далеко распространяется Stuxnet. С другой стороны, внешние IP адреса – те адреса, которые компании устанавливают на устройства намеренно, чтобы обозначить их самих и трафик, проходящий между ними. Эти IP адреса могли бы оказаться очень полезными, если бы у атакующих была схема компании, на которую осуществилась атака, которая могла бы быть украдена из устройства системного администратора, на которой отображались бы внешние IP адреса каждого устройства из этой сети. Если бы это был как раз такой случай, хакеры могли бы прокладывать дорогу для Stuxnet, которая продвигалась бы по сети, заражая устройство за устройством, подключенным к сети, докладывая каждый раз в коммандно-контрольные серверы о каждом новом заражении. Что же касается имен компьютеров, они могли бы помочь хакерам определять, какому работнику или рабочей группе в компании, владеющей этими компьютерами, принадлежал тот, что удалось заразить. Например, одно устройство называлось GORJI-259E4B69A, а другое PEYMAN-PC. Но некоторые компьютеры обьединялись под одним одинаковым именем: “ADMIN-PC”, “USER-PC”, или “home-laptop”, что усложняло процесс их идентификации.

5. Александр Гостев, главный антивирусный эксперт лаборатории Касперского в России, обнаружил, что Stuxnet отправила в коммандный сервер файл – под названием Oem6c.pnf – который указывал не только, какая программа Siemens была установлена на компьютере (Siemens Step 7 программное обеспечение или WinCC программа, которую операторы используют, чтобы отображать данные на программируемых логических контроллерах), но так же отображала список проектных файлов Step7 на устройстве и строку пути, показывающую, где именно на компьютере эти файлы расположены. Проектные файлы Step7 содержали команды программирования для ПЛК (программируемых логических контроллеров). Гостев подозревал, что каждый раз, когда хакеры находили проектные файлы на устройстве, они могли посылать отдельный инструмент в это устройство, чтобы похитить файлы и исследовать их на наличие данных конфигурации и понимать, добралась ли Stuxnet до того устройста, которое им было нужно.

6. Провайдеры DNS уже перенаправили трафик, идущий двум главным доменам, таким образом, что он отправлялся в никуда на тот момент, когда Symantec к ним обратилась. Они направляли трафик на IP адрес 127.0.0.1, который обычно используется, для пересылки обратно к отправителю.

7. Цифра в 100 000 – это то число, которое Symantec отследила за первые шесть месяцев после обнаружения Stuxnet. Но итоговое число заражений, основанное на цифрах, которые обнаруживали другие антивирусные компании, превосходит 300 000, согласно лаборатории Касперского.

8. На слушаниях в Сенате США в ноябре 2010 Дин Тернер, директор подразделения Symantec Security Response Global Intelligence Network, заявил, что число заражений в Штатах на тот момент достигло 1600. Из них 50 устройств имели установленное ПО Siemens WinCC.

Глава 3. Натанз.

       В то время как Чиен и О’Мурчу размышляли о своей новой роли на международной политической арене, в тысячах километров от их уютных офисов, в Иране, лучшие технические специалисты страны все еще боролись с проблемами, случившимися с их центрифугами. Несмотря на то, что тысячу из них были заменены всего месяц назад, они работали только на 45-66 процентов мощности, а количество подаваемого уранового газа было много меньше того, что они могли обогащать. Инспекторам МАГАТЭ было неясно, были проблемы вызваны естественным проблемами расширения завода, его совершенствованием – все-таки Натанз начал обогащать уран еще в 2007, и с тех пор работники только увеличивали количество центрифуг – или происходило что-то по истине зловещее. Последнее не оказалось бы сюрпризом. Натанз был объектом пристального международного внимания, и ни для кого не было секретом то, что многие делали все возможное, чтобы закрыть завод. По правде говоря, они пытаются сделать это в течении последних десяти лет.

Древний город Натанз расположен примерно в двухстах милях на юг от Тегерана, и является домом для святилища суфийского шейха тринадцатого века Абд Аль-Самада Исфахани, модели ранней персидской архитектуры с элегантными терракотовыми кирпичами и причудливыми узорами, вымощенными кобальтовой плиткой. Несмотря на то, что он находится на краю пустыни Деште-Кевир в тени гор Каркас, возвышенный город-сад имеет бодрящий горный климат и полон природных источников. Он давно известен своими плодородными садами, и в частности сочными грушами. Но 14 августа 2002 его начали узнавать не по чудо-садам. В этот день Национальный совет сопротивления Ирана (NCRI), коалиция иранских оппозиционных групп в изгнании, созвали пресс-конференцию в отеле Willard InterContinental в Вашингтоне, округ Колумбия, в двух кварталах от Белого дома, чтобы объявить о начале строительства Ираном тайного ядерного объекта вблизи Натанза.

 Около двух десятков журналистов и членов остальных неправительственных организаций собрались в комнате этажом ниже, чтобы услышать, о чем будет идти речь. Среди них была 29 летняя блондинка по имени Кори Хиндерштейн, работавшая в Институте Науки и Международной Безопасности (ISIS), в некоммерческой группе по запрету распространения ядерного оружия, которая отслеживала ядерную деятельность как в Иране, так и в других странах.

Когда гости расселись, а оператор из C-SPAN занял свою позицию в задней части комнаты, Алиреза Джафарзаде, представитель иранской группы, не терял времени на длинные разглагольствования. «Хотя на поверхности основная ядерная деятельность Ирана вращается вокруг АЭС в Бушере…» – он тихо говорил в микрофон, – «на самом деле, многие секретные ядерные программы работают без какого-либо разглашения. Сегодня, я собираюсь раскрыть вам два сверхсекретных объекта иранского режима, которые нам удалось сохранить в секрете до сегодняшнего дня.»

Хиндерштейн и остальные замерли во внимании.

Ядерный энергетический реактор в Бушере, старинном прибрежном городе с видом на Персидский залив, строился на протяжении 30 лет. Это был один из трех объектов, которые Иран определил как ядерный, в соответствии с соглашением о гарантиях МАГАТЭ, которое отслеживает ядерную деятельность по всему миру, дабы убедиться что такие страны как Иран не используют промышленные ядерные объекты для тайного производства ядерного оружия.

В течении многих лет Иран настаивал на том, что его программа в Бушере, которая должна была начаться в 2005 году, носила исключительно мирный характер.2 Но уже продолжительное время в Иране ходят слухи об использовании секретного ядерного оборудования, в том числе о его использования в целях создания материала для ядерного оружия. В 2001 году источники правительства США и других иностранных правительств сообщили коллегам Хиндерштейн, что в Иране существуют секретные ядерные объекты. К сожалению, они не предоставили никаких подробностей, которые хоть как-то помогли бы им провести расследование. Теперь было похоже на то, что Джафарзаде и его группа сами могут подкинуть доказательств, в которых так нуждался ISIS.

 Джафарзаде, его верхнюю губу покрывали густые темные усы, раскрыл названия тех самых двух секретных ядерных объектов, они оба находились далеко к северу от Бушера. Одним из них оказался завод по производству тяжелой воды, построенный на берегу реки Кара-Чай (Qara-Chai) недалеко от Арака. «Любой, кто имеет какие-либо планы в отношении ядерного оружия, определенно хотел бы иметь подобный завод» – продолжал говорить он.

Другим был завод по производству ядерного топлива, построенный недалеко от старого шоссе, соединяющее город Натанз с городом Кашан. Это было совместное дело рук Иранской организации по атомной энергетике (AEOI) и Высшего совета национальной безопасности Ирана. С целью скрыть истинное предназначение завода, были созданы подставные компании, которые тайно закупали необходимые материалы и оборудование. Одной из них была компания Kala Electric (также известная как Kalaye Electric Company), которая позже, предположительно, была заражена компьютерным червем Stuxnet.

Строительство комплекса в Натанзе, который, по словам Джафарзаде, охватывал 100 тысяч квадратных метров земли и стоил 300 миллионов долларов, началось в 2000 году и должно было завершиться через 3 месяца, после чего, должен быть готов к установке оборудования. История для прикрытия завода заключалась в том, что якобы, это был проект по ликвидации пустыни. Но если бы это было правдой, то это был, видимо, чрезвычайно важный проект по ликвидации пустыни, иначе зачем бы это место месяцем ранее посещал бывший премьер-министр, а глава Организации по атомной энергетике Ирана(ОАЭИ) совершал ежемесячные визиты, чтобы следить за проектом. Рабочим на заводе также не разрешили обсудить проект с местными чиновниками. По словам Джафаразаде, недавно, между ОАЭИ и канцелярией губернатора Кашана разгорелся серьезный спор, поскольку ОАЭИ отказалась обсуждать информацию об объекте с офисом. Также, когда заместитель генерал-губернаторства провинции попытался посетить строительную площадку в Натанзе, его туда не пропустили.

Во время того, как Джафаразаде раскрывал подробности проекта, указывая на плакаты у входа в комнату, показывающие сеть подставных компаний и отдельных лиц, которые руководили проектом, Хиндерштейн не отрывалась от своего блокнота. С учетом общего расположения указанных объектов, а также названий и адресов подставных компаний, это были первые убедительные доказательства, полученные ISIS в отношении незаконной ядерной программы Ирана, которые можно было бы проверить.

           Хиндерштейн продолжала внимательно слушать. Иран подписал Договор о нераспространении ядерного оружия, и в соответствии с соглашением о гарантиях с МАГАТЭ он был обязан сообщить о создании любого ядерного объекта за 180 дней до ввода ядерных материалов на площадку, чтобы инспекторы могли начать мониторинг. Если завод в Натанзе должен был открыться через 90 дней, то группа Джафаразаде как раз вовремя раскрыла информацию для инспекторов МАГАТЭ, чтобы те получили доступ к объекту перед его открытием.

Все это вызвало вопросы о том, как NCRI получила в свои руки сверхсекретные сведения, которые, казалось бы, сколько лет ускользали от ведущих шпионских агентств мира. На это Джафарзаде отвечал тем, что его группа получала информацию от людей из Ирана, которые были непосредственно связаны с проектом, а также путем обширных исследований его группы. Но более вероятно, что информация исходила от американских или израильских спецслужб.5 С Израилем уже была история утечки разведданных, вероятно, чтобы повлиять на общественное мнение в стране, не впутывая туда политику. Естественно, Израиль был страной, которая больше всего боялась ядерного оружия Ирана, но у него были очевидные проблемы, поскольку он сам долгое время поддерживал свою собственную секретную программу создания ядерного оружия, которую он никогда публично не признавал.6 По этой и другим причинам Израиль проводил свои политические махинации, что называется, за кулисами, передавая информацию западным правительствам, МАГАТЭ и таким группам как группа Джафарзаде.

Если слитая информация поступала все-таки из Соединенных Штатов или Израиля, то группа Джафаразаде была довольно странным выбором для предоставления им информации. NCRI была политическим рычагом моджахедов Халк (Khalq), или МЕК, иранской оппозиционной группы, когда-то известной за свою антиизраильскую и антиамериканскую позицию. Их обвиняли в убийстве шести американцев в Иране в 1970-х годах, а также подрыве бомб в Иране в 1981 году, в результате чего погибло более 70 человек, включая иранского президента и премьер-министра. Эта группа вошла в список террористических организаций Госдепартамента США в 1997 году, но с тех пор пыталась восстановить свой имидж, с целью выйти из этого списка. Помощь в раскрытии секретных ядерных объектов в Иране, несомненно, сыграет большую в роль в достижении этой цели. 7

В прошлом, NCRI предъявляла провокационные претензии в отношении ядерной программы Ирана, но многие из них все же оказались ложными. Так что теперь к их заявлениям имелось много вопросов. Джафарзаде определил объект в Натанзе как завод по производству топлива, но это вообще не имело смысла для Хиндерштейн и ее коллег из ISIS. Иран уже планировал построить завод по производству топлива недалеко от Натанза, поэтому было бы нелогично располагать два топливных завода так близко. Тем не менее, журналисты были готовы принять эту информацию как истинную. Однако, Хиндерштейн все-таки желала удостовериться в информации, решив позже просмотреть снимки со спутников, сможет ли она найти на них хоть какие-то доказательства строительства, которые соответствуют описанию Джафарзаде.

 Хиндерштейн работала в ISIS вот уже как 6 лет – она пришла туда сразу после окончания колледжа – и скоро стала ее постоянным экспертом по спутниковым изображениям, новому инструменту, который недавно стал доступен для таких групп, как ее. На протяжении десятилетий спутниковые снимки, а особенно изображения с высоким разрешением, были доступны лишь правительству и спецслужбам. Единственная возможность, по которой кто-либо мог посмотреть на изображения из космоса, предоставлялась лишь когда правительственные агентства или исследовательские институты решили обнародовать их лично, что, в принципе, случалось очень редко. Изображения стали доступными широкой публике лишь в середине 90-х, но и те были в плохом качестве. И лишь еще несколько лет спустя, стали появляться изображения с разрешением 1.6 метра – разрешение, с которым можно было четко рассмотреть детали фото.

ISIS был первой неправительственной организацией, которая инвестировала большие средства в дорогостоящее программное обеспечение, необходимое для анализа изображений, с самого начала осознавая важную роль, которую оно могло сыграть в их работе. Первый опыт анализа спутниковых изображений для Хиндерштейн состоялся в 1998 году, сразу после того, как Пакистан провел 6 подземных ядерных испытаний в ответ на подземные ядерные взрывы, проведенные Индией. Работая на первых порах со специалистом по спутниковым изображениям, она обрела ценный опыт – распознавать пиксельные объекты, интерпретировать тени и градации, чтобы на основании этих данных понимать глубину ландшафта на двухмерных изображениях.

Через приблизительно 2 месяца после пресс-конференции, вооруженная словами Джафарзаде и обширными дополнительными   исследованиями, Хиндерштейн вошла в свою учетную запись в Digital Globe, один из двух коммерческих провайдеров спутниковых изображений в Соединенных Штатах, чтобы просмотреть архивы с доступными изображениями со спутников.8 Сегодня спутники сделали снимки абсолютно всей поверхности Земли, а все они доступны через такие интернет-сервисы как, например, Google Earth. Но в 2002 все было куда труднее, чтобы посмотреть спутниковые изображения, например, компании Digital Globe, нужно было, чтобы одна из правительственных спецслужб поручила компании сфотографировать какой-то участок, или чтобы Digital Globe сделала снимки по собственной инициативе, например, Ниагарского водопада или Гранд-Каньона, то есть изображения, которые точно будут хорошо продаваться. Заказ изображения, которого не было в архиве стоил порядка 10 тысяч долларов, но если нужное изображение уже имелось, то приобрести его можно было в половину, либо треть цены.

Интерфейс Digital Globe, который использовала Хиндерштейн, чем-то напоминал Google Maps, при наведении курсора на место с уже существующим снимком всплывали небольшие серые квадратики. Если щелкнуть на серый квадратик вы получите изображение для предпросмотра, никуда не годящееся по качеству. Чтобы лицезреть полное изображение с разрешением 1.6 метра, что означало что 1 пиксель показывал 1.6 метра земли, вам пришлось бы его купить.

           Хиндерштейн зашла в Digital Globe и начала искать на карте мира нужный ей Иран. Она не могла поверить своей удаче, когда обнаружила на месте необходимых ей Натанза и Арака серые квадратики, изображения этих мест уже имелись в архиве. Джафарзаде в своем спиче не назвал точных координат, поэтому Хиндерштейн пришлось сначала найти на карте Digital Globe Арак, а затем, понемногу отдаляя камеру, медленно двигаться подальше города, пока над ним не появился тот самый серый квадратик. Нажав на изображение, стало сразу ясно, что на нем изображен именно завод по производству тяжелой воды, как и описывал Джафарзаде. В ISIS уже видели такой завод в Пакистане, еще пару лет назад, и этот был очень на него похож.

Когда она исследовала район Натанза, она нашла два возможных места, где были доступны изображения. Приближая камеру на каждый из участков, всплывало еще по 3 серых квадратика, что означало что на этот участок имелось несколько изображений. Это выглядело как будто кто-то нарисовал ей огромную стрелку, направляющую ее к этим местам. По датам на изображениях, 16 и 26 сентября было ясно, что они были сделаны спустя 1-2 недели после конференции Джафарзаде. Было очевидно, что кто-то другой искал ту же информацию, что и она. Хиндерштейн подозревала, что это дело рук МАГАТЭ. В прошлом году МАГАТЭ создало собственную лабораторию анализа спутниковых изображений, и для агентства имело бы смысл сделать эти снимки после откровений Джафарзаде.9

Хиндерштейн кликнула на серые квадратики на одном из объектов и быстро поняла, что на ядерный объект это место мало смахивает. В районе 100 тысяч квадратных метров вокруг ничего не было, как и говорил Джафарзаде, но здание на фото было больше похоже на какое-либо очистное сооружение, водоочистное, скорее всего. Ядерному топливу там нечего делать. Другой объект, однако, был куда более подозрительным. Он был много больше предыдущего, а на его территории были явные знаки продолжающихся раскопок. Несмотря на довольно плачевное качество изображений, Хиндерштейн все-таки смогла увидеть там несколько сгруппированных вместе зданий и пару больших насыпей недавно выкопанной земли, все это было окружено двумя секциями забора

Она также подметила тот факт, что к объекту ведет только одна дорога, а значит, скорее всего, доступ в этот район ограничен.

Эти изображения Хиндерштейн приобрела и начала изучать их, уже в куда более хорошем качестве. Теперь она также видела многочисленные трубы, выложенные на земле и большие кучи гравия для замешивания бетона. На территории также была кольцевая развязка, которую уже успели частично проложить. Но изучив изображение еще тщательнее она заметила что-то по-настоящему подозрительное. По словам Джафарзаде, это был завод по производству топлива, но производство топлива представляет собой сугубо промышленный процесс, и как правило, на таких заводах должны быть наземные сооружения с большими дымовыми трубами. На этом же участке, дымовых труб не было вовсе, и кроме того, было три больших здания, которые были построены глубоко под землей, с туннелем, соединяющим их. Здания были на финальной стадии строительства. Мимо ее глаз также не прошел и ряд круглых бетонных площадок, расположенных по всему периметру, предположительно для установки туда зенитных орудий.

 Изображения были получены в самый подходящий момент, чтобы как раз поймать иранских рабочих, которые все еще находились на процессе покрытия крыш подземных зданий несколькими чередующимися слоями земли и цемента. Будь эти снимки сделаны буквально несколько недель спустя, и их уже не было видно сверху, не было бы никаких признаков их существования. Кто-то тщательно спланировал съемку Натанза как раз в тот момент, чтобы собрать максимально компрометирующие улики.

Два из трех подземных зданий были размером с полдюжины футбольных полей, и были сильно укреплены бетонными стенами толщиной от 6 до 8 футов. Иранцы явно пытались защитить здания от возможного авиаудара. Туннель, соединяющий здания, был построен в форме U вместо просто прямой линии – обычный прием, таким образом предотвращается попадание осколков ракет из одного здания в другое.

С этими изображениями Хиндерштейн явилась к своему боссу, Дэвиду Олбрайту, физику и бывшему инспектору по вооружению в Ираке, который и основал ISIS. Теперь они оба убедились в том, что объект не являлся заводом по производству топлива. У Ирана не было никаких оснований строить его под землей, поскольку ни у кого не было бы особой заинтересованности в его бомбардировке. Они пришли к выводу, что единственное логическое заключение, которое объяснило бы подземное строительство и бетонные площадки для зенитных орудий, было то, что это был скрытый завод по обогащению урана, который они и искали.

Это был обычный тихий день в Вене, пока новости с пресс-конференции Джафарзаде не попали к Олли Хайеонену в штаб-квартиру МАГАТЭ, которая имела красивый вид на реку Дунай. В августе большая часть Европы была в отпуске, и Вена не была исключением. Босс Хайнонена, доктор Мохаммед аль Барадей, генеральный директор МАГАТЭ, был в отпуске в Египте, да и большинство сотрудников также в городе не было. Так что Хайнонен, финн пятидесяти лет, с очками в тонкой проволочной оправе и мальчишеской шевелюрой из рыжевато-коричневых волос, был один в своем кабинете, когда читал новости. Он был начальником отдела Б департамента охраны, и работал с делом Ирана всего 3 месяца, перед этим несколько лет будучи главным инспектором агентства в Северной Корее и других частях Азии. Для него это дело было словно возвращение домой, поскольку он управлял кейсом МАГАТЭ в Иране в период с 1992 до 1995 года. Шикарный персидский ковер, отмечавший тот период его жизни, все еще украшал его кабинет.

Ветеран ядерной инспекции Хайнонен состоял в МАГАТЭ с 1983 года, куда он пришел после центра ядерных исследований в Финляндии. Имея докторскую степень по радиохимии в Государственном университете Хельсинки, он имел куда более высокий уровень знаний, нежели его предшественники в МАГАТЭ, которые, как правило, имели лишь небольшую научную подготовку. Он также имел репутацию довольно уверенного и твердого решимости человека, который давал понять странам, которые он инспектировал, что он не очень любил игры в кошки-мышки.

Когда он увидел в новостях откровения Джафарзаде, он был поражен уровнем детализации раскрытых данных. Хайнонену как раз нужна была информация на подобие этой. Как и его коллеги из ISIS он сразу же заподозрил в объекте, строящемся в Натанзе, завод по обогащению урана. Двумя годами ранее правительственные источники сообщили МАГАТЭ о попытке Ирана тайно закупить детали из Европы для производства центрифуг для обогащения урана.10 Исходя из этого, Хайнонен предположил, что на территории Ирана должен быть завод по изготовлению центрифуг, но он и знать и не знал о его местоположении, да еще и МАГАТЭ не могло предъявить иранцам, не раскрывая источника разведданных. К тому же МАГАТЭ опасалось действовать на основании информации, полученной из правительственных источников, с тех пор, как разведывательное агентство сообщило МАГАТЭ в 1992 году, что Иран тайно закупал запрещенное ядерное оборудование, но при этом не уточняло никаких подробностей. В личной стычке МАГАТЭ и Ирана, представители последнего отвергали все претензии в свою сторону, предлагая инспекторам посетить их ядерные объекты, дабы убедиться в невиновности Ирана. Но так как у инспекторов не было никаких веских доказательств, те в итоге улетели с Ирана с пустыми руками.

Однако в этот раз информация немного отличалась. Она была обнародована, поэтому Хайнонену не нужно было скрывать источник данных, а сама информация включала в себя точные и конкретные детали с указанием реальных объектов и их местоположений. Это означало только одно, теперь МАГАТЭ сможет лично проверить объекты и потребовать, чтобы Иран открыл их для инспекции.12

Хайнонен поднял трубку рабочего телефона и позвонил боссу в Египет, который дал согласие на немедленное отправление письма Али Ахбару Салехи, послу Ирана, с требованием объяснить, что Иран делает в Натанзе. Салехи был возмущен обвинительным тоном письма, особенно тем, что МАГАТЭ ссылается на непроверенные данные, которые поступили от известной террористической группировки. Голамреза Агазаде, вице-президент Ирана и глава его Организации по атомной энергетике, сказал МАГАТЭ, что страна никак не скрывает объект в Натанзе, а просто планировала сообщить о его существовании на более позднем этапе строительства.13 «Если бы МАГАТЭ было немного терпеливее, вы бы скоро и сами все узнали», – писал он. Пока что, он скажет лишь то, что Иран планирует построить несколько атомных электростанций в течении следующих 20 лет, и нуждается в ядерном топливе для их эксплуатации. Он не уточнил, что Натанз это завод по обогащению урана, который нужен для производства такого топлива, об этом он, видимо, хотел заявить позже.

МАГАТЭ настаивало на том, чтобы Иран немедленно открыл Натанз их инспекторам, и после небольших терок иранские представители неохотно согласились, назначив встречу на октябрь. Но как так только агентство собралось вылетать, Иран отменил визит, заявив, что на данный момент, это невозможно, в итоге, встречу перенесли на декабрь. И вот наступил декабрь, а иранцы все так же отклоняли инспекцию объекта в Натанзе. Хайнонен подозревал, что Иран таким способом выигрывает для себя время, дабы очистить завод от возможных улик.

Когда об оттягивании Ираном времени уведомили основателя ISIS Дэвида Олбрайта, тот решил передать спутниковые снимки в СМИ, оказав таким образом давление на Иран, в надежде, что те все-таки откроют Натанз для инспекции. Неудобные изображения секретных объектов уже транслировались по всему миру. 12 декабря CNN опубликовала сюжет с изображениями со спутников, предоставленными ISIS, заявляя, что Иран, как они полагают, уже заканчивает строительство завода по обогащению урана в Натанзе, который может быть использован для производства некоего расщепляющегося элемента, необходимого для ядерного оружия. С того момента в правительстве Ирана на распорядке дня стоял лишь один вопрос: как дать отпор этим заявлениям. Посол Ирана в ООН отрицал любые факты существования в стране программы создания ядерного оружия, и сообщил CNN что «все объекты, изображенные на спутниковых изображениях, предназначены для мирных программ создания ядерной энергии, а не вооружения».14

И все-таки многочисленные новостные репортажи дали желаемый результат: иранские представители власти обязались открыть объект для инспекции МАГАТЭ в феврале.

Ядерная деятельность Ирана фактически началась более сорока лет назад. Ее корни уходят далеко в прошлое, еще во время режима шаха Мохаммеда Раза Пахлави, в то время Соединенные Штаты и другие западные страны полностью поддерживали ядерные устремления Ирана.

Иран начал свою публичную и утвержденную многими странами ядерную программу в 1957 году, более чем десять лет спустя после того, как США взорвали свои первые атомные бомбы над Японией. Это было еще то время, когда все стремились вступить в ядерный «клуб», основанный Америкой. Стремясь перенаправить амбиции этих стран, администрация Эйзенхауэра продвигала так называемую программу «Атом для Добра», в рамках которой страны получат помощь в разработке ядерных технологий, при условии, что они будут использовать их в исключительно мирных целях. В рамках этой программы, Иран подписал соглашение с США о получении помощи в строительстве легководного исследовательского ядерного реактора в Тегеранском университете. Соединенные Штаты также согласились поставлять обогащенный уран для его работы.15

Но, несмотря на усилия США ограничить разработку ядерного оружия другими странами, после войны в элитный ядерный клуб вступили еще четыре страны – Советский Союз, Великобритания, Франция и Китай. Дабы как-нибудь контролировать безумный процесс наращивания ядерной силы, в 1960-х годах был разработан Договор о нераспространении ядерного оружия. Согласно ему, свободные от ядерных разработок страны не следовали примеру ядерного клуба, и работали над сокращением вооружения, если таковое в стране все же имелось.

В соответствии с договором мир поделился на ядерные и неядерные страны. Последним будет оказана в разработке промышленных ядерных программ, в случае если они откажутся от разработки ядерного оружия, а также согласятся на регулярные инспекции МАГАТЭ для обеспечения уверенности в том, что материалы и оборудование, предназначенные для промышленных программ, не были направлены на разработку ядерного вооружения. Однако проблема в этом механизме заключалась в следующем, многие компоненты и установки для промышленных ядерных программ имели двойное назначение и могли также использоваться в программе создания ядерного вооружения, что значительно затрудняло контроль над страной. Как однажды сказал Ханнес Альвен, шведский лауреат Нобелевской премии по физике: «Атомы мира и атомы войны – сиамские близнецы».

Иран стал одной из первых стран, подписавших договор в 1968, и к 1974 году он создал собственную Организацию по атомной энергетике и разработал грандиозную схему строительства 20 ядерных реакторов, заручившись при этом поддержкой Германии, Соединенных Штатов и Франции, которые так же выигрывали в этой сделке, продавая огромные партии необходимого оборудования шахскому режиму. Первые два реактора должны были строиться в Бушере. В 1975 году немецкие инженеры дочерней компании Siemens Kraftwerk Union начали реализацию проекта общей стоимостью 4.3 миллиарда долларов, который должен был завершиться в 1981 году.17

Уже в то время были опасения, что ядерное оружие может стать эндшпилем Ирана.  Сам шах намекал на то, что его ядерные цели носят не только мирный характер, утверждая в интервью, что Иран получит ядерное оружие «без сомнения… раньше, чем можно подумать», если условия на Ближнем Востоке сделают это необходимым.18 Но американские лидеры не слишком беспокоились сложившейся ситуацией, ибо считали шаха другом, и видимо, считали что конец его режима не настанет никогда.19

Однако этот день наступил довольно быстро, когда в 1979 году разразилась Исламская революция. Как раз достраивалось одно из реакторных зданий в Бушере. Революционеры, свергшие шаха и захватившие власть во главе с Рухоллой Мусави Хомейни, присматривались к реакторам-гигантам, строящимся с Бушере, как к символу союза шаха с Западом. Соединенные Штаты, встревоженные нестабильной политической ситуацией, отказались от поддержки проекта, как и правительство Германии, которое в конечном итоге вынудило Kraftwerk Union отказаться от своего контракта в Бушере.20

Последующая ирано-иракская война не была благосклонна к заброшенным реакторам. На протяжении восьмилетней войны, которая длилась в период с 1980 по 1988 года, Ирак бомбил две башни до 10 раз, оставив на их месте руины.21 Во время войны командир Революционной гвардии Ирана призвал Аятоллу Хомейни начать программу создания ядерного оружия, с целью отбить нападки Ирака и его западных союзников. Но Хомейни отказался от таких серьезных мер, полагая, что ядерное оружие является анафемой для ислама и нарушением его основных моральных принципов. Однако он, все же, изменил свое мнение после того, как Саддам Хусейн обрушил свое химическое оружие на иранские войска и мирных жителей, убив около 25 тысяч, и нанесши увечья более чем 100 тысячам человек. Разъяренный пассивной реакцией ООН и обеспокоенный слухами о том, что Иран пытается создать собственное ядерное оружие, Хомейни решил возобновить ядерную программу Ирана. Она включала в себя и разработку программы по обогащению урана.22

Чтобы запустить программу, Иран обратился за помощью к пакистанскому металлургу по имени Абдул Кадир Хан. Хан уже помог своему государству в создании программы ядерного оружия в середине 1970-х годов, используя технологию центрифуг, которую он украл, работая в Европе. Он работал в голландской компании, которая проводила исследования и разработки центрифуг для Urenco, консорциума, образованного Германией, Великобританией и Нидерландами, который разрабатывал центрифуги для атомных электростанций в Европе. В рамках своей работы Хан имел доступ к наиболее важным чертежам конструкций центрифуг, которые он скопировал и забрал з собой в Пакистан. Вместе с чертежами Хан прихватил и список поставщиков, многие из которых были готовы тайно продавать Пакистану оборудование и материалы для изготовления своих центрифуг.

Центрифуги представляют собой металлические цилиндры с роторами внутри, вращающиеся со скоростью более чем 100 тысяч оборотов в минуту, которые обогащают гексафторид урана, полученный из урановой руды, которую добывают с земли и морской воды. Гексафторидный газ попадает в «каскад» центрифуг – группу центрифуг, соединенных между собой трубами с клапанами. Вращающиеся внутри центрифуг роторы создают центробежную силу, которая отделяет немного легший изотоп U-235 – делящийся изотоп, необходимый в атомной энергетике – от более тяжелого изотопа U-238, в процессе, подобному промыванию золота.23 Газ, содержащий более тяжелые изотопы выталкивается к наружной стенке, тогда как содержащий более легкие изотопы газ собирается ближе к центру. Заполненные горячей водой большие спирали, находящиеся вокруг внешней части центрифуги, создают переменную температуру, которая приводит газ в вертикальное движение в виде овала вдоль стенки центрифуги для дальнейшего разделения изотопов. Трубы направляют газ, содержащий концентрацию более легких изотопов отправляется в центрифуги на более «высокий» уровень каскада, где происходит их дальнейшее разделение. В то время как более тяжелый газ, обедненный уран, отводится во второй набор центрифуг на более «низкие» уровни каскада. Когда от этого газа отделяются дополнительные изотопы U-235, он возвращается на более высокие ступени для рекомбинации там с другими изотопами U-235, а обедненный газ направляется в «отходы», то есть в хвостовую часть каскада, где они и выбрасываются. Этот процесс продолжается до тех пор, пока в газе не будет достигнута необходимая концентрация изотопов U-235.24

В 1987 году, после того как Иран возобновил свою ядерную программу, правительство связалось с бывшим немецким инженером, который теперь стал барыгой, эдаким черным купцом, основным поставщиком оборудования для незаконной ядерной программы Пакистана. Именно он помог организовать в Дубае секретную встречу между представителями Ирана и членами сети снабжения Хана. В обмен на 10 миллионов долларов иранцы получили 4 чемодана, заполненные всем необходимым для старта собственной программы по обогащению урана – техническими проектами по изготовлению центрифуг, парой разобранных прототипов и чертежами для небольшой центрифуги, содержащей шесть «каскадов».25 В качестве бонуса, Хан добавил 15-страничный документ, описывающий, как превратить обогащенный уран в металлический уран, из которого изготовляются «полусферы», основной компонент ядерных бомб.26 Позже, Хан рассказал пакистанскому телевидению, что он помог Ирану с его ядерной программой, ибо считает, что если и Пакистан, и Иран станут ядерными державами, они «нейтрализуют силу Израиля».27

Прототип разобранной центрифуги, полученный иранцами, был создан на основе одного из проектов, который Хан любезно позаимствовал у европейцев, работая в Urenco. В Пакистане эта центрифуга была известна как P-1, в Иране же ее стали называть IR-1. Изначально, у Ирана не было денег на реализацию полученных проектов, но вот, в 1988 году, ирано-иракская война закончилась, и у страны освободились ресурсы. Они начали вкладывать деньги в программу обогащения, закупая высокопрочный алюминий и другие материалы для построения своих первых центрифуг. Также Иран тайно импортировал почти две тонны природного урана, включая гексафторидный газ, из Китая.

Позже Хан помог иранцам и передал компоненты для пятисот центрифуг IR-1, а также инструкции для их качественного изготовления и испытания. Последние были очень кстати, ибо Иран уже поимел проблем с центрифугами, которые Хан создал им из прототипов пакистанских центрифуг. Иногда они выходили из-контроля и попросту приходили в негодность, а иногда случае и вовсе не запускались.29 К 1994 году у Ирана получилось успешно эксплуатировать лишь одну центрифугу на «почти полной скорости».30

В результате иранцы обвинили Хана в передачи им низкокачественной информации по сборке. Так, в 1996 году он передал пакистанцам чертежи центрифуги P-2, более совершенной центрифуги, основанной на другой конструкции, украденной опять же в Urenco.31 P-2 была гораздо более эффективной, чем IR-1, и могла обогатить примерно в два с половиной раза больше урана за то же количество времени. В ней также использовался ротор, изготовленный из мартенситной стали – более упругого материала, чем подверженные частым поломкам алюминиевые роторы IR-1.

Пока Иран занимался разработкой своей секретной программы по обогащению урана, его публичная ядерная программа развивалась параллельно. В 1995 году страна подписала с Россией контракт на 800 миллионов долларов на возобновление строительства реактора в Бушере. Обе страны также обсуждали строительство завода по обогащению урана для производства топлива для бушерского реактора, но в переговоры вмешалась администрация Клинтона, и убедила Россию отказаться от этой задумки. Поэтому Иран решил построить секретный обогатительный завод самостоятельно.32

Примерно в это же время Европа начала ужесточать контроль за экспортом материалов и компонентов двойного ядерного назначения. Разумеется, Иран это не остановило, они просто перешли в подполье. С целью как-то замаскировать исследовательские и производственные объекты от всевозможных инспекций и просто лишних глаз, правительство раскидало их по всей стране, некоторые теперь работали на охраняемых военных территориях, другие расположились в непримечательных офисах и заброшенных складах. Так же были перенесены производственные мощности центрифуг из Тегеранского центра ядерных исследований, где они были запущены, на фабрики, некогда принадлежащие Kalaye Electric Company, бывшей фабрике часов в промышленной части Тегерана, которые Организация по атомной энергетике приобрела до начала развертывания ядерной программы.

Примерно в 1999 году Иран провел свои первые успешные испытания по обогащению урана на фабрике Kalaye с использованием небольших центрифуг и гексафторидного урана, закупленного в Китае.33 Это был тот самый научный прорыв, который раз и навсегда доказал жизнеспособность иранской ядерной программы, и пускай даже на нее ушли десятилетия. Именно это событие доказало иранским ученым что все это было не зря, и администрация Организации по атомной энергетике Ирана полностью поменяла свой курс работы – рабочим был отдан приказ начать работу над производством 10 тысяч центрифуг для будущего завода по обогащению урана в Натанзе. В тоже время Иран активно начал искать поставщиков необходимого сырья и оборудования в Европе.34 В 2000 году, на срезе двух веков, иранские рабочие начали строительство ядерного комплекса в Натанзе, по его завершению Иран пополнит список ядерных держав.

Сноски, ссылки и используемая литература:

1.    С речью Алирезы Джафарзаде можно ознакомиться в архиве C-SPAN по адресу: c-spanvideo.org/program/172005-1. Неофициальная стенограмма его комментариев также доступна по адресу: https://www.iranwatch.org/library/ncri-new-information-top-secret-nuclear-projects-8-14-02.

2.    Специалистов по ядерному нераспространению не слишком волновал факт использования плутония в легководном реакторе в Бушере, поскольку тот являлся плохим материалом для создания ядерного оружия, к тому же он вызывал некоторые проблемы с реактором. 29 июля 2002 года Заместитель министра обороны Маршалл Биллингсли заявил сенату, что у других стран могут возникнуть опасения насчет создания ректора в Бушере, «он является предлогом для создания инфраструктуры, призванной помочь Тегерану обрести ядерное оружие». Имеется ввиду, что сырье, закупленное для Бушера, может использоваться Ираном для секретных ядерных разработок.

3.    Тяжелая вода – это вода с большим количеством изотопов водорода – дейтерия. Может использоваться в качестве хладагента или замедлителя на электростанциях, а также в исследовательских реакторах для производства медицинских изотопов. Но, отработанное топливо таких заводов содержит в себе плутоний, а также другие элементы, которые при переработке могут использоваться для создания ядерного оружия. Заводы по производству тяжелой воды являются лучшим источником плутония, нежели легководные заводы, как в Бушере.

4.    Для большей информации читайте главу 6.

5.    Джафарзаде сказал, что NCRI получила информацию за несколько дней до его пресс-конференции, и что она была получена от членов сопротивления внутри Ирана. «Это были люди, непосредственно связаны с этим, они имели доступ к информации об этих видах деятельности», – говорил он журналистам в зале. «Разумеется эти люди имели доступ к этой информации в рамках политического режима». На вопрос, поделилась ли группа Джафарзаде информацией с властями США, он тщательно взвешивал каждое свое слово. «Данные были предоставлены…», – начал говорить он, – «были доступны соответствующим органам власти страны. Я еще не осведомлен об реакции США». Два года спустя директор ЦРУ Джордж Танет сказал об этих и других откровениях NCRI: «Я хочу заверить вас, что недавние подтверждения Ирана в отношении их ядерной программы подтверждают наши предположения. Совершенно неправильно говорить, что мы были «удивлены» заявлениями иранской оппозиции в прошлом году». Он выступал в Джорджтаунском университете 5 февраля 2004 года. Стенограмма его речи доступна по адресу: https://www.cia.gov/news-information/speeches-testimony/2004/tenet_georgetownspeech_02052004.html.

6.    Израиль тайно вступил в ряды ядерных держав в 1967 году.

7.    Лоббистская кампания NCRI сработала. При поддержке ряда американских законодателей, а также бывших лидеров ФБР и ЦРУ, эта группа была удалена из списка террористов в 2012 году. Сторонники назвали эту группу лояльным союзником Соединенных Штатов и назвали ее роль в оказании помощи в раскрытии секретной ядерной программы Ирана в качестве одной из причин ее исключения из списка.

8.    Другой компанией была GeoEye.

9.    Источник в МАГАТЭ подтвердил мне, что агентство действительно заказало изображения.

10. Дэвид Олбрайт, Peddling Peril: How the Secret Nuclear Trade Arms America’s Enemies (New York: Free Press, 2010), 187.

11. Интервью автора с Хайноненом в июне 2011 год.

12. Есть разные заявления о том, что на самом деле знало МАГАТЭ. По словам Марка Хиббса, бывшего ведущего журналиста по ядерным вопросам, который сейчас является политическим аналитиком, примерно за два месяца до пресс-конференции NCRI Соединенные Штаты предоставили МАГАТЭ координаты подозрительных объектов в Иране, которые Штаты отслеживали с начала 2002 года (Hibbs, “US Briefed Suppliers Group in October on Suspected Iranian Enrichment Plant,” Nuclear Fuel, 23 декабря 2001 год. Однако Дэвид Олбрайт из ISIS, говорит, что, хотя американцы и предоставили МАГАТЭ координаты объектов, но они не сообщали о том, что завод в Натанзе являлся заводом по обогащению урана. Мохаммед аль Барадеи в своей книге «Эпоха обмана» признает, что в середине 2002 года МАГАТЭ и в правду получило информацию об объекте в Натанзе, но не говорит, что МАГАТЭ знало о том, что это был завод по обогащению урана.

13. Позднее иранское правительство заявят, что единственной причиной, по которой оно скрывало свою деятельность в Натанзе, было то, что Запад попытался бы сорвать их попытки по созданию гражданской ядерной программы.

14. Стенограмма стати CNN доступна по адресу: http://transcripts.cnn.com/TRANSCRIPTS/0212/13/lol.07.html.

15. Цифровой Архив Национальной Безопасности, “US Supplied Nuclear Material to Iran,” 29 января 1980 год, доступно на: http://www.nsarchive.chadwyck.com/ (требуется регистрация). Также смотрите Дитер Бернанц и Эрих Фоллат, “The Threat Next Door: A Visit to Ahmadinejad’s Nuclear Laboratory,” Spiegel Online, 24 июня 2011 год, доступно на: https://www.spiegel.de/international/world/the-threat-next-door-a-visit-to-ahmadinejad-s-nuclear-laboratory-a-770272.html.

16. Анна Хессинг Кан, “Determinants of the Nuclear Option: The Case of Iran”. Onkar Marway and Ann Shulz (Cambridge: Ballinger Publishing Co., 1975), 186.

17. Али Ваез, “Waiting for Bushehr”, 11 сентября 2011 год.

18. Джон Кули, “More Fingers on Nuclear Trigger?”, 25 июня 1974 год. Позднее иранские чиновники начали отрицать, что Кули сделал это заявление.

19. По факту, Иран обсуждал с Израилем планы по адаптации ракет класса «земля – земля» для оснащения их ядерными боеголовками. Смотрите Пол Мишо “Iran Opted for N-bomb Under Shah: Ex-Official”, 23 сентября 2003 года. Также, по словам Акбара Этемада, главы Иранской организации по атомной энергетике при шахе, ему было поручено создать специальную команду, отслеживающую последние ядерные исследования в мире, чтобы Иран при необходимости был готов создать бомбу. Он раскрыл эту информацию в интервью c Ле Фигаро в 2003 году, по словам Элейн Сколино, “The World’s Nuclear Ambitions Aren’t New for Iran”, 22 июня 2003 год.

20. Джон Геддес, “German Concern Ends a Contract”, New York Times, 3 августа 1979 года. Смотрите также Джудит Перера “Nuclear Plants Take Root in the Desert”, New Scientist, 23 августа 1979 год.

21. Ваез “Waiting for Bushehr”.

22. Институт Науки и Международной Безопасности, “Excerpts from Internal IAEA Document on Alleged Iranian Nuclear Weaponization”, 2 октбря 2009 года. Доклад ISIS основанный на внутреннем документе МАГАТЭ под названием «Possible Military Dimensions of Iran’s Nuclear Program», который доступен по адресу: http://www.isisnucleariran.org/assets/pdf/IAEA_info_3October2009.pdf

23. Изотоп U-235 имеет на 3 нейтрона меньше, чем у U-238, что делает его легче.

24. Чарльз Фергюсон, Nuclear Energy: What Everyone Needs to Know (New York: Oxford University Press, 2011).

25. Деннис Франц и Кэтрин Коллинз, The Nuclear Jihadist: The True Story of the Man Who Sold the World’s Most Dangerous Secrets (New York: Free Press, 2007), 156. Эти предметы были перечислены в рукописном документе, который был написан в Совете управляющих МАГАТЭ, “Director General, Implementation of the NPT Safeguards Agreement in the Islamic Republic of Iran, GOV/2005/67”, (отчет от 2 сентября 2005 год).

26. В ноябре 2007 года по данным Совета управляющих МАГАТЭ, Иран предоставил МАГАТЭ копию 15 страничного документа «Implementation of the NPT Safeguards Agreement and relevant provisions of Security Council resolutions 1737 (2006) and 1747 (2007) in the Islamic Republic of Iran», (отчет от 22 февраля 2008 года). Иран заявил, что не запрашивал документ, а получил его от подпольных продавцов.

27. Эрих Фоллат и Хольгер Старк, “The Birth of a Bomb: A History of Iran’s Nuclear Ambitions”, 17 июня 2010 год.

28. Совет управляющих МАГАТЭ, “Implementation of the NPT Safeguards Agreement in the Islamic Republic of Iran”, (отчет от 10 ноября 2005 года).

29. В 1987 году он помог заключить сделку между Ираном и Ханом, в результате которой Иран получил первые центрифуги для своей программы по обогащению урана. В 1992 году бывший глава Организации по атомной энергетике Ирана Масуд Нараги покинул Иран и предоставил ЦРУ некоторую информацию о ядерной программе Ирана. Например, он сообщил управлению, что у иранских ученых возникли проблемы с центрифугами IR-1, которые они пытались построить по чертежам Хана. Смотрите Франц и Коллинс, Nuclear Jihadist, 202. А также, Олбрайт, Peddling Peril, 76–81.

30. Nuclear Jihadist, 213.

31.Совет управляющих МАГАТЭ, “Director General, Implementation of the NPT Safeguards Agreement”, (отчет от 2 сентября 2005 года).

32. Считается, что проекты для отдельного завода в Исфахане – для превращения измельченной урановой руды в газ – могли быть получены из Китая. В 1997 году администрация Клинтона объявила, что она приостановила сделку, но Иран все равно получал чертежи для завода от китайцев. Смотрите Джон Помфрет, “U.S. May Certify China on Curbing Nuclear Exports”, Washington Post, 18 сентября 1997 год.

33. Иран постепенно раскрывал подробности своей ядерной истории на протяжении нескольких лет, в отчетах они были переданы в МАГАТЭ, агентство начало получать их начиная с 2004 года. Однако детали из Ирана не всегда совпадали с информацией, которую МАГАТЭ получало от журналистов и других источников.

34. Олбрайт, Peddling Peril, 185.

Глава 4. Stuxnet разоблачен.

В первые дни после выхода новостей о разоблачении Stuxnet, с дюжину исследователей из Symantec на трех континентах были вовлечены в первичный анализ кода вируса.Очень быстро их количество сократилось всего до трех – Чиена, О`Мурчу и Фальере – поскольку остальные специалисты рассредоточились на новые поступающие угрозы. Теперь, спустя почти неделю как обнаружен Stuxnet, трое аналитиков все еще копались с «ракетной» частью червя, пока что так и не начав изучать принцип его работы.

Как и классическое оружие, цифровое оружие состоит из двух частей – ракетной и системы доставки, которые отвечают за распространение вредоносной полезной нагрузки и ее установки на компьютер, и за саму полезную нагрузку, которая и выполняет фактическую атаку, например, кражу данных или выполнение других действий на зараженном компьютере. Конкретно в данном случае, полезной нагрузкой был вредоносный код, предназначенный для программного обеспечения ПЛК от Siemens.

           Поскольку над Stuxnet предстояло проделать еще очень много работы, Чиен должен был убедить своих коллег, что вместе, командой, они должны продолжать исследовать код, пускай даже червь уже стал вчерашней новостью. Каждую среду он проводил видеоконференцию со специалистами по компьютерной безопасности с компаний по всему миру, чтобы рассмотреть исследуемые ими вопросы и поговорить о стратегии на следующую неделю. В первую среду после раскрытия Stuxnet, загадочная атака была вопросом номер один на повестке дня.

Офисы Symantec в Калвер-Сити занимают громадное здание в бизнес-кампусе площадью 36 тысяч квадратных метров, сплошь и рядом усеянном пальмами и пустынными кустами. Сделанная на современный манер пятиэтажка ярко контрастирует с тесным офисом VirusBlockAda, построенным по всем коммунистическим канонам, с просторным атриумом с высокими потолками и полом с цементной плиткой, которая при ходьбе по ней издает глухой звук полого стекла, вероятно из-за того, что под ней находятся силовые конструкции и вентиляционные системы здания. Офисный комплекс Symantec имеет золотой сертификат LEED – за свою экологическую архитектуру, со светоотражающей крышей, защищающей от палящего солнца южной Калифорнии, и стеклянный фасад, позволяющий каждому мимо проходящему человеку заглянуть внутрь довольно странного соседа торговым центрам и скоростным шоссе, которые расположились недалеко от аэропорта Лос-Анджелеса.

Комната для видеоконференций представляла собой небольшое помещение без окон, спрятанное в забытом районе третьего этажа здания, куда можно было добраться по обходному пути из компьютерной лаборатории. Внутри комнаты, стены украшали лишь установленные на стене на уровне глаз три больших монитора, которые создавали впечатление, как будто виртуальные коллеги сидели прямо напротив Чиена.

Чиен кратко изложил сделанные ранее открытия О`Мурчу для своих коллег – необычайно большой размер кода, его сложный метод загрузки и скрытия файлов, и таинственную полезную нагрузку, которая, казалось, предназначалась только для ПЛК Siemens. Он также показал причудливую географическую структуру зараженных данных. Однако о своих подозрениях в возможном политическом подтексте атаки он решил промолчать.

«Мы хотим поставить Нико на полный рабочий день», – сказал Чиен своим менеджерам, имея ввиду Фальера из Франции. «И я считаю, что нам с Лиамом стоит продолжать работать дальше». Однако было одно «но». Он понятия не имел о том, сколько времени потребуется, чтобы закончить полный анализ кода.

В среднем исследовательские команды компании анализировали около 20 вредоносных файлов в день, поэтому посвящать силы трех топовых аналитиков одной угрозе на неопределенный срок не имело для бизнеса никакого смысла. Так случалось, чтобы сразу несколько главных аналитиков компании работали над анализом одного вредоноса, лишь однажды, с червем Conficker в 2008 году. Но Conficker был изменяющим форму червем, который заразил миллионы компьютеров по всему миру и оставил множество безответных и по сегодняшний день вопросов, в первую очередь, почему он вообще был создан.1 Stuxnet, напротив, заразил относительно небольшое количество машин на еще меньшем подмножестве – ПЛК компании Siemens. Тем не менее, загадочный код требовал дальнейшего изучения, и руководители Чиена согласились, что пока что не должны бросать эту работу. «Но держите нас в курсе того, что вам удастся обнаружить», – добавили они, даже не подозревая, что на их еженедельных встречах на протяжении нескольких следующих месяцев в главной роли всегда будет выступать Stuxnet.

Воспользовавшись возможностью, Чиен и его коллеги с головой погрузились в код, восприняв его как личную одержимость. Но как только они начали работу, то поняли, что зашли на неизведанную территорию с тем минимумом знаний, который лишь примерно будет направлять их.

Symantec – крупная международная корпорация, Чиен и О`Мурчу работали в ее небольшом дочернем офисе, занимаясь делами грубо говоря в одиночку, по минимуму прибегая к помощи компании. Они работали в лаборатории аналитики компьютерных угроз, филиале Symantec, кибер-эквиваленте лаборатории биологической защиты, где исследователи могли использовать вредоносный код в «красной» сети – изолированной системе бизнес сети Symantec – чтобы наблюдать за его поведением в контролируемой среде. Чтобы попасть в лабораторию, которая располагалась на первом этаже, рабочим проходилось проходить несколько проверочных пунктов, каждый из которых все более ужесточал правила прохода. Последний пункт не пропускал никого, за очень редким исключением, и физически изолировал красную сеть от компьютеров, подключенных к внешнему интернету. Портативные носители были строго запрещены – никаких DVD, CD-ROM или USB – чтобы предотвратить бездумные желания работников вынести опасный вредоносный софт за границы лаборатории.

Термин «лаборатория аналитики компьютерных вирусов» это вовсе не о стерильных кабинетах с учеными в белых халатах, согнутых над микроскопами и чашками Петри. Лаборатория Symantec была просто неописуемым офисным пространством, заполненным в основном пустыми кабинетами и горсткой рабочих, которые целыми днями пристально смотрели на свои мониторы, под частую в полной тишине, выполняя методическую и, казалось, довольно утомительную работу. Не стенах не висело картин; не было автоматов Nerf или других глупых офисных игрушек, к которым прибегают работяги с целью выпустить пар и отдохнуть; никаких растений, искусственных либо каких-нибудь других, чтобы придать помещению домашний уют. Единственный клочок природы был виден только через окна – поросший травой и деревьями холм – вид, который бизнес-парки имитировали, чтобы хоть как-то симулировать природу для запертых внутри рабочих.

Кабинет О`Мурчу был лишен каких-либо личных предметов, кроме одинокой панорамной фотографии Гранд-Каньона, залитого розовыми и лиловыми волнами закатного солнца, куда он ездил в прошлом году со своим отцом. На его столе было два рабочих компьютера, подсоединенных к красной сети, и третий, личный, для чтения эмеилов и серфинга в интернете, состоящий лишь из самого необходимого – монитора, клавиатуры и мыши, подключенных извилистыми кабелями к системнику, находящемуся вне лаборатории в шкафу сервера, надежно защищенный от всех вредоносов лаборатории.

Кабинет Чиена был соседним с О`Мурчу, и был лишь немного более украшен странной коллекцией художественных открыток и пиратским флагом рядом с дверью, на котором было написано ЧИЕН ЛУНАТИК – каламбур на его имени. В переводе с французского это означало «Осторожно, собака», но Чиен предпочитал более буквальный перевод «бешенная собака».

Чиен был 39-летним мужиком, но выглядел лет на 10 моложе. Высокий, в очках, с длинной, проволочной оправой, у него была широкая привлекательная улыбка с ямочками, которые глубоко врезались ему в щеки каждый раз, когда он смеялся или волновался в обсуждаемой теме. Чиен провел долгую и успешную карьеру в сфере компьютерной безопасности, в высоко конкурентной области, где профессионалы часто всячески рекламировали свой опыт и скилы, дабы выделиться среди конкурентов. Но Чиен был скромным и всегда преуменьшал свои заслуги, предпочитая сосредоточиться на экспертизе, нежели на понтах.

Из них троих он работал в Symantec дольше всех. Это была его первая работа после окончания колледжа, на которую он попал по счастливому стечению обстоятельств. В начале 90-х он обучался в Калифорнийском университете, где изучал смесь генетики, молекулярной биологии и электротехники, и, подобно О`Мурчу, был на пути к светлой научной карьере. Но после окончания учебы в 1996 году он, с несколькими своими друзьями, пошел работать в Symantec, намереваясь поработать там пару лет, чтобы заработать денег на аспирантуру. Но несколько лет слишком затянулись.

Кибербезопасность в то время все еще была зарождающейся областью, поэтому можно было легко получить работу без соответственного образования и опыта. Тогда Чиен не знал о вирусах абсолютно ничего, но ему было достаточно выучить ассемблер, язык, на котором написано большинство вредоносных программ, и его взяли на работу. В любом случае, тамошние лучшие аналитики не были компьютерными гиками. Инженеры старательно писали все новые и новые программы, но хакеры рвали их потуги на куски, запуская очередной вирус. И хотя компьютерная безопасность является признанной профессией, основанной на учебных курсах и сертификатах, Чиен предпочитал кандидатов, у которых не было опыта, но было неугасимое любопытство и острая потребность в решении задач, путем разбивания их на подзадачи. Можно легко научить кого бы то ни было писать собственный вредоносный софт, но нельзя привить человеку любопытство или страсть к изучению неизвестных вещей. У каждого хорошего специалиста есть та самая навязчивая черта, которая заставляет их изучать конкретный кусок кода до тех пор, пока он не передаст им свои секреты.

Когда Чиен присоединился к команде Symantec, его коллеги, занимавшиеся исследованием антивирусов, были похожи на ремонтников MayTag из этой культовой рекламы – у них постоянно был простой. Вирусы все еще были довольно редким явлением и распространялись с очень небольшой скоростью, посредством дискет или «sneaker net» – переносились из одного компьютера на другой вручную. Клиенты, считавшие что их машина заражена вирусом, отправляли подозрительный файл на гибком диске в лабораторию Symantec, где он мог пролежать неделю или больше, прежде чем Чиен, или один из его коллег не возьмется за его анализ. В большинстве случаев файлы оказывались чистыми. Но иногда попадались и не совсем безобидные экземпляры. В таком случае, специалист подбирал несколько сигнатур для его обнаружения, бросал их на другую дискету и отправлял по почте клиенту вместе с инструкциями по обновлению своего антивирусного сканера.

Прошло не так много времени прежде чем вредоносное ПО эволюционировало, и ситуация изменилась. Представление Microsoft Windows 98 и Office, наряду с расширением интернета и, соответственно, распространением электронной почты, породило быстро распространяющиеся вирусы и сетевые черви, которые заражали компьютеры миллионами за считанные минуты. Одним из самых печально известных вирусов того времени стал вирус Мелисса, выпущенный в 1999 году.2 Запущен 32-летним программистом из Нью-Джерси по имени Дэвид Смит, он встраивался в документ Word, который Смит публиковал в группе новостей alt.sex.usenet. Смит хорошо понимал свою целевую аудиторию, поэтому заманивал их открыть файл под предлогом того, что в нем имеются записи с логинами и паролями для доступа к порно сайтам. После открытия документа, Мелисса, воспользовавшись уязвимостью в макро-функции Microsoft Word, автоматически рассылала письмо с этим же документом первым 50 контактам в адресной книге Outlook. Через три дня первый в мире вирус массовой рассылки распространился на более чем 100 тысяч машин, что было впечатляющим показателем, учитывая время его запуска. В дополнение к автоматической рассылке через Outlook, Смит вставил в зараженные документы ссылку на занудный Скраббл: «двадцать два, плюс оценка по трем словам, плюс пятьдесят баллов за использование всех моих писем. Игра окончена. Меня здесь нет». Мелисса была довольно безобидной, но она открыла дорогу всем остальным быстро распространяющимся вирусам и червям, которые будут располагаться на главных страничках газет на протяжении многих лет.3

По мере расширения области угроз, Symantec поняла, что нужно как можно быстрее останавливать заражение, прежде чем оно распространится на другие машины. Когда компания только вошла в антивирусный бизнес, то обнаружить и обезвредить угрозу в течении одной недели считалось хорошим временем отклика. Но Symantec стремилась сократить это значение к одному дню, и даже меньше. Чтобы добиться подобного результата, компании требовались специалисты сразу в нескольких часовых поясах, дабы выявлять вирусы в первые часы их появления и предоставлять сигнатуры клиентам из США, прежде чем те проснуться и начнут кликать на вредоносные вложения в письмах электронной почты.

К тому времени Чиен уже работал в Symantec дольше двух лет. Он накопил достаточно денег для обучения в аспирантуре и планировал вскоре переехать в Колорадо, чтобы как следует отдохнуть перед предстоящей учебой – заняться сноубордингом и катанием на велосипеде. Но Symantec подкинула ему заманчивое предложение – вакансию в Нидерландах. Компания имела отдел технической поддержки и отдел продаж за пределами Амстердама, но теперь ей также требовалась команда аналитиков вредоносного ПО. Чиен не смог отказаться. Он приземлился в Нидерландах за пару дней до того, как будет запущен червь Love Letter в мае 2000 года. Червь изначально был создан как проект на урок одного из филлипинских студентов, но быстро распространился на миллионы машин по всему миру. Это была идеальная возможность для Symantec проверить дееспособность новой европейской команды реагирования на вредоносные программы, пускай даже эта команда состояла из одного человека. В течении рекордных 20 минут Чиен проанализировал код и создал сигнатуры для его обнаружения. (К сожалению, это достижение было совершенно напрасно, поскольку Love Letter использовал настолько большую пропускную способность интернета, что клиенты попросту не могли зайти на сайт Symantec чтобы скачать сигнатуры). Как только кризис прошел, Чиен нанял еще четырех специалистов, тем самым создав свою собственную команду в Амстердаме, которая и встретила появление в следующем году большой угрозы под названием Code Red.

Он ненадолго переехал в Токио, чтобы открыть еще один исследовательский офис. Затем, в 2004 году, Symantec перенесла свою европейскую штаб-квартиру из Амстердама в Дублин, и Чиен отправился вместе с ними. Вскоре после чего он пополнил свою команду еще десятком новых сотрудников, включая О`Мурчу.

В настоящее время в Калвер-Сити им двоим и Фальеру предстояла грандиозная задача по разбору Stuxnet.

Первое препятствие, с которым столкнулись исследователи, произошло при попытке расшифровать код Stuxnet. Как уже выяснил О`Мурчу, ядром Stuxnet был большой файл .dll, который загружался на машину жертвы. Внутри него было упаковано с десяток .dll файлов поменьше и некоторых других компонентов, которые нужно было взломать и удалить, прежде чем они выполнят свой код. К счастью, ключи для разблокировки были в самом коде. Каждый раз, когда Stuxnet оказывался на компьютере под управлением Windows, он использовал ключи для расшифровки и извлечения компонентов из .dll файла по мере необходимости, в зависимости от условий, которые он обнаруживал на компьютере. По крайней мере, О`Мурчу так предполагал. Некоторые ключи не были активированы на их тестовом компьютере – последние, необходимые для разблокировки полезной нагрузки.

           О`Мурчу копался в коде, пытаясь найти причину, и именно тогда он обнаружил ссылки на конкретные модели ПЛК от Siemens. Stuxnet не просто охотился за системами с установленным программным обеспечением Siemens Step 7 или WinCC, ему нужна была конкретная линейка ПЛК Siemens – программируемые логические контроллеры S7-315 и S7-417. Только эта комбинация программного и аппаратного обеспечения активировала ключи для разблокировки полезной нагрузки.

Единственной проблемой было то, что у Чиена и О`Мурчу не было ни софта Siemens, ни их ПЛК. Без них ученые должны были использовать отладчик, чтобы найти ключи и вручную разблокировать полезную нагрузку.

Программа отладки, главный инструмент реверс-инженеров, позволяет шаг за шагом пройтись по коду – подобно стоп-кадрам на камере – чтобы рассмотреть каждую функцию по отдельности и задокументировать ее деятельность. Используя данный метод, они разбили весь код на секции, которые содержали команды для расшифровки вредоносных компонентов и следовали им, чтобы найти ключи. Но найти ключи было лишь полдела. Заполучив себе все ключи, они должны были найти алгоритм шифрования, который разблокировал бы каждый ключ. Копание в коде заняло в аналитиков несколько дней, но, когда все кусочки паззла собрались воедино, они наконец могли увидеть каждый шаг, который совершал Stuxnet на начальных этапах заражения.4

Первое, что делал Stuxnet, это определял, является зараженная машина 32 или 64 разрядной. Это связано с тем, что он работал только с 32 разрядными операционными системами. Также он проверял компьютер на то, не заражен ли он уже. Если система уже была заражена, вирус просто уверялся, что текущие вредоносные файлы обновлены до последней версии и, если нужно, заменял старые файлы на новые. Но если Stuxnet оказывался на новой машине, он начинал свой тщательно продуманный танец с вредоносными файлами, быстро перескакивая из директории в директорию, в поисках наилучшего пути заражения.

Во время этого процесса, один из его руткитов быстро оседал в системе, чтобы скрыть файлы Stuxnet от системы. Это происходило благодаря захвату системы, так что антивирусные программы впритык не могли увидеть вредоносные файлы, то же самое что занести файлы в «белый» список антивируса. Если антивирус все-таки пытался прочитать файлы Stuxnet, руткит перехватывал команды и возвращал модифицированный список без файлов вируса. Но все же были исключения, и некоторые антивирусные сканеры таким образом обвести вокруг пальца не получалось. Вирус знал, какие сканеры являются проблематичными и соответственно изменял свои методы, если обнаружил один из таких на машине. В случае если Stuxnet понимал, что он вообще не сможет обойти антивирус, он останавливал заражение и отключался.

           Если Stuxnet удавалось пройти защиту, он продолжал свою работу, и затем активировался второй процес. Этот процес состоял из двух задач – первая заключалась в том, чтобы заразить любой USB-накопитель, вставленный в компьютер для последующего заражения других машин, вирус на USB накопителе «жил» 21 день.5 Вторая, и наиболее важная задача заключалась в расшифровке и загрузке обширного .dll файла и его различных компонентов в память машины, используя уникальные методы, которые уже успел задокументировать О`Мурчу. Сначала распаковывался главный .dll файл, чтобы освободить меньшие .dll внутри него, а затем загрузить их в память. Поскольку файлы находились в оперативной памяти, каждый раз, когда машина перезагружалась, файлы стирались из нее, поэтому процессу необходимо было перезагружать их в оперативную память после каждой перезагрузки.

Как только главный .dll файл и его содержимое были распакованы и загружены в память, Stuxnet начинал искать новые машины для заражения и вызывал серверы управления и контроля, чтобы сообщить о новом завоевании, но, если он попадал на систему под управлением Siemens Step 7 или WinCC, он резко останавливал все свои процессы после этих действий.

Таким образом, исследователи из Symantec теперь знали, как Stuxnet распространял и загружал свои файлы, но оставался еще один вопрос: почему его создали, и для чего он был предназначен? Ответ на этот вопрос все еще был спрятан в его полезной нагрузке.

Когда О`Мурчу размышлял над тем, что они обнаружили в ракетной части кода, он не мог не восхищаться искусной работой, которую злоумышленники вложили в свой вирус – умными способами решения проблем, с которыми они ожидали встретиться, и многочисленные сценарии, которые они должны были предвидеть перед запуском Stuxnet. Безусловно, вирус не был идеальным, и не каждая его функция впечатляла, но он был написан компетентными людьми, и в целом атака представляла огромную угрозу.

 Помимо сложных способов, которыми Stuxnet загружал свои файлы и обходил защитное программное обеспечение, он использовал обширный контрольный список, чтобы убедиться, что все условия на машине были идеальными, прежде чем разблокировать его полезную нагрузку. Stuxnet также тщательно отслеживал все ресурсы, которые он использовал на машине, и обеспечивал их разгрузку, как только в них пропадала нужда – если вирус потреблял слишком много ресурсов, появлялся риск замедления скорости работы машины и соответственно его обнаружения. Он также перезаписывал многие временные файлы, созданные на машине, если они больше не были нужны. Абсолютно все программы создают временные файлы, но далеко не все заботятся об их удалении, поскольку они просто перезаписываются временными файлами, создаваемыми другими приложениями. Однако мошенники не хотели, чтобы файлы Stuxnet надолго задерживались в системе, это увеличивало риск, что их увидят.

Но, несмотря на все усилия, которые прохвосты вложили в свой код, было несколько моментов, которые казались очевидно недоделанными. О`Мурчу был не единственным, кто увидел эту деталь. Когда спустя пару недель исследователи Symantec начали делиться своими выводами о Stuxnet, члены сообщества безопасности начали ворчать о многих недостатках кода, настаивая на том, что разработчики вируса являлись далеко не «элитой хакеров» как их называли в первые дни атаки. Некоторые исследователи говорили, что их техническое мастерство было непоследовательным, и они допустили ряд ошибок, которые и позволили специалистам легко раскрыть их намерения.

Например, Stuxnet было бы гораздо сложнее анализировать, если бы разработчики применяли лучшие способы обфускации, чтобы помешать работе ученых, такие как более сложные методы шифрования, которые не позволили бы никому, кроме целевой машины разблокировать полезную нагрузку или даже идентифицировать, что Stuxnet был нацелен на Siemens Step 7 и ПЛК. Вирус также использовал слабое шифрование и стандартный протокол для связи со своими серверами контроля и управления вместо кастомных, что значительно бы затруднило исследователям установление допущенных в коде ошибок и считывание трафика вредоносного ПО.

Криптограф Нейт Лоусон не без презрения позже комментировал в своем блоге, что авторы Stuxnet «должны быть смущены своим аматорским подходом к сокрытию полезных данных» и использованием устаревших методов, которые уже давно не использует преступный мир. «Я действительно надеюсь, что это не было написано в США, – писал он, – потому что я хотел бы быть уверен в том, что наши элитные разработчики кибероружия хотя бы что-то слышали о том, что делали болгарские подростки в начале 90-х».6 Согласно современным способам разработки и техникам из Hacker 101 Stuxnet выглядел как Франкенштейн, слепленный из устаревших методов, а не как топовый проект элитного разведывательного агентства.7

Но у О`Мурчу были другие мысли насчет несоответствий в Stuxnet. Он полагал, что злоумышленники сознательно использовали слабое шифрование и стандартный протокол для связи с серверами, потому что хотели, чтобы данные, передаваемые между зараженными машинами и серверами, ничем не отличались от всех остальных, и не привлекали к себе внимания. А поскольку связь с серверами была минимальной – вредоносная программа передавала только необходимую информацию о каждой зараженной машине – хакерам не требовалось более совершенное шифрование, чтобы скрыть ее. Что касается лучшей защиты полезной нагрузки, то, возможно, существуют ограничения, которые не позволяют им использовать более сложные методы, такие как шифрование с помощью ключа, полученного из обширных данных конфигурации на целевых машинах, чтобы его могли разблокировать только эти машины.8 Целевые машины, например, могут не иметь одинаковую конфигурацию, что затрудняет использование одного ключа шифрования полезной нагрузки, или могут быть опасения, что конфигурация на машинах может измениться, что сделает такой ключ бесполезным и полезную нагрузку уже будет не разблокировать.

Сбои в работе Stuxnet также могли быть следствием нехватки времени – возможно, что-то заставило злоумышленников запустить свой код в спешке, потому экспертам и показалась эта работа сделанной небрежно и непрофессионально.

Но было и другое возможное объяснение небрежной техники написания кода: Stuxnet, вероятно, был создан разными командами программистов с разным уровнем скиллов и талантов. Модульная природа вредоносного ПО означала, что разработку вполне могли осуществлять разные команды, которые работали над разными частями программы одновременно или даже в разное время. По оценкам О`Мурчу, для кодирования Stuxnet понадобилось как минимум три команды – элитная, высококвалифицированная команда первоклассных хакеров, которая работала над полезной нагрузкой, ориентированной на программное обеспечение и ПЛК Siemens; группа второго уровня отвечала за механизмы распространения и установки, и также частично за разблокировку полезной нагрузки; и третья, наименее квалифицированная команда, настраивала серверы управления и контроля и обрабатывала шифрование и протокол связи для Stuxnet. Возможно, что разделение обязательств было настолько четким, а команды настолько разделены, что они никогда не взаимодействовали между собой.

Но хотя у каждой из команды был разный уровень умений и опыта, все они были едины, по крайней мере, в одном – никто из них не оставил никаких следов в коде, которые можно было бы легко использовать для их отслеживания. По крайней мере так казалось.

Атрибуция – это постоянная проблема, когда дело доходит до криминалистических расследований хакерских атак. Компьютерные атаки могут быть запущены из любой точки мира и направлены через подставные машины или прокси-сервера, чтобы скрыть доказательства их настоящего происхождения. Часто хакера невозможно разоблачить с помощью одних лишь цифровых доказательств, если он должным образом относится к сокрытию своих следов.

Но так бывает далеко не всегда, и как правило, вирусописатели оставляют небольшие подсказки в своем коде, намеренно или нет, которые могут рассказать о том, кто написал этот код или откуда он, если напрямую не идентифицировать человека. Следы, оставленные, казалось бы, в ничем не связанных вирусах, часто помогают следователям связывать семейства вредоносных программ и даже выслеживать их до общего автора, как способ действия серийного убийцы связывает его с чередой преступлений.

Код Stuxnet был куда более стерильным, чем те вредоносные программы, с которыми обычно встречались Чиен О’Мурчу. Но все-таки из общей картины выделялись две мелкие детали.

Однажды Чиен уже в который раз просматривал записи, сделанные во время анализа Stuxnet, когда на глаза ему попалось нечто интересное – маркер заражения, который не позволял вирусу устанавливаться на определенные машины. Каждый раз, когда Stuxnet стыкался с потенциальной жертвой, перед тем, как он начать процесс распаковки и загрузки своих файлов, он проверял реестр Windows на наличие «магической» строки», состоящей из набора букв и цифр – 0x19790509. Если таковая имелась, вирус остановит свое заражение и оставит машину.

Чиен встречался с подобными «прививками» раньше. Хакеры помещали их в раздел реестра своих собственных компьютеров, чтобы после запуска кода их не заразил их же вирус, таким образом защищая собственную машину, либо другие компьютеры, которые они хотели оставить незараженными. Значение такой «прививки» могло быть абсолютно любым. Как правило, это была просто строка со случайным набором чисел и букв. Но эта строка, очевидно, была датой – 9 мая 1979 года – сначала указывался год, затем месяц и день, общий формат даты для Unix. Другие числовые строки, которые встречались в коде Stuxnet, почти наверняка, также были датами, написано все в том же формате. 

Чиен быстро зашел в Google, и вбил все произошедшие события за 9 мая 1979 года. Каково же было его удивление, когда один из результатов был связан с конфликтом Ирана и Израиля. В тот день 1979 года в Тегеране был расстрелян известный иранский еврей, бизнесмен Хабиб Элганян, после того как новое правительство захватило власть после исламской революции. Пока его не убили в подозрении за шпионаж в пользу Израиля, он был богатым филантропом и уважаемым лидером еврейской общины Ирана. Его убийство стало поворотной точкой в отношениях между еврейской общиной и иранским государством. В течении почти 40 лет, пока у власти находился Мохаммед Реза Шах Пахлави, иранские евреи имели довольно дружественные отношения со своими соседями-мусульманами, как и исламская нация с государством Израиль. Но казнь Элганяна всего через три месяца после того, как революция свергла шаха, для многих персидских евреев стала «Хрустальной ночью», дав им ясно понять, что их жизнь более не будет прежней. Это событие вызвало массовую эмиграцию евреев из Ирана в Израиль и способствовало разжиганию вражды между двумя народами, которая сохраняется и по сегодняшний день.

Была ли майская дата в Stuxnet посланием «Помни Аламо» Израилю от Ирана – что-то вроде ракет, которые американские солдаты рисовали на бомбы, сброшенные на вражескую территорию? Или это сделано специально, чтобы сбить следователей с цели? Или это просто больное воображение Чиена, которое видит отсылки там, где их нет? Все что можно было сделать, это только догадываться.

Но затем команда Symantec нашла еще одну зацепку, которая также имела возможную связь с Израилем, хотя для установления требовалось немного постараться. Она заключалась в двух словах – «myrtus» и «guava», которые можно было найти в пути к файлу, который хакеры оставили в одном из файлов драйвера. Путь к файлу показывает множество папок и подпапок, где находится файл или документ. Путь к файлу для документа под названием «мое резюме», хранящегося в папке «Документы» на диске С: будет выглядеть так: С:\Documents\моерезюме.doc. Иногда, когда программисты запускают исходный код через компилятор – инструмент, который переводит читаемый человеком язык программирования в машиночитаемый двоичный код – путь к файлу, указывающий, где программист сохранил код на своем компьютере, помещается в скомпилированный двоичный файл. Большинство вирусописателей настраивают свои компиляторы таким образом, чтобы путь к файлу не попадал в скомпилированный код, но разработчики Stuxnet этого не сделали, специально или нет, никто не знает. Исследователи увидели путь: b:myrtus\src\objfre_w2k_x86\i386\guava.pdb, указывая, что драйвер был частью проекта, который программист назвал «guava», который в свою очередь был сохранен на компьютере в директории под названием «myrtus». Миртус это семейство растений, которое включает в себя несколько видов гуавы. Интересно, программист был одновременно и ботаником? Или это значило что-нибудь другое?

Чиен продолжил искать информацию о «myrtus» и нашел косвенную связь с другим выдающимся событием в истории евреев, когда королева Эстер помогла спасти евреев древней Персии от расправы в четвертом веке до нашей эры. Обращаясь к истории, известно, что Эстер была еврейкой, которая вышла за замуж за персидского короля Ахешуреса, но сам король не знал истинного происхождения своей жены. Когда она узнала о заговоре премьер-министра Амана, который хотел убить всех евреев в Персидской империи, она пошла к королю, и рассказала о своих еврейских корнях, умоляя его спасти ее и еврейский народ. Тогда король казнил Амана, и позволил евреям сразится против приспешников бывшего премьер-министра. Все закончилось победой народа королевы и 75 тысячами мертвых врагов. Праздник Пурим, ежегодно отмечаемый еврейскими общинами по всему миру, ознаменовывает освобождение персидских евреев от неминуемой смерти.

На первый взгляд, казалось, история не имела ни малейшего отношения к червю Stuxnet. За исключением одного, Чиен нашел возможную связь с вирусом в еврейском имени Эстер. Прежде чем сменить имя и стать королевой Персии, Эстер была известна под именем Гадасса. На иврите ее имя означает мирт, либо же миртус(myrtus).

В свете текущих событий провести параллель между древней и современной Персией не составит никакого труда. В 2005 году в новостях сообщалось, что президент Ирана Махмуд Ахмадинежад призывал стереть Израиль с карты мира. И хотя в последующих отчетах было установлено, что его слова были неправильно переведены, не было секретом, что Ахмадинежад желал, чтобы современное еврейское общество исчезло. Он хотел сделать то, что много столетий назад не вышло у Амана.9 И 13 февраля 2010 года, примерно в одно время с подготовкой разработчиками Stuxnet новой атаки против Ирана, Рав Овадия Йосеф, бывший главный раввин Израиля, провел прямую линию между древней Персией и современным Ираном в проповеди, которую он произнес перед Пуримом. Ахмадинежад, из его слов, был «Аманом современности».

«Сегодня в Персии есть новый Аман, который угрожает нам своим ядерным оружием», – сказал Йосеф, – «Но, как и Аман с его приспешками, Ахмадинежад со сторонниками вскоре увидят, что их луки будут сломаны, а мечи обернуты против них, чтобы “поразить их в собственные сердца”».10

Конечно ничто из этого не указывало на прямую связь «myrtus» в коде Stuxnet и Книгой Эстер. Особенно если брать в расчет тот факт, который позже обнаружили другие исследователи, что миртус можно легко интерпретировать как «my RTUs» – «мои удаленные терминалы». Удаленные терминалы, как и ПЛК, являются элементами промышленного управления, используемыми для управления и контроля оборудования и процессов. Учитывая, что Stuxnet был нацелен на ПЛК Siemens, эта версия казалась много правдоподобней теории заговора Чиена.11 Но кто бы мог сказать наверняка?

           Специалисты из Symantec старались не делать поспешных выводов из этих данных. Вместо этого в своем блоге, Чиен и его коллеги просто сказали: «Да начнутся предположения».

Сноски, ссылки и используемая литература:

1.    Несмотря на то, что Conficker распространился так быстро и успешно, он так ничего и не сделал с большинством зараженных машин, навсегда оставив загадку о мотивах его создания и запуска в сеть. Некоторые аналитики считают, что злоумышленники пытались создать гигантский ботнет для распространения спама или атак типа «отказ в обслуживании» на веб-сайты, согласно более поздней версии, Conficker использовался для того, чтобы напугать некоторых пользователей загрузкой вредоносной антивирусной программы.  Другие опасались, что вирус может установить «логическую бомбу», которая в будущем приведет к самоуничтожению данных с компьютера. Когда прошло много времени, и ни один из этих сценариев не материализовался, большинство людей начали думать, что Conficker использовали в качестве проверки, чтобы посмотреть на реакцию правительства. Код вируса со временем модифицировался, и использовал все более изощренные методы, постоянно оставляя исследователей на шаг позади, не давая им его уничтожить. Это позже заставило думать, что таким образом хакеры проверяли специалистов по кибербезопасности. После раскрытия Stuxnet, Джон Бумгарнер, эксперт по компьютерной безопасности в ЦРУ, заявил, что и Conficker, и Stuxnet были созданы одними людьми, и что Conficker использовался в качестве «дымовой завесы», «выбивающего двери» для Stuxnet. В качестве доказательств Бумгарнер привел время запуска обеих атак и тот факт, что Stuxnet использовал ту же уязвимость, что и Conficker. Но Symantec и другие исследователи, изучавшие Stuxnet и Conficker, сказали, что они не нашли доказательств, подтверждающих его слова. Кроме того, первая версия Conficker избегала заражения любых машин в Украине, на основании чего можно предположить, что это и есть страна происхождения вируса.

2.    На самом деле, Меллиса была не первой результативной атакой. Честь быть самой первой выпала червю Морриса, само распространяющейся программе, созданной 23-летним аспирантом Робертом Моррисом-младшим, сыном специалиста по кибербезопасности в АНБ. И хотя многие из методов Stuxnet было совершенно современными и уникальными, своими корнями он обязан именно червю Морриса, так как они имеют некоторые общие характеристики. Моррис запустил своего червя в 1988 году на ARPAnet, сети, построенной Агентством перспективных исследований Министерства обороны в конце 1960-х годов, которая была предшественником современного интернета. Как и Stuxnet червь Морриса совершал ряд вещей, чтобы скрыть себя, например, помещая файлы в память и удаляя свои временные файлы, в которых он более не нуждается. Но также, как и Stuxnet, у червя Морриса было несколько недостатков, которые заставили его неконтролируемо распространиться на 60 тысяч машин, и в следствии быть обнаруженным. Всякий раз как вирус натыкался на уже зараженную машину, он должен был останавливать свои процессы, и двигаться дальше. Однако Моррис забыл принять во внимание взаимосвязь ARPAnet, поэтому червь неоднократно совершал заражение одних и тех же машин, заражая некоторые из них сотни раз, пока они не отказывали работать под тяжестью нескольких версий вируса. Компьютеры в университете Пенсильвания были атакованы 210 раз за 12 часов. Завершение работы или перезагрузка убивали червя, но только временно. Пока машина была подключена к сети интернет, она заново заражалась другими компьютерами.

3.    Самореплецирующиеся черви – исключение составляют Stuxnet и Conficker – гораздо реже, чем когда-либо, в значительной степени уступают фишинговым атакам, когда ПО попадает на машину через вложения электронной почты либо вредоносные веб-сайты.

4.    Как только специалисты кибербезопасности извлекают ключи и сопоставляют их с алгоритмами, они пишут программу дескриптор, чтобы они могли быстро расшифровать другие блоки памяти, использующие тот же алгоритм. Например, когда они только получают в руки новую версию Stuxnet или даже другие вирусы, которые могут быть написаны одним хакером, они используют все те же алгоритмы, что значительно сокращает процесс отладки кода – они могут просто запустить свой дескриптор.

5.    В некоторых версиях Stuxnet хакеры увеличили период времени до 90 дней.

6.    Нейт Лоусон, “Stuxnet Is Embarrassing, Not Amazing”, 17 января 2011 год, доступно по адресу: http://www.rdist.root.org/2011/01/17/stuxnet-is-embarrassing-not-amazing/#comment-6451

7.    Джеймс Фарвелл и Рафал Рохозинский, “Stuxnet and the Future of Cyber War,” Survival 53, no. 1 (2011): 25.

8.    Один из способов сделать это, как отмечает Нейт Лоусон в своем блоге, – взять подробные данные конфигурации на целевом компьютере и использовать их для получения криптографического хэша ключа, который разблокирует полезную нагрузку. Ключ бесполезен, если только вредоносная программа не обнаружит машину с точно такой же конфигурацией или кто-то сможет получить ключ путем воспроизведения всех известных комбинаций, пока одна из них не сработает – брут форс. Но последний может быть предотвращен путем получения хэша из обширного выбора данных конфигурации, что делает брут форс невозможным. Stuxnet обладал более простой версией техники, описанной Лоусоном. Он использовал базовые данные конфигурации об оборудовании, но сам ключ был получен не из данных конфигурации и не зависел от них. Поэтому, как только специалисты найдут ключ, они могут просто разблокировать полезную нагрузку с его помощью, без необходимости знать фактическую конфигурацию. Однако позже специалисты из Лаборатории Касперского столкнулись с вредоносным ПО, которое использовало более сложную технику для блокировки своей полезной нагрузки. Как результат, эту полезную нагрузку расшифровать так и не получилось.

9.    Профессор Мичиганского университета Хуан Коул и другие отметили, что у персидского языка нет такой идиомы, как «стереть с лица земли», и что Ахмадинежад на самом деле сказал, что он надеялся, что еврейские/сионистские оккупационные силы будут повергнуты и стерты со страниц истории.

10. “Rabbi Yosef: Ahmadinejad a New Haman,” Israel National News, 14 февраля 2010 год, доступно на: http://www.israelnationalnews.com/News/Flash.aspx/180521#.UONaAhimWCU

11. Джон Бумгарнер, эксперт по кибербезопаности в ЦРУ, поддерживает эту интерпретацию и также утверждает, что «guava» в пути к файлу Stuxnet, вероятно, относится к проточному цитометру, изготовленному компанией под названием Guava Technologies. Проточные цитометры – это устройства, которые используются для подсчета и исследования микроскопических частиц и также используются, среди прочего, для измерения изотопов урана. Бумгарнер считает, что они могли использоваться в Натанзе, для измерения уровня обогащения газа гексафторида урана, поскольку изотопы U-238 отделены от изотопов U-235, которые необходимы для ядерных реакторов и бомб. Guava Technologies выпускает проточные цитометры под названием Guava EasyCyte Plus, который можно интегрировать с ПЛК, чтобы предоставлять операторам данные об уровне изотопов в уране в режиме реального времени. Проточные цитометры являются контролируемым продуктом, и должны быть зарегистрированы в соответствии с Законом о торговых санкциях и расширении экспорта от 2000 года, прежде чем быть проданными Ирану. Смотрите Джон Бумгарнер, “A Virus of Biblical Distortions”, 6 декабря 2013 год, доступно по адресу: http://www.darkreading.com/attacks-breaches/a-virus-of-biblical-distortions/d/d-id/1141007?.

 Патрик Фицджеральд и Ерик Чиен, “The Hackers Behind Stuxnet”, Symantec, 21 июля 2010 год, доступно по адресу: https://community.broadcom.com/symantecenterprise/communities/community-home/librarydocuments/viewdocument?DocumentKey=4f9aa8d9-2eb5-40f8-8997-10a258055c61&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments.

Глава 5. Расцвет Ахмадинежада.

Караван черных бронированных седанов Mercedes мчался на юг от Тегерана, в сторону Натанза, со скоростью 90 миль в час. В трех машинах по отдельности сидели Олли Хайнонен, его начальник, директор МАГАТЭ Мухаммед эль-Барадеи и еще один их коллега из агентства. Это было ясное зимнее утро конца февраля 2003 года, спустя шесть месяцев после того, как группа Алирезы Джафарзаде снесла крышку с тайного ларца в Натанзе, и инспекторы, наконец, ехали на первый осмотр. Рядом с эль-Барадеи сидел элегантный мужчина профессорского вида с седыми волосами и тщательно подстриженной бородой – Голам Реза Агазаде, бывший вице-президент Ирана и президент его Организации по атомной энергетике.

Двумя неделями ранее иранский президент Сейид Мохаммад Хатами наконец признал, что объект в Натанзе это завод по обогащению урана, подтвердив подозрения ISIS и остальных организаций. Со слов президента, Иран разрабатывал ряд объектов для каждого из этапов цикла производства топлива, и Натанз был лишь одним из них. Но он бурно настаивал на том, что ядерные устремления Ирана имели сугубо мирный характер.1 Опять же, с его слов, Ирану, великой нации обладающей множеством преимуществ, просто незачем оружие массового уничтожения. Однако, он не сказал, почему, если Ирану нечего скрывать, он построил завод в Натанзе глубоко под землей. Если там не происходит ничего противозаконного, зачем нужно было прятать завод под толщей бетона и земли? И зачем вообще самим обогащать уран, если топливо для иранских ядерных реакторов можно закупать у других стран, как это делает большинство, к тому же у Ирана уже был контракт с Россией. Эти и другие вопросы витали в головах представителей МАГАТЭ, когда их машины въезжали в Натанз.

МАГАТЭ прошло большой путь с момента его открытия в 1957 году, когда его создали с целью содействия мирному развитию ядерных технологий. Вторая роль агентства в качестве сторожевого ядерного оружия – обеспечение того, чтобы страны тайно не применяли ядерные наработки для разработки оружия – должна была стать второстепенной. Но за пять десятилетий, прошедших с момента создания агентства, одна из, казалось бы, самых маловажных задач постепенно стала проблемой №1, поскольку ядерные кризисы наступали один за другим. К сожалению, способность агентства выполнять эту роль зачастую ограничивалась их узкими полномочиями по расследованию и наказанию стран, нарушивших соглашение.

Поскольку у агентства не было собственного разведывательного подразделения для самостоятельного расследования подозрительной деятельности, оно должно было полагаться на сведения из 35 стран, входивших в его правление, таких как Соединенные Штаты – что делало его уязвимым для манипуляций – или на информацию, которую инспекторы могут лично извлечь из посещений ядерных объектов. Но поскольку инспекторы, в большинстве своем, посещали лишь включенные в список страны и их ядерные объекты, страны-изгои вполне могли свободно осуществлять незаконную ядерную деятельность. Даже в случае наличия прямых доказательств нарушения соглашений, МАГАТЭ не имели какой-либо власти, дабы как-то сильно повлиять на соблюдение странной указанных договоренностей. Все что было в силах агентства, это направить страну-нарушителя в Совет Безопасности ООН, который затем мог проголосовать за необходимость введения санкций.2

Эти слабости стали очевидным в 1991 году, после окончания первой войны в Персидском заливе, когда инспекторы посетили послевоенный Ирак с целью осмотреть останки его некоторых ядерных объектов, и неожиданно обнаружили, что Саддам Хуссейн создал передовую программу по созданию ядерного оружия прямо у них перед носом. До войны агентство заявляло, что сотрудничество Хуссейна с МАГАТЭ можно было назвать «образцовым».3 Поэтому инспекторы были шокированы, обнаружив после войны, что все это время им просто вешали лапшу на уши. По некоторым оценкам, Ираку оставался примерно год к тому моменту, как у них появится необходимое количество расщепляющего материала для создания ядерной бомбы, и еще один-два года до создания полномасштабного ядерного арсенала.4 Самое неприятное в этой ситуации заключалось в том, что незаконная ядерная деятельность проводилась в соседних от задекларированных зданиях, которые посещали инспекторы, но согласно правилам, они не могли проводить самопроизвольные проверки зданий, не включенных в список.5

Взволнованное лицемерием правительства Ирака, МАГАТЭ разработало так называемый Дополнительный протокол для дополнения соглашения о гарантиях, которые подписали страны. Дополнительный протокол значительно расширял виды деятельности, о которых страны должны были сообщать МАГАТЭ, а также предоставил агентству свободу действий, чтобы получать больше интересующей инспекторов информации, запрашивать доступ к записям о закупке оборудования и материалов, а также более легко инспектировать места, которые подозревались в проведении незаконной ядерной деятельности. Правда имелась одна загвоздка. Протокол распространялся лишь на те страны, которые его ратифицировали, и в 2003 году, когда инспекторы приехали в Натанз, Иран не был в этом списке. В результате инспекторы попросту не могли предъявить большую часть требований Ирану, так как он не ратифицировал Дополнительный протокол.6

Трехчасовая дорога от Тегерана в Натанз закончилась, и ранним февральским утром инспектора попали в место назначения. По пути они проезжали мимо озера Хоз-э-Солтан, соленого озера, которой испарялось летом, а зимой было примерно по колено наполнено солоноватой водой, и города Кум, священного города шиитов.

           Проехав Кум, колонну Мерседесов ожидали 60 миль распростертой во все стороны пустыни, пока она не достигла города Кашан. Проехав еще 12 миль мимо уже несколько побуревших песков коричневых оттенков, на горизонте замаячил комплекс зданий, как будто возникших из недр пустыни.

По приезду в Натанз, Хайнонен был поражен масштабами все еще продолжавшегося строительства. В дополнение к подземным коридорам был возведен лабиринт из наземных зданий, в том числе комплекс из пяти сборных конструкций с алюминиевым сайдингом, которые разветвлялись друг от друга, как разбитый по диагонали крест. Была достроена большая электрическая подстанция для питания зданий и центрифуг. Одно из пяти зданий оказалось тестовым заводом по обогащению топлива –  исследовательский центр, где технические специалисты могли тестировать новые модели центрифуг и каскадов, прежде чем устанавливать их в подземных производственных цехах. Ожидалось, что после установки центрифуги под землю, она будет работать год, или около того, поэтому тестовый завод имел важное значение для предварительной проверки работоспособности какой-то новой технологии и процесса обогащения в целом.

Хотя подземные цехи были еще далеки до их полноценного использования, у ученых уже было около 160 центрифуг, вращающихся на экспериментальном заводе, там же находились и компоненты для сборки еще нескольких сотен центрифуг.7 Экспериментальный завод должен был начать свою работу в июне, через четыре месяца, но Иран планировал установить тысячу центрифуг до конца года, а первую партию обогащенного урана, полученную в результате их работы, ожидалось получить еще через полгода.

Когда Агазаде водил представителей МАГАТЭ по территории завода, он постоянно настаивал на том, что в Натанз все еще не был ввезен гексафторид урана, а также не проводилось никаких испытаний по обогащению с использованием газа. По его словам, тестирование проводилось только с помощью компьютерного симулирования. Это было важно, поскольку обогащение урана без уведомления об этом МАГАТЭ считалось нарушением соглашения о гарантиях. Но Хайнонен не верил ни единому его слову. Идея о том, что Иран потратил 300 миллионов долларов на строительство завода по обогащению урана, и при этом не провел ни единого испытания каскадов с использованием реального газа, дабы убедиться в работоспособности объекта и имевшихся в страны технологий, выходила за пределы всего разумного.

С экспериментального завода инспекторы попали в шоу-рум, где располагались, как в примерном курсовом проекте какого-нибудь отличника, все отдельные компоненты центрифуги IR-1, а также пару полностью собранных. Агазаде сказал инспекторам, что центрифуга IR-1 это их собственная разработка. Но когда Хайнонен подошел поближе, он узнал в «собственной разработке» ранние версии центрифуг Urenco, которые консорциум создал в Европе еще много лет назад. Он еще не знал, что Иран фактически приобрел украденные проекты центрифуг у Хана, но он уже был уверен, что Агазаде врет.

После окончания осмотра шоу-рума, инспекторы были спущены в U-образный туннель, который Кори Хиндерштейн обнаружила на спутниковых снимках, чтобы увидеть собственными глаза два пещеристых коридора, находящимися под 75 футами земли. Иран планировал начать заполнение цехов центрифугами после 2005 года, и при площади в 32 тысячи квадратных каждый, они должны были вмещать порядка 47 тысяч центрифуг.8 Но в настоящее время это все же были просто пустые залы.

 На протяжении всего визита, отношения между инспекторами и иранскими представителями сложились довольно теплые. Но вся эта лицемерная занавесь упала, когда по пути в Тегеран, Хайнонен попросил Агазаде показать ему их тайные запасы урана. Тот, видимо, счел просьбу Хайнонена невежественной, и просто проигнорировал ее. Однако представитель МАГАТЭ был вооружен сведениями из западных правительственных источников о том, что в 1991 году Иран тайно импортировал уран из Китая, включая газ гексафторид урана.9 Он размахивал письмом от китайских официальных лиц, подтверждающим сделку. Когда иранцы потом признали наличие урана, сказав, что они забыли о том, что он у них есть, Хайнонен и его коллеги подметили, что контейнеры оказались куда легче, чем ожидалось, и что скорее всего часть гексафторида урана, по-видимому, в них отсутствовала. Иранцы отнекивались, прикрываясь тем, что газ, должно быть, испарился из-за утечек в контейнерах, но Хайнонен подозревал, что он использовался для тайных испытаний центрифуг.

Именно тогда Хейнонен настоял на том, чтобы увидеть часовой завод Kalaye Electric. На своей пресс-конференции в августе NCRI назвал Kala Electric, пускай немного иное название, одной из подставных компаний, которые Иран использовал для своей секретной ядерной программы. NCRI точно не говорил, какую роль играла компания в ядерной программе, но незадолго до того, как инспекторы МАГАТЭ прибыли в Иран для визита Натанза, NCRI как нельзя вовремя сообщил, что объекты Kalaye использовались для исследования и разработки центрифуг. Это, наряду с ураном, присутствие которого так отрицал Агазаде, дало Хайнонену неопровержимые факты, чтобы настоять на посещении фабрики.

Иранцы неохотно показали офисное здание Kalaye, в основном пустующее, и оправдывались тем, что не могут найти ключей от самой фабрики. Инспекторы должны были покидать Иран на следующий день, но договорились с иранцами о визите фабрики в следующий раз. К сожалению, к тому времени, когда инспекторы вновь вернулись в Иран, более чем через месяц, у иранцев было достаточно времени, чтобы провести генеральную уборку. По приезду на фабрику представители МАГАТЭ отметили явные признаки свежевыкрашенных стен в одном из фабричных зданий, а также замененных дверей и недавно залитых бетонных полов. Подозревая, что иранцы что-то скрывают, инспекторы попросили собрать образцы окружающей среды из здания, чтобы проверить их на наличие следов обогащенного урана.10 Отбор проб окружающей среды – это то, что МАГАТЭ добавило в свой арсенал, после неудачи в обнаружении незаконной ядерной программы Ирака. Инспекторы использовали специальные ватные квадраты и тампоны для сбора пыли со стен и поверхностей, которые можно было проверить на наличие частиц урана, определить тип присутствующего урана и даже уровень его обогащения.11 Однако иранцы запретили им собрать какие-любо образцы.

Месяцы спустя, когда было получено разрешение на сбор проб, инспекторы собрали частицы на фабрике Kalaye и экспериментальном заводе по обогащению урана в Натанзе, и обнаружили в них частицы обедненного и обогащенного урана, которых не было в списке задекларированных материалов Ирана.12 В результате переговоров представители Ирана признали, что на фабрике Kalaye и в правду происходило обогащение уранового газа, что являлось прямым нарушением соглашения о гарантиях Ирана с МАГАТЭ. Они оправдывались тем, что газ обогащался только лишь для тестирования центрифуг и обогащался всего до 1,2%. Однако это не соответствовало информации, полученной МАГАТЭ с их проб, согласно которой, обогащение варьировалось в пределах от 36 до 70 процентов.13

Уран в своем естественном состоянии содержит менее 1 процента U-235, изотопа, необходимого для реакторов и бомб. Большинству реакторов требуется уран, обогащенный всего до 3-5 процентов. Высокообогащенный уран обогащается до 20 процентов и более. И хотя 20 процентное обогащение уже может быть использовано для ядерного оружия, в дополнение к некоторым типам ядерных реакторов, уран, предназначенный для изготовления из него ядерного оружия может обогащаться до 90 процентов и более.

Представители Ирана опять же отнекивались какими-то фантастическими отмазками, мол, высокообогащенные частицы скорее всего попали в здание, так как они остались внутри центрифуг, которые, как теперь утверждали иранцы, они приобрели. Внезапно беспокойство по поводу ядерной программы усилилось.

Частицы обогащенного урана в образцах окружающей среды не являются однозначным доказательством того, что Иран работает над секретной программой создания ядерного оружия, но они свидетельствуют о том, что инспекторам предстоит еще много работы, чтобы попытаться раскрыть полный масштаб ядерной программы страны. Кроме того, это также говорит о том, что представителям Ирана нельзя доверять, они лгут. Так началось долгое и изнурительное дело, которое займет МАГАТЭ до конца десятилетия, в их попытках собрать воедино историю ядерных амбиций Ирана и оценить его потенциал в области ядерного оружия.

Как только МАГАТЭ начало это дело, в мае 2003 года NCRI объявило, что у него есть доказательства наличия дополнительных секретных объектов в Иране, в том числе в деревне под названием Лашкар Абад. В этот раз Иран не сопротивлялся и признал, в деревне находится завод для проведения экспериментов по лазерному обогащению – еще один метод обогащения урана.14 И еще через пару месяцев NCRI объявил о существовании еще двух ядерных объектов, один из которых находился в складском районе в пригороде Тегерана, который, видимо, для маскировки, был окружен огромными автомобильными свалками. По данным NCRI, это был секретный экспериментальный завод по обогащению, который Иран создал сразу после февральского визита МАГАТЭ в Натанз, чтобы ученые могли проводить исследования и опыты по обогащению вдали от любопытных глаз инспекторов.15

С таким большим количеством публичных откровений за столь короткий период времени стало ясно, что кто-то пытался разжечь огонь прямо под креслами иранских чиновников. Как результат, в МАГАТЭ значительно прибавилось работы, поскольку теперь они должны были внести дополнительные объекты в список мониторинга. В дополнение к Бушеру и двум реакторным установкам, уже включенным в этот список, МАГАТЭ добавило экспериментальные и коммерческие заводы по обогащению урана в Натанзе, реактор, который планировали построить в Араке, а также завод по преобразованию урана в Исфахане, примерно в ста милях к юго-западу от Натанза, где Иран планировал преобразовывать уран в газ для его дальнейшего обогащения в Натанзе.

Когда поднялись вопросы о ядерной программе, Иран демонстративно настоял на том, что их планы по обогащению урана будут выполнены, и вскоре все начнет работать не только на бумагах. К сожалению, так оно и было, и в июне рабочие в Натанзе начали подавать первую партию гексафторида урана в десять центрифуг на экспериментальном заводе. Министры иностранных дел стран EU3 – Франции, Германии и Великобритании – призвали Иран приостановить свою деятельность по обогащению, пока МАГАТЭ не получит больше информации о ядерной программе Ирана. Начались переговоры, и в октябре Иран согласился временно остановить свою деятельность по обогащению. Он также согласился предоставить подробную историю ядерной программы, чтобы устранить «любые неясности и сомнения насчет мирного характера» иранской ядерной деятельности.16 Иран в какой-то степени придерживался последнего соглашения, но, когда его представители показали МАГАТЭ подробную историю их ядерной деятельности, в которой писали, что программа центрифуг разрабатывалась в Иране на протяжении восемнадцати лет, они упустили ряд важных деталей.17 МАГАТЭ знало об этом только потому, что, хотя агентство пыталось получить какую-либо информацию от иранского правительства, оно также начало сотрудничать с ЦРУ, в которого также имелись некоторые данные по поводу секретной ядерной программы Ирана.

Несколькими годами ранее ЦРУ проникло в сеть ядерных поставок Хана, и обеспечило себе верность его нескольких ключевых поставщиков, превратив их в своих информаторов. От них ЦРУ стало известно, что Хан продал образцы для пакистанской центрифуги P-1 – украденной из Urenco конструкции – Ирану, а также продал прототипы более совершенной центрифуги P-2 в Ливию. А если Хан продал образцы P-2 в Ливию, заключил Хайнонен, то должен был продать и в Иран. Иран не упоминал о продвинутых центрифугах в своей детальной истории ядерной деятельности, но если он действительно имел эти центрифуги, то иранская программа обогащения урана находилась намного больше впереди, чем подозревал Хайнонен. МАГАТЭ потребовало прояснить вопрос о производстве Ираном центрифуг P-2, и правительство Ирана признало, что действительно, они получили проект центрифуги P-2 в 1996 году.  Рабочие пытались собрать центрифуги по этому проекту, но вскоре отказались от этой затеи, поскольку столкнулись с проблемами изготовления роторов. Правительство Ирана утверждало, что Иран не пытался скрыть свою работу над P-2, а просто планировал раскрыть эту информацию позже.

В течении следующих нескольких месяцев после того, ситуация еще больше ухудшилась, так как всплыла новая информация о еще одном секретном объекте в Иране, который находился в Физическом исследовательском центре в Тегеране.18 К тому времени, когда инспекторы получили доступ к участку для его осмотра, здание уже было разрушено, а верхний слой земли снят и вывезен, что помешало инспекторам взять частицы окружающей среды для исследований.19 В апреле этого же года Иран публично заявил о планах начать проведение испытаний в Исфахане по превращению измельченной урановой руды в газ гексафторид урана. Страны EU3 посчитали это нарушением иранского соглашения о временном приостановлении ядерной деятельности, поскольку преобразование руды в газ является одним из процессов в цикле обогащения урана, но решили не поднимать этот вопрос, опасаясь, что Иран полностью отменит и без того деликатное соглашение о приостановлении.

Затем, в мае, в руки МАГАТЭ неожиданно попала большая кипа документов таинственного происхождения, что еще больше накалило обстановку вокруг Ирана и его ядерной программы.

История с документами началась, когда Хайнонену позвонила некая женщина с американским акцентом, которая назвала себя Джеки. Он предположил, что она из ЦРУ, не спрашивать не стал. Она знала подробности его расследования ядерной программы Ирана и сказала, что у нее имеется информация, которая точно его заинтересует. Хайнонен опасался попасть над удочку ЦРУ, но все же согласился встретиться с ней в Старбаксе.20

Когда он прибыл на место встречи, его встретила молодая женщина азиатской внешности. Она сказала, что устроит ему встречу с двумя информаторами ЦРУ, которые находились внутри сети ядерных поставок Хана и которые могли бы предоставить полную информацию о его сделках с Ираном. После она достала документы, в которых шлось о ядерной программе Ирана, и передала их Хейнонену. Документы попали к ней от бизнесмена из Тегерана, который работал на правительство в сталелитейной и бетонной промышленности – деятельности, которая и привела его в Натанз и Исфахан, а также связала с людьми, стоящими за ядерной программой Ирана. Каким-то образом он получил доступ к архиву с секретными документами о ядерной программе, и передавал их разведывательному агентству Германии, ФРС. «Дельфин», как его окрестили в ФРС, планировал использовать документы в качестве билета в убежище на западе для него и его семьи. Но прежде чем он смог реализовать свой план, агенты иранской разведки арестовали его. Однако его жене и детям удалось бежать через границу в Турцию, взяв документы с собой.

Читая бумаги, Хейнонен не мог поверить своим глазам.  В документах, украденных Дельфином, кратко излагалась серия проектов, которые якобы составляли секретную ядерную программу Ирана. Они включали в себя амбициозные планы страны по производству собственного ядерного топлива путем добычи урановой руды с рудника на юге Ирана, и ее дальнейшей переработки с получением уранового концентрата, который в конечном итоге будет преобразован в тетрафторид и гексафторид урана. Тетрафторид урана может быть использован для производства металлического урана, который в основном применяется в цивильном производстве, но также с него можно произвести бомбы.21

Само по себе ничего из этого не было стоящим доказательством программы создания ядерного оружия. Но если рассматривать их вместе… Наиболее тревожными были документы, в которых описывались точные испытания детонации взрывоопасных материалов. Имелись также зарисовки и инструкции по созданию комплекса для запуска ракет «Шахаб-3», которая содержала в себе тяжелый круглый объект – подозрительно напоминавший ядерную боеголовку, – а также трехминутное видео, демонстрирующее смоделированный взрыв боеголовки на высоте 1970 футов, которое сопровождал дурацкий саундтрек из Chariots of Fire.22 Взрыв на такой высоте химической или биологической боеголовки не имел никакого смысла, рассуждал Хайнонен, поэтому разрабатываемая боеголовка, скорее всего, должна быть предназначена для ядерного оружия.23

Были ли документы подлинными? Хайнонен не был уверен в этом на 100 процентов. Но они точно подтвердили другую информацию, которую МАГАТЭ получало от других государств о деятельности Ирана. Если он правильно интерпретировал написанное в документах, то это было самое ужасное доказательство того, что Иран действительно работает над программой создания ядерного оружия.

Позже МАГАТЭ связалось с правительством Ирана с требованием объяснить написанное в документах, но иранцы заявили, что документы описывающие испытания взрывчатых веществ, в равной степени применимы и к обычным боеголовкам, и к ядерным, и отрицали, что проект с тетрафторидом вообще существует. Они обвинили МАГАТЭ в фальсификации документов с целью наложить на Иран санкции, и выдумывании весомой причины для авиаудара США и Израиля на Натанз.24

В момент, когда напряженность, вызванная ядерной программой Ирана, была на пределе, в конце 2004 года Иран снова согласился приостановить свои планы преобразования урана в Исфахане, а также все другие его мероприятия, связанные с обогащением урана, и приступить к официальным переговорам о своей ядерной программе. Однако, как и в прошлый раз, соглашение о приостановлении не долго удерживало Иран. В июне 2005 года мэр Тегерана Махмуд Ахмадинежад был избран президентом Ирана, и правительственная связь Ирана с европейскими странами начала ослабевать, и как следствие, начали ослабевать соглашение о приостановке и переговоры в целом. Ядерная программа Ирана становится вопросом национальной гордости, и сторонники жесткой политики начинают рассматривать соглашение о приостановке как капитуляцию Ирана перед Западом. Из их слов, независимо от того, сколько сделает Иран, чтобы успокоить Запад, этого все равно никогда не будет достаточно, потому что реальная цель Израиля и Соединенных Штатов – свергнуть иранский режим.

Поскольку война в Ираке затянулась и США потеряли там верх, иранские лидеры стали еще смелее в своем неповиновении. В августе 2005 года, всего через два месяца после избрания Ахмадинежада в президенты, международные переговоры зашли в тупик, и Иран объявил об аннуляции соглашения о приостановлении.25 Иран не терял время на снятие пломб, установленных МАГАТЭ на оборудовании завода в Исфахане, и сразу приступил к осуществлению своих планов по преобразованию оксида урана в гексафторид урана. Отношения к Ирану ухудшились еще больше в декабре, когда Ахмадинежад разжег конфликт народов, заявив в публичной речи, что Холокост был мифом.26

Ситуация выходила из-под контроля. Соседи Ирана на Ближнем Востоке были настолько напуганы растущим конфликтом между Ираном и Израилем, что Министерство здравоохранения Кувейта решило установить 15 систем радиационного обнаружения по всей стране и на пограничных участках, чтобы, в случае чего, обеспечить ранее предупреждение о любой ядерной активности в регионе.27 Однако попытки оценить, насколько Иран близок к созданию ядерной бомбы, оказались безуспешными. Ни у кого не было четкого понятия о его ядерной программе. На самом деле, Ирану не обязательно было создавать ядерное оружие, он и без того представлял собой угрозу. Все, что ему требовалось сделать, это освоить процесс обогащения и произвести достаточное количество обедненного урана, чтобы при желании ему было с чего сделать бомбу. Как только Иран достигнет этого, он сможет вечно находится на этом этапе, при этом искренне утверждая, что у него нет ядерного оружия, – до того дня, когда он не решит превратить обедненный уран в орудие массового убийства. Оценки того, насколько долго Иран будет достигать этой точки сильно различались. По мнению Национальной разведки США в 2005 году, Ирану нужно было 6-10 лет для того, чтобы иметь достаточное количество материалов для производства бомбы. Израиль был менее оптимистичен, его правительство считало, что это займет менее пяти лет.28

Обогащение урана – один из самых сложных процессов в создании ядерного оружия. Даже при лучших обстоятельствах, обогащение остается деликатной процедурой, чреватой многочисленными пробами и ошибками, к тому же у Ирана не было большого опыта в этой сфере. Добавьте к этому трудности, связанные с изготовлением работоспособных центрифуг, и сразу стает очевидным, почему иранской ядерной программе потребовалось так много времени, чтобы достичь ее текущего уровня. К тому же, у инженеров с Натанза до сих пор были проблемы с их центрифугами, как заявил об этом США в начале 2006 года заместитель генерального директора Комиссии по атомной энергетике Израиля Ариэль Левит. Позже станет известно, что некоторые из этих проблем были связаны с компонентами, полученными Ираном от Турции.29

Несмотря на обстоятельства, в начале 2006 года, Иран возобновил обогащение на экспериментальном заводе в Натанзе. Этот шаг заставил пересмотреть оценки израильских экспертов, и они заявили, что теперь Ирану потребуется всего 2-4 года.30 Они поделились своими опасениями с Соединенными Штатами, что Ирану нельзя позволить освоить процесс обогащения урана, иначе это станет началом конца. Как только они освоят этот процесс, Иран сможет обогащать уран на секретных заводах в любой точке страны.31 Заводы с центрифугами, в отличии от других частей цикла производства ядерного топлива, не требуют специальных условий для своей работы. Поэтому, как только инженеры проработают все нюансы процесса, Иран сможет устанавливать центрифуги абсолютно везде, даже в переоборудованных офисных зданиях. «Мы знаем, что Иран уже начал перемещать некоторые объекты», – заявил генеральный директор Комиссии по атомной энергетике Израиля Гидеон Франк в начале 2006 года.32 Заводы, способные производить детали для центрифуг уже «повсюду», сказал он, а остальные заводы ядерной программы размещаются на сильно укрепленных военных объектах, куда инспекторы МАГАТЭ никогда не попадут, или располагаются под землей, где удары с воздуха, вероятно, не будут эффективными.

Затем в мае иранское правительство заявило, что их инженерам на экспериментальном заводе удалось успешно обогатить свою первую партию урана до 3,5% используя полный каскад из 164 центрифуг. За этим последовало объявление об установлении инженерами первых 3 тысяч центрифуг в подземных цехах. Похоже, что Иран наконец преодолел свои трудности, и теперь уже ничего, кроме, возможно, воздушного удара, не остановит его.     

Будучи обеспокоено тем, что его способность контролировать ядерную программу Ирана быстро снижается, МАГАТЭ, после годов настоятельных рекомендаций сделать это от США, предъявило Ирану претензию за несоблюдение своего соглашения о гарантиях. В июле 2006 года Совет Безопасности ООН под угрозой введения санкций, потребовал от Ирана остановки процесса обогащения к концу августа. Ахмадинежад отказался. «Те, кто считает, что могут использовать против Ирана язык угроз, сильно ошибаются», – заявил он. – «Если они не осознают это сейчас, в один день им придется прийти к этому более тяжелым путем».33

           Неожиданно западные спецслужбы заметили ряд попыток Ирана тайно закупить запчасти для центрифуг в Европе и других странах, используя сеть местных и иностранных подставных компаний.34 Они срочно «пытались закупить запчасти, словно сумасшедшие», вспоминает Дэвид Олбрайт из ISIS. Они искали всевозможные клапаны, трубы и вакуумное оборудование, а также оборудование, которое требовалось для разработки ракет.35

           Начали ходить слухи о планах воздушного удара, но в частном разговоре, госсекретарь Кондолиза Райс поделилась с МАГАТЭ своими мыслями о том, что это вряд ли произойдет. Иран, с ее слов, должен «прогнуться». Но Иран не прогнулся.

В конце 2006 года, не имея другого выбора в борьбе с незаконной ядерной программой Ирана, Совет Безопасности ООН принял резолюцию о наложении санкций против Ирана, запрещающую поставки сырья и оборудования, которые могут быть использованы для разработки ядерного оружия. Месяцем спустя, Совет проголосовал за введение дополнительных санкций с целью заморозки активов отдельных лиц и организаций, которые, как считалось, были вовлечены в иранскую ядерную программу.36 Тем не менее, Иран это не смущало.

В феврале 2007 года иранское правительство заявило МАГАТЭ о том, что инженеры из Натанза, проведя успешные тесты на экспериментальном заводе, начали устанавливать первые центрифуги в одном из подземных цехов. Ирану потребовалось более десяти лет, чтобы достичь этой точки, и он, преодолел все препятствия – технологические и человеческие – которые были на его пути. Иран уже было не остановить, к концу месяца, специалисты установили два каскада, еще два находились на завершающей стадии установки. Они также транспортировали девять тонн газообразного гексафторида урана, чтобы начать обогащение.37

К июню 2007 года в Натанзе было установлено 1400 центрифуг, которые успешно обогащали уран. Все они были первой генерацией полученных центрифуг – IR-1, но технические специалисты уже работали над производством центрифуг IR-2, более совершенной модели, основанной на конструкции пакистанских P-2. Несмотря на ранний неудачный опыт производства IR-2, у Ирана все-таки получилось возобновить их производство.38 Кроме всего, в стране начали разработку еще более совершенных центрифуг IR-4.39

И без того напряженные отношения между Соединенными Штатами и Израилем еще более обострились. Израиль обвинил США в бездействии относительно развития ядерной программы Ирана, и слишком больших надеждах на санкции и дипломатические переговоры. Премьер-министр Израиля Эхуд Ольмерт в публичном обращении предупредил, что, если это бездействие будет продолжаться и дальше, Израиль начнет действовать самостоятельно. «Любой, кто будет угрожать нам, угрожать нашему существованию, должен знать, что у нас хватит решимости защитить себя», – говорил он. – «Мы имеем полное право на свободу действий, чтобы действовать в защиту наших жизненно важных интересов. И мы без колебаний сделаем все, чтобы защитить наш народ».40

Но в декабре 2007 года произошло то, что сломало не только дипломатические усилия США, но и военные планы Израиля. Согласно оценке национальной разведки США, Иран, с «высокой степенью вероятности» тогда уже имел программу создания ядерного оружия, но остановил ее осенью 2003 года после вторжения США в Ирак. Это говорит о том, что Иран был «менее решительным в разработке ядерного оружия», чем считалось ранее. Эта информация основывалась данных, полученных из американской внешней разведки при содействии Офиса директора Национальной разведки. Но она противоречила тому, что Майкл Макконел, директор Национальной разведки, сказал сенатскому комитету несколькими месяцами ранее. «Мы считаем, что Тегеран уверен в своей цели разрабатывать ядерное оружие, так как он больше заинтересован в затягивании переговоров, нежели в поиске приемлемого дипломатического решения», – заявил он в Комитете сената по вооруженным силам в прошлом феврале.41

Хотя в докладе Национальной разведки также отмечается, что Иран может отменить решение о прекращении своей программы ядерного вооружения в любой момент, и в его секретной версии обсуждались доказательства, которые не попали в публичную версию – что у Ирана может быть еще более десятка других секретных ядерных объектов, занимающихся незаконным обогащением и разработкой оружия – в отчете шла речь об ослаблении аргументов США в пользу санкций против Ирана и военных действий против него.42 Министр обороны США Роберт Гейтс, выступавший против воздушного удара, тем не менее поставил под сомнение заключение доклада. Во время слушаний в Конгрессе, он говорил о том, что Иран был вовлечен в подозрительную закупочную деятельность, которая предполагала, что его ядерные планы были гораздо более организованы и целенаправленны, нежели предполагала Национальная разведка. Он был не единым, кто не согласился с выводами разведки. В секретной переписке немецкое правительство сообщило Соединенным Штатам, что их собственные разведывательные данные указывают на то, что у Ирана все еще имелась программа разработки ядерного вооружения. По информации от правительства Израиля, Иран и в правду останавливал свою программу в 2003 году, но вновь возобновил ее в 2005.43

На закате 2007 года в Натанзе было установлено 3 тысячи центрифуг, а в следующем году это количество планировали удвоить. По оценкам экспертов, если Иран решит продолжить обогащение урана, то с тремя тысячами центрифуг модели P-1, можно произвести достаточное количество обедненного урана для ядерной бомбы менее чем за год.44

Казалось, что ничто не сможет остановить иранскую программу обогащения без риска войны.

Или все-таки могло?

В то время как напряженность в связи с программой обогащения приблизилась к критической точке, альтернативный план тайно вводился в действие. Пока иранские инженеры поздравляли себя с победой, достигнутой в Натанзе, и готовились к расширению программы, цифровое оружие уже тихо захватывало компьютеры завода с четкой миссией, описанной в его коде. С тысячами высокоскоростных центрифуг в своем прицеле, высокоточное оружие решительно и незаметно продвигалось к своей цели.

Сноски, ссылки и используемая литература:

1.    Хатами выступал в Тегеране 9 февраля 2003 года во время встречи между Министерством науки, исследований и технологии и ректорами университетов. Части его речи доступны по адресу: http://www.iranwatch.org/library/government/iran/iran-irna-khatami-right-all-nations-nuclear-energy-2-9-03

2.    35 стран-членов Совета управляющих МАГАТЭ могут голосовать за начало расследования или направление страны в Совет Безопасности ООН для введения санкций.

3.    До войны, заместитель директора МАГАТЭ, отвечающий за соблюдение всевозможных договоренностей, сказал Леонарду Вайссу, штатному директору комитета Сената по правительственным вопросам, что сотрудничество Ирака с МАГАТЭ настолько примерное, что в МАГАТЭ даже мысли не возникают о том, что Ирак может заниматься чем-то незаконным. Смотрите Леонард Вейсс, “Tighten Up on Nuclear Cheaters”, Bulletin of Atomic Scientists 47 (май 1991): 11.

4.    Дэвид Олбрайт и Маркс Хиббс, “Iraq’s Nuclear Hide and Seek”, Bulletin of Atomic Scientists 47 (сентябрь 1991): 27.

5.    Дуглас Франц и Кэтрин Коллинз, The Nuclear Jihadist: The True Story of the Man Who Sold the World’s Most Dangerous Secrets (New York: Free Press, 2007), 188.

6.    В 2004 году Иран согласился подписать Дополнительный протокол, но не ратифицировал его. Позже, в 2006 году, после того как МАГАТЭ направило Иран в Совет Безопасности ООН за несоблюдение им соглашения о гарантиях, Иран отомстил, заявив, что больше не будет придерживаться Протокола вовсе.

7.    Дэвид Олбрайт, Peddling Peril: How the Secret Nuclear Trade Arms America’s Enemies (New York: Free Press, 2010), 192.

8.    Дэвид Олбрайт и Кори Хиндерштейн, “The Iranian Gas Centrifuge Uranium Enrichment Plant at Natanz: Drawing from Commercial Satellite Images”, ISIS, 14 марта, 2003, доступно по адресу: https://isis-online.org/publications/iran/natanz03_02.html. Смотрите также IAEA Board of Governors, “Implementation of the NPT Safeguards Agreement in the Islamic Republic of Iran” (отчет, 6 июня, 2003), 6.

9.    Рассматриваемый уран включал гексафторид урана, тетрафторид урана, и оксид урана.

10. На американских спутниковых снимках были зафиксированы грузовики, посещавшие этот участок, что позволяет предположить, что Иран вывозил улики перед прибытием инспекторов МАГАТЭ. Смотрите Франц и Коллинз, Nuclear Jihadist, 293.

11. IAEA, “Tools for Nuclear Inspection”, 2-страничная брошюра, опубликованная отделом общественной информации, в которой описывается процесс отбора проб окружающей среды. Доступно по адресу: https://www.iaea.org/Publications/Factsheets/English/inspectors.pdf.

12. IAEA Board of Governors, “Implementation of the NPT Safeguards Agreement in the Islamic Republic of Iran” (отчет, 10 ноября, 2003), 6–7.

13. Sharon Squassoni, “Iran’s Nuclear Program: Recent Developments” (CRS Report for Congress, 23 ноября, 2005), 3.

14. Институт науки и международной безопасности имеет исчерпывающую информацию, в которой подробно описывается деятельность Иран относительно лазерного обогащения. Доступно по адресу: http://www.isisnucleariran.org/sites/by-type/category/laser-enrichment.

15. Информация взята из стенограммы объявления, сделанного представителем NCRI Алирезой Джафарзаде. “Iran-Nuclear: Iranian Regime’s New Nuclear Sites”, доступно по адресу: http://www.ncr-iran.org/en/news/nuclear/568-iran-nuclear-iranian-regimes-new-nuclear-sites.

16. Реза Агазаде, вице-президент Ирана, в письме к МАГАТЭ от 21 октября 2003 года, цитируемом в Совете управляющих МАГАТЭ, “Implementation of the NPT Safeguards Agreement in the Islamic Republic of Iran”, (отчет, 10 ноября, 2003), 4.

17. “Implementation of the NPT Safeguards Agreement in the Islamic Republic of Iran”, (отчет, 10 ноября, 2003), 8.

18. NCRI обнаружил этот объект еще в 2003 году, но в то время заявил, что завод используется для программы биологического оружия. Однако согласно информации, которой располагали МАГАТЭ, ISIS и прочие в 2004 году, завод использовался именно в целях ядерной программы, что и заставило МАГАТЭ запросить инспекцию.

19. Иран заявил, что в декабре 2003 года этот объект был разрушен из-за земельного спора между Министерством обороны и управлением города Тегерана. Он был разрушен с целью вернуть участок Тегерану. Смотрите ISIS, “The Physics Research Center and Iran’s Parallel Military Nuclear Program”, 23 февраля, 2012, доступно по адресу: https://isis-online.org/uploads/isis-reports/documents/PHRC_report_23February2012.pdf.

20. Информация о встрече и документах взята из интервью автора с Хайноненом в декабре 2011 года. Смотрите также Кэтрин Коллинз и Дуглас Франц, Fallout: The True Story of the CIA’s Secret War on Nuclear Trafficking (New York: Free Press, 2011), 112; Эрих Фоллат и Хольгер Старк, “The Birth of a Bomb: A History of Iran’s Nuclear Ambitions,” Der Spiegel, 17 июня, 2010.

21. Ядерное оружие создается путем формирования из металлического урана двух полусфер и встраивания в них взрывного устройства, оснащенного детонаторами. Детонаторы настроены так, чтобы взрываться одновременно и равносильно, вызывая цепную реакцию.

22.  В 1998 году Иран разработал ракету с дальностью действия 900 миль, и провел ее успешные испытания в мае 2002 года. Также имеется информация о разработке Ираном ракеты с радиусом действия 1200 миль.

23. Фоллат и Старк, “The Birth of a Bomb”.

24. Эль-Барадеи выступил против публикации документов в массы, поскольку МАГАТЭ не смогло проверить их подлинность, и воспоминания об использовании США дискредитированных документов для поддержки вторжения в Ирак все еще были свежи в его памяти. В последующие годы МАГАТЭ неоднократно обращалось к Ирану с просьбой предоставить информацию о программах, описанных в документах, но ответы то не приходили вовсе, то приходили неполные. Позже часть этих документов попала в ISIS. Смотрите Дэвид Олбрайт, Жаклин Шир и Пол Браннан, “May 26, 2008 IAEA Safeguards Report on Iran: Centrifuge Operation Improving and Cooperation Lacking on Weaponization Issues”, 29 мая, 2008, доступно по адресу: https://isis-online.org/uploads/isis-reports/documents/ISIS_Iran_IAEA_Report_29May2008.pdf.

25. Мохамед эль-Барадей в своем мемуаре дает хорошее закулисное описание переговоров и объясняет, почему Иран чувствовал себя виноватым и оправдывался, отвергая их. “The Age of Deception: Nuclear Diplomacy in Treacherous Times” (New York: Metropolitan Books, 2011), 141–47.

26. Карл Вик, “Iran’s President Calls Holocaust ‘Myth’ in Latest Assault on Jews,” Washington Post, Foreign Service, 15 декабря, 2005.

27. “06Kuwait71, Kuwait’s Country Wide Radiation Monitoring System”, сообщение из посольства США в Кувейте в Госдепартамент в Вашингтоне, округ Колумбия, январь 2006 г. Опубликовано на WikiLeaks: http://www.wikileaks.org/cable/2006/01/06KUWAIT71.html.

28. Оценка получена от Ариэля Левита, заместителя генерального директора Комиссии по атомной энергетике Израиля, в сентябрьской телеграмме Госдепартамента США от посольства в Тель-Авиве, опубликовано на WikiLeaks: https://wikileaks.org/plusd/cables/05TELAVIV5705_a.html.

29. “06TelAviv293, Iran: Congressman Ackerman’s January 5 Meeting at”, телеграмма Госдепартамента США от посольства США в Тель-Авиве, январь 2006 г. Опубликовано на WikiLeaks: http://www.wikileaks.org/cable/2006/01/06TELAVIV293.html.

30. В частном порядке Израиль и Россия заявили Соединенным Штатам, что, по их мнению, Иран сможет справиться с возникшими трудностями по обогащению в течении шести месяцев. Смотрите “06Cairo601, Iran; Centrifuge Briefing to Egyptian MFA,” Кабинет Государственного департамента США, февраль 2006, опубликовано на WikiLeaks:       http://www.wikileaks.org/cable/2006/02/06CAIRO601.html.

31. “06TelAviv688, Iran-IAEA: Israeli Atomic Energy Commission,” Кабинет Государственного департамента США, февраль 2006, опубликовано на WikiLeaks: https://wikileaks.org/plusd/cables/06TELAVIV688_a.html.

32. Смотрите предыдущую сноску.

33.“Iran Defiant on Nuclear Deadline,” BBC News, 1 августа, 2006, доступно по адресу: http://www.news.bbc.co.uk/2/hi/5236010.stm.

34. “07Berlins1450, Treasury Under Secretary Levey Discusses Next”, телеграмма Госдепартамента США от посольства в Берлине, июль 2007 г., опубликовано на WikiLeaks: https://wikileaks.org/plusd/cables/07BERLIN1450_a.html. В телеграмме упоминается, что для закупок было создано не менее тридцати подставных компаний.

35. Дэвид Олбрайт, Peddling Peril, 200–1.

36. Совет Безопасности ООН ввел экономические санкции против Ирана в декабре 2006 года, а в марте 2007 года он единогласно проголосовал за замораживание финансовых активов 28 иранцев, связанных с ядерными и военными программами.

37. В тот момент, когда отношения с Ираном были наиболее напряженными, Северная Корея проводила свои испытания ядерного оружия. Ухудшение ядерной ситуации на нескольких фронтах побудило Бюллетень ученых-атомщиков 17 января 2007 года перенести минутную стрелку своих знаменитых часов Судного дня на две минуты ближе к полуночи. Вместо семи минут до Судного дня было установлено пять.

38. Из-за экспортного контроля и других трудностей, связанных с изготовлением роторов из чугунной стали, в соответствии с конструкцией центрифуги, Иран прекратил производство IR-2 в 2002 году.

39. Коллинз и Франц, Fallout, 259.

40. “Prime Minister Ehud Olmert’s Address at the 2007 Herzliya Conference,” 24 января, 2007. Перевод доступен по адресу: http://www.pmo.gov.il/English/MediaCenter/Speeches/Pages/speechher240107.aspx.

41. “McConnell Fears Iran Nukes by 2015,” Washington Times, February 27, 2007.

42. В «New York Times» писали: «Редко, если вообще когда-либо, был хоть один такой отчет разведки, настолько полный, настолько неожиданный и столь удивительный, что полностью изменил дебаты о внешней политике». В газете также отметили, что отчет: «безусловно ослабит международную поддержку ужесточения санкций против Ирана… и он снова вызовет вопросы о честности американских разведывательных спецслужб». Стивен Ли Майерс, “An Assessment Jars a Foreign Policy Debate About Iran,” New York Times, 4 декабря, 2007.

43. Заместитель советника по национальной безопасности Германии Рольф Никель заявил правительству США в начале 2008 года, что отчет Национальной разведки усложнил усилия по убеждению немецкой общественности и компаний в том, что санкции против Ирана имеют свои преимущества. Телеграмма Госдепартамента США, февраль 2008 г., опубликовано на WikiLeaks: http://www.wikileaks.org/cable/2008/02/08BERLIN180.html. Смотрите также https://wikileaks.org/plusd/cables/07BERLIN2157_a.html. Что касается комментариев Израиля, согласно телеграмме Госдепартамента США, опубликованной в мае 2009 года, начальник разведки вооруженных сил генерал-майор Амос Ядлин дал комментарии конгрессмену Роберту Векслеру. Смотрите http://www.wikileaks.cabledrum.net/cable/2009/05/09TELAVIV. У Национальной разведки были другие последствия. Немецко-иранский бизнесмен по имени Мохсен Ванаки предстал перед судом в Германии за контрабанду оборудования двойного назначения в Иран. В 2008 году он был обвинен согласно закону о контроле над вооружением и внешней торговли. В свою защиту тот заявил, что он не мог поставлять оборудование для программы ядерного оружия в Иране, потому что согласно словам Национальной разведки, Иран такой программы не имеет. Из-за отчета Национальной разведки 2007 года, все обвинения против него были сняты. Однако в 2009 году прокуроры подали апелляцию, и он был осужден, в основном на основании данных разведки BND о подозрительных закупках, совершенных организациями, связанными с иранскими военными.

44. Международный институт стратегических исследований, Iran’s Strategic Weapons Programmes: A Net Assessment (London: Routledge, 200

Глава 6. В поисках 0 day.

Вечер пятницы в конце августа, Лиам О`Мурчу праздновал свой 33 день рождения в шикарном лаундже на крыше в Венис(Venice), штат Калифорния. Он арендовал часть U-образного бара под открытым небом на крыше отеля Erwin с шикарным видом на Тихий океан, и угощал пивом и коктейлями свою девушку, сестру с мужем, приехавшими из Ирландии, и еще с десяток хороших друзей. Это была южная Калифорния, съемочная команда какого-то реалити-шоу снимала парочку, которая сидела неподалеку, видно, что их «личное» свидание было немного испорчено.

Вечеринка продолжалась уже как три часа, когда около девяти часов вечера к ним присоединился Эрик Чиен. Он пришел, хотя его разум был не на вечеринке. Ему не терпелось показать другу, и остальным коллегам, письмо, которое появилось в рассылке кибербезопасности днем ранее. Но он не хотел поднимать эту тему сегодня, потому что знал, что, когда О`Мурчу увидит письмо, он уже ни про что остальное думать не сможет. «Я покажу тебе одну вещь», – сказал Чиен О`Мурчу, – «Но только давай договоримся, мы не будем говорить об этом до конца ночи, хорошо?». О`Мурчу согласился.

Чиен вытащил свой BlackBerry и открыл электронное письмо – записку от другого исследователя, намекающую на то, что в Stuxnet могут быть дополнительно скрыты уязвимости нулевого дня. О`Мурчу посмотрел на Чиена. Они работали над Stuxnet уже на протяжении нескольких недель, пытаясь путем реверс-инжениринга восстановить его компоненты, и видели несколько подсказок, свидетельствующих о том, что в вирусе может быть встроена еще одна уязвимость нулевого дня, но у них до сих не было времени, чтобы исследовать это. Подсказки были в ракетной части кода, отвечающей за распространение Stuxnet, а они были сосредоточены на полезной нагрузке, той части кода, которая касалась программного обеспечения и ПЛК от Siemens.

В письме были расплывчатые детали, и не было понятно, то ли исследователь реально нашел новые уязвимости нулевого дня, то ли увидел те же самые подсказки что и О`Мурчу с Чиеном. В любом случае, в О`Мурчу зажегся огнем соревнования. «Вот оно», – сказал он Чиену, – «Я больше не пью этой ночью». На следующее утро, в субботу, О`Мурчу вернулся в лабораторию, изучать код Stuxnet.

В выходной в офисе никого не было, поэтому никто не отвлекал О`Мурчу от работы. Прежде чем перейти к полезной нагрузке, команда Symantec исследовала большую часть ракетной части кода вируса, поэтому нужно было просто еще раз тщательно пройтись по коду, и поискать намеки на эксплойт. Но на деле это оказалось не так просто. Уязвимости нулевого дня – это не то что вы найдете, просто открыв вредоносный файл. Вы должны отследить каждую ссылку кода, обратившуюся к операционной системе или к другим программным приложениям на машине, чтобы как-нибудь обнаружить один из ее способов взаимодействия с ними. Вирус заставляет делать приложение то, чего оно делать не должно? Он перескакивает через барьеры безопасности или обходит системные привилегии? Ракетная часть кода после реверс-инжениринга состоит из тысяч строк кода, каждая из которых должна быть проверена на предмет подозрительного поведения.

Структура Stuxnet была не линейной, поэтому пытаться отследить, что он делал, было вдвойне сложно. Использовалось множество команд, и О`Мурчу приходилось следить за действием каждой из них шаг за шагом.

Примерно через час работы О`Мурчу был почти уверен в том, что он нашел второй эксплойт. В архиве он искал любые признаки того, что уязвимость, на след которой он напал, уже была известна, но ничего не нашел. Затем он протестировал эксплойт на машине с установленным последним программным обеспечением Windows, чтобы убедиться, что он не ошибся. Убедившись, О`Мурчу понял, что Stuxnet использовал уязвимость нулевого дня в файле клавиатуры Windows для получения расширенных привилегий на компьютере.

Уязвимости нулевого дня – это очень ценный ресурс, и использование двух уязвимостей в одной атаке, с риском что их обеих могут раскрыть, смотрелось абсолютно неоправданно, размышлял О`Мурчу. Но не остановился, чтобы обдумать это. Он просто задокументировал свои выводы и вернулся к коду.

Несколько часов спустя он обнаружил еще один эксплойт, все указывало на то, что Stuxnet использует уязвимость в функции спулера печати Windows, чтобы распространяться на компьютеры, использующие общий принтер. Так же, как и предыдущий эксплойт, он проверил этот на другой машине и поискал в архиве признаки того, что его уже нашли, но опять ничего не нашел. Чувство, которое заставляло его волосы вставать дыбом неделями ранее, начало возвращаться. Он записал свои выводы и вновь вернулся к коду.

К полудню, когда Чиен явился в офис, чтобы проверить как там О`Мурчу, тот потупившись смотрел в монитор, видно, что он нуждался в отдыхе. Он в подробностях рассказал о всем, что обнаружил, Чиену, который и продолжил его работу над кодом до вечера. В таком же режиме друзья работали и в воскресенье, и к концу выходных они обнаружили три эксплойта. Эти три, плюс еще одна уже обнаруженная уязвимость .LNK, вместе составляют четыре уязвимости нулевого дня в одной атаке.1

Это было безумие. Одна уязвимость уже могла налотемать дров. Две это уже выход за рамки разумного. А четыре? Кто это сделал? И зачем? Они просто прожигали ценные нулевые дни. Хорошую ошибку или эксплойт нулевого дня на черном рынке можно продать за 50 тысяч долларов и более, и эту сумму можно удвоить, продав эту же уязвимость еще и на закрытом сером маркете, который продавал эксплойты нулевого дня правительственным кибер-армиям и шпионам. Либо у хакеров было неограниченное количество нулевых дней в их распоряжении, и им было безразлично если парочку из них они потеряют, либо они были в отчаянии и имели действительно вескую причину для того, что нашпиговать свою вредоносную программу таким количеством нулевых дней, чтобы та точно достигла своей цели. Чиен и О`Мурчу подозревали, что оба исхода могут быть правдой.

Чиен связался с Microsoft, чтобы сообщить о новых обнаруженных уязвимостях нулевого дня, но обнаружил, что «Лаборатория Касперского» в России уже опередила их. Сразу после появления новостей о Stuxnet Касперский собрал группу из десяти аналитиков, которая изучила бы ракетную часть кода. В течениие нескольких дней они обнаружили второй эксплойт нулевого дня, за которым через неделю последовали третий и четвертый. В то время как Symantec сообщили об уязвимостях в Microsoft, которая в настоящее время работала над патчами для их исправления, они не могли опубликовать их в массы, согласно правилу, пока Microsoft не пропатчит свое программное обеспечение.2

Обнаружение четырех уязвимостей нулевого дня в Stuxnet было безусловно значимым событием, но еще далеко не концом истории. Во время своего марафона в субботу и воскресенье, Чиен и О`Мурчу обнаружили еще четыре дополнительных способа распространения Stuxnet без использования уязвимостей нулевого дня. В общей сложности получалось восемь различных методов распространения. У кода атаки был виртуальный швейцарский нож, чтобы любым из способов успешно проникнуть в систему, и продолжать распространяться.

Наиболее важным из них было заражение файлов проекта Step 7, которые программисты использовали для программирования ПЛК, и перехвата имени пользователя(winccconnect) и пароля(2WSXcder), которые разработчики из Siemens жестко зашифровали в своем программном обеспечении Step 7.3 Система Step 7 использовала имя пользователя и пароль для получения автоматического доступа к бэкэнд базе данных, где они внедряли код для заражения машины, на котором была сохранена база данных. База данных является общей системой, которую могут использовать все программисты, работающие на Step 7. Затем Stuxnet заражает компьютер любого из программистов, имеющих доступ к базе данных. Оба этих метода значительно увеличивали вероятность того, что Stuxnet достигнет ПЛК, когда программист в следующий раз подключит свой ноутбук или USB-накопитель к одному из них. Хакеры использовали уязвимость в неясной функции проекта Step 7, для заражения его файлов. Это указывает на то, что они прекрасно понимали ее устройство, а таких людей вообще было немного, – еще один признак тех обширных навыков, которые использовали в атаке.4

В дополнение к этим механизмам распространения, Stuxnet имел peer-to-peer компонент, который позволял ему обновлять старую версию вируса до более новой, если таковая выходила в свет. Это позволяло хакерам обновлять вирус удаленно на машинах, которые не были напрямую подключены к интернету, но были подключены к другим машинам в локальной сети. Чтобы распространить обновление, Stuxnet устанавливал сервер и клиент общего доступа к файлам на каждой зараженной машине, и машины, которые находились в одной локальной сети, могли затем связываться друг с другом, чтобы сравнить свои версии Stuxnet, которую они имели. Если в одной машины была более новая версия, она обновила бы все другие компьютеры в локальной сети. Чтобы обновить все машины в локальной сети, хакерам нужно было только установить обновление хотя бы на одном из компьютеров, а другие уже сами получат его.

Судя из всех методов, которые Stuxnet использовал для своего распространения, было ясно, что у его авторов была четкая цель распространить свой вирус на как можно большое количество машин. Тем не менее, в отличие от подавляющего большинства вредоносного софта, использовавших электронную почту и вредоносные веб-сайты для быстрого распространения на тысячи машин, ни один из эксплойтов Stuxnet не использовал интернет.5 Вместо этого они полагались на то, что кто-то перенесет вирус на USB-накопителе, или через локальную сеть.

Исходя из этого можно сказать, что злоумышленники нацеливались на системы, которые как они были убеждены, не были подключены к интернету, и учитывая беспрецедентное количество уязвимостей нулевого дня, которые они использовали для этого, их целями, должно быть, были высоко значимые системы с высоким уровнем защиты.

Но такой путь к достижению цели был неряшливым и неточным методом атаки. Это было похоже на заражение одной из жен Усамы бен Ладена заразной болезнью, в надежде на то, что она передаст его бывшему лидеру Аль-Каиды. На своем пути вирус должен был попутно заразить и других, тем самым увеличивая вероятность его раскрытия. И в конце концов, именно это и произошло с Stuxnet. Он распространился на множество сопутствующих машин, и было лишь вопросом времени, когда что-то пойдет не так, и его обнаружат.

Просматривая длинный список использованных методов и эксплойтов, использованных вирусописателями, Чиен понял, что эта коллекция была собрана далеко не случайным образом. Каждый из набора выполнял свою конкретную задачу и предоставлял свои возможности для обхода различных препятствий, которые требовалось пройти на пути к цели. Как будто кто-то составил список покупок, необходимых для атаки, – что-то для повышения привилегий, что-то для распространения внутри сети жертвы, что-то, чтобы доставить полезную нагрузку в ПЛК, – а затем передал этот список на выполнение. Еще один показатель того, что атака не была спонтанной, а наоборот, тщательно продуманной и спланированной.

Из всех методов и эксплойтов, использованных хакерами, наиболее важными для атаки были эксплойт .LNK и заражение файлов проекта Step 7, поскольку именно они, скорее всего, продвигали Stuxnet к его конечной цели – ПЛК Siemens. Программисты ПЛК часто создают свои собственные команды на рабочих станциях, которые были подключены к интернету, но не были подключены к производственной сети или ПЛК на производственной площадке. Чтобы передать команды в ПЛК, кто-то должен загрузить их через ноутбук, напрямую подключенный к ПЛК кабелем, или загрузить их с флеш-носителя USB на специальный программируемую машину, называемую Field PG – ноутбук на базе операционной системы Windows, используемый в промышленном управлении. Field PG не подключен к интернету, но подключен к производственной сети и ПЛК. Заражая файлы проекта Step 7 и наделяя Stuxnet способностью преодолевать воздушное пространство в USB-носителе, злоумышленники по сути превращали каждого инженера в потенциального носителя своего оружия.

Задокументировав все эксплойты и уязвимости, которые Stuxnet использовал для распространения, Чиен и О`Мурчу поняли, что в них есть еще кое-что, что выделяется среди прочего. Некоторые из них уже встречались ранее. Хотя VirusBlokAda полагал, что уязвимость .LNK ранее никогда не использовалась, в Microsoft обнаружили, что в ноябре 2008 года, во время одной из атак также был задействован .LNK. Он был использован преступными хакерами для установки одного из версий трояна Zlob на машины жертв.6 И хотя различные антивирусные сканеры обнаруживали троян во время его заражения, они не смогли обнаружить эксплойт нулевого дня, который шел с ним, оставляя уязвимость открытой для атаки Stuxnet. Эксплойт спулера печати также впервые появился в польском журнале по кибребезопасности еще в апреле 2009 года. Журнал тогда опубликовал статью об уязвимости вместе с исходным кодом для эксплойта, чтобы атаковать ее.7 Новости об этой уязвимости никогда не доходили до Microsoft вовремя, так что уязвимость также оставалась незамеченной. Зашифрованный пароль Siemens также был раскрыт ранее, когда кто-то опубликовал его на форуме пользователей Siemens в апреле 2008 года.8

Чиен и О`Мурчу начали просматривать хакерские форумы и сайты, которые разработчики Stuxnet могли бы использовать для сбора информации о дырах и эксплоитах, или возможно приобрели готовые эксплоиты в интернете.

Как ни странно, из всех эксплойтов, использованных Stuxnet, в первой его версии, выпущенной в 2009 году, присутствовал лишь эксплойт спулера печати. Все остальные появились позже, в атаке в марте 2009 года, которая вышла из-под контроля.9 В версии Stuxnet 2009 года распространение вируса происходило через USB флеш-накопители, но для этого использовалась баг в автозагрузке Windows.10 Как отмечалось ранее, функцию автозапуска можно отключить, чтобы помешать вредоносной программе, попавшей на ваш компьютер. Поэтому когда в марте 2010 года вышла новая версия Stuxnet, хакеры заменили код для функции автозапуска на эксплойт нулевого дня .LNK.

Также вирусописатели добавили еще одну важную вещь в версии Stuxnet 2010 года – сертификат RealTek, используемый для подписи драйверов.11

Рассматривая изменения, сделанные хакерами в период с 2009 по 2010 годы, Чиену и О`Мурчу показалось, что атака была намеренно изменена, чтобы сделать ее более агрессивной, начиная с консервативного подхода в 2009, а затем усиливая ее в 2010, добавляя больше методов распространения – возможно, в отчаянной попытке быстрее достичь своей цели. Например, эксплойт .LNK, добавленный в 2010 году, был куда более эффективным механизмом распространения, нежели функция автозапуска, которая использовалась в 2009.12 Но с увеличением вероятности достижения Stuxnet своей цели, также увеличивалась вероятность его распространения на другие машины. Действительно, с этим и другими эскплойтами, добавленными в версии от марта 2010 года, Stuxnet распространился на более чем 100 тысяч машин внутри и за пределами Ирана.13 Ни одна из этих сопутствующих функций не помогала злоумышленникам достичь своей цели, они только увеличивали шанс быть пойманными.14 Разработчики должны были понимать риск, на который они идут, чтобы увеличить мощность распространения Stuxet. Но, видимо, это был риск, на который они были готовы пойти.

На самом деле, исследователям было легко отслеживать точные пути распространения Stuxnet. Внутри каждой копии Stuxnet специалисты обнаружили подсказку, которая и помогла им отследить курс, по которому прошел вирус, пытаясь достичь своей цели, – небольшой файл логов, содержащий данные о каждой зараженной машине. Когда червь переходил от машины к машине, он регистрировал IP-адрес и доменное имя каждой из своих жертв, а также метку времени, когда произошло заражение, на основе внутренних часов компьютера. Он сохранял эти данные в файл логов размером около 100 байт, который рос по мере количества зараженных машин. Таким образом, каждая копия Stuxnet, собранная с зараженных компьютеров, содержала в себе историю каждого зараженного перед ним компьютера до этого момента, оставляя за собой цифровой след из хлебных крошек, которые Чиен и О`Мурчу могли отследить до самых первых жертв. Лог был создан, чтобы помочь хакерам отследить путь, который пройдет Stuxnet, но они, вероятно, не рассчитывали на то, что кто-то другой будет использовать его для той же цели.15

Чиен и О`Мурчу исследовали 3280 копий Stuxnet, которые им предоставили различные антивирусные компании, и, основываясь на данных в лог-файлах, оказалось, что хакеры начали свою атаку с группы в пять компаний в Иране, выбранные, вероятно, за способность предоставить быстрый шлюз Stuxnet для достижения своей цели. Каждая из компаний пострадала от одной или нескольких версий вируса, запущенного в июне 2009 и марте-апреле 2010 годов. Symantec насчитала 12 тысяч заражений в этих пяти целях, и из этих первых жертв Stuxnet затем распространился на более чем 100 тысяч машин в 100 странах мира.

Symantec никогда публично не называет компании в связи со своей политикой не разглашать имена жертв, а в публичных документах используют маркировку Компания А, Компания Б и т.д. Но имена компаний в лог-файлах они не скрыли. Там были Foolad Technique, Behpajooh, Kala, Neda Indastrial Group и компания, обозначенная в файле как CGJ, предположительно Control Gostar Jahed. Считалось, что под Kala имеются ввиду компании Kala Electric и Kalaye Electric, о которых на конференции в 2002 году упомянула иранская оппозиционная группа NCRI, как о подставных компаниях для иранской программы по обогащению урана.

Хотя атака поразила некоторые компании несколько раз, не всегда заражались одни и те же машины, что позволяет предположить, что злоумышленники искали более выгодные машины каждый раз, когда запускали атаку, или машины, которые предлагали разные маршруты для достижения целей, чтобы увеличить вероятность успеха. Только одна из компаний, Behpajooh, пострадала во всех трех атаках, из чего можно сделать вывод, что она предлагала лучший маршрут к целевым машинам. Это была единственная цель в атаке марта 2010 года, которая вышла из-под контроля. Из 12 тысяч зараженных машин в пяти компаниях, 69 процентов из них были заражены именно в этой единственной жертве.

Сноски, ссылки и используемая литература:

1.    Четвертый обнаруженный ими эксплойт использовал уязвимость в планировщике задач Windows. Этот и эксплойт клавиатуры были использованы для получения привилегий Stuxnet на компьютере. Если учетная запись пользователя на компьютере имела ограниченные привилегии, которые не позволяли Stuxnet устанавливать себя или выполнять какие-либо действия, эти два эксплойта повышали привилегии до административных, которые давали разрешение вирусу делать то, что ему нужно, без отображения каких-либо предупреждений и окошек одобрения администратора.

2.    Microsoft и Kaspersky Lab начали публиковать информацию об остальных трех уязвимостях нулевого дня в середине сентября.

3.    Зашифрованный пароль – это пароль, который производитель программного обеспечения встраивает в свой код, чтобы система могла выполнять определенные действия автоматически, без необходимости ввода пароля пользователем. Часто пароль можно изменить без каких-либо последствий для системы. Но зашифрованный пароль представляют собой угрозу, поскольку это означает, что каждая система имеет один и тот же пароль, и кто-то может его узнать, исследовав код.

4.    Чиен и О`Мурчу узнали о скрытом характере уязвимости в системе Step 7 после консультации с экспертами, такими как Эрик Байрес из Tofino Secutity, которые хорошо знакомы с программным обеспечением Siemens. Уязвимость заключалась в том, что система была разработана таким образом, чтобы программисты могли добавлять в проект не только простые файлы. По факту, это была даже не уязвимость, а фича, так как Siemens включил ее в разработку намеренно. Но Stuxnet воспользовался этим, чтобы вставить свои .DLL файлы. Однако, одного этого было мало, чтобы Stuxnet мог заразить систему при открытии файла проекта.

5.    Седьмой метод, который Stuxnet использовал для распространения, производился через сетевые ресурсы – заражались ресурсы и файлы, которые были совместно использованы несколькими компьютерами в одной локальной сети. Восьмой метод включал эксплойт, нацеленный на уязвимость Windows двухлетней давности, которую Microsoft уже исправили. Это была уязвимость, которую перед этим, в ноябре 2008 года, использовал Conficker. Microsoft исправила ее в октябре 2008 после того, как китайские хакеры использовали ее для распространения своего трояна. Microsoft выпустила редкое внеочередное исправление для дыры – внеочередные патчи выпускаются раньше обычного графика исправлений компании, в случае если дыра в безопасности была серьезной, – после того, как они поняли, что дыру можно легко использовать для распространения червя. К сожалению, создатели Conficker тоже поняли это и не стали тратить время на его распространение в следующем месяце. И несмотря на то, что Microsoft выпустила патч, команда Conficker поняла, что многие пользователи компьютеров просто не в курсе об их выпуске. И они запустили атаку. Примерно треть машин на OC Windows была непропатчена, и к апрелю 2009 года Conficker заразил миллионы машин. Когда через два месяца был запущен Stuxet, его разработчики также делали ставку на непропатченные машины. Но Stuxnet использовал этот метод только для распространения при особых условиях, это не был его основной метод распространения.

6.    Zlob генерировал всплывающие окна на зараженных компьютерах, которые выглядели как системные уведомления Windows, предупреждающие пользователей о том, что их компьютеры заражены, и предлагающие им перейти по ссылке и скачать антивирусную программу. Эта программа представляла собой бэкдор, позволяющий злоумышленнику выполнять различные действия на зараженных компьютерах. Эксплуатация .LNK была гениальной атакой, но она не очень подходила разработчикам Zlob и другим киберпреступникам, цель которых заключалась в том, чтобы за кратчайший отрезок времени заразить как можно большое количество машин. Эксплойт .LNK распространял вредоносное ПО довольно медленно, поскольку он находился на USB-флешке, переносимой от компьютера к компьютеру. Команде Zlob было выгодней использовать эскплойт, который мог заразить тысячи машин через интернет.

7.    Карстен Келер, “Print Your Shell”, Hakin9, 1 апреля, 2009, доступно по адресу: http://www.hakin9.org/print-your-shell.

8.    Пароль был опубликован в апреле 2008 года неким Cyber после того, как один пользователь пожаловался, что его устройство Siemens перестало работать после изменения зашифрованного пароля. Тот не мог вспомнить пароль по умолчанию для восстановления, поэтому Cyber помог ему и опубликовал пароль. Впоследствии пароли были удалены с форума Siemens после того, как кто-то отчитал Cyber за их размещение в сети. Но те же пароли были так же опубликованы и на русскоязычном форуме Siemens человеком под тем же никнеймом, и оставались там, когда в сеть был запущен Stuxnet, хоть страница, на которой находился пароль с тех уже была перемещена или удалена. Англоязычный форум, на котором был размещен пароль доступен по адресу: http://www.automation.siemens.com/forum/guests/PostShow.aspx?PostID=16127&16127&Language=en&PageIndex=3.

9.    Во всех трех версиях Stuxnet – июнь 2009 года, март и апрель 2010 года – единственной частью атаки, которая претерпела изменения, была ракетная часть кода с механизмом распространения. Полезная нагрузка для ПЛК всегда оставалась прежней.

10. Уловка с Автозапуском не считается уязвимостью нулевого дня, поскольку это особенность системы Windows, которую злоумышленники просто посчитали выгодной для распространения своих вредоносных программ. Смотрите сноски 7 и 8 для предыдущих обсуждений Автозапуска.

11. Хакерам пришлось добавить сертификат в версию Stuxnet 2010 года, поскольку в конце 2009 года Microsoft выпустила новую версию своей операционной системы Windows 7, которая включала новые функции безопасности, которые не позволяли устанавливать драйвера, если те не были подписаны цифровой подписью с действительным сертификатом.

12. Как отмечалось ранее, многие компании отключают автозапуск, поскольку он является угрозой безопасности. Функцию .LNK нельзя отключить тем же способом, и, поскольку эта уязвимость затрагивала каждую версию Windows начиная с Windows 2000, большое количество машин оставалось под угрозой.

13. Существует предостережение относительно широкого распространения версии Stuxnet 2010 года по сравнению с версией 2009 года. Чиен и О`Мурчу исследовали 3280 копий Stuxnet, собранных с зараженных компьютеров различными антивирусными компаниями. Версия Stuxnet от 2009 года, относительно всех зараженных машин, составила 2%, остальные зараженные были версиями 2010 года. Предполагается, что ограниченное количество обнаруженных образцов 2009 года связано с тем, что эта версия была нацелена на иранские компании, и совсем не распространялась за границы Ирана. Но также возможно, что версия 2009 года была заменена из-за обновления на версию 2010 года, после ее выхода. Каждый раз, когда Stuxnet попадал на машину, он проверял, имеется ли на нем он уже, и если он находил старую версию вируса, то обновлял ее до последней. Это, скорее всего, и привело к такому малому количеству образцов вируса 2009 года.

14. Тот факт, что Stuxnet распространялся через USB-накопители и локальные сети, а не через интернет, должен был снизить вероятность такого широкого распространения, однако оно произошло. Вероятно, это произошло потому, что некоторые из зараженных в Иране компании имели офисы за пределами Ирана или пользовались услугами подрядчиков, у которых были клиенты в других странах, и те распространяли вирус каждый раз, когда они подключали зараженный ноутбук к сети клиента либо использовали зараженную флешку. После того, как Stuxnet был обнаружен, Symantec проанализировали свой архив на наличие любых копий Stuxnet, которые могли быть обнаружены и помечены как подозрительные автоматической системой отчетов. Они нашли одну копию мартовской версии 2010 года кода на машине клиента в Австралии, который был помечен системой отчетов в тот месяц, когда Stuxnet только вышел. Это показало, как далеко за короткое время добрался вирус, и насколько неизбежным было то, что его в конечном счете обнаружат.

15. Хакеры могли извлечь журнал удаленно из зараженной системы, которая была связана с их командными серверами.

Глава 7. Зарплаты в 0day.

Уязвимости нулевого дня в Stuxnet подняли много тревожных вопросов о растущей роли правительства в тайной продаже и использовании таких уязвимостей – вопросы, которые еще предстоит рассмотреть конгрессу или решить в публичных дебатах, несмотря на существующие свидетельства того, что такая практика создает опасные уязвимости для корпораций, критической инфраструктуры и отдельных пользователей компьютеров.

Хотя рынок эксплойтов нулевого дня существует уже более десяти лет, до недавнего времени он был довольно небольшим и скрывался в закрытом андерграунд сообществе хакеров и киберпреступников. Однако в последние несколько лет он стал коммерческим и популярным, поскольку значительно выросло количество продавцов и покупателей, а вместе с ними и цены, и некогда темная торговля стала легитимизированной с появлением на арене государственных долларов для создания нерегулируемого рынка кибероружия.

Одним из первых намеков на коммерциализацию уязвимостей нулевого дня появился в декабре 2005 года, когда продавец по имени fearwall опубликовал эксплойт для продажи на eBay, чем вызвал опасения у общества, мол, официально трудоустроенные специалисты по кибербезопасности вместо того чтобы за спасибо передавать информацию о дырах в корпорации, примкнут к темной стороне и станут продавать свои навыки и товары по достаточно высоким ценам. Перед тем как выставить уязвимость нулевого дня в Microsoft Excel на аукцион, fearwall действительно пытался достучаться с ней к Microsoft, но софтверный гигант не стеснялся игнорировать полученную информацию, и не спешил ее исправлять. Поэтому fearwall решил выставить свой эксплойт на открытом рынке, чтобы смутить компанию и заставить ее быстрее исправить дыру. Торги достигли отметки в 60 долларов, после чего eBay оборвал листинг. Но отмененная продажа была предзнаменованием будущих перемен.

Сегодня рынок эксплойтов нулевого дня крайне разнообразен – от белых маркетов с вознаграждением за обнаружение дыры в безопасности до процветающих андеграундных черных шопов, владельцами которых являются хакеры, которые вызывают собой неподдельный интерес у правоохранительных органов и спецслужб по всему миру.

По программе вознаграждения за обнаружение уязвимостей сейчас работают Google, Microsoft и другие крупные корпорации, и что самое главное, они делают остальные компании более отзывчивыми и ответственными по поводу исправления багов в своих продуктах. Сторонние фирмы по обеспечению безопасности, такие как HP TippingPoint, так же платят за уязвимости нулевого дня, которые потом они используют для проверки безопасности сетей клиентов и защиты от атак. TippingPoint в частном порядке раскрывают информацию о дырах разработчикам программного обеспечения, но на исправления могут потребоваться недели и месяцы, и в течении этого времени TippingPoint может опередить конкурентов, и предоставить своим клиентам защиту от атак, о которых те даже не подозревают.

На процветающем черном рынке, который обслуживает всякого рода мошенников и корпоративных шпионов, продаются не только эксплойты нулевого дня, но и другие полезные штуки: троянские кони, спай киты(spy kits) и другие инструменты для кражи учетных данных онлайн-банкинга, сбора ценной информации, и даже для создания своей армии зомбированных компьютеров – ботнета. Уязвимости, продаваемые на этом рынке, становятся известными общественности только после обнаружения атак, использующих их, на что могут уйти годы, о чем свидетельствует время, которые понадобилось экспертам, чтобы обнаружить эксплойт .LNK, который использовался в Stuxnet и трояне Zlob.

Подпольные продажи нелегальных товаров, какими бы опасными они не были, быстро затмеваются новейшим рынком уязвимостей и эксплойтов нулевого дня, который, по прогнозам критиков, вскоре окажет более серьезное влияние на сферу безопасности. Это процветающий серый рынок, где правительственные покупатели взвинтили цены уязвимостей нулевого дня, и этим заманили туда еще большее количество продавцов, которые вместо того, чтобы в сотрудничестве с компаниями пытаться пофиксить уязвимости, теперь будут продавать их за космические деньги.

Рынок называется «серым» только потому, что покупатели и продавцы считаются якобы «хорошими парнями», действующими в интересах публичной и национальной безопасности. Но инструмент безопасности одного человека, может стать инструментом атаки другого человека, и нет никаких гарантий, что правительство, которое покупает уязвимость нулевого дня, не будет злоупотреблять им, чтобы, например, шпионить за политическими оппонентами и активистами, или передавать их другому правительству, которое может сделать это за них. Даже если правительственное агентство использует уязвимость нулевого дня для законной цели, уязвимости, продаваемые на сером рынке, никогда не сообщаются разработчикам, и как итог, те остаются непропатченными. Из-за этого любой, кто не знает о них, включая другие правительственные агентства и владельцы критически важной инфраструктуры, уязвимы для атак, если хакеры обнаружат эти уязвимости и воспользуются ими.

Продажа эксплойтов является законной и значительной степени нерегулируемой. Хотя экспортный контроль в Соединенных Штатах, который регулирует продажу обычного программного обеспечения, запрещает продажи эксплойтов в такие страны как Иран и Северная Корея, эксплойты все равно не имеют авторских прав с указанием человека, который его создал, или хотя бы страны происхождения, и поэтому любой, кто продает уязвимости в интернете вряд ли будет пойман.

Цены на уязвимости нулевого дня сильно варьируются в зависимости от ее редкости – системы, которые трудно взломать имеют меньше дыр, а также требуют больше времени и сил, связанных с поиском уязвимости, и разработкой эксплойта под нее, программным обеспечением, которое оно эксплуатирует, и эксклюзивности товара. Эксплойт, проданный исключительно одному человеку будет стоять, естественно, больше. Эксплойты, которые требуют более чем одну уязвимость для обеспечения получения рут-прав на компьютере жертвы, также будут стоять дороже, так же, как и те, которые обходят антивирусные в системе без каких-либо побочных эффектов, таких как вылет браузера, или сообщения на компьютере жертве по типу «что-то пошло не так».

Эксплойт нулевого дня для Adobe Reader может стоить от 5 до 30 тысяч долларов, в то время как для Mac OS – от 50 тысяч. Но эксплойт для Flash или Windows может быть оценен и в 100 тысяч из-за более широкого распространения программ на рынке. Эксплойт на Iphone также может стоить 100 тысяч, потому что Iphone взломать сложнее, нежели его конкурентов на мобильном рынке. А эксплойты браузера, которые атакуют Firefox, Internet Explorer и Chrome могут достигать суммы в 200 тысяч долларов США, в зависимости от их способней обходить меры безопасности.1 Нулевые дни и все браузерные эксплойты, нацеленные на дыры в безопасности в Safari, Firefox и Internet Explorer, продаются примерно по 100 тысяч каждая. Фирма получала 50 тысяч авансом, а затем по 10 тысяч каждый месяц до тех пор, пока не была оплачена вся цена – платежи были распределены, чтобы отбить охоту у покупателя перепродать эксплойт другим людям или раскрыть его разработчикам для исправления.

Какая бы цена не была на сером рынке, она всегда будет значительно превосходить то, что продавец мог бы получить на белом рынке. Например, Mozilla Foundation платит всего 3 тысячи долларов за ошибки, обнаруженные в их браузере, или почтовом клиенте Thundebird, также Microsoft, которую годами критиковали за отсутствие программы вознаграждения за найденные дыры, в 2013 году начала предлагать всего 11 тысяч долларов за ошибки, обнаруженные в их тогда новом Internet Explorer 11. Однако сейчас Microsoft платит 100 тысяч долларов за уязвимости, которые помогут хакерам обойти средства защиты в своих программных продуктах, и дополнительные 50 тысяч за способ ее исправления. Google обычно платит от 500 до 20 тысяч долларов за ошибки в Chrome, и других и веб-ресурсах, таких как Gmail и Youtube, хотя за некоторые типы уязвимостей в Chrome, Google заплатит 60 тысяч долларов в рамках ежегодного конкурса, который он спонсирует. Но хотя крупные организации и пытаются конкурировать с черным рынком, в большинстве случаев они по-прежнему не соответствуют цене, которую предлагают покупатели на черном рынке. А Apple и Adobe и вовсе до сих пор не имеют программ вознаграждения за обнаруженные уязвимости в их программном обеспечении, которые используют миллионы людей.

И хотя серый рынок с нулевыми днями существует уже около десяти лет, в своей нынешней устойчивой форме он появился вовсе недавно. В течение многих лет он работал в режиме ad-hoc, причем продажи между частными фирмами в сфере безопасности и исследователями, и также их правительственными контактами происходили только в частном порядке, так, чтобы об этом не знал никто. Если кто-то хотел продать эксплойт ,и при этом не имел правительственных контактов, ему было трудно найти покупателя. Например, по словам бывшего сотрудника, работавшего в фирме в сфере кибербезопасности, за год они продали всего несколько эксплойтов нулевого дня крупной оборонной американской компании.

Одним из первых, кто открыто признал, что продавал эксплойты правительству, является эксперт в сфере кибербезопасности Чарли Миллер, бывший хакер АНБ, который был завербован шпионским агентством в 2000 году после получения степени доктора математики в университете Нотр-Дам. Миллер проработал в бюро пять лет, первоначально взламывая коды от своего имени, а затем переключил свои навыки на взлом компьютеров – проводил рекогносцировочные сканирования для анализа зарубежных сетей и «эксплуатировал компьютерные сети против иностранных целей», согласно его «подчищенному» АНБ резюме. В шпионской речи для этого есть специальная термин, CNE, что означает взлом систем и сетей для передачи данных и информации. Покинув АНБ, Миллер заработал признание в сообществе специалистов по компьютерной безопасности ища уязвимости нулевого дня и создавая эксплойты, некоторые из них он продавал правительству. Он был первым со своим коллегой, кто взломал защиту Iphone после его дебюта в 2007 году, и стал четырех кратным победителем Pwn2Own, ежегодного хакерского конкурса, спонсируемого HP TippingPoint, который платит участникам за уязвимости нулевого дня, обнаруженные в конкретном программном обеспечении.

В 2006 году Миллер работая на небольшую фирму, в которой занимался поиском ошибок в программном обеспечении, продал эксплойт нулевого дня подрядчику из правительства за 50 тысяч долларов. Он продал эксплойт человеку, с которым ранее работал в АНБ, и говорит, что понятия не имеет что стало с эксплойтом после продажи и как его использовали. Контракты, которые он подписывал, продавая свои эксплойты, никогда не предусматривали его будущее использование покупателем. «Я не знаю, сделал он что-то плохое, либо хорошее. Я знаю что он работает на правительство», – говорит Миллер, – «Он покупает интеллектуальную собственность, вы знаете? Он волен делать с ней все что угодно».

В 2007 году Миллер вызвал бурю негодования, когда опубликовал статью о рынке эксплойтов и публично признал, что продавал эксплойты правительству.2 Он написал статью, потому что хотел, чтобы люди знали о существовании такого рынка, и помогали другим исследователям преодолевать подводные камни, с которыми они сталкивались. В то время продажа эксплойтов была маленькой грязной тайной в сфере безопасности. Исследователи время от времени обсуждали эту практику между собой, но никогда не говорили об этом открыто. Вскоре Миллер узнал почему. Коллеги из сообщества кибербезопасности обвинили его в том, что он подвергает пользователей риску, а некоторые призвали к тому, чтобы его сертификат CISSP (сертифицированного специалиста по безопасности) был отменен за нарушение этического кодекса отрасли. «Я говорил об этом… Я был за это осужден. И больше я об этом не говорю», – сказал Миллер.3

В любом случае ему не имело никакого смысла передавать ошибки разработчикам бесплатно, и хоть в то время уже существовали несколько программ вознаграждения за обнаруженные уязвимости, они платили несравненно мало денег, нежели предлагали покупатели на сером рынке. Это было также время, когда разработчики вместо благодарностей за обнаруженную уязвимость угрожали судебным иском или уголовным преследованием за исследование их программного обеспечения.

Миллер отказался от продажи нулевых дней много лет назад – сейчас он работает в команде безопасности Twitter, но он все еще не видит ничего плохого в том, чтобы продавать уязвимости и эксплойты нулевого дня правительству. «Никто не злится на то, что, вы знаете, некоторые компании продают правительственное оружие и танки», – говорит он, отмечая, что, хотя американские исследователи и продают правительству нулевые дни, тем же занимаются и китайские и русские специалисты. Из его слов, Соединенным Штатам лучше заплатить огромную сумму за эксплойт, чем позволить ему попасть в руки врагов.

«Нет, я не считаю, что продавать эксплойты правительству это круто», – сказал мне Миллер, – «но я думаю что людям стоит… осознавать что это все равно происходит. Я не против того, чтобы правительство делало это открыто… Только я не понимаю почему они не создадут публичную программу, надпись на которой будет гласить: «Найди уязвимость нулевого дня, и мы купим ее!»».4

Но за годы, прошедшие с того времени, когда еще Миллер охотился за уязвимостями, спрос на серый рынок с нулевыми днями быстро рос, о чем свидетельствует тот факт, что эксплойты, которые раньше могли продаваться месяцами, теперь забирают с прилавков за неделю, а то и вовсе пару дней. Появилась растущая экосистема, отвечающая спросу, которая заполняется небольшими компаниями, основой деятельности которых является поиск ошибок, а также фирмами из сферы кибербезопасности и кадровыми агентствами, которые в настоящее время нанимают команды профессиональных хакеров, занимающихся разработкой эксплойтов для правительства. Также намного выросло число посредников, брокеров, которые стают между независимыми продавцами и покупателями.

Одним из таких посредников является южноафриканский специалист кибербезопасности, живущий в Таиланде, который известен в сообществе под никнеймом «The Grugq». The Grugq выступает посредником между своими друзьями-хакерами и правительственными контактами, беря за свои услуги 15-процентную комиссию с каждой сделки. Он начал свой бизнес в 2011 году, и к 2012 году его продажи были настолько успешными, что, как он сказал одному репортеру, он рассчитывает заработать 1 миллион долларов. На одной из опубликованных в сети фотографий, сделанной в бангкокском баре, у его ног лежала сумка с деньгами, очевидно, оплата от одного из клиентов, хотя позже он заявил, что эта фотография была всего лишь шуткой.5

           В Forbes он рассказал, что большинство проданных им эксплойтов достались правительственным покупателям из Соединенных Штатов и Европы, потому что те были готовы платить больше, чем все остальные. Один эксплойт на Apple IOS он продал государственному подрядчику из США, обошелся в 250 тысяч долларов, хотя позже The Grugq пришел к выводу что запросил слишком маленькую сумму, ибо покупатель был чересчур доволен покупкой. Он связывал свой успех с профессионализмом, который он вкладывал в маркетинг и продвижение своих эксплойтов, а также поддержкой, которую оказывал клиентам. «Вы продаете коммерческое программное обеспечение, и как любой другой товар», – говорил он Forbes, – «он должен быть отполирован и прийти с соответствующей документацией».

Но по-настоящему крупная торговля эксплойтами в наши дни осуществляется не посредниками и отдельными продавцами, такими как Миллер и The Grugq, а компаниями из сферы кибербезопасности, которые занимаются разработкой и продажей эксплойтов для правительственной части нового военно-промышленного комплекса.

И хотя правительства все еще производят свои собственные эксплойты – для этого в АНБ, например, работают специальные команды – они также передают эту работу в аутсорсинг другим компаниям, потому что спрос на эксплойты вырос, как и стоимость их создания: два или три года назад одной уязвимости было достаточно, чтобы получить на машине права администратора. Но сегодня одной уязвимости будет почти наверняка недостаточно, чтобы обойти меры безопасности для достижения тех же результатов.

Большинство компаний, работающих в сфере продажи эксплойтов, не разглашают подробностей их деятельности, потому что не хотят, чтобы их преследовали активисты, выступающие против торговли нулевыми днями, или конкуренты, которые могут взломать их, и украсть их эксплойты. Поскольку нулевые дни могут использоваться как для защиты системы, так и для ее атаки, многие компании также скрывают свою наступательную деятельность, прикрываясь якобы защитой. В разной степени в этой игре участвовали такие американские компании как Endgame Systems, Harris, Raytheon, Northrop, Grumman, SAIC, Booz Allen Hamilton и Lockhead Martin. Европейские фирмы, включая ReVuln на Мальте, и VUPEN во Франции также разрабатывали и продавали эксплойты для систем промышленного контроля различным правоохранительным органам и спецслужбам. Hacking Team в Италии и Gamma Group в Великобритании продавали средства для слежки правительственным спецслужбам, которые для своей установки использовали эксплойты нулевого дня.

Работа Endgame Systems, грузинской фирмы, над эксплойтами нулевого дня долгое время оставалась в секрете в комьюинити кибербезопасности, и не была широко известна за его пределами до 2011 года, пока хакеры из коллектива Anonymous не взломали сервера другой компании под названием HBGary Federal, и не слила оттуда тысячи электронных писем, включая переписку с руководителями Endgame. В электронных письмах обсуждалась работа Endgame Systems над эксплойтами, а также его усилия «не привлекать к себе внимания» по совету правительственных заказчиков. В электронных письмах, которые включали в себя презентации PowerPoint для потенциальных клиентов Endgame, рассказывалось о миссии компании по расширению «информационных операций разведывательных и военных организаций США». Главой совета директоров Endgame является также исполнительный директор In-Q-Tel, фирмы венчурного капитала ЦРУ.

Для всех в мире Endgame предлагал услуги по защите клиентов от вирусов и ботнетов, но они также вели подпольную деятельность – продажу пакетов уязвимости и эксплойтов, содержащих информацию, которая может «способствовать быстрому развитию CNA». CNA (Computer Network Attacks), или атаки на компьютерные сети, это военный жаргон для хакинга, который манипулирует данными и системами, или и вовсе уничтожает их, приводит к замедлению скорости их работы, или полностью останавливает ее. Компания была основана в 2008 году, и ее бизнес перспективы были настолько радужны, что два года спустя, в 2010, она привлекла к себе 30 миллионов долларов венчурного капитала, а в следующем раунде финансирования – 23 миллиона долларов. В 2011 году генеральный директор Endgame Кристофер Руланд заявил местной газете в Атланте, что выручка компании «более чем удваивается в год».

Похищенные электронные письма описывают три разных пакета Endgame, которые называются Maui, Cayman и Corsica. За 2.5 миллиона долларов, пакет Maui предоставлял покупателям 25 эксплойтов нулевого дня. Пакет Cayman, стоимостью 1.5 миллиона долларов, предоставлял сведения о более чем миллионе уязвимых компьютеров по всему миру, уже зараженных червями ботнетов, таких, как Conficker и другими малварями. Примерная карта в электронных письмах указывала расположение уязвимых компьютеров в Российской Федерации и список зараженных систем в ключевых государственных учреждениях и критических инфраструктурных объектах, который включал в себя IP-адрес каждой машины и используемую ею операционную систему. В списке числились 249 зараженных машин в Центральном банке Российской Федерации, несколько машин в Министерстве финансов, Национальном резервном банке, Нововоронежской атомной электростанции и Ачинском нефтеперерабатывающем заводе. Частично Endgame собирал данные, настраивая шлюзы для связи с машинами, зараженными Conficker – когда вредоносное ПО связывалось со шлюзом, Endgame собирала все сведения о машине. Аналогичная карта Венесуэлы показывала расположение веб-серверов в стране и программное обеспечение, на котором они работают. Плохо настроенные веб-серверы часто стают легкими мишенями для хакеров и предоставляют им доступ к бэк-энд системам и базам данных. Системы, попавшие в список, включали в себя серверы Corporacion Andina de Fomento – банка развития, который предоставляет финансирование восемнадцати странам-членам в Латинской америке, Карибском бассейне и Европе, а также центральное бюджетное управление Венесуэлы, канцелярию президента, Министерство обороны и Министерство иностранных дел. Когда компания была взломана, Endgame начали заявлять журналистам об уходе компании из рынка, и в начале 2014 года Endgame официально перестали существовать как бизнес.

В то время как Engame прилагала большие усилия, дабы скрыть свой эксплойт-бизнес, VUPEN Security, базирующаяся в Монпелье, Франция, позитивно относилась к своей роли в торговле нулевыми днями. VUPEN позиционирует себя как небольшая киберсекьюрити компания, создающая и продающая эксплойты спецслужбам и правоохранительным органам для операций в области кибербезопасности и миссиях перехвата киберпреступников. Первоначально созданная в 2008 году для защиты правительственных клиентов от атак нулевого дня, компания вскоре начала создавать эксплойты для наступательных операций спецслужб. В 2011 году доход компании составил 1.2 миллиона долларов, 90 процентов из которых поступили из продаж за границами Франции. В 2013 году они заявили об открытии своего офиса в Соединенных Штатах.

Основатель VUPEN, Чауки Бекрар, смелый и дерзкий человек, любит ругать критиков в Twitter, которые считают, что предоставлять эксплойты нулевого дня правительству неэтично. Также он часто бросает своим конкурентам намеки, чтобы те также публично рассказали о своей роли в мире торговли нулевыми днями. «Мы единственная компания в мире, которая открыто признает то, что делает», – говорит он. «Я знаю несколько компаний в США и Европе, которые также занимаются продажей уязвимостей нулевого дня, но делают это под прикрытием. Мы же заявляем об этом открыто и четко, ибо хотим быть прозрачными в глазах клиентов».7

В то время как Endgame и другие стараются не привлекать к себе внимания, Бекрар и его специалисты регулярно посещают конференции по кибербезопасности, принимают участие в таких конкурсах как Pwn2Own, чтобы повысить авторитет компании. На конференции CanSecWest (ежегодная конференция, посвященная кибербезопасности в Канаде) в 2012 году, Бекрар и команда из четырех его исследователей заняли первое место, на всех них были одинаковые черные худи с названием компании на спине.

Но прозрачность VUPEN это вещь относительная. Бекрар никогда не будет обсуждать свое прошлое или отвечать на другие личные вопросы, вместо этого отвлекая все внимание на свою компанию. «Я всего лишь актер. И хочу поговорить о фильме», – говорит он. Но когда речь доходит до его компании, его губы остаются все также сомкнуты – он не рассказывает о количестве сотрудников в компании, просто говорит, что компания небольшая, и никогда не раскрывает фамилий своих работников.

Исследователи VUPEN посвящают все свое время поиску уязвимостей нулевого дня и разработке эксплойтов – как для уже известных уязвимостей, так и для нулевых дней. Бекрар не раскрывает информацию о количестве проданных за все время существования компании эксплойтов, но говорит, что его специалисты обнаруживают сотни уязвимостей нулевого дня в год. «У нас есть нулевые дни для всего, что вам угодно», – говорит Бекрар. «У нас есть эксплойты для почти каждой операционной системы, для каждого браузера, для каждого приложения, если хотите».

Сколько в его словах правды, а сколько стратегического маркетинга – неясно, но в любом случае, его тактика работает и приносит свои плоды. В 2012 году, через несколько месяцев после того, как команда Бекрара выиграла конкурс Pwn2Own, АНБ приобрело годовую подписку на «Бинарный анализ и эксплойты(BAE)» от VUPEN. Выпущенный в сеть контракт был сильно отредактирован, и даже не указывал цену, которую заплатило за услуги компании АНБ. Консалтинговая фирма, которая назвала VUPEN предпринимательской компанией 2011 года, указала, что стоимость такой подписки составляет около 100 тысяч долларов. Согласно официальному сайту VUPEN, подписка на BAE представляет «высокотехнологические ответы по наиболее критическим и значительным уязвимостям, чтобы понять их первопричину, методы использования, способы устранения и обнаружения атак как на основе эксплойтов, так и на основе уязвимостей».8

VUPEN также предлагает программу защиты от угроз, которая предоставляет подробные исследования о эксклюзивных уязвимостях, обнаруженных ее исследователями чтобы позволить «уменьшить их подверженность атакам нулевого дня», согласно брошюре компании, которая просочилась в WikiLeaks.9 Обе эти программы описываются так, как будто они призваны только помочь клиентам защитить себя от атак нулевого дня – эксплойты нулевого дня могут использоваться для проверки системы на ее уязвимость к атаке, но всегда умалчивают о том, что эксплойты могут использоваться и для атаки на другие непропатченные системы. А такие готовые эксплойты на обнаруженные уязвимости входят в программу защиты от угроз. Есть у VUPEN и третья программа для правоохранительных и разведывательных служб, которая явно предназначена для скрытого нападения на машины с целью получения удаленного доступа к ним. «Правоохранительные органы нуждаются в самых передовых исследованиях вторжений в IT и в самых надежных инструментах атак для скрытого и удаленного доступа к компьютерным системам», – цитируется Бекраром в брошюре. «Использование ранее неизвестных уязвимостей программного обеспечения и эксплойтов, которые обходят антивирусные продукты и современные средства защиты операционной системы… может помочь следователям успешно решить их задачи».

Программа вторжения ограничена полицией, спецслужбами НАТО, АНЗЮС и АСЕАН, а также странами-партнерами этих ассоциаций, что Бекрар называет «ограниченным числом стран».

«Это очень важно, поэтому мы хотим, чтобы количество клиентов было небольшим», – заявляет Бекрар. Но у НАТО есть 28 стран-членов, включая Румынию и Турцию, и еще около сорока стран считаются ее партнерами, включая Израиль, Беларусь, Пакистан и Россию. Бекрар настаивает на том, что VUPEN не продает экслойты всем им, просто из-за того, что они есть в списках партнеров.

Компания продает эксплойты, которые атакуют все ведущие коммерческие продукты от Microsoft, Apple, Adobe и других, а также предназначаются для корпоративных баз данных и серверных систем, разработанных такими компаниями, как Oracle. Но браузерные эксплойты –самый желанный товар, и Бекрар утверждает, что у них есть эксплойты для каждого из имеющихся на рынке браузеров. VUPEN продает только эксплойты и то, что Бекрар называет «промежуточными полезными нагрузками», которые позволяют клиенту проникнуть в сеть. Работа клиента заключается лишь в том, чтобы использовать эскплойт с окончательной полезной нагрузкой.

После того, как был обнаружен Stuxnet, VUPEN, как и многие другие компании из их отрасли, переключили свое внимание на промышленные системы управления, когда клиенты начали интересоваться эксплойтами для них. Эксплойты Stuxnet, которые по словам Бекрара обнаружила его команда после разоблачения атаки, достойны восхищения. «Сами уязвимости были хороши, а их использование хакерами в своих интересах реализованы просто гениально», – говорил Бекрар. «Их было не так просто разработать…». Но для серьезной разработки эксплойтов для промышленных систем управления необходим доступ к специальному оборудованию и средствам для тестирования, и Бекрар говорит: «У нас нет таких вещей, и мы не хотим, чтобы у нас они были».

Подписчики программы эксплойтов имеют доступ к порталу, где они через меню могут выбрать и купить любой существующий эксплойт нулевого дня или специальные эксплойты для конкретной операционной системы или приложения. Согласно брошюре, эксплойты имеют четыре уровня стоимости. Подписчики приобретают определенное количество кредитов, которые они могут использовать для покупки эксплойтов стоимостью соответственно 1, 2, 3 или 4 кредита. Каждый эксплойт сопровождается описанием программного обеспечения, на которое он нацелен, и указанием того, насколько надежным является эксплойт. Также клиенты могут получать оповещения в режиме реального времени, когда будет обнаружена новая уязвимость, и доступен ли к покупке эксплойт под нее. VUPEN также отслеживает деятельность Microsoft и других крупных организаций, чтобы видеть, когда исправляется уязвимость из разработанных ими эксплойтов, и предупреждает клиентов о том, что ошибка или эксплойты были пропатчены – иногда с помощью сообщения в Twitter.

Бекрар также признает, что его компания не предоставляет экслюзивные эксплойты, а продает одни и те же нескольким покупателям. Однако, чем больше используется эксплойт, тем больше вероятность того, что его обнаружат, что сделает его менее привлекательным в глазах покупателей.

Бекрар, как и Миллер, мало симпатизирует людям, которые критикуют продажу эксплойтов, и в прошлом заявлял, что производители программного обеспечения сами создали этот государственный рынок эксплойтов, первоначально отказавшись платить исследователям за обнаруженные ими уязвимости, а затем отказываясь платить хорошие деньги, не оставляя им выбора, кроме как обращаться к другим покупателям, которые будут готовы дать хорошие деньги за их труд. Бекрар также заявляет, что не торгует эксплойтами ради денег. «Мы не бизнесмены, мы не заботимся о продажах. Мы заботимся о безопасности, об этике», – говорит директор VUPEN.

На конкурсе Pwn2Own, где Google платит 60 тысяч долларов за эксплойт и информацию об уязвимости, команду VUPEN спросили об уязвимости, которую они использовали против браузера Google Chrome, Бекрар отказался передавать какую-либо информацию.10 Он в шутку ответил, что может подумать о предложении, если Google предложит 1 миллион долларов. Но позже лично он сказал одному человеку, что даже за 1 миллион долларов он бы не передал этот эксплойт, предпочитая оставить его для своих покупателей. На вопрос, есть ли у клиентов VUPEN такие деньги, чтобы платить за эксплойты миллионы долларов, Бекрар засмеялся и ответил: «Нет, нет, нет, нет. Никогда. У них нет таких денег».

В прессе Бекрар уверяет в том, что причины для продажи эксплойтов правительствам имеют куда больший смысл, чем просто заработок денег: «В основном, мы работаем с правительствами, которые сталкиваются с проблемами национальной безопасности… мы помогаем им защитить свои права и жизни граждан… Это как любой из видов наблюдения». Правительство должно знать, готовится ли какой-то заговор, и что вообще делают люди в стране, чтобы наверняка обеспечить национальную безопасность. Так что существует множество способов использовать эксплойты в целях национальной безопасности и спасения человеческих жизней».

Но критики утверждают, что такие компании, как VUPEN, никак не могут знать, где и как будет использоваться купленный в них эксплойт, в целях безопасности страны, или слежки за домами невинных граждан. Бекрар признает, что клиентское соглашение VUPEN не запрещает покупателям использовать эксплойты для слежки. «Но мы говорим, что эксплойты должны использоваться этически», – добавляет в конце Бекрар.

Он говорит, что компания не может более конкретно описать данный вопрос в договоре, ибо юридические соглашения должны быть слишком общими, чтобы охватить все возможные случаи неэтического использования. «Для нас это понятно», – говорит Бекрар, – «Вы должны использовать эксплойты в рамках этики, в рамках международных норм и национальных законов, и вы не можете использовать их в массовых операциях». Но этика – это понятие относительное, и Бекрар признает, что нет никакого способа, чтобы контролировать то, как клиенты интерпретируют этические предписания. «Моя единственная возможность как-то контролировать этот вопрос, – это продавать эксплойты только тем странам, которые реально нуждаются в них. И мы продаем только демократическим странам».

Кристофер Согоян из Американского союза гражданских свобод является одним из крупнейших критиков VUPEN. Он называет продавцов эксплойтов, таких как VUPEN, «современными торговцами смертью» и «ковбоями», которые гоняются за государственными долларами, чтобы поставлять им инструменты и оружие, которые делает возможным репрессивное наблюдение и кибервойну, ставя этим самым под риск всех граждан.11 Согоян признает, что с помощью VUPEN или без нее, правительство все равно будет производить собственные эксплойты нулевого дня, но такие продавцы, в любом случае, это «бомба замедленного действия», потому что над их торговлей нет никакого контроля.

«Как только один из таких эксплойтов нулевого дня, проданных правительству, попадет в руки «плохому парню» и будет использован в атаке против критически важной инфраструктуры США, бумеранг вернется», – слова Согояна аудитории компьютерных экспертов на конференции в 2011 году. «Дело не в том, а когда… Что, если низкооплачиваемый коррумпированный полицейский вздумает продать копию одного из эксплойтов членам организованной преступности или террористам? Что если Anonymous взломает сеть одной из правительственных спецслужб и похитит один из таких эксплойтов?».12

В 2013 году были предприняты первые шаги в попытках отрегулировать рынок нулевых дней и прочего кибероружия. Вассенаарские договоренности – организация по контролю над вооружениями, состоящая из 41 страны, включая Соединенные Штаты, Великобританию, Россию и Германию, – объявили, что это будет первый договор, классифицирующий программные и аппаратные продукты, которые можно использовать для наблюдения, взлома и «может наносить ущерб международной и регионарной безопасности и стабильности» как продукты двойного назначения. Обозначение двойного назначения используется для ограничения материалов и технологий (таких, как стальные заготовки, используемые в центрифугах), которые могут использоваться как в мирных, так и в военных целях. И хотя декларации организации не имеют обязательной юридической силы, ожидается, что государства-члены будут выполнять требования к экспортным лицензиям в своих странах и сотрудничать друг с другом в контроле над продажами продуктов двойного назначения.13 В Германии, являющейся членом Вассенаарских соглашений, уже существует закон, который эффективно запрещает продаж эксплойтов, а также практикует их бесплатную раздачу, что регулярно делают исследователи из области кибербезопасности для тестирования систем и повышения безопасности. Законодатели в Соединенных Штатах при Комитете по вооруженным силам Сената в 2013 году приняли закон, который призывает президента разработать политику «контроля над распространением кибероружия посредством одностороннего и совместного экспортного контроля, правоохранительной деятельности, финансовых средств, дипломатического взаимодействия и других действий, который президент посчитает целесообразным». Но неясно, как именно будут работать такие средства контроля, поскольку нулевые дни и другое цифровое оружие отследить будет куда труднее, чем, допустим, классическое огнестрельное оружие, и такие средства контроля, требующие экспортных лицензий для продажи эксплойтов за границу и проверки покупателей, могут увеличить расходы обычных честных продавцов.

Кром того, такие виды контроля предназначены для того, чтобы не допустить попадание эксплойтов в руки преступников и мошенников, таких как террористы. Но вовсе не предусматривает ограничение использования эксплойтов правительством и его службами. Быстрый скачок серого рынка нулевых дней дает понять, что правоохранительные и шпионские агентства стремятся заполучить в свои арсеналы эксплойты, подобные тем, которые использовал Stuxnet, и готовы щедро заплатить за эту привилегию. И этот бешеный спрос, скорее всего, будет только расти, а вместе с ним будет расти и количество финансируемых государством программ, которые захотят их использовать.

Сноски, ссылки и используемая литература:

1.    Смотрите Энди Гринберг, “Shopping for Zero-Days: A Price List for Hackers’ Secret Software Exploits”, Forbes, 23 марта, 2012. В последние годы уязвимости нулевого дня становится найти все труднее и труднее, поскольку создатели некоторых наиболее популярных программ добавили больше степеней защиты. Например, Google и другие компании встроили в свои браузеры так называемые песочницы, которые устанавливают защитный барьер для попадания туда вредоносного кода и предотвращения его передачи из браузера в операционную систему или другие приложения на компьютере. Таким образом, эксплойты, которые позволяют хакеру покинуть песочницу стали ценится больше.

2.    Чарли Миллер, “The Legitimate Vulnerability Market: Inside the Secretive World of 0-Day Exploit Sales”, Independent Security Evaluators, 6 мая, 2007, доступно по адресу: http://www.weis2007.econinfosec.org/papers/29.pdf.

3.    Интервью автора с Чарли Миллером, сентябрь, 2011 год.

4.    Смотрите предыдущую сноску.

5.    Гринберг, “Shopping for Zero-Days: A Price List for Hackers’ Secret Software Exploits”.

6.    Тоня Лаймэн, “Rouland’s Tech Security Firm Growing Fast”, Atlanta Business Chronicle, 11 июня, 2011.

7.    Эта и остальное цитаты из Бекрара в этой главе взяты из интервью автора в марте 2012 года, если не указано иное.

8.    Из пресс-релиза под названием “VUPEN Gets Entrepreneurial Company of the Year Award in the Vulnerability Research Marke”, 1 июня 2006 г., доступно по адресу: http://www.vupen.com/press/VUPEN_Company_of_the_year_2011.php.

9.    Брошюра доступна по адресу: https://www.wikileaks.org/spyfiles/files/0/279_VUPEN-THREAD-EXPLOITS.pdf.

10. VUPEN уже выиграли 60 тысяч долларов от HP TippingPoint за участие в конкурсе, но Google предложили дополнительные 60 тысяч за дополнительную информацию об уязвимости и способ ее устранения. Конкурс Pwn2Own, как правило, требует от участников передачи эксплойта и информации об уязвимости, которую он использует, чтобы ее можно было исправить, но не для эксплойтов, которые обходят изолированную программную среду безопасности браузера, что, как сказали VUPEN, делал их эксплойт. Один из сотрудников Google обвинил VUPEN в хвастовстве. «Мы пытаемся получить информацию, чтобы мы могли исправить ошибки… Без этой информации речь идет не о защите пользователей, а о хвастовстве. Это хороший способ удовлетворить собственное эго, но это не делает интернет более безопасным», – сказал мне сотрудник Google в личном разговоре.

11. Раян Нарейн, “0-Day Exploit Middlemen Are Cowboys, Ticking Bomb”, ZDNet.com, 16 февраля, 2012, доступно по адресу: http://www.zdnet.com/blog/security/0-day-exploit-middlemen-are-cowboys-ticking-bomb/10294.

12. Смотрите предыдущую сноску.

13. “The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies”, публичное заявление в 2013 году, доступно по адресу: https://www.wassenaar.org/publicdocuments/2013/WA%20Plenary%20Public%20Statement%202013.pdf.

Глава 8. Полезная нагрузка.

Нико Фальер сгорбленно стоял над своим столом на восьмом этаже сорокаэтажного Tour Egee, треугольного здания из стекла и бетона в деловом районе Парижа – De la Defense. Снаружи, за его окном возвышался мрачный лес офисных башен, который полностью заслонял вид голубям и туристам, идущим к ступеням La Grande Arche. Но Фальер был сосредоточен не на виде из окна, все его мысли витали вокруг одного – прямо сейчас начать работу над сложной полезной нагрузкой Stuxnet.

Это было начало августа 2010 года, спустя пару недель после того, как команда Symantec начала свою исследовательскую работу над Stuxnet, Чиен и О`Мурчу еще не успели найти беспрецедентное количество нулевых дней, скрывавшихся в черве. В течении этих первых двух недель Фальер работал с О`Мурчу, они анализировали большую библиотеку вредоносного ПО, но он знал, что все это детские игрушки по сравнению с тем, что он может найти в полезной нагрузке Stuxnet, в ней скрывались действительно великие секреты, и Фальер очень хотел завладеть ими.

Он только вернулся с обеда, и сразу же приступил к исследованию файлов полезной нагрузки, разделяя каждый из них на категории и пытаясь понять их формат и структуру. Один из .DLL файлов имел больно знакомое имя. Эксперты из Symantec к этому моменту уже получили копии программного обеспечения Siemens Step 7, поэтому Фальер стал просматривать программные файлы Step 7, установленные на его тестовой машине. Поиски не заняли много времени – файл .DLL в Siemens Step 7 имел ровно такое же имя, как и файл в Stuxnet. «Хмм», – подумал он, – «интересно».

Фалеьр быстро определил, что каждый раз, когда Stuxnet оказывался на компьютере с установленным программным обеспечением Siemens Step 7 или WinCC, он распаковывал .DLL файл с соответствующим именем и расшифровывал его.

Он использовал ключ, встроенный в вирус, для расшифровки .DLL. Фальер обнаружил, что он содержит все те же функции, что и подлинный .DLL файл из Step 7. Но также файл содержал некоторый подозрительный код, который включал в себя команды «read» и «write». За свою карьеру Фальер повидал достаточно вредоносов, чтобы точно понять, на что он смотрел – .DLL файл, который распаковывал Stuxnet действовал как руткит, тихо скрываясь в системе, ожидая взлома или перехвата этих функций каждый раз, когда система пыталась прочитать или записать блоки кода в целевые ПЛК. Как и в рутките ракетной части Stuxnet, этот перехватывал функцию чтения, чтобы скрыть то, что Stuxnet делал с ПЛК. В его опыте это первый руткит, когда-либо созданный для системы промышленного контроля. И он был далеко не один.

Фальер не мог точно сказать, то ли хакеры использовали свой .DLL, перехватывающий функцию чтения, для того, чтобы просто пассивно контролировать ПЛК, то ли для сбора информации об их операциях, то ли для вещей для вещей еще более зловещих. Но тот факт, что вирус также перехватывает функцию записи, предполагает, что она, вероятно, является ключевой и может остановить работу ПЛК или каким-нибудь образом изменить их работу. Он взглянул на часы, в Калифорнии было 5 утра – слишком рано, чтобы звонить Чиену, поэтому он решил продолжить исследование кода самостоятельно.

Он просидел над кодом еще несколько часов, и когда у него собрались все кусочки головоломки он понял – это было то, чего он и ожидал. Stuxnet действительно перехватывал команды, передаваемые от .DLL файла Siemens, и заменял их командами из своего собственного .DLL файла. Фальер не мог сказать точно, что именно Stuxnet указывал делать ПЛК – он не мог найти соответствующие блоки кода, которые Stuxnet внедрял в ПЛК – но он был уверен в том, что это вещи, которые не приведут к добру. К тому времени в Калифорнии было уже 9 часов утра, поэтому он взял трубку и позвонил Чиену.

Обычно они разговаривали раз в неделю, чтобы быстро обменяться информацией о том, над чем работал Фальер, звонки были чисто по делу, без лишних деталей и продолжались не более нескольких минут. Но в этот раз Фальер начал в подробностях рассказывать обо всем, что ему удалось найти. Чиен внимательно слушал, пораженный услышанным. Атака набирала все более и более большие масштабы. За каждым новым поворотом в продвижении дела их ожидал новый сюрприз.

Чиен согласился, чтобы Фальер сбросил ему все, что как-то поможет найти недостающие блоки кода, которые Stuxnet внедрял в ПЛК. Они также решили, что Фальеру стоит сделать краткое сообщение в своем блоге о рутките на ПЛК. Остальную информацию они пока оставят в тайне, до тех пор, пока Фальер не сможет определить природу того, что Stuxnet инжектит в ПЛК.

Той ночью, возвращавшись домой в метро, Фальер был заряжен энергией. В течении четырех последних лет он то и делал, что исследовал различные вирусы и черви, и видел столько вредоносов, что его уже сложно было чем-то заинтересовать. Но этот вирус был не как все. Атака на ПЛК была беспрецедентной и могла привести к раскрытию совершенно нового типа кибератак.

Несмотря на волнение, он осознавал, что дорога впереди будет длинной и тернистой. .DLL файл, который заменял Stuxnet, был достаточно большим, а структура программного обеспечения Siemens Step 7 в большинстве своем не задокументированной. Фальер и Чиен находились в полном неведении относительно того, как работает система, и относительно технических проблем, связанных с расшифровкой полезной нагрузки. Более того, не было никакой гарантии, что они смогут взломать код. Существовало слишком много вещей, о которых Фальер на данный момент не знал абсолютно ничего. Но одно он знал точно, его ожидает долгая и утомительная поездка.

Фальер был 28 летним мужчиной, с мрачным взглядом того, кто, казалось, больше чувствовал себя как дома в подземном парижском ночном клубе с джазовой транс музыкой, нежели в вагоне метро, медленно перебирая стопки печатного компьютерного кода. На самом деле он был довольно сдержанным и скромным, а копошение в коде для него было куда более привлекательным занятием, нежели танцы в гудящем клубе.

Фальер был опытным реверс-инженером, специализировавшимся на глубоком анализе вредоносного кода. Реверс-инжениринг – это немного мрачное искусство, которое включает в себя перевод двоичного языка нолей и единиц, который может прочитать компьютер, в язык программирования, который могут читать люди. Это требует большой концентрации внимания и соответственных навыков, особенно с таким сложным кодом, как в Stuxnet. Но Фальер особо и не возражал. Чем сложнее код, тем больше он удовлетворял его, когда он наконец взламывал его.

В начале своего пути Фальер оттачивал свои навыки будучи подростком, во Франции, взламывая файлы «crackme» – головоломки для начинающих хакеров, которые программисты писали друг для друга, с целью проверить свои навыки обратного инжениринга. Кодеры писали небольшие программки, покрытые зашифрованной оболочкой, а задача реверс-инженеров состояла в том, чтобы взломать эту оболочку и пройти другие средства защиты, чтобы найти внутри скрытое сообщение, и затем отправить его автору, как доказательство того, что головоломка была пройдена. В каком-то смысле черви, и прочие вирусы были подобием crackme, просто первые были более изощренные, нежели последние. Теперь же разница заключалась в том, что Фальеру еще и платили за это настоящие деньги.

Фальер родился и вырос недалеко от Тулузы, на юге Франции, где находится аэрокосмическая корпорация Airbus и местный центр спутниковых технологий. В регионе, где преобладают авиационные и остальные инженеры, казалось, что Фальеру было предписано работать в сфере технологий. Но все-таки первые его порывы больше стремились к механике. Его отец был автомехаником, который владел и управлял собственной автомастерской. Однако знакомство Фальера с компьютерами в старшей школе привели его к совсем иному жизненному пути – после школы, он пошел изучать информатику в Национальном университете прикладных наук во Франции. Успешное распространение червя Code Red, который заразил более чем 700 тысяч машин, в 2001 первом году, заинтересовало его, и парень начал изучать компьютерную безопасность. Еще будучи в колледже, молодой Фальер написал несколько статей на тему кибербезопасности для небольшого французского технического журнала, а также статью для SecurityFocus, веб-сайту на тему компьютерной безопасности, которым владел Symantec.1 В конце 2005 года, когда он писал дипломный проект по информатике, он сказал, что ему требуется шестимесячная стажировка, чтобы успешно закончить свой проект. Поэтому он обратился к своим контактам в SecurityFocus, где его и направили к Чиену. Ему очень повезло. Symantec все еще были в поисках новых людей, и Чиен отчаянно пытался найти опытных реверс-инженеров. Вместо шестимесячной стажировки, Чиен предложил Фальеру работу на полный рабочий день. «Сколько вы хотите заработать?», – спросил он у Фальера.

«Мне не нужны деньги», – просто ответил ему Фальер, – «Мне нужен лишь опыт».

«Вы с ума сошли?», – Чиен был ошеломлен, – «Я пришлю вам предложение по электронной почте. Просто примите его».

Несколько недель спустя Фальер переехал в Дублин. Он довольно быстро приспособился к новой жизни, но после двух лет постоянных перелетов домой в Францию, там у него осталась девушка, он попросил перевести его в Париж, где у Symantec имелся офис продаж и маркетинга. Там он оказался единственным техническим специалистом, поэтому часто находился в одиночестве, что помогало ему больше сосредоточиться на работе.

Его рабочий стол, который он делил с двумя коллегами, представлял собой организованный хаос, с техническими бумагами и книгами, разбросанными вокруг тестовой машины, которую он использовал для запуска вредоносных программ, и ноутбука, содержащего программное обеспечение отладчика, которое он использовал для анализа кода. Цилиндрический кубик Рубика был единственной личной вещью на его столе, который он постоянно вращал, будто четки, всякий раз, когда наталкивался на громоздкий кусок кода, который не поддавался взлому.

Хотя Фальер был гением в реверс-инжениринге, на самом деле пока в его жизни не появился Stuxnet, он не делал ничего особого сложного. Со временем, он стал фактически помощником Symatec, объединяя программы и инструменты таким образом, чтобы сделать шифрование более эффективным для других аналитиков. Понемногу работа начала принимать все больше и больше оборотов. Он начал с настройки аналитических инструментов для себя, те, которые находил неуклюжими в реализации и неэффективными – переделывал, затем начал делать то же самое и для коллег, а потом и создавать новые тулзы, после того, как на такую работу начали приходить запросы. В конце концов он начал тратить больше времени на работу с инструментами, чем на расшифровку кода. Работать с кодом ему приходилось только тогда, когда Чиен делал для него специальный запрос, что и случилось с Stuxnet.

Свой анализ полезной нагрузки Stuxnet Фальер начал с изучения программного обеспечения Siemens Step 7. Программное обеспечение Step 7, которое атаковал Stuxnet, было проприетарным приложением Siemens для программирования их линейки ПЛК S7. Он работает поверх Windows и позволяет программистам писать и компилировать команды или блоки кода для ПЛК. Система не была полной без программы Simatic WinCC, средства визуализации, используемого для мониторинга ПЛК и процессов, которые они контролировали. ПЛК, подключенные к станциям контроля через производственную сеть, постоянно находились в контакте с компьютерами операторов, регулярно отправляя отчеты о состоянии и обновления всяческих датчиков, чтобы те могли следить за оборудованием и выполняемыми операциями в режиме реального времени. .DLL файл Siemens занимал центральное место в программах Step 7 и WinCC выступая в качестве посредника для создания команд для ПЛК, и получения от них отчетов о состоянии. Вот здесь и вступал в силу .DLL файл от Stuxnet. Он делал все то же, что и оригинальный файл, и при этом добавлял немного своего.

Для того, чтобы понять, как работает двойник .DLL, Фальеру сначала предстояло узнать, как работает сама система Step 7 и оригинальный .DLL файл в ней. Он искал знающих людей в интернете, чтобы проконсультироваться, и даже подумывал написать в Siemens за помощью, но не знал кому позвонить. .DLL файл, используемый в Step 7 был одним из множества .DLL файлов, используемых в программном обеспечении Siemens, так что поиск двух-трех программистов, стоящих за этим кодом, людей, которые знали его достаточно хорошо, чтобы помочь, займет столько же времени, сколько и самостоятельное изучение информации. И в конце концов, насколько же приятней будет разобраться во всем самому.

 Чтобы отреверсить .DLL файлы – оригинал и двойник – Фальер открыл их в дизассемблере, инструменте, предназначенном для перевода двоичного кода на язык ассемблера. Дизассемблер позволял программистам добавлять примечания и комментарии к коду или переставлять разделы кода, чтобы его было легче читать. Фальер разбирал код по маленьким кусочкам, помечая каждый описанием функции, которую она выполняла.

Как это обычно делают исследователи при изучении сложных вредоносных программ, Фальер объединил статический анализ (просмотр кода на экране в дизассемблере/отладчике) с динамическим (наблюдение за выполнением кода в тестовой среде, использование отладчика для остановки и запуска отдельных команд), чтобы сопоставить определенные части кода с тем, что он мог увидеть на экране тестовой машины. Этот процесс даже при лучших обстоятельствах будет медленным, поскольку он требует постоянных прыжков вперед-назад между двумя машинами, но с Stuxnet все было еще труднее из-за его размера и сложности.

Потребовалось две недели для документирования каждого действия, которое предпринимал .DLL, прежде чем Фальер наконец подтвердил то, что он все время подозревал – Stuxnet перехватывал оригинальный .DLL файл Siemens и заменял его своим двойником, чтобы таким образом взломать систему. Фальер понял это, когда решил изменить имя оригинального .DLL файла с s7otbxdx.dll на s7otbxsx.dll и установив вредоносный .DLL с неизмененным именем оригинала. Затем, когда система вызвала .DLL? вместо родного файла, который специально переименовал Фальер, откликнулся .DLL файл, который внедрил Stuxnet.

Теперь все начало ставать понятным.

Всякий раз, когда инженер пытался отправить команды на ПЛК, Stuxnet следил за тем, чтобы, вместо него выполнялся собственный вредоносный код. Но он не просто переписывал команду. Stuxnet увеличивал размер блока кода и помещал свой вредоносный код в фронт-энд. Затем, чтобы убедиться в том, что выполняются именно его команды, а не оригинальные, Stuxnet захватывал блок кода на ПЛК, который отвечает за чтение и выполнение команд. Для беспрепятственного внедрения кода таким образом требовался высокий уровень знаний и навыков, ибо ПЛК легко сделать «кирпичом» (то есть, заставить его глючить, или и вовсе превратить его в нефункциональный набор пластмассы), но хакеры прекрасно справились со своей задачей.

Вторая часть атаки была еще более гениальной. До того, как запустить вредоносные команды, Stuxnet терпеливо бездействовал на ПЛК около двух недель, иногда дольше, записывая исполняемые им операции, когда контроллер отправлял отчеты о состоянии на станции мониторинга. Затем, когда Stuxnet активировался, он вновь воспроизводил записанные им отчеты операторам, чтобы скрыть какие-либо ошибки на машинах – как в голливудском фильме о краже, воры вставляют зацикленное видео в каналы камер видеонаблюдения. Когда Stuxnet начинал саботировать ПЛК, он также отключал автоматические цифровые сигналы тревоги, чтобы предотвратить срабатывание систем безопасности и остановку любого процесса, который контролировал ПЛК, если он вдруг обнаружит, что оборудование входит в опасную зону. Stuxnet делал это, изменив блоки кода, известные как OB35, которые были частью системы безопасности ПЛК. Они использовались для контроля критических операций, таких как скорость турбины, которую контролировал ПЛК. Блоки генерировались каждые 100 миллисекунд, чтобы системы безопасности могли быстро среагировать, если турбина вдруг вышла из-под контроля, либо что-то еще пошло не так, что позволяло системе или оператору произвести экстренную остановку оборудования. Но с Stuxnet, изменяющим данные, на которые опиралась система безопасности, система была слепа к опасным условиям и никогда не могла быть активирована.2

На этом атака не останавливалась. Если инженеры замечали, что с турбиной или другим оборудованием, управляемым ПЛК, что-то шло не так, и пытались просмотреть блоки команд на ПЛК, чтобы определить возможные ошибки при программировании, вмешивался Stuxnet и не давал возможности программистам увидеть вредоносный код. Это было реализовано путем перехвата любых запросов на чтение блоков кода ПЛК, и предоставления вместо них «продезинфицированных» версий кода, в которых были удалены любые следы вмешательства вируса. Если инженер по устранению ошибок пытался перепрограммировать устройство, перезаписав старые блоки кода ПЛК новыми, тут же опять активировался Stuxnet, вновь заражая новый код своими командами. Программист мог переписывать блоки кода сотни раз, и Stuxnet каждый раз заменит чистый код своим модифицированным.

Фальер был ошеломлен сложностью и комплексностью атаки. Внезапно стало понятно, что Stuxnet не пытается выкачивать данные из ПЛК, чтобы шпионить за его действиями, как все изначально полагали. Тот факт, что вирус вводил свои команды в ПЛК и пытался скрыть это, и в то же время отключал аварийные сигналы, был явным свидетельством того, что он разработан не для шпионажа, а для саботажа.

Но это не была простая атака типа «отказ в обслуживании». Злоумышленники не пытались саботировать ПЛК, просто выключив его – ПЛК оставались полностью функциональными на протяжении всей атаки – они пытались физически уничтожить процесс или устройство, которое контролировали ПЛК. Это был первый раз в карьере Фальера, когда цифровой код использовался не для кражи или изменения данных, а для физического уничтожения каких-либо устройств.

Все это напоминало сюжет голливудского блокбастера. Блокбастера с Брюсом Уиллисом, если говорить точнее. Три года назад Live Free or Die Hard представляли себе подобный сценарий, хотя и с типичными для Голливуда склонностями к экшену и взрывам на каждом углу. В том фильме группа кибертеррористов во главе с мстительным бывшим государственным служащим запускает множество скоординированных кибератак, чтобы нанести вред фондовому рынку, транспортным и электросетям, чтобы отвлечь этим внимание власти от их реальной цели – выкачки миллионов долларов из государственной казны. Хаос, экшен и куча денег – то, что и нужно было Die Hard.

 Но подобные сценарии издавна отвергались профессионалами из области компьютерной безопасности, которые воспринимали такие картины за бред, плод больной фантазии. Хакер может вырубить одну или две критические системы, но взрывать что-то? Это кажется невероятным. Большинство взрывов в Die Hard были в большей степени физическими, нежели кибернетическими. И все же Stuxnet имеет доказательства того, что такой сценарий вполне может быть реальным. В сравнении с тем, что Фальер уже видел, или ожидал увидеть, Stuxnet находился за границами всего мысленного и не мысленного.

Несмотря на свои масштабы и успех, Symantec была, в конце концов, всего лишь очередной занудной компанией, занимающейся защитой своих клиентов. В течении пятнадцати лет их противниками были хакеры и прочие киберпреступники, которые взламывали, в основном, ради забавы, или, как в последнее время, государственные шпионы, охотящиеся на корпоративные и государственные секреты. Все они в разной степени были грозными и достойными противниками, но никто из них даже намека не подавал на физическое разрушение. За прошедшие годы вредоносное ПО прошло постепенную эволюцию. В ранние годы мотивация авторов вредоносов не менялась от хакера к хакеру, и была практически неизменной. Некоторые программы были более разрушительны, некоторые менее, но основная цель вирусописателей 1990-х годов заключалась в достижении славы и признания, а типичная полезная нагрузка вирусов включала в себя шутки над друзьями-хакерами послабее.  Ситуация изменилась, когда рынок захватила электронная коммерция, и хакерство превратилось в преступный бизнес. Теперь цель состояла не в том, чтобы привлечь к себе внимание, а в том, чтобы взломать и оставаться в системе как можно дольше, чтобы красть номера кредитных карт и учетные данные банковских счетов. Совсем недавно хакерство превратилось в игру шпионов с высокими ставками, в которой государственные шпионы проникают глубоко в сеть, оставаясь в ней месяцами или даже годами, молча крадя национальные секреты и другие конфиденциальные данные.

Но Stuxnet вышел далеко за пределы всего этого. Это была не эволюция вредоносного ПО, а революция. Все, что Фальер и его коллеги видели раньше, даже самые серьезные угрозы, нацеленные на процессинг кредитных карт и кражу секретов Министерства обороны, казались незначительными в сравнении с этим вирусом. Stuxnet втянул их в совершенно новую борьбу, где ставки были намного больше, чем когда-либо прежде.

Долгое время в сети гуляла история, согласно которой нечто подобное должно было случиться ранее, но она так и не нашла подтверждения. Согласно этой истории, в 1982 году ЦРУ разработало план установки логической бомбы в программное обеспечение, контролирующее российский газопровод, с целью уничтожения некоторых важных узлов. Когда код вступил в силу, это вызвало бы неисправность клапанов на трубопроводе. Результатом должен был стать огненный взрыв, настолько сильный и большой, что его можно было бы увидеть человеческим глазом с орбитальных спутников.3

Вернувшись в Калвер-Сити, Чиен подумал, а не было ли последнее время в Иране необъяснимых взрывов, которые можно было бы списать на счет Stuxnet.  Он был поражен, обнаружив в новостях, что такие взрывы и вправду были, причем всего пару недель назад.4 В конце июля газопровод, несущий природный газ из Ирана в Турцию, взорвался недалеко от турецкого города Догубаязит, в нескольких милях от иранской границы. Взрыв, который поразбивал окна близлежащих зданий, вызвал яростное пламя, тушение которого заняло несколько часов.5

Другой взрыв произошел за пределами иранского города Тебриз, где взорвался трубопровод протяженностью 1600 миль, доставляющий газ из Ирана в Анкару. Третий взрыв произошел на иранском государственном нефтехимическом заводе на острове Харк в Персидском заливе, в результате которого погибло четыре человека.6 Через несколько недель на нефтехимическом заводе в Пардисе произошел четвертый газовый взрыв, погибло пять человек, три получили ранения.7 Это произошло всего спустя неделю после того, как завод посетил президент Ирана Махмуд Ахмадинежад.

Но не все взрывы остались необъяснимыми. Курдские повстанцы взяли на себя ответственность за взрывы в Догубаязите и Тебризе, а иранское информационное агентство, ИРНА, связало взрыв на острове Харк с повышением давления в центральном котле.8 Взрыв в Пардисе был вызван утечкой этана, который воспламенился после того, как рабочие начали сварку трубопровода. Но что, если один или несколько взрывов были вызваны Stuxnet? Чиен задумался.

Все эти взрывы превышали все возможные ожидания Чиена и его команды, когда они только начали исследование Stuxnet несколькими неделями ранее. Если Stuxnet и вправду делал то, о чем думали Чиен и его коллеги, то это был первый задокументированный случай кибервойны.

Чиен, О`Мурчу и Фальер собрались в общем звонке, чтобы обсудить варианты их дальнейших действий. Они до сих пор не знали, что именно Stuxnet делал с ПЛК, и даже не знали, какова его цель, но они точно знали, что должны раскрыть то, что нашли в его полезной нагрузке. Итак, 17 августа 2010 года они публично выступили с новостью о том, что Stuxnet оказался не инструментом шпионажа, как все считали, а цифровым оружием, предназначенным для уничтожения его целей. «Ранее мы сообщали, что Stuxnet мог красть данные… а также прятать себя с помощью классического руткита Windows», – писал Фальер в своей типичной преуменьшенной манере, – «но к сожалению, он может делать гораздо больше».9

Чтобы проиллюстрировать разрушительные возможности Stuxnet, коллеги ссылались на атаку 1982 года на Сибирский трубопровод. Их речь была тщательно отфильтрована PR-командой компании, но нельзя было отрицать шокирующий характер того, что они подразумевали. Как только они опубликовали свой пост, они стали с нетерпением ожидать реакции общества. Но вместо ожидаемой драматической реакции, все, что они получили взамен, это, по словам Чиена, «молчание сверчков».

Чиен даже не знал, как реагировать на молчание в ответ на такие новости. В конце концов, они говорили о компьютерном коде, который может взрывать оборудование и, возможно, даже целые здания. Они предполагали, по крайней мере, что, как только они опубликуют свои результаты, другие исследователи также опубликуют свои собственные наработки. Именно так работал анализ вредоносных программ: всякий раз, когда обнаруживался код новой атаки, команды конкурирующих исследовательских фирм одновременно начинали работу над расшифровкой кода, каждая из которых стремилась первой опубликовать свои результаты. Как только первая команда публиковала свои результаты, другие пытались в кратчайшие сроки также выложить свои находки. Если несколько групп пришли к одним и тем же результатам, дублирующая работа служила для неформального процесса рецензирования для проверки всех их выводов. Но молчание, которое последовало за их постом о Stuxnet было абсолютно несвойственным обществу и полностью сбило исследователей с толку – Чиен начал задаваться вопросом, были ли они единственной командой, исследующей полезную нагрузку? Кому-то еще пришло в голову сделать то же самое?

На короткий момент он даже усомнился в их решении посвятить сколько времени коду Stuxnet. Видел ли кто-то другой что-то такое незначительное, что-то, что Чиен и его команда могли просто упустить из виду? Но затем он пересмотрел все, что они обнаружили за последние несколько недель. И он пришел к выводу, что ошибиться было просто невозможно – ни в важности Stuxnet, ни в его агрессивных намерениях.

Что касается продолжения их исследований, больше не было сомнений в том, что бросать дело нельзя, они четко понимали им нужно доделать все до конца. Во всяком случае, работа над кодом Stuxnet казалась намного более насущной, чем над любым другим вирусом. Только что они заявили на весь мир, что Stuxnet – цифровое оружие, предназначенное для физического уничтожения. Но они все еще не определили цели вредоносного ПО. Сделав публичное заявление о разрушительной цели вируса, они начали опасаться того, что хакеры могут внезапно, почувствовав давление, ускорить течение своей миссии и сразу уничтожить цели. Это при условии, что они до сих пор не сделали этого.

И видимо они были не единственными, кто беспокоился о возможности взрыва. Спустя пять дней после того, как было опубликовало их объявление, постоянный поток трафика, поступающий в их «воронку» от зараженных Stuxnet машин в Иране, внезапно приобрел «темные оттенки». Сложилось такое чувство, что кто-то в Исламской Республике принял к сведению новости исследователей. Чтобы не дать злоумышленникам или кому бы то ни было другому получить удаленный доступ к зараженным машинам и нанести им какой-либо ущерб, кто-то в Иране, наконец-то, додумался приказать разорвать все исходящие соединения с компьютеров страны с двумя командно-контрольными доменами Stuxnet.

Сноски, ссылки и используемая литература:

1.    Symantec приобрела SecurityFocus в 2002 году.

2.    В Stuxnet было мало причуд или чего-то, что казалось излишним. Но в той части кода, которая отвечает за перехват блоков OB35, злоумышленники поместили «магический маркер» (значение, помещенное в код, обозначающее условие или запускаемое действие), который оказался чем-то вроде шутки – 0xDEADF007. Маркер был шестнадцатеричным представлением числа. Когда Stuxnet проверял условия в системе для начала своей работы, для того, чтобы определить, когда он должен начать отключать систему безопасности, был создан магический маркер. Хакеры могли написать абсолютно любое число – хоть 1234 – но выбрали то, которое в шестнадцатеричном формате записывается как DEADF007. Программисты в большинстве своем нередко использовали в коде причудливые значения для написания слов в шестнадцатеричном формате. К примеру, первые четыре байта файлов классов Java преобразовываются в 0xCAFEBABE в шестнадцатеричном формате. 0xDEADBEEF это другое шестнадцатеричное значение, которые среди хакеров интерпретируется как сбой программного обеспечения. Поэтому Чиену стало интересно, может ли 0xDEADF007 в Stuxnet обозначать «dead fool» – уничижительный способ указать, что система безопасности больше не работает – или «dead foot». Dead foot это выражение, используемое пилотами самолета для обозначения отказа двигателя. «Dead foot, dead engine» – выражение, которое помогает пилотам в стрессовой ситуации быстро понять, что, если педаль не работает, это значит, что не работает и двигатель – фактически, пилот не имеет контроля над двигателем. Точно так же DEADF007 в Stuxnet сигнализировал момент, после которого операторы в Иране теряли малейший контроль над своими ПЛК, когда Stuxnet саботировал их, не давая возможности системе безопасности инициировать собственное автоматическое отключение или произвести экстренное ручное отключение операторам. Это привело Чиена к мысли, мог ли один из авторов Stuxnet быть пилотом?

3.    Подробней об истории предполагаемого саботажа трубопровода смотрите главу 11.

4.    Кон Кофлин, “Who’s Blowing up Iran’s Gas Pipelines?”, The Telegraph, 18 августа, 2010, доступно по адресу: http://www.blogs.telegraph.co.uk/news/concoughlin/100050959/whos-blowing-up-irans-gas-pipelines.

5.    Агентство France-Presse, “Suspected Kurd Rebels Blow up Iran–Turkey Gas Pipeline”, 21 июля, 2010, доступно по адресу: https://www.institutkurde.org/en/info/latest/suspected-kurd-rebels-blow-up-iran-turkey-gas-pipeline-2372.html.

6.    “Petrochemical Factory Blast Kills 4 in Iran”, Associated Press, 25 июля, 2010, доступно по адресу: http://www.gainesville.com/article/20100725/news/100729673.

7.    “Explosion in Petrochemical Complex in Asalouyeh Kills 5”, Tabnak News Agency, 4 августа, 2010, доступно по адресу: https://www.tabnak.ir/en/news/180.

8.    Иван Ватсо и Есим Комерт, “Kurdish Rebel Group Claims Responsibility for Gas Pipeline Blast”, CNNWorld, 21 июля, 2010, доступно по адресу: http://www.articles.cnn.com/2010-07-21/world/turkey.pipeline.blast_1_pkk-kurdistan-workers-party-ethnic-kurdish-minority?_s=PM:WORLD.

9.    Николас Фальер, “Stuxnet Introduces the First Known Rootkit for Industrial Control Systems”, Symantec blog, 6 августа, 2010, доступно по адресу: http://www.symantec.com/connect/blogs/stuxnet-introduces-first-known-rootkit-industrial-control-systems. Обратите внимание, что дата в блоге – 6 августа, но это дата, когда публикация была впервые опубликована с новостями о рутките ПЛК. Они обновили его, когда добавили новость о том, что Stuxnet нацелен на физическое уничтожение.

Глава 9. Системы управления вне контроля.

В пятидесяти милях от Айдахо-Фолс, штат Айдахо, в большой пустынной прерии, принадлежащей Национальной лаборатории Министерства энергетики штата Айдахо, группа инженеров, ежась от холода, делала финальный осмотр генератора размером с небольшой автобус, который стоял на бетонной плите. Это было 4 марта 2007 года, и рабочие проводили последние проверки для революционного испытания.

Примерно в миле оттуда, в центре для посетителей лаборатории, группа чиновников из Вашингтона, округ Колумбия, а также руководители энергетической отрасли и NERC (North American Electric Reliability Corporation), Североамериканской корпорации по надежности электроснабжения, собрались в одной комнате, грея руки о чашки с горячим кофе, и дожидались начала прямой трансляции.

В 2010 году, когда эксперты из Symantec обнаружили, что Stuxnet был разработан для саботажа ПЛК Siemens, все полагали, что это был первый задокументированный случай, когда компьютерный код был направлен на физическое уничтожение оборудования. Но еще в 2007, за три года до этого, на этой равнине в Айдахо, жизнеспособность такой атаки продемонстрировало испытание генератора Аврора.

Было около пол двенадцатого утра того холодного мартовского дня, когда главный инженер вернулся в Айдахо-Фолс и дал сигнал для запуска вредоносного кода против цели. Когда дизельный двигатель мощностью 5 тысяч лошадиных сил взревел в колонках комнаты для наблюдений, зрители стали пристально всматриваться в экран в поисках первых признаков действия зловредного кода. Первое время с генератором не происходило ничего особенного. Но затем из колонок они услышали громкий удар, будто тяжелая цепь ударилась о металлический барабан, и генератор ненадолго вздрогнул, будто проснулся. Прошло несколько секунд, и они услышали еще один удар – на этот раз Аврора содрогнулась и раскачалась еще сильнее, как будто ее ударил дефибриллятор. Болты и куски резиновых уплотнителей начали отлетать от генератора в сторону камеры, заставляя наблюдающих содрогаться. Прошло еще пятнадцать секунд, прежде чем случился следующий мощный удар, который вновь заставил машину вздрогнуть. На этот раз, после окончания вибраций, генератор начал испускать клубы густого белого дыма. И вдруг БАМ! Машина вновь содрогалась, перед тем как окончательно вырубиться. После долгой паузы, когда казалось, что зверь, похоже, уже не оживет, из его камер повалил черный дым.

С момента начала испытания прошло всего три минуты, но этого хватило, чтобы превратить мощный генератор в горящий, безжизненный кусок металла. Когда все закончилось, в комнате не последовало аплодисментов, лишь напряженная тишина. Чтобы уничтожить генератор размером с автобус, требовалось исключительное усилие. Но все же в этом случае потребовалась двадцать одна строка кода.

 Испытание планировалось и прорабатывалось на протяжении нескольких недель, однако сила и мощность атаки все равно повергла своих инженеров в шок – «момент невероятной силы» – как сказал один из инициаторов испытания Майкл Ассанте.1 Одно дело симулировать атаку на маленький мотор, стоящий на столе, и совсем другое – наблюдать как машина весом 27 тонн подпрыгивает, как детская игрушка, и горящими осколками разлетается во все стороны.

Испытание предоставило точное доказательство того, что преступникам вовсе не обязателен физический доступ для уничтожения критически важного оборудования на электростанции, он мог достичь этого же результата удаленно, с помощью хорошо продуманного кода. Три года спустя после испытания Авроры, когда на машинах в Иране был обнаружен Stuxnet, никто из тех, кто участвовал в проекте Аврора не был удивлен тем, что цифровая атака может привести к физическому разрушению. Они были удивлены лишь тем, как много времени понадобилось атакующим для ее проведения.

Когда в августе 2010 года исследователи Symantec обнаружили, что Stuxnet был разработан для физического уничтожения оборудования посредством ПЛК, они были не единственными, кто понятия не имел, что такое вообще эти ПЛК. Мало кто в мире знал об существовании этих устройств – это несмотря на то, что ПЛК являются компонентами, которые регулируют некоторые из наиболее важных критических объектов и процессов в мире.

ПЛК используются с различными автоматизированными системами управления, который включают в себя известную систему SCADA (Supervisory Control and Data Acquosition), систему диспетчерского контроля и сбора данных, а также другие распределенные системы управления, которые обеспечивают бесперебойную работу генераторов, турбин и котлов на электростанциях и других промышленных объектах.2 Такие системы также управляют насосами, которые передают неочищенные сточные воды в очистные сооружения, предотвращают переполнение резервуаров, а также закрывают и открывают клапаны в газопроводах для предотвращения повышения давления, которое может привести к взрывам со смертельными последствиями, таким как взрыв в 2010 году газопровода в Сан-Бруно, штат Калифорния, в результате которого погибло восемь человек и разрушено тридцать восемь домов.

Существуют и менее очевидные, но не менее важные применения для систем управления. Они контролируют роботов на линиях сборки автомобилей, взвешивают и смешивают необходимую порцию ингредиентов на химических и фармацевтических заводах. Они используются производителями продуктов питания и напитков для установки и контроля температуры безопасного приготовления и пастеризации пищи для уничтожения смертельных бактерий. Они помогают поддерживать постоянную температуру в печах, где производятся стекло, стекловолокно и сталь, которые в будущем будут использоваться для построения небоскребов, автомобилей и самолетов. Они также управляют светофорами, открывают и закрывают двери камер в федеральных тюрьмах строгого режима, а также поднимают и опускают разводные мосты. Помогают направлять пригородные и товарные поезда и предотвращают их столкновения. В меньшем масштабе они управляют лифтами в высотных зданиях и кондиционированием воздуха в больницах, школах и офисах. Короче говоря, системы управления являются критически важными компонентами, которые обеспечивают нормальную работу отраслей и инфраструктур по всему миру. Поэтому они должны быть надежными и безопасными. И тем не менее, как показал Stuxnet, они не совсем такие.

И теперь, когда этот код появился в свободном доступе для изучения и копирования любым пользователем, Stuxnet может послужить образцом для разработки других, еще более совершенных, атак, направленных на уязвимые системы управления в Соединенных Штатах и других странах, например, для контролирования клапанов газопровода, или сброса неочищенных сточных вод в водные пути, или, возможно, даже для выведения из строя генераторов на электростанциях. Поскольку большинство исследований и разработок для выявления уязвимостей уже были выполнены создателями Stuxnet, они значительно снизили порог входа для других атакующих, как государственных, так и обычных хакеров. Так что теперь для проведения подобной атаки не требовалось особо большое количество ресурсов. От анархических хакерских групп, таких как Anonymous и LulzSec, до вымогателей, стремящихся силой удержать контроль над каким-то объектом, тем же ядерным заводом, например, для наемных хакеров, работающих на террористические группировки – дверь теперь была открыта для всех, причем для произведения атаки даже не обязательно покидать пределы своей спальни. И хотя Stuxnet – искусная атака, направленная на определенные машины, но оставляющая нетронутыми другие, не все атаки будут такими целенаправленными и хорошо продуманными, что значительно повышает вероятность безобразных атак, которые могут привести к массовым сбоям или повреждению оборудования – умышленно или нет.

Злоумышленникам также не понадобится создавать такого продуманного червя, как Stuxnet. Обычный заурядный вирус также может иметь такие пагубные последствия.3 В 2003 году, после того, как компьютеры, принадлежащие корпорации CSX во Флориде, попал вирус Sobig, системы железнодорожной сигнализации на Восточном побережье просто перестали работать. CSX управляет железнодорожными системами в двадцати трех штатах, и в результате их выхода из строя, поезда, идущие между Пенсильванией и Южной Каролиной, а также на кольцевой автодороге в округе Колумбия, пришлось остановить.4 Точно так же, в этом же году, червь Slammer вывел из-под контроля систему управления и сеть мониторинга процессов на атомной электростанции Дэвис-Бесс в Огайо примерно на пять часов.5

По шкале от одного до десяти, измеряющей готовность критической инфраструктуры США противостоять кибератакам, где 0 – это практическое отсутствие мер безопасности, а 10 – это безопасность соответствует всем последним стандартам, Кит Александр высказал сенатскому комитету в 2013 году, что уровень безопасности США – три, в частности из-за отсутствия безопасности в системах управления.6

«Мы уже более десяти лет работаем над наступательными кибер-возможностями в Министерстве обороны», – Джим Льюис из Центра стратегических исследований. «Но… Я думаю, что люди… просто не понимают, что вне их поля зрения существует этот новый тип уязвимости, который действительно подвергает риску многие вещи».7

По правде говоря, проблемы с системами управления не новы. Просто Stuxnet впервые продемонстрировал их публично. Некоторые эксперты систем безопасности знали об их существовании уже не первый год.

ПЛК впервые были разработаны еще в далеких 1960-х годах, когда компьютерные хакеры и вирусы еще были предметом научной фантастики.8 Они были разработаны для автомобильной промышленности, чтобы заменить релейные логические системы, которые контролировали сборочные линии на заводах. В проводных релейных системах единственный способ выполнить настройку линии – отправить электрика для физической настройки реле. ПЛК же позволяли легко обновлять системы всего несколькими сотнями строк кода, хотя техническим специалистам все еще требовалось лично обновлять системы, выезжая к устройствам на место для загрузки команд с кассеты с лентой.

По мере роста использования цифровых систем управления, операторы все более настырно просили свое руководство, чтобы те предоставили им возможность удаленного входа в систему через модем удаленного доступа. К тому времени опасность хакеров значительно выросла, но операторы по-прежнему не были обеспокоены безопасностью своих систем, потому что их системы работали в автономных сетях, использовали собственные протоколы для связи и имели проприетарное программное обеспечение которое не было совместимо с другими программами и системами. Вы не могли просто подключить любой компьютер к системе управления и взаимодействовать с ней. И даже если бы такой компьютер у вас появился, количество людей, которые понимали устройство систем управления и могли управлять ими было мизерным.

Все это начало меняться в конце 90-х годов. Конгресс принял новые законы об охране окружающей среды, обязывающие компании мониторить и контролировать выбросы на своих заводах, а Федеральная комиссия по регулированию энергетики начала требовать доступ к системам передачи электроэнергии для контроля ее использования и распределения. Внезапно комплаенс-офицеры и руководители корпораций потребовали доступ к системам, которые ранее были доступно только операторам заводов. Так начали появляться новые системы управления, работающие на коммерческих операционных системах, таких как Linux и Windows, что облегчало другим компьютерам в корпоративной сети подключаться и взаимодействовать с ними. Переход на Windows, однако, означал, что теперь системы управления будут уязвимы для тех же вирусов, которые поражают обычные персональные компьютеры. И по мере того, как количество систем, подключенных к интернету, росло, чтобы сделать их удаленно доступными для операторов, они также становились более уязвимыми для атак хакеров.

В марте 1997 года хакер-подросток под никнеймом Jester сделал небольшую демонстрацию того, что может произойти, когда он наберет команду в компьютерной системе Bell Atlantic через модем – он вывел из строя системы, управляющие телефонной и радиосвязью через телефонную вышку в аэропорту Вустера, а также телефонные службы для 600 домов в соседнем городе. Так же в течение шести часов оставалась неактивной связь для служб безопасности и пожарной охраны аэропорта, так же, как и системы контроля огнями на взлетно-посадочной полосе. В это время диспетчерам приходилось использовать сотовые телефоны и радиоприемники с батарейным питанием, чтобы направлять самолеты.9 К счастью за те 6 часов не произошло никаких аварий, но один из диспетчеров управления воздушным движением признался CNN: «Пуля буквально просвистела у нас над головой».10

В том же году специально созданная Марш-комиссия опубликовала отчет, в котором исследовалась уязвимость критически важных систем инфраструктуры к атакам – как физическим, так и цифровым. Комиссии было поручено сделать это после того, как в 1995 году некий Тимоти Маквей взорвал федеральное здание в Оклахома-Сити и вывел из строя ряд ключевых центров передачи данных и связи. Члены комиссии выразили свое беспокойство относительно растущей опасности, создаваемой подключением критически важных инфраструктур – нефти, газа и электричества – к интернету. «Способность причинять вред… растет с пугающей скоростью. И у нас нет практически никакой защиты», – писали члены комиссии. Из их слов также, что команды, посылаемые по сети управляющему компьютеру электростанции «могут быть столь же разрушительными, как и рюкзак, полный взрывчатки… Мы должны заботиться о наших критически важных инфраструктурах до того, как столкнемся с кризисом, а не после. Ожидание катастрофы оказалось бы таким же дорогим, как и безответственным».11

           Во втором отчете, выпущенном в том же году, Консультативным комитетом по национальной безопасности и телекоммуникациям Белого Дома, содержалось предупреждение о том, что энергосистема и питающие ее коммунальные службы были испещрены дырами в безопасности, которые делали их уязвимыми к атакам. «Хакер… может взломать систему и установить автоматический выключатель на более высокое значение, чем устройству, контролируемому этим выключателем, разрешено», – писали специалисты, еще за десять лет до проведения испытания с генератором Аврора. «Таким образом можно уничтожить любой элемент оборудования на подстанции из дома».12

Несмотря на эти ранние предупреждения, пока признаков того, что кто-то заинтересован в проведении подобных атак не было. Так было до 2000 года, пока бывший рабочий не вывел из строя насосы на водоочистной станции в Австралии. Это событие считается первым публично известным случаем преднамеренного взлома системы управления.

Графство Маручи на Саншайн-Кост в Квинсленде – это то самое место, которое на ряду с пышными тропическими лесами, изрезанными вершинами вулканов и лазурными прибрежными водами, граничащими с желтыми песчаными пляжами создано для того, чтобы его помещали на всяческие открытки и марки. Но в начале 2000 года, вся эта красота приняла ужасающий вид, когда в течение четырех месяцев хакер заставил вылиться в общественные водные пути более 750 тысяч галлонов неочищенных сточных вод.

Сначала это было совсем небольшое количество сточных вод из резервуара отеля Hyatt Regency в лагуну на поле для гольфа пятизвездочного курорта PGA. Но после того, как рабочие очистили его, резервуар переполнялся вновь и вновь. Наихудшие разливы произошли в Pacific Paradise, районе, расположенном вдоль реки Маручи. Здесь несколько тысяч галлонов сточных вод вылилось прямо в канал, ставя под угрозу детей, играющих во дворах, примыкающих к каналу, и в саму реку Маручи, где сточные воды убивали рыбу и других морских обитателей.

Проблемы начались в канун Нового 1999 года, после того как Водоканал Маручи установил новую цифровую систему водоснабжения. Система управления очистными сооружениями была поэтапно установлена фирмой Hunter WaterTech и как раз подходила к завершению, когда настройки насосных станций, ответственных за перемещение сточных вод на очистные сооружения, вдруг начали таинственным способом меняться. Насосы стали отключаться или продолжать работать вопреки командам операторов, а двусторонняя радиосвязь, используемая для передачи команд насосным станциям, была забита непонятным трафиком, что не позволяло оператором поддерживать связь со станциями. А сигналы, которые должны были прозвучать, когда что-либо идет не так, не сработали.13

Управление насосами осуществлялось двумя центральными компьютерами на базе фирменного программного обеспечения от Hunter WaterTech, которое связывалось с удаленным терминальным блоком на каждой насосной станции посредством двухсторонних радиосигналов. Сигналы передавались от компьютеров к RTU через ретрансляционные станции, которые работали на непубличных частотах. Команды мог посылать только человек, который находился непосредственно за центральным компьютером, или хотя бы в пределах досягаемости ретрансляционной станции, и использовать он должен был именно программное обеспечение от Hunter WaterTech и соответствующие протоколы связи. Hunter WaterTech изначально подозревали, что за всем этим стоит хакер, но у них не было необходимых инструментов для обнаружения вторжений или системы регистрации, чтобы увидеть нарушение. И даже после того, как они установили эти системы, нарушителя увидеть им так и не получилось.

Атаки продолжались неделями и достигли своего пика в марте, когда за одну ночь произошло более двух десятков инцидентов. В конце концов, специалисты все-таки пришли к выводу, что это должен быть хакер, как-то пробравшийся в систему, и посылающие вредоносные команды с помощью двухсторонней радиосвязи.14 Из небольшого круга подозреваемых они остановились на их бывшем работнике по имени Витек Боден, 49 летнем инженере, который работал в компании Hunter WaterTech до тех пор, пока его контракт не истек в декабре. Примерно в то же время и вышел из строя первый водяной насос. В последствии Боден начал искать постоянную работу в той же сфере, и в январе получил свой первый отказ, что как раз совпадало с началом основной массы проблем.

И действительно, когда одной апрельской ночью, после отключения систем сигнализации на четырех насосных станциях, полиция навестила Бодена, копы обнаружили в его машине ноутбук с установленным фирменным софтом Hunter WaterTech и двухсторонний радиоприемник, настроенным на непубличную частоту, которую использовали местные службы водоканала для связи с насосными станциями. Они также нашли RTU, которую Боден, по-видимому, использовал для отправки своих команд.15 Случай Бодена был первой обнаруженной атакой на критически важную инфраструктуру, но, вероятно, не первой случившейся вообще. Остальные, без сомнения, так и остались незамеченными.16 После инцидента в Маручи работники других коммунальных служб заявили следователям, что они никогда бы не стали возбуждать уголовное дело против Бодена. Общественность явно не должна была узнать об этом инциденте.17

Этот случай должен был стать тревожным звоночком для операторов систем управления по всему миру, но многие проигнорировали его, потому что, мол, злоумышленник был бывшим сотрудником, который обладал достаточным количеством знаний о системе в графстве и доступ к специализированному оборудованию, необходимому для атаки. Ни один посторонний человек не смог бы сделать то, что сделал Боден, утверждали они, полностью игнорируя ряд проблем безопасности в сетях систем управления графства Маручи, которые обычные хакеры могли использовать для достижения подобных атаках. Питер Кингсли, один из следователей по этому делу, на конференции, посвященной безопасности систем управления, предупредил ее участников, что, хотя взлом в графстве Маручи и был результатом внутреннего взлома, такая же атака со стороны посторонних людей была отнюдь не невозможной. «Некоторые коммунальные службы считают, что они защищены, потому что они сами не могут найти несанкционированный способ доступа к своим системам», – говорит Кингсли. «Но в этом и заключается работа хакера, пройти там, где это смотрится невозможным».18

Слова Кингсли казались странными в 2002 году, потому что никто не верил в то, да и признаков не было, что кому-то из обычных людей взбредет в голову взламывать системы критических инфраструктур. К тому же, отсутствие на то время каких-либо серьезных катастроф, связанных с безопасностью систем управления, вообще не вызывало беспокойства.

Примерно в это же время Джо Вайс стал проповедником безопасности систем управления.

Вайс – стройный и энергичный 64-летний мужчина, работающий в своем доме в Купертино, штат Калифорния, в самом сердце Силиконовой долины, человек видавший виды, который имел привычку всегда думать о наихудших сценариях и исходах. Он жил в пяти милях от знаменитого калифорнийского разлома Сан-Андреас и 70-летней плотины Стивенс Крик. Когда в 1989 году произошло землетрясение в Лома Приете, в городе рухнули столбы, уличные фонари и несколько дней не работали телефонные линии, а ударная волна в бассейне колледжа Динза выбросила игроков в поло из воды на тротуар, словно тюленей.

Вайс впервые узнал о проблемах безопасности систем управления в 1999 году. Инженер-ядерщик по образованию, он работал в Научно-исследовательском институте электроэнергетики, когда в 2000 произошла «проблема Y2K». Предупреждения об армагеддоне в прессе предсказывали антиутопический крах, когда компьютеры по всему миру пробьют полночь в канун Нового года. Это был результат ошибки программирования, которая не смогла предсказать тысячелетний переход к трем нулям 1 января 2000 года. Тогда Вайс задался вопросом: если такая мелочь, как изменение даты, может угрожать остановкой систем управления по всей планете, то каковы могут быть последствия более серьезных проблем? И что более важно, если бы проблема Y2K все-таки смогла бы вызвать огромные проблемы, что могли бы сделать преднамеренные атаки хакеров?

Десятки конференций по безопасности, проводимых ежегодно по всему миру, были посвящены общей компьютерной безопасности, но ни на одной из них не касалась тема систем управления. Поэтому Вайс начал посещать их, чтобы понять, какие принципы безопасности должно принять сообщество систем управлений. Но чем больше конференций он посещал, тем больше в нем поднималась тревога. Когда сетевые администраторы заговорили об использовании шифрования и аутентификации для предотвращения несанкционированного доступа пользователей к своим системам, Вайс понял, что системы управления не имеют даже такой защиты, которая имеется у обыкновенных компьютерных сетей. Когда Вайса спросили, какой фаервол используют операторы систем управления на всякого рода электростанциях, или как часто они просматривают логи на наличие несанкционированного входа, Вайсу пришлось ответить: «У нас нет фаервола. И логов мы тоже не ведем».19 И когда он начал спрашивать производителей систем управления о безопасности их продукции, в ответ он получил лишь пустые взгляды. Они отвечали ему: «Никто и никогда не спрашивал нас раньше о безопасности».

Затем два самолета ударили по башням-близнецам в сентябре 2001 года, и вскоре после этого власти обнаружили подозрительные запросы поиска на правительственных сайтах Калифорнии. Кто-то изучал информацию о цифровых системах, используемых для управления коммунальными службами и правительственными учреждениями в регионе Сан-Франциско. В этих запросах, которые, по-видимому, исходили из IP-адресов в Саудовской Аравии, Индонезии и Пакистана, четко прослеживался особый интерес к системам экстренной телефонной связи, электростанциям, водным станциям и газовым объектам.20 Некоторые поисковые запросы были сосредоточены на программировании средств управления пожарно-диспетчерскими системами и трубопроводами.

В следующем году американские войска в Кабуле захватили компьютер в офисе Аль-Каиды и обнаружили на нем модели плотины вместе с инженерным программным обеспечением, которое можно использовать для имитации ее разрушения. В том же году ЦРУ выпустило меморандум управления разведки, в котором говорилось, что Аль-Каида проявляет «гораздо больший интерес» к кибертерроризму, чем считалось ранее, и управление начало подумывать о наборе собственной команды хакеров.

Были признаки и того, что другие группировки также могут быть заинтересованы в критической инфраструктуре США.22 В 2001 году хакеры взломали серверы Калифорнийского независимого системного оператора, или Cal-ISO, некоммерческой организации, которая управляет системой передачи электроэнергии для ее транспортировки по большей части штата. Хакеры проникли в систему через два незащищенных сервера и оставались незамеченными на протяжении двух недель, пока рабочие не обнаружили проблемы с их машинами.23 Администрация Cal-ISO доказывала, что взлом не представлял угрозы для их сети, но неназванные источники сообщили Los Angeles Times, что злоумышленники были пойманы как раз в тот момент, когда они пытались получить доступ к «ключевым частям системы», что позволило бы им вызвать серьезные сбои в электроснабжении. Один человек назвал это «почти катастрофической брешью в безопасности». Атака, по-видимому, происходила из Китая, и прошла как раз в разгар напряженного политического противостояния между Китаем и Соединенными Штатами после того, как американский самолет-невидимка столкнулся с китайским истребителем над Южно-Китайским морем.

В ответ на растущую озабоченность по поводу критической инфраструктуры, и в частности безопасности национальных энергосистем Министерство энергетики запустило в 2003 году Национальную программу испытательных стендов SCADA в 2003 в Национальной лаборатории штата Айдахо. Цель состояла в том, чтобы начать сотрудничать с производителями систем управления для оценки их оборудования на предмет уязвимостей, это и была та самая инициатива, которая в конечном счете привела исследователей к испытанию генератора Аврора в 2007 году.24

В Соединенных Штатах насчитывается 2800 электростанций и 300 тысяч объектов по добыче нефти и природного газа.25 Еще 170 тысяч объектов образуют общественную систему водоснабжения Америки, которая включает в себя резервуары, плотины, очистные станции, насосные станции и трубопроводы.26 Но 85% этих и других важнейших инфраструктур находятся в руках частников, а это означает, что за исключением нескольких регулируемых государством отраслей – таких, как ядерная энергетика – правительство практически не имеет никаких рычагов, чтобы заставить компании обеспечить безопасность их систем. Однако, правительство могло, по крайней мере, хотя бы попытаться убедить производителей систем управления повысить безопасность своей продукции. В рамках программы испытаний правительство будет проводить проверки до тех пор, пока производители не устранять все обнаруженные уязвимости.27

Примерно в это же время DHS также запустила программу оценки объектов через свою промышленную систему управления Cyber Emergency Response Team(ICS-CERT) для оценки безопасности критического оборудования и сетей, уже установленных на объектах. В период с 2002 по 2009 год группа провела более 100 оценок объектов в различных отраслях промышленности – нефтяной, газовой, химической и водной – и обнаружила более 38 тысяч уязвимостей. Они включали в себя критические системы, доступные через интернет, пароли по умолчанию, которые операторы никогда не удосуживались изменить, устаревшее программное обеспечение и отсутствие стандартных средств защиты, таких как фаерволы и системы обнаружения вторжений.

Но несмотря на все усилия исследователей программы испытаний и оценки безопасности объектов, они боролись с результатом десятилетней отраслевой инерции – производителям систем управления потребовались месяцы и годы, чтобы исправить обнаруженные правительственными исследователями дыры. А владельцы критической инфраструктуры и того были готовы внести только косметические поправки в свои системы и сети, полностью игнорируя большинство проблем.

Вайс, который работал в качестве связующего звена с Национальной лабораторией Айдахо, чтобы помочь разработать свою программу испытаний, устал от этого, и созвал конференцию, чтобы попытаться лично донести до работников критической инфраструктуры информацию о проблемах безопасности в их системах. В 2004 году он прибегнул к тактике запугивания, продемонстрировав дистанционную атаку, и показав таким образом, насколько на самом деле дырявые системы безопасности. Роль хакера сыграл Джейсон Ларсен, исследователь из Национальной лаборатории Айдахо, с компьютера в Национальной лаборатории Сандиа в Нью-Мехико. Используя недавно обнаруженную уязвимость в серверном программном обеспечении, Ларсен обошел несколько слоев фаервола, чтобы взломать ПЛК, управляющие подстанцией, и в несколько этапов освободить свою полезную нагрузку. На первом этапе включались и выключались выключатели. На втором этапе одновременно включались все включатели. И третий этап делал все то же что и второй, и еще контролировал данные, выводящиеся на экран операторов, так, чтобы казалось, чтобы все выключатели выключены.

«Я называю эту демонстрацию «мокрые штанишки»», – говорит Вайс, – «Это был феноменальный успех».

Впоследствии Вайс применял такую тактику еще раз, и еще раз на протяжении нескольких лет, каждый раз привлекая различных экспертов по безопасности, чтобы те продемонстрировали многогранность кибератак. Единственная проблема заключалась в том, что они опережали свое время. Каждый раз, когда инженеры покидали его конференцию, воодушевленные идеями об улучшении безопасности своих сетей, они сталкивались с бетонной стеной своих руководителей, которые отказывались платить большие деньги за перепроектирование и обеспечение безопасности систем. По их мнению, зачем тратить деньги на повышение безопасности, если никто из конкурентов не делает этого, и на них никто не нападает.

Но того, что Вайс и испытательная программа не смогли сделать за десять лет, Stuxnet добился всего за несколько месяцев. Цифровое оружие впервые привлекло внимание общественности к серьезным уязвимостям в промышленных системах управления, и критическое оборудование, которое так долго оставалось далекой темой, теперь привлекло внимание исследователей и хакеров из всего мира, заставив производителей и владельцев критической инфраструктуры, наконец, обратить на нее внимание. 

Новость 10 августа 2010 года о том, что Stuxnet саботирует ПЛК Siemens, привлекла внимание 25-летнего исследователя компьютерной безопасности из Остина, штат Техас, по имени Диллон Бересфорд. Бересфорд, как и большинство людей, никогда не слышал о ПЛК, и ему стало интересно, насколько уязвимы эти штуки. Поэтому он приобрел себе парочку таких ПЛК от Siemens и месяцами изучал и тестировал их в спальне своей крохотной квартиры. Ему потребовалось всего несколько недель, чтобы обнаружить первые уязвимости, которые он мог бы использовать в атаке.

Так он обнаружил, например, что ни один из каналов связи между компьютером оператора и ПЛК не был зашифрован, поэтому любой хакер, взломавший сеть, мог просматривать и копировать команды, передаваемые на ПЛК, а затем производить их обратно на ПЛК, чтобы контролировать или останавливать его по своему желанию. Это было бы невозможно, если бы ПЛК не предоставляли доступ несанкционированным компьютерам отдавать им команды, но Бересфорд обнаружил, что ПЛК – машины тупенькие, и могли взаимодействовать с любым компьютером, который имел тот же протокол связи, что и у них. ПЛК также не требовали, чтобы команды, посылаемые им, были подписаны цифровой подписью, в доказательство того, что они исходят из надежного источника.

Несмотря на то, что между машиной с Step 7 и ПЛК передавался пакет аутентификации или своего рода пароль, Бересфорд смог расшифровать его менее чем за три часа. Он также обнаружил, что можно просто перехватить пакет аутентификации, когда тот передается от Step 7 к ПЛК, и воспроизвести его таким же образом, как он воспроизводил команды, устраняя необходимость декодировать пароль вообще. Как только он получал контроль над ПЛК, он мог произвести команду на изменение пароля, запретив этим доступ ее законным владельцам.28

Бересфорд нашел и другие уязвимости, в том числе бэкдор, оставленный программистами Siemens в их ПЛК. Прошивка – это основное программное обеспечение, которое находится на устройствах, и заставляющее их работать. Разработчики зачастую ставят в своих системах глобальные, зашифрованные пароли, чтобы иметь к системам удаленный доступ, и обеспечить устранение неполадок клиентов – как, например, функция OnStar для систем управления. Но бэкдоры, которые позволяют проникать разработчикам, также позволяют проникнуть и хакерам.29 Имя пользователя и пароль для бэкдора Siemens были одинаковы для каждой системы – «basisk» – и были зашифрованы в прошивке. Используя этот бэкдор, злоумышленник мог удалять файлы из ПЛК, перепрограммировать его или заставить его выполнять команды для саботажа любых операций, контролируемых ПЛК.30

Бересфорд сообщил о своих находках в ICS-CERT, которая работала с Siemens, для исправления уязвимостей. Но все, что он нашел оказалось уязвимостями. Некоторые из них, такие, как передача незашифрованных команд и отсутствие надежной аутентификации были фундаментальными проблемами проектирования, а не ошибками программирования, которые требовали от Siemens обновления встроенного программного обеспечения, а в некоторых случаях и полного их перепроектирования. И это была проблема не одних ПЛК Siemens, это были глобальные проблемы проектирования, которые имелись у многих систем управления. Все это было наследие их доинтернетных дней, когда устройства разрабатывались для изолированных сетей и не нуждались в защите от атак извне.

Результаты Бересфорда полностью опровергли давние утверждения разработчиков и владельцев критической инфраструктуры о том, что их системы безопасны, и что взломать ПЛК может только человек, который имеет хороший опыт и обширные знания о них. Потратив 20 тысяч долларов на подержанное оборудование, и два месяца работы в свободное время, Бересфорд обнаружил более десятка уязвимостей и узнал о ПЛК достаточно, чтобы произвести на них какую-то атаку.

После находок Бересфорда в дело решили включиться и остальные исследователи, которые обнаружили дополнительные уязвимости в Siemens и других системах управления. Согласно базе данных уязвимостей, которую вела компания Wurldtech Security, производитель систем защиты критической инфраструктуры, с 2008 года в системах управления и протоколах систем управления было обнаружено более тысячи уязвимостей. Большинство из них просто позволяют хакеру мешать операторам контролировать процессы, но немало и таких, которые предоставляют злоумышленнику полный доступ к системе.31

В 2011 году компания, нанятая южно-калифорнийской коммунальной службой для оценки безопасности контроллеров на их подстанциях, обнаружила большое количество уязвимостей, которые позволили бы хакерам полностью контролировать ее оборудование. «Мы впервые работали с таким оборудованием, но все равно нашли уязвимости уже в первый день нашей работы», – сказал Курт Стамберг, вице-президент Mocana, – «Это были большие, серьезные проблемы, о которых, откровенно говоря, в сообществе было известно уже как минимум полтора года, но коммунальные службы видимо не имеют об этом ни малейшего представления».32

Проблемы безопасности систем управления усугубляются еще более тем фактом, что системы не меняются годами, и, как правило, даже не получают регулярных обновлений, как это происходит в обычных домашних компьютерах. Срок службы обычного ПК составляет от трех до пяти лет, после чего компании выпускают новые, более совершенные во всех аспектах модели. А срок службы систем управления может достигать и двух десятилетий. И даже когда система заменяется на новую, она все равно будет взаимодействовать с другими, устаревшими системами, поэтому она все равно будет оставаться уязвимой.

Что касается патчей, некоторые системы управления работают на устаревших версиях Windows, которые больше не поддерживаются Microsoft, а это означает, что, если в программном обеспечении будут обнаружены какие-либо новые уязвимости, они никогда не будут исправлены разработчиком. Но даже когда патчи есть, применяются в системах управления они не часто, ибо операторы, опасаясь кривых патчей, которые могут привести к сбою системы, и процессов, которыми они управляют, боятся, что те могут вывести их из строя на несколько часов. Или им просто не хочется останавливать работу оборудования на эти несколько часов, пока будет устанавливаться патч, или выполнятся другая работа по обеспечению безопасности.33

Все эти проблемы еще больше усугубляются растущей тенденцией среди разработчиков поставлять свои системы безопасности вместе с системами управления. Раньше системы безопасности представляли собой проводные аналоговые системы, сконфигурированные отдельно от системы управления, так, чтобы любые проблемы с системой управления не повлияли на возможность систем безопасности отключать оборудование в экстренной ситуации. Но все больше и больше производителей начинают встраивать систему безопасности в систему управления, и поставлять их как один продукт, что значительно облегчает их одновременное отключение в одной атаке.34

Многие уязвимости в системах управления можно было бы легко устранить, если бы они работали в автономных сетях, то есть никогда бы не подключались к интернету, или подключались к другим системам, которые уже в свою очередь были подключены к интернету. Но это не всегда так.

В 2012 году исследователь из Великобритании обнаружил более 10 тысяч систем управления, которые были подключены к интернету – включая системы очистки воды и электростанции, плотины, мосты и железнодорожные станции – используя специализированную поисковую систему под названием Shodan, которая может находить такие устройства как VoIP телефоны, Smart-телевизоры и системы управления, подключенные к интернету.35

В 2011 году хакер по имени pr0f получил доступ к управлению водозабором в Южном Хьюстоне, после того, как обнаружил, что их система управления Siemens была подключена к интернету. И хотя система была защищена паролем, он состоял всего из трех символов, который взломщик легко обошел. «Мне жаль, но это не история о многонедельных посиделках у компьютера в попытках взломать систему», – признался pr0f репортеру, – «это история о простой глупости со стороны разработчиков, а не невероятном техническом мастерстве атакующего».36 Оказавшись в системе SCADA, pr0f сделал скриншоты, показывающие расположение резервуаров с водой и цифрового управления, после чего просто покинул ее. «Мне не нравится бессмысленный вандализм. Это тупо», – прокомментировал он в своем посте. «С другой стороны, то же самое относится и к подключению интерфейсов вашей SCADA системы к интернету».37

Большинство устройств SCADA, если они не подключены непосредственно к общедоступному интернету, доступны через модем и, как правило, всегда защищены паролями по умолчанию. Таким образом рубильники электросети, например, часто остаются с паролями по умолчанию, чтобы операторы, в случае экстренной ситуации, помнили пароль. По той же причине большинство систем управления не блокируются при многократных вводах неверного пароля – стандартная функция безопасности в IT-системах, которая предотвращает взлом брутфорсом – потому что никто не хочет, чтобы система блокировалась, когда оператор, в панике, несколько раз подряд вводил неверный пароль. В 2011 году испытательная группа во главе с исследователем безопасности Марком Майффре проникала в систему удаленного доступа водозабора Южной Калифорнии, и смогла взять под контроль оборудование, используемое для добавления химических вещей в питьевую воду. Они взяли систему всего за один день, после чего Майффре сказал, что ему потребовалось бы всего пару дополнительных шагов, чтобы сбросить достаточное количество химикатов в воду, сделав этим ее потенциально непригодной для питья.38

 Обеспечение удаленного доступа к критически важным системам из интернета создает очевидные риски для безопасности. Но если Stuxnet что-то и доказал, так это то, что злоумышленнику вовсе и не требуется удаленный доступ, чтобы произвести атаку, вместо этого автономный червь может быть доставлен в систему через USB-накопитель или через файлы проекта, которые инженеры используют для программирования ПЛК. В 2012 году Telvent Canada, производитель управляющего программного обеспечения, используемого в умных сетях электроснабжения, был взломан хакерами, связанными с китайской армией, которые получили доступ к системе SCADA, производимой компанией, и как следствие получили контроль над системами, установленными в нефте- и газопроводах Соединенных Штатов, а также к системе водоснабжения. Telvent использовали файлы проекта для управления системами клиентов. И хотя Telvent никогда не сообщала, модифицировали ли файлы проектов взломщики, эта атака наглядно продемонстрировала, насколько легко злоумышленники могут взломать системы нефте- и газопровода, заразив файлы проекта такой компании как Telvent.39

Однако, прямое вторжение в компьютерную сеть – не единственная проблема, когда речь заходит о критической инфраструктуре. Имеются документально подтвержденные случаи, когда работе SCADA-систем и устройств, которыми они управляют, препятствовали электромагнитные импульсы. В ноябре 1999 года радиолокационная система на корабле ВМС США, проводившего учения в двадцати пяти милях от побережья Сан-Диего, прервала сигнал беспроводных сетей систем SCADA в местных водопроводных и электрических сетях. Это мешало рабочим открывать и закрывать клапаны трубопровода, для чего на места отправлялись техники, чтобы вручную активировать клапаны и предотвратить переполнение резервуаров водой. Электромагнитные импульсные помехи также ответственны за взрыв газа, который произошел недалеко от голландского военно-морского порта Ден Хелдер в конце 80-х годов, когда морская радиолокационная система заставила систему SCADA, управляющую газопроводом, самовольно открывать и закрывать клапаны.

На протяжении многих лет многочисленные сценарии Судного дня пытались предугадать возможные последствия массовой кибератаки.41 Но до настоящего времени такой атаки не было, а непреднамеренные проблемы, связанные с системами управления, намного превосходили преднамеренные.

Достаточно взглянуть на случайные промышленные катастрофы, чтобы увидеть степень ущерба, который может нанести кибератака, поскольку часто последствия промышленной аварии могут быть воспроизведены и в преднамеренной атаке. Умный хакер может просто наблюдать и изучать причины и последствия случайных катастроф прям с экрана своего телевизора, а затем использовать их для разработки собственной атаки, которая приведет как минимум к таким же разрушительным результатам.

Кит Александр из АНБ привел свой пример катастрофической атаки, произошедшей на Саяно-Шушенской ГЭС на юге Сибири, в качестве того, какие последствия может иметь кибератака.42 Тридцатилетняя плотина, шестая по величине в мире, высотой в восемьсот футов и общей протяжностью около полумили через живописное ущелье на реке Енисей рухнула в 2009 году, убив 75 человек.

Сразу после полуночи 17 августа 940-тонная турбина из электростанции плотины была поражена внезапным скачком давления воды, который сорвал ее крепления и заставил подлететь в воздух. Когда гейзер воды затопил машинное отделение шахты, где находилась турбина, он нанес еще больший ущерб более чем полудюжине других турбин, вызвав множественные взрывы и обрушение крыши.

Катастрофа частично объяснялась пожаром на Братской электростанции, расположенной примерно в пятистах милях отсюда, что привело к падению выработки энергии из Братска. Это заставило поднять нагрузку на турбинах на Саяно-Шушенской ГЭС. Но одна из турбин уже на тот момент подходила к концу своего срока службы, и иногда начинала странно вибрировать. Несколькими месяцами ранее на станции была установлена новая система управления, чтобы как-то стабилизировать машину, но вибрации от дополнительной нагрузки оказались слишком сильными. Болты, удерживающие турбину, сорвало, и она оказалась полностью откреплена. На снимках камер наблюдения видно, как рабочие перебираются через оборудование, пытаясь сбежать со станции. Кроме гибели 75 рабочих и затопленной местности вокруг, из станции в реку Енисей вытекло 100 тонн нефти, убив этим 4 тысячи тонн форели на местных объектах рыбного промысла. Эксперты подсчитали, что восстановление дамбы займет четыре года и 1,3 миллиарда долларов.43

Взрыв трубопровода в июне 1999 года в Вашингтоне также послужил отличным уроком для хакеров. В этот раз трубопровод диаметром 16 дюймов, принадлежащий компании Olympic Pipe Line Company в Беллингеме, разорвался и выбросил более 237 тысяч галлонов бензина в ручей в парке Утком Фоллс. Бензин лился из трубы в течение полутора часа, а затем загорелся, словно греческий огонь, который растянулся на полторы мили вниз по течению, убив двух десятилетних мальчиков, подростка, еще 8 людей получили ожоги. Хотя в основном катастрофе способствовали многочисленные неполадки, в том числе неправильно настроенные клапаны и экскаватор, который ослабил часть трубы, безответная система управления также сыграла свою роль. «Если бы компьютерные системы SCADA продолжали реагировать на команды операторов из Olympic», – выяснили следователи, – «контроллер, работающий на аварийном трубопроводе, вероятно, мог бы предпринять действия, которые предотвратили бы повышение давления, вызвавшее разрыв трубопровода».44

Операторам потребовалось больше часа, чтобы зарегистрировать утечку, и к тому времени жители уже начали звонить в 911, жалуясь на сильный запах нефти в ручье. И хотя утечка бензина была вызвана не хакерами, при дальнейшем следствии, эксперты обнаружили, что системы Olympic обладали рядом проблем с безопасностью, и были уязвимы к атакам. Например, компания установила удаленный коммутируемый доступ для своей системы управления SCADA, которая была защищена только логином и паролем, а ее бизнес-сети и сети SCADA были взаимосвязаны. Хотя они были соединены мостом, который обеспечивал минимальную безопасность от случайных вторжений, соединение не имело надежного фаервола, а также защиты от вирусов и мониторинга доступа, что повышало вероятность того, что опытный хакер может проникнуть в бизнес-сеть из интернета, а затем войти и в критические сети SCADA.

 Взрыв газопровода в Сан-Бруно, штат Калифорния, в 2010 году был еще одним из наихудших сценариев, который послужил тревожным звоночком для многих людей. Взрыв произошел после того, как в результате технического обслуживания блока бесперебойного питания, или ИБП, в системе SCADA отключилось электричество. Регулирующий клапан на трубопроводе был запрограммирован на автоматическое открытие, в случае, если система SCADA была обесточена, в результате газ беспрепятственно начал заливаться в трубопровод, вызывая все большее давление в и без того стареющей конструкции, пока она не лопнула. И поскольку система SCADA была обесточена, операторы даже не понимали, что на самом деле происходит с трубопроводом.45

В декабре 2005 года в Миссури произошло обрушение дамбы. Катастрофа произошла в следствии отсоединения датчиков от стены, что в результате не дало им обнаружить, когда резервуар плотины объемом 1,5 миллиарда галлонов стал переполнен. Насосы продолжали подавать воду в резервуар, и в очередной раз «безотказная» система отключения не сработала.46 Переполнение началось около 5:10 утра, и спустя шесть минут 60-футовая секция парапета обрушилась. Более миллиарда галлонов хлынули безумным потоком вниз с горы Проффит, сметая на своем пути деревья и камни, после чего поток вошел в закрытый Государственный Парк Джонсона, смыл дом управляющего парком – с жильцами внутри – и отнес здание на четверть мили.47 К счастью никто не пострадал, но на соседнем шоссе течением смело несколько десятков машин, а палаточный лагерь, расположенный недалеко от парка, полностью затопило. По счастливой случайности, поскольку стояла зима, лагерь был пуст.

Примерами для цифровых атак также служат и железнодорожные аварии. Системы, которые управляют пассажирскими поездами, объединяют в себе множество, часто взаимосвязанных компонентов, которые обеспечивают хакерам множество путей для атаки: системы контроля доступа, для посадки пассажиров по билетах, системы обработки кредитных карт, цифровые рекламные системы, управление освещением и мультимедиа, не говоря уже о более важных системах реагирования на пожары и чрезвычайные ситуации, управление железнодорожными переездами и семафорами, а также работы самих поездов. В прошлом эти системы были разделены и взаимодействовали между собой только посредством проводов. Но сегодня системы стают все более цифровыми и взаимосвязанными, включая системы, которые взаимодействуют между собой посредством радиосигналов и незашифрованных команд. И хотя железнодорожные системы имеют множество отказоустойчивых механизмов для предотвращения аварий, когда многие системы взаимосвязаны, это создает возможность для настройки неправильных конфигураций, которые могут позволить кому-то получить доступ к системам безопасности и подорвать их.

22 июня 2009 года пассажирский поезд в метро Вашингтона столкнулся с другим поездом, остановившимся на путях, погиб один водитель и восемь пассажиров, еще 80 пассажиров пострадало. Неисправные датчики на путях не смогли обнаружить стоящий состав и сообщить об этом движущемуся поезду. Несмотря на то, что последний поезд был оснащен противоударными датчиками, которые должны были начать аварийную остановку состава в случае, если перед ним на расстоянии 1200 футов стоял другой поезд, эта система также отказала. В добавок ко всему этому, водитель движущегося поезда почему-то не среагировал, и не начал ручное торможение. Десять лет назад ретрансляторы в той же системе метро несколько раз посылали поездам неверные сигналы – один раз, поезд, который должен был ехать 15 миль в час, мчался по рельсам со скоростью 45 миль/час.48

Все эти инциденты были случайными, но были же и преднамеренные. В Польше в 2008 году четырнадцатилетний мальчик в Лодзе вызвал крушение нескольких поездов. Он использовал инфракрасный порт модифицированного телевизионного пульта дистанционного управления, чтобы переключить трамвайные пути. Четыре трамвая сошли с рельс, двенадцать человек получили ранения.49

Хотя способов атаковать критическую инфраструктуру существует великое множество, одним из наиболее эффективных можно считать атаки на энергосистему, поскольку электроэнергия лежит в основе всей критической инфраструктуры. Отключение электричества на длительный период затронет большой список критической служб и объектов – пригородные поезда и светофоры, банки и фондовые биржи, школы и военные объекты, холодильники, контролирующие температуру продуктов питания кровоснабжения, респираторы, кардиомониторы и другое жизненно важное оборудование в больницах, взлетно-посадочные полосы и системы управления воздушным движением в аэропортах. На некоторых критических объектах будут работать генераторы, но они не являются жизнеспособным решением, если речь идет о длительном отключении электропитания, а в случае с атомными электростанциями, в соответствии с правилами, переход на генераторную мощность вызывает автоматическое, постепенное отключение станции.

Один из способов нацелить атаку на электроэнергию – смарт-счетчики электричества, которые начали тысячами устанавливаться в домах и на предприятиях Америки, отчасти, благодаря правительственной программе внедрения интеллектуальных сетей на сумму 3 миллиарда долларов, которая ускорила распространение смарт-счетчиков, не обеспечив им перед этим соответствующие технологии безопасности.

Одна из главных проблем, обнаруженных исследователями безопасности в этой системе, заключается в том, что смарт-счетчики имеют функцию удаленного отключения, которая позволяет коммунальным компаниям включить или выключить подачу электроэнергии в здание без необходимости посылать на место специалиста. Но с помощью этой функции хакер может захватить контроль над счетчиками и отключить таким образом питание тысячам клиентов, да еще и включить ее обратно будет не так просто, как выключить. В 2009 году исследователь по имени Майк Дэвис разработал червя, который как раз делал это.

Дэвис был нанят коммунальной компанией на Тихоокеанском Северо-Западе, чтобы изучить безопасность смарт-счетчиков, которые компания планировала развернуть для клиентов. Как и в случае с ПЛК Siemens, которые исследовал Бересфорд, Дэвис обнаружил, что умные счетчики были неразборчивыми и взаимодействовали с любыми другими смарт-счетчиками в окрестностях, если те использовали тот же протокол связи. Они даже принимали обновления прошивки от других счетчиков. Все что нужно было хакеру для обновления микропрограммы счетчика – это ключ сетевого шифрования. Но поскольку все счетчики, которые планировала установить компания, имели один и тот же сетевой ключ, вшитый в прошивку, злоумышленнику требовалось лишь извлечь ключ, и использовать его для доставки вредоносных обновлений на остальные счетчики. «Как только мы получим контроль хотя бы над одним устройством, у нас будет почти все, что нужно» – сказал Дэвис. «Подобную ситуацию мы уже наблюдали с кучей других умных счетчиков от разных производителей, которые мы исследовали».50

Счетчики взаимодействовали между собой по радио и всегда находились в режиме поиска, чтобы обнаруживать другие счетчики поблизости. Некоторые из них, могли взаимодействовать между собой на расстоянии до нескольких миль. Те, которые исследовал Дэвис, достигали примерно 400 футов, чуть больше длины футбольного поля – этого было более чем достаточно, чтобы распространить вредоносное обновление между соседними домами, которое вырубило бы электричество и распространило червя на остальные счетчики. Для начала заражения Дэвису даже не понадобилось бы взламывать чей-то счетчик, он мог просто купить себе собственный такой же марки – при условии, что он имел необходимый протокол связи – загрузить на него свой зловред, а потом поместить его в непосредственной близости с другими счетчиками. «Из-за использования радиосигнала он будет автоматически обнаружен другими смарт-счетчиками вокруг него», – объяснил Дэвис. Как только обновление будет завершено, счетчик жертвы перезапуститься и автоматически начнет распространять свое обновление на остальные счетчики в пределах диапазона его действия, запуская таким образом цепную реакцию. В свое время операторы даже не будут знать о том, что на датчиках изменилась прошивка, пока в соседних районах не начнет пропадать электричество.

Обычно счетчики обновляются удаленно через центральную сеть коммунальной компании или через специалиста, который использует специальный ключ на ноутбуке для беспроводной связи со счетчиками. Когда Дэвис и его команда сообщили производителю, что они могут написать программное обеспечение, которое автоматически распространится от одного счетчика к другому без использования центральной сети и ключа, тот усмехнулся и сказал, что счетчики не имеют возможности инициировать обновление прошивки для других счетчиков. «Они сказали нам… что это не было частью их набора функций», – вспоминает Дэвис, после чего он отвечает им, – «Мы знаем, мы добывали ее сами». Производители все еще не верили в действенность такой атаки, поэтому Дэвис написал программу для симуляции заражения в жилом районе Сиэтла, которая за день распространилась на 20 тысяч смарт-счетчиков.51 «К концу 24 часов, мы достигли почти полного компромисса», – говорит он. Вирус распространялся на один метр за раз, но в реальном мире атака продвигалась бы гораздо быстрее, так как хакеры могли бы разослать множество обновлений микропрограмм в такое же множество стратегически расположенных домов по всему городу.

Поставщики все также насмехались с Дэвиса, доказывая ему, что для обновления каждого счетчика червю понадобится от двух до четырех минут, за это время технические специалисты обнаружат сбой, и он не успеет распространиться на большое количество устройств. Затем они просто удаленно отправят новое обновление, чтобы снова включить электропитание. Именно тогда Дэвис нанес финальный, добивающий удар и сказал, что вредоносное ПО не только отключало питание в домах, оно также удаляло функцию обновления встроенного ПО на счетчиках, чтобы те больше не могли обновляться. Чтобы восстановить подачу электроэнергии, техникам нужно было заменить счетчики в каждом доме или взять их обратно в лабораторию и наново прошить их программное обеспечение. «Это действительно привлекло их внимание», – не без улыбки говорил Дэвис. «Мы доказали им, что все их устройства могут выйти из-под контроля задолго до того, как они смогут понять, что вообще происходит».

С момента проведения симулированной атаки, Дэвис видел, что производители начали улучшать свои устройства. Сейчас некоторые поставщики используют несколько сетевых ключей для разных районов города, чтобы ограничить ущерб, который сможет нанести хакер с помощью одного ключа. Но удаленное отключения все также остается главной проблемой для большинства смарт-счетчиков, поскольку злоумышленник, который взломает программное обеспечение центральной сети сможет сделать то же самое, что и червь Дэвиса, но гораздо более простым путем. «Если бы в счетчиках не было удаленного отключения, ничего из остального на самом деле не было большой проблемой», – уверяет Дэвис. «По-моему, если в счетчике есть реле дистанционного отключения, независимо от того, включено оно или нет… это действительно большая, ужасная проблема».

Взлом смарт-счетчиков – это эффективный способ отрезать электричество отдельным домам или целым районам. Но еще более эффективной и массовой атакой будет уничтожение генераторов, питающих сеть, или систем передачи электричества потребителям. Министр обороны Леон Панетта заявил на слушаниях в июне 2011 года, что, по его мнению, следующий Перл Харбор, который переживет страна, вполне может быть кибератакой.

Североамериканская энергосистема является большой и сложной, и фактически состоит из трех крупных региональных сетей, известных как восточная, западная и техасская соединения. Эти сети состоят из более чем 450 тысяч миль высоковольтных линий электропередач, принадлежащих и эксплуатируемых примерно трем тысячам коммунальных служб. Поскольку энергия, как и любой товар, продается, она иногда направляется на огромные расстояния между государствами и внутри них, чтобы удовлетворить спрос, например, Cal-ISO, организации, которая была взломана в 2001 году. Хотя существование многих независимых систем означает, что атака на одну из коммунальных станций или подстанций будет иметь ограниченный эффект, их взаимосвязанность означает, что скоординированная и стратегическая атака на ряд систем может привести к каскадным отключениям, что может погрузить пользователей в темноту даже на несколько недель.52

Например, автоматические выключатели, контролирующие распределительные линии, предназначенные для обнаружения опасного скачка напряжения и предотвращения таким образом аварий и повреждений электросетей. Однако, когда выключается один выключатель, питание от этой линии, автоматически перенаправляется на другие. Если и эти линии достигнут края своей пропускной способности, их выключатели также выключатся, вызывая этим массовые отключения электроэнергии. Но хорошо продуманная атака может привести к отключению выключателей на одних линиях, манипулируя настройками других линий, чтобы предотвратить срабатывание выключателей, что в конечном итоге приведет к перегреву линий при превышении их пропускной способности.

Перегрев линий вызывает их провисание или плавление. Провисшие линии электропередач стали причиной отключения электроэнергии в 2003 году на северо-востоке страны, в результате чего 50 миллионов человек в восьми штатах и некоторых регионах Канады лишись электроэнергии. В этот раз вновь вина последовала не за хакерами, а за ошибкой в программном обеспечении, которая помешала раннему обнаружению и предотвращению отключения электричества.

Проблема возникла в штате Огайо, где провисшие линии электропередач запутались в ветках деревьев, положение усугубила неисправная система оповещений в центре управления FirstEnergy, которая не смогла зарегистрировать неисправности в системе, тем самым оставив операторов в неведении относительно ухудшения условий. Примерно за два с половиной часа до того, как произошло отключение электроэнергии, промышленные потребители, и даже другие электростанции звонили в FirstEnergy, чтобы сообщить о низком напряжении и периодических отключениях электричества – первые признаки того, что в сети назревают серьезные проблемы. Но поскольку операторы FirstEnergy не видел никаких признаков проблем на своих мониторах, они предположили, что проблема заключается в чем-то другом. «Видимо, это в наших подрядчиков возникли какие-то проблемы», – сказал оператор FirstEnergy одному из звонящих, указывая пальцем на другую компанию.53 Только когда в комнате управления FirstEnergy погас свет, операторы поняли, что проблемы все-таки были в их собственной системе. В конце концов они отследили сбой в системе оповещения в ошибке программного обеспечения. «Ошибка никогда не проявляла себя до сегодняшнего дня», – позже оправдывался представитель FirstEnergy, – «Ошибка была насколько глубоко зарыта, что нам потребовались недели на изучение миллионов строк кода и данных, прежде найти ее».54

Еще более разрушительной атакой, чем атака на распределительные линии, было бы нацеливание на оборудование подстанций, которое подает электричество к этим линиям. Сеть состоит из более чем 15 тысяч узлов, или подстанций, разделенных на три типа – генераторные подстанции, которые создают электроэнергию, передающие электростанции, которые передают ее между линиями электропередач, и распределительные подстанции, которые доставляют электроэнергию непосредственно к ее потребителям.55

Хорошая новость заключается в том, что электрические системы принадлежат и управляются множеством коммунальных служб, каждая из которых использует свое оборудование и конфигурации. А это делает невозможным создание одной универсальной атаки, которая распространиться одновременно на все энергосистемы. Но региональные атаки и отключения остаются все такими же актуальными. А атаки, которые уничтожают промышленные генераторы на электростанциях, сделает их восстановление еще более трудным. Именно в этом и состоял смысл испытания генератора Аврора. 

Названное в честь римской богини, матери четырех ветров, испытание имело свои истоки еще в каскадном северо-восточном отключении электричества в далеком 2003 году. Длилось это отключение не так долго – два дня, но дало людям понять, насколько широки возможности дистанционных атак на электростанции, последствия которых, к тому же, не так просто восстановить. Майк Ассанте отвечал за сбор команды для проверки гипотезы.

Будучи офицером военно-морской разведки в 2001 году, Ассанте был назначен на работу в новый Национальный Центр защиты инфраструктуры при ФБР в Вашингтоне, округ Колумбия, для изучения рисков, связанных с кибератаками на энергетические инфраструктуры. Через год он ушел из военно-морского флота, чтобы устроиться на работу в American Electric Power(AEP), одну из крупнейших электроэнергетических компаний в стране. AEP нужна была помощь в разработке программы защиты инфраструктуры, и именно в это время Ассанте начал задумываться о нападениях, которые могли бы привести к физическому разрушению сети.

Работая в AEP, Ассанте был поражен статьей в Washington Post о программе испытательного стенда SCADA Национальной лаборатории Айдахо, в которой исследователи буквально напугали председателя Федеральной комиссии по регулированию энергетики своей симуляцией кибератаки, показывающей, насколько легко хакер может разрушить турбину одного из коммунальных предприятий, отключив механизм, отвечающий за смазку машины. Без масла, смазывающего металлические части, турбина зацепилась за небольшой выступ и разорвалась на части.56 Реакция председателя была ошеломляющей. «Я пожалел, что на мне не было подгузника», – в шутку прокомментировал он Washington Post сразу после демонстрации.57

Ассанте лично посетил лабораторию в Айдахо и был впечатлен командой экспертов, нанятых лабораторией для своей программы. В дополнение к инженерам систем управления, лаборатория наняла группу молодых программистов, только недавно окончивших колледж, которые знали, как их взломать. Они пробирались сквозь защиту системы управления с минимальным сопротивлением, используя слабости, которые инженеры, годами работающие с этими системами, даже не замечали. Лаборатория также имела свои собственные подстанции и мини-сеть – семимильную секцию резервной сети, которую исследователи могли изолировать от общей сети для проведения на ней тестов. Ассанте был настолько заинтригован и восторжен возможностями проведения реальных исследований безопасности на сети, а не только симуляций, что в 2005 году он оставил свою работу в AEP и занял должность в лаборатории.

Оказавшись там, Ассанте и его коллеги начали обдумывать сценарии возможного уничтожения оборудования посредством кибератаки. Тогда самым популярным способом было проникновение хакера в энергосеть и отключение им всех возможных функций для вызова сбоя в системе. Отключение электропитания, однако, можно было решить довольно быстро, просто сбросив выключатели. Но как насчет атаки, которая бы обошла все слои защиты, и физически уничтожила генератор, без шансов на его легкое восстановление?

Они решили добраться до генератора, сосредоточив атаку на защитных реле – предохранительных устройствах, которые отслеживают изменения в сети и отвечают за отключение выключателей, в случае, если показатели начинают входить в опасную зону, которая может повредить линии электропередач. Отключение защитных реле уже проявило себя в крупном отключении электроэнергии в феврале 2008 года, когда почти 600 тысяч человек во Флориде остались без света, после того, как инженер из Florida Power and Light отключил их, занимаясь ремонтом неисправного выключателя.58 Когда на линии, на которой он ремонтировал выключатель, случился сбой, уже никто не мог предотвратить последствий. В результате произошел каскадный сбой, который распространился на 38 подстанций, включая одну, которая питала энергией атомную станцию, что привело к ее автоматическому отключению.

Но кроме отключения электроэнергии, это не единственная способность защитных реле, с их помощью также можно отрубить генераторы и другое оборудование. Электрическая сеть работает на частоте 60 Гц – или 60 циклов в секунду – и устройства, подключенные к ней, должны быть синхронизированы, иначе они могут быть повреждены. Подключение к сети оборудования, частота которого отличная от 60 Гц, может запросто привести к его уничтожению. Когда генератор подключается к сети, его нагрузка начинает отталкиваться назад, как гравитационная сила, толкающая автомобиль, когда тот подымается на холм. Но когда срабатывает выключатель и отключает генератор от сети, все еще работающий генератор начинает ускоряться без какой-любо нагрузки, толкающей его. В течение всего лишь 10 миллисекунд генератор потеряет синхронизацию с сетью. Если затем включить генератор обратно, в то время как он и сеть не будут синхронизированы по частоте, эффект будет похож на удар автомобиля о кирпичную стену. Генератор будет излучать слишком много энергии, которую ему будет некуда деть, и как только он попадает в более медленную сеть, сила этой энергии ударяется о нее. Это хорошо известное явление, которое в прошлом было причиной многих несчастных случаев.

Таким образом, команда Ассанте поставила перед собой простой вопрос: если предполагается, что защитные реле предотвращают повреждение оборудования, то возможно ли это повреждение в случае, если защитные реле будут отключены? Разработка такой атаки оказалась лишь немного сложней, чем сам вопрос. Атака включала в себя написание вредоносного кода для изменения настроек цифровых реле таким образом, чтобы выключатели генератора начали быстро включаться и выключаться, заставляя оборудование быстро и многократно переподключаться к сети, в поисках момента, когда синхронизация по частоте между генератором и сетью будет отсутствовать. Без защитных реле, в системе не оставалось ничего, что могло бы предотвратить самоуничтожение генератора. «Вот что сделало его таким чертовски коварным», – говорит Джо Вайс. «То, что должно было по сути предотвращать оборудование от повреждения, используется для его уничтожения». Из-за резкого открытия и закрытия защитной цепи, реле перешло от «обеспечения максимальной защиты к нанесению максимального ущерба», – позже написали DHS в своем отчете об испытании генератора Аврора.59

В качестве испытуемого они выбрали генератор Wärtsilä, который был выведен из эксплуатации на нефтяных месторождениях в Аляске и был куплен брокером за треть от его стоимости в 1 миллион долларов за совершенно новый.60

Испытание длилось 3 минуты, а сама цель – уничтожение оборудования – была достигнута всего за 15 секунд. Во время атаки исследователи делали паузы, чтобы дать инженерам время оценить ущерб и проверять системы безопасности на каждом этапе. Каждый раз, когда выключатель замыкался на несинхронизированном генераторе, подключая его обратно к сети, машина начинала подпрыгивать и вибрировать от силы собственной энергии, пока в конце концов связь между дизельным двигателем и генератором не оборвалась.61

Рабочие в оперативном центре, которые следили за сетью на предмет аномалий и не были проинформированы о начале атаки, сообщили, что не замечали ничего подозрительного на своих мониторах. Система безопасности, которая была разработана для того, чтобы выдерживать небольшие скачки напряжения, которые обычно возникали в сети, также не зарегистрировала разрушительных перебоев. «Мы могли бы сделать атаку, которая включала и отключала сеть так быстро, что системы безопасности даже не заметили бы этого», – сказал Перри Педерсон, который в то время возглавлял программу безопасности системы управления DHS и наблюдал за испытанием.62

Замена 27-тонного генератора, который был разрушен таким образом, разумеется не было невыполнимой задачей. Но на крупных электростанциях и других объектах имелись 800-мегаваттные генераторы, замена которых могла занять месяцы и даже год, поскольку генераторы такого размера обычно строятся под заказ за рубежом. Не все генераторы, питающие сеть, будут одинаково восприимчивы к такой атаке – это будет зависеть от того, как сбалансирована мощность на этой части сети. Но то же самое может произойти и с другим критическим оборудованием, которое питает не только сеть, но и другие вещи, которые впоследствии будет нелегко заменить. Например, подстанция, питающая ряд насосов, отвечающих за доставку питьевой воды в мегаполис, может вызвать серьезные сбои, если вывести ее из строя. «Я, честно, даже представить не могу что произойдет с огромным насосом мощностью 50 тысяч лошадиных сил, но я уверен, что последствия будут вряд ли лучше, чем с генератором», – сказал Педерсон.63

После испытания генератора Аврора в 2007 году, был проведен еще не один тест, демонстрирующий силу разрушительных кибератак. В отчете за 2009 год, опубликованном в 60 Minutes, исследовали Национальной лаборатории Сандиа показали, что они могут вызвать перегрев отдельных компонентов на нефтеперерабатывающем заводе, просто изменив настройки нагревательного элемента и отключив рециркуляционные насосы, которые помогают регулировать температуру.64

Помимо Stuxnet и инцидента в графстве Маручи, до сих пор в мире не было зафиксировано ни одной действительно разрушительной атаки. Эксперты предположили ряд возможных причин, почему это так – провести такие атаки намного сложнее чем кажется сначала, к тому же, провести их, не оставив за собой следов; и часто те, кто обладает навыками и ресурсами для проведения подобных атак не имеют мотивации для этого, в то время как желающие их провести просто не имеют ресурсов.

Одно только можно сказать с уверенностью: учитывая разнообразие и обширные возможности для проведения таких атак, остается лишь вопросом времени, когда соблазн цифрового нападения станет слишком велик, чтобы не запустить атаку.

Сноски, ссылки и используемая литература:

1.    Интервью автора с Ассанте, сентябрь, 2011 год.

2.    Системы SCADA обычно используют там, где управляемые системы географически распределены по большим территориям – например, в системах трубопровода, водоснабжения и электроэнергии. С другой стороны, SCADA также крайне удобны в случаях, когда операторам требуется обширное и сложное управление на ограниченных объектах, таких как нефтеперерабатывающие заводы, водоочистные сооружения и электростанции, хотя электростанции также могут использовать системы SCADA для мониторинга удаленных подстанций в полевых условиях. SCADA системы состоят из станции оператора, сети связи и удаленного терминального блока, или RTU. RTU, по принципу работы схожи с ПЛК, отправляют данные через сеть на станцию мониторинга оператора. Станция оператора обычно работает на Windows – со всеми присущими ей уязвимостями. Полевые устройства используют другие специализированные системы, которые, как правило, имеют низкую степень защиты.

3.    Инциденты системы промышленного контроля отслеживаются в базе данных RISI (репозиторий инцидентов промышленной безопасности), которая начала вести учет ошибок с 2001 года, но бездействовала в период с 2006 по 2009 годы. База данных поддерживается организацией инцидентов безопасности, увидеть ее можно по адресу: http://www.securityincidents.org/.

4.    Марти Нилэнд, “Computer Virus Brings Down Train Signals”, Associated Press, 20 августа, 2003, доступно по адресу: http://www.informationweek.com/news/13100807.

5.    Червь попал туда через корпоративную сеть коммунальной компании, которая управляла заводом, и распространился от деловой сети завода к сети управления. К счастью завод был неактивным уже более года из-за других проблем, так что никакого вреда причинено не было. Операторы станции также сообщили, что у них было ручное управление, которое служило резервным, в случае, если что-то случилось бы с автоматическим. Смотрите, Кэвин Поулсен, “Slammer Worm Crashed Ohio Nuke Plant Network”,SecurityFocus, 19 августа, 2003, доступно по адресу: https://www.securityfocus.com/news/6767/.

6.    “Cybersecurity: Preparing for and Responding to the Enduring Threat”, речь в сенатском комитете по ассигнованиям, 12 июня 2013 г., доступно по адресу: http://www.hsdl.org/?view&did=739096.

7.    Льюис выступал на радио-шоу Дианы Рэм, транслируемом WAMU в Южной Калифорнии, 4 июня 2012 года. Интервью доступно по адресу: http://www.thedianerehmshow.org/shows/2012-06-04/growing-threat-cyberwarfare.

8.    Грегори Бенфорду, физику, приписывают одно из первых упоминаний о компьютерном вирусе в рассказе, который он написал в 1969 году под названием «Человек со шрамом», опубликованное в мае 1970 года в журнале Venture. Первая идея цифровых червей фигурирует в научно-фантастической книге Джона Бруннера «The Shockwave Rider», в которой упоминался червь, передаваемый от машины к машине.

9.    “Teen Hacker Pleads Guilty to Crippling Mass. Airport”, Boston Globe, 19 марта, 1998.

10. “Teen Hacker Faces Federal Charges”, CNN, 18 марта, 1998, доступно по адресу: http://edition.cnn.com/TECH/computing/9803/18/juvenile.hacker/index.html.

11. “Critical Foundations: Protecting America’s Infrastructures”, Президентская комиссия по защите критической инфраструктуры, октябрь 1997 года. Отчет доступен по адресу: https://www.fas.org/sgp/library/pccip.pdf.

12. “Electric Power Risk Assessment”, Консультативный комитет по телекоммуникациям национальной безопасности, целевая группа по обеспечению информационной безопасности, доступно по адресу: http://www.solarstorms.org/ElectricAssessment.html.

13. Информация о деле в графстве Маручи взята из интервью автора, проведенного в августе 2012 года с Робертом Стрингфеллоу, инженером водного округа, который помогал расследовать это дело, а также из отредактированных судебных документов и полицейского отчета, написанного судебным экспертом Питером Кингсли. Некоторые подробности из судебных документов были впервые опубликованы Джо Вайсом в его книге «Protecting Industrial Control Systems from Electronic Threats» (Нью-Йорк: Momentum Press, 2010).

14. С 14 марта по 23 апреля произошло около 90 инцидентов. Один из рабочих проследил часть этой активности до RTU на насосной станции 14, откуда, по-видимому, и исходили вредоносные радиосигналы. Он понимал, что адрес RTU можно легко изменить, просто переключив определенные переключатели на ней, поэтому он заключил, что злоумышленник, должно быть использует свою подставную RTU, которую он настроил таким образом, что система воспринимала его как настоящую RTU, которая находится на насосной станции 14. Чтобы установить ловушку, рабочий изменил номер насосной станции с 14 на 3. Если хакер отправлял свои команды, он не знал, что адрес изменился, и продолжал отправлять их по старому адресу. Именно это и произошло одной ночью, когда поток вредоносного трафика полился по сети от насосной станции 14, нацеленный на сбой центрального компьютера. Так следователи пришли к выводу, что злоумышленник должен был знать систему изнутри, обладал знаниями в системе Маручи и имел доступ к программному обеспечению и оборудованию Hunter WaterTech.

15. Боден был осужден и приговорен к двум годам тюремного заключения в октябре 2001 года. Позднее он подал апелляцию, после чего его осуждение по двум пунктам обвинения было снято, но осуждение по другим пунктам обвинения осталось прежним, как и его приговор.

16. Опрос коммунальных служб, проведенный Институтом исследований электронной энергетики в 1996 году показал, что только 25 процентов респондентов использовали какие-либо методы обнаружения вторжений. Этот обзор, обзор электронной информационной безопасности Института исследований в 1996 году и статистические данные доступны по адресу: http://www.solarstorms.org/ElectricAssessment.html.

17. У службы водоснабжения Маручи не было иного выбора, кроме как привлечь к этому делу правоохранительные органы, поскольку разливы воды были слишком большие и угрожали общественной безопасности. Этот инцидент также вызвал пристальное внимание со стороны австралийского агентства по охране окружающей среды и региональных правительственных чиновников, которые потребовали объяснений причин возникновения разливов.

18. Кингсли выступал на конференции AusCERT 2002 в Австралии. В отчете, рассматривавшем дело Маручи в 2008 году, спустя восемь лет после того, как произошел инцидент, авторы пришли к выводу, что некоторые из проблем, поднятые этим происшествием только начинают решаться компаниями, в то время как «некоторые из них остаются нерешенными и останутся без какого-либо решения в ближайшем будущем». Смотрите Маршал Абрамс и Джо Вайс, “Malicious Control System Cyber Security Attack Case Study–Maroochy Water Services, Australia”, 23 февраля 2008 года, доступно по адресу: http://www.csrc.nist.gov/groups/SMA/fisma/ics/documents/Maroochy-Water-Services-Case-Study_report.pdf.

19. Эта и другие цитаты Вайса в этой главе взяты из интервью автора, июнь 2012 года.

20. Бартон Геллман, “Cyber-Attacks by Al Qaeda Feared”, Washington Post, 27 июня, 2002.

21. Смотрите предыдущую сноску.

22. «Критическая инфраструктура» в Соединенных Штатах широко определяется правительством как любой объект или система, которая попадает под одно из шестнадцати категорий, которые включают: сельское хозяйство и продовольствие, банковское дело и финансы, химические, коммерческие объекты, критическое производство, плотины, оборонно-промышленные базы, системы питьевой воды и водоочистные сооружения, аварийные службы, энергетику, правительственные объекты, информационные технологии, ядерные реакторы и отходы, общественное здравоохранение, телекоммуникации и транспорт. Смотрите https://www.cisa.gov/critical-infrastructure-sectors.

23. Дэн Морейн, “Hackers Victimize Cal-ISO”, Los Angeles Times, 9 июня, 2001.

24. Предыдущая программа тестирования SCADA была запущена в Национальной лаборатории Сандиа в 1998 году, но в ней не принимали участия разработчики. Национальная лаборатория Айдахо является ведущей лабораторией Департамента энергетики по исследованиям ядерной энергетики и управляет самым большим испытательным реактором в мире. Комиссия по атомной энергетике получила землю в Айдахо после Второй мировой войны для строительства лаборатории ядерных исследований. С годами работа лаборатории расширилась, включив в себя исследования в области электросетевой промышленности, и после того, как администрация Буша опубликовала свою национальную стратегию по обеспечению безопасности киберпространства в феврале 2003 года, еще и безопасность промышленных систем управления. Эта стратегия предусматривала, что Министерство энергетики и Министерство внутренней безопасности (DHS) будут сотрудничать с частными лицами для решения проблем безопасности систем управления.

25. Департамент внутренней безопасности, “The National Strategy for the Physical Protection of Critical Infrastructures and Key Assets” (отчет, Белый Дом, февраль 2003), 9. Доступно по адресу: https://www.dhs.gov/xlibrary/assets/Physical_Strategy.pdf.

26. Смотрите предыдущую сноску, 39.

27. Однако одна из проблемных лазеек в тестовой программе заключается в том, что отчеты с описанием уязвимостей в их системах, которые получают разработчики, покрываются соглашением о неразглашении, и поставщики не обязаны сообщать клиентам об уязвимостях в своих системах.

28. Ким Зеттер, “Hard-Coded Password and Other Security Holes Found in Siemens Control Systems”, Wired.com, 3 августа, 2011, доступно по адресу: http://www.wired.com/2011/08/siemens-hardcoded-password.

29. Джо Вайс считает, что более половины всех систем управления имеют бэкдор, встроенный в них поставщиком.

30. Бересфорд также обнаружил еще один сюрприз – «пасхальное яйцо», которое программист Siemens спрятал в прошивке. Пасхальные яйца – это внутренние шутки, которые программисты оставляют в своих программах, чтобы пользователи могли их найти. Часто их можно увидеть, когда пользователь набирает определенную последовательность клавиш или обращается к неясной части программы. В случае с Siemens, пасхалка состояла из анимированного изображения танцующих шимпанзе и немецкой пословицы, которая также появлялась на экране. В свободном переводе пословица гласила «Только работа и никаких игр делают Джека скучным мальчиком». И хотя пасхалка не была вредоносной, она вызвала серьезные опасения по поводу безопасности Siemens.

31. В 2013 году два исследователя обнаружили проблемы с популярным протоколом, используемым центрами управления для связи ПЛК и RTU, установленными на подстанциях. Злоумышленник, который не мог получить доступ к машине центра управления через интернет, мог взломать устройство связи на удаленной подстанции – физически, или взломав беспроводную радиосеть, используемую для связи с центром управления – и использовать уязвимость в протоколе для отправки вредоносных команд в центр управления. Таким образом, злоумышленник может либо вывести из строя машину центра управления, либо использовать ее для распространения вредоносных команд на все подстанции, с которыми эта машина взаимодействует, потенциально выводя из строя десятки, или даже сотни подстанций одновременно, в зависимости от размеров коммунальной компании. Смотрите Ким Зеттер, “Researchers Uncover Holes That Open Power Stations to Hacking”, Wired.com, 16 октября, 2013, доступно по адресу: https://www.wired.com/2013/10/ics/.

32. Джордан Робертсон, “Science Fiction–Style Sabotage a Fear in New Hacks”, Associated Press, 23 октября, 2011, доступно по адресу: http://www.news-yahoo.com/science-fiction-style-sabotage-fear-hacks-120704517.html.

33. В 2003 году, по словам Джо Вайса, когда червь SQL Slammer попал в интернет, один поставщик систем управления предупредил своих клиентов не устанавливать патч, выпущенный Microsoft, потому что патч исправлял используемые червем уязвимости.

34. Системы безопасности на атомных станциях, к счастью, все еще контролируются аналоговыми средствами, и согласно Джо Вайсу, шанс расплавления активной зоны, вызванного кибератакой очень низок. Но это может измениться, поскольку проекты для заводов следующего поколения включают цифровые, сетевые системы, которые значительно облегчат атаки на такие заводы.

35. Ким Зеттер, “10K Reasons to Worry About Critical Infrastructure”, Wired.com, 24 января, 2012, доступно по адресу: https://www.wired.com/2012/01/10000-control-systems-online/. Исследователь Эйрен Лавереттне не смог определить, сколько из систем управления были рабочими, а сколько демонстрационных, и не мог сказать, сколько из них были критическими системами, а которые простыми система отопления офиса на заводе. Но он смог определить среди них системы управления водопроводом в Ирландии и канализацией в Калифорнии. Но не стоит при этом преуменьшать значение даже той же системы отопления, иногда и с ее помощью хакеры могут попасть в центральную систему. И только 17% из 10 тысяч систем, которые он обнаружил, потребовали авторизацию для подключения к ним. В некоторых случаях владельцы даже не знали, что их системы доступны в интернете.

36. Пол Ф. Робертс, “Hacker Says Texas Town Used Three Character Password to Secure Internet Facing SCADA System”, блог Threatpost, 20 ноября, 2011, доступно по адресу: http://www.threatpost.com/blogs/hacker-says-texas-town-used-three-character-password-secure-internet-facing-scada-system-11201/75914.

37. Его заявления появились на сайте Pastebin 18 ноября 2011 года. Смотрите http://www.pastebin.com/Wx90LLum.

38. Кен Диланян, “Virtual War a Real Threat”, Los Angeles Times, 28 марта, 2011.

39. Ким Зеттер, “Chinese Military Linked to Hacks of More Than 100 Companies”, Wired.com, 19 февраля, 2013, доступно по адресу: https://www.wired.com/2013/02/chinese-army-linked-to-hacks/. Для большей информации о специфике взлома Telvent также смотрите Ким Зеттер, “Maker of Smart-Grid Control Software Hacked”, Wired.com, 26 сентября, 2012, доступно по адресу: http://www.wired.com/2012/09/scada-vendor-telvent-hacked.

40. “Report of the Commission to Assess the Threat to the United States from Electromagnetic Pulse (EMP) Attack”, апрель 2008, доступно по адресу: http://www.empcommission.org/docs/A2473-EMP_Commission-7MB.pdf. Смотрите также сноску 25 главы 11 для описания плана преднамеренной электромагнитной импульсной атаки.

41. Исследование RAND 1996 года под названием «The Day After … in Cyberspace» было одним из первых, которое описывало последствия многоаспектной атаки, нацеленной на самолеты, поезда, телефонные системы и банкоматы на разных континентах. Смотрите Роберт Х. Андерсон и Энтони С. Хирн, “An Exploration of Cyberspace Security R&D Investment Strategies for DARPA: The Day After … in Cyberspace II”, RAND, 1996, доступно по адресу: http://www.rand.org/pubs/monograph_reports/MR797.html.

42. Билл Герц, “Computer-Based Attacks Emerge as Threat of Future, General Says”, Washington Times, 13 сентября, 2011.

43. Джо П. Хаслер, “Investigating Russia’s Biggest Dam Explosion: What Went Wrong”, Popular Mechanics, 2 февраля, 2010.

44. “Pipeline Rupture and Subsequent Fire in Bellingham, Washington June 10, 1999,” опубликованный Национальным Советом по транспортной безопасности, 2002, доступно по адресу: https://www.ntsb.gov/doclib/reports/2002/PAR0202.pdf.

45. “Pacific Gas and Electric Company Natural Gas Transmission Pipeline Rupture and Fire”, Национальный Совет по транспортной безопасности, 9 сентября, 2010, доступно по адресу: https://www.ntsb.gov/investigations/summary/PAR1101.html.

46. Дэвид Роджерс и Конор М. Уоткинс, “Overview of the Taum Sauk Pumped Storage Power Plant Upper Reservoir Failure, Reynolds County, MO”, представлен на 6-й Международной конференции по историческим примерам в геотехнической инженерии, Арлингтон, Вирджиния, 11-16 августа, 2008 года, доступно по адресу: http://www.web.mst.edu/~rogersda/dams/2_43_rogers.pdf.

47. Эмитт К. Витт III, “December 14th, 2005 Taum Sauk Dam Failure at Johnson’s Shut-Ins Park in Southeast Missouri”, Национальное управление океанических и атмосферных исследований, доступно по адресу: http://www.crh.noaa.gov/lsx/?n=12_14_2005.

48. Линдси Лейтон, “Metro Crash: Experts Suspect System Failure, Operator Error in Red Line Accident”, Washington Post, 23 июня, 2009.

49. Грэм Бейкер, “Schoolboy Hacks into City’s Tram System”, Telegraph, 11 января, 2008.

50. Из интервью автора, август 2012.

51. Видео с симуляцией на Youtube можно посмотреть в интернете по адресу: https://www.youtube.com/watch?v=kc_ijB7VPd8. Или смотрите ссылки на презентации Дэвиса и две другие симуляции со смарт-счетчиками по адресу: http://www.ioactive.com/services_grid_research.html.

52. NERC имеет правила кибербезопасности, которым должны следовать коммунальные службы. Но они применяются только к массовым электрическим системам (определяемые как объекты и системы, работающие на 100 киловольт и больше), и соблюдение этих правил не дает стопроцентной гарантии того, что система не будет взломана. Безопасность находится в постоянном движении, она не стоит на месте, и меняется каждый раз, когда появляется новое оборудование или программное обеспечение.

53. Целевая группа по отключению энергосистемы США и Канады, “Final Report on the August 14th Blackout in the United States and Canada”, апрель 2004, доступно по адресу: https://reports.energy.gov/BlackoutFinal-Web.pdf.

54. Кевин Полсен, “Software Bug Contributed to Blackout”, SecurityFocus.com, 11 февраля, 2004, доступно по адресу: http://www.securityfocus.com/news/8016.

55. Ребекка Смит, “U.S. Risks National Blackout from Small-Scale Attack”, Wall Street Journal, 12 марта, 2004.

56. Сценарий был похож на реальный инцидент, произошедший на заводе по разливу воды Coors в 2004 году, когда сотрудник по ошибке изменил настройки системы, ответственной за смазку подшипников на производственной линии. Вместо того, чтобы смазывать подшипники каждые 20 минут, система считала, что их нужно смазывать каждые 8 часов, и в конце концов конвейер остановился.

57. Джастин Блум, “Hackers Target US Power Grid”, Washington Post, 11 марта, 2005.

58. Florida Power and Light, “FPL Announces Preliminary Findings of Outage Investigation”, 29 февраля, 2008, доступно по адресу: http://www.fpl.com/news/2008/022908.shtml.

59. Презентация называется «Control Systems Vulnerability – Aurora».

60. Эта цифра исходит из оценки стоимости разработки испытания Аврора и вышла на DHS по просьбе автора.

61. В качестве примера того, что может произойти, когда на турбине повреждена муфта, в 2011 году генератор паровой турбины на электростанции в Ираншаре, Иран, попросту взорвался, вину приписывают неисправной муфте. Взрыв был такой силы, что следователи даже не смогли найти турбину после аварии. Муфты необходимо регулярно инспектировать на наличие износа и смазывать для поддержания работоспособности и предотвращения несчастных случаев. Завод в Ираншаре имел три масляных котла, что вероятно, усугубило взрыв. Взрыв действительно мог быть результатом плохого обслуживания муфты или неисправной установки, но в то время были люди, которые считали, что это мог быть результат саботажа, что-то наравне с испытанием Авроры.

62. Интервью автора, август 2012.

63. Смотрите предыдущую сноску.

64. 60 Minutes, “Cyber War: Sabotaging the System”, 6 ноября, 2009, CBS.

Глава 10. Оружие высокой точности.

Ральф Ленгнер сидел в своем офисе в Гамбурге и наблюдал, как два его инженера скармливают поток искусной лжи коду Stuxnet, который они установили на свою тестовую машину. Ленгнер, эксперт в области тайной безопасности промышленных систем управления, вот уже как несколько дней работал со своими коллегами, чтобы определить и воссоздать точные условия, при которых упрямый код будет передавать свою полезную нагрузку на их ПЛК, но это оказалась куда сложнее, чем они ожидали.

Несколькими днями ранее команда Ленгнера поставила в лаборатории компьютер с установленным программным обеспечением Siemens Step 7 и подключила его к ПЛК Siemens, который завалялся в их офисе. Они также установили сетевой анализатор для наблюдения за данными, проходящими между машиной со Step 7 и ПЛК. В отличие от исследователей Symantec, Ленгнер и его команда специализировались на ПЛК и точно знали, какой трафик должен проходить между Step 7 и ПЛК. Так что они ожидали, что им не составит труда обнаружить в трафике любые аномалии. Но тогда они заразили машину со Step 7 и… ничего не произошло. Потом они вспомнили, что Stuxnet был нацелен на две конкретные модели Siemens PLC – S7-315 и S7-417 – и у них не было ни одной из этих моделей.

Поэтому они установили на тестовую машину отладчик, пронаблюдали за шагами Stuxnet перед тем, как он освобождает свою полезную нагрузку, и разработали способ обмануть вирус. Задача заключалась в том, чтобы заставить Stuxnet думать, будто он нашел свою цель, хотя на самом деле это было не так. Анализируя конфигурацию зараженной машины, Stuxnet сверялся по длинному контрольному списку, где каждое из требований, сильно сужало выборку подходящих устройств. Команда Ленгнера не знала, что именно было в контрольном списке, но им и не нужно было этого знать. Когда Stuxnet запрашивал в системы необходимые ему данные, исследователи подавали ему серию готовых ответов, пока он не остановился на том варианте, который его удовлетворял. Это был грубый метод, брутфорс, который отнял у них пару дней на подбор правильного ответа. Но когда они наконец подобрали правильную комбинацию ответов и в последний раз прогнали код по всем его шагам, они увидели именно то, о чем писали исследователи из Symantec: Stuxnet внедрил ряд вредоносных блоков кода в их ПЛК. «Вот и все», – вспоминает Ленгнер свои слова, – «Мы поймали этого маленького ублюдка».1

Они заметили вредоносные блоки только потому, что их размер был намного больше, чем он должен быть у не зараженных блоков кода. Прежде чем заразить свою систему Step 7 вредоносом, они передали его блоки кода на ПЛК и перехватили их с помощью инструмента анализа, чтобы описать их основные размеры и характеристики. После заражения компьютера Stuxnet они снова передали те же блоки кода и увидели, что они внезапно сильно увеличились в размере.

Они еще не знали, что конкретно делает код Stuxnet с их ПЛК, но само заражение уже было большой новостью. Это было намного больше того, о чем они когда-либо предупреждали своих клиентов, и намного больше того, что они сами ожидали увидеть от первой известной в мире атаки на ПЛК.

Когда 17 августа Symantec сообщила, что Stuxnet намеренно саботирует ПЛК, Чиену и Фальеру могло показаться, что на эту новость никто не обратил даже малейшего внимания. Но за шесть тысяч миль оттуда, Ленгнер, сидя в своем маленьком офисе в зеленом пригороде Германии, с пребольшим интересом изучал отчеты Symantec. В течение многих лет Ленгнер предупреждал своих клиентов из промышленной сферы о том, что однажды кто-то совершит цифровую атаку, чтобы саботировать их системы управления, и теперь, похоже, этот день настал.

Ленгнер был владельцем совсем небольшой компании из трех человек, которая специализировалась на безопасности промышленных систем управления. Это было единственное, чем занималась компания. Он не интересовался компьютерной безопасностью в целом, и его не волновали новости о последних вирусах, заражающих ПК. Даже эксплоиты нулевого дня не привлекали его. Поэтому, когда Stuxnet впервые попал в заголовки технической прессы и стал предметом ярых дискуссий на форумах кибербезопасности, он не обратил на него особого внимания. Но как только он увидел заголовок сообщения Symantec о том, что Stuxnet саботирует ПЛК Siemens, он немедленно открыл статью и начал жадно изучать ее.

Symantec ничего не написала о том, что Stuxnet делает с ПЛК, а сообщила только то, что он вводил код в так называемую лестничную логику ПЛК – больше ничего антивирусная фирма не говорила.2 Но Ленгнера поразило, что тысячи клиентов Siemens, включая многих его собственных клиентов, теперь находятся под угрозой вируса-убийцы, и с нетерпением ждали когда Siemens или Symantec сообщат им, что именно Stuxnet делает с их ПЛК. Но, как ни странно, сделав свое поразительное заявление, исследователи Symantec затихли.

Ленгнер подозревал, что они уперлись в тупик из-за отсутствия опыта работы с ПЛК и промышленными системами. Любопытно, но Siemens также молчали об этом. «Слишком странно», – подумал Ленгнер. В конце концов, это были контроллеры Siemens, и они подверглись атаке, компания была обязана проанализировать вредоносный код и сообщить своим клиентам, хотя бы, что он может сделать с их системами. Но после нескольких кратких заявлений, сделанных немецкой компанией в июле, она замолчала.3

Ленгнер был возмущен. Хотя Stuxnet, по-видимому, поражал только машины с Siemens Step 7, никто на самом деле не знал, на что способен вредоносный код и может ли он повредить другие ПЛК. Была еще одна большая проблема: уязвимость, которая позволяла Stuxnet внедрить свой код в лестничную логику ПЛК Siemens, также существовала в других контроллерах.4 Образцы Stuxnet уже были доступны для скачивания в интернете. Любой хакер, преступный вымогатель или террористическая группа могли изучить этот код и использовать его в качестве каркаса для разработки более масштабной и разрушительной атаки против других моделей ПЛК.

Молчание Symantec и Siemens также сильно озадачило две другие группы – CERT-Bund, германскую национальную группу реагирования на чрезвычайные компьютерные ситуации, и ICS-CERT в Соединенных Штатах. Перед обеими организациями была поставлена задача помочь обеспечить безопасность критически важных инфраструктурных систем в их странах, но ни одна из сторон не смогла сказать чего-то внятного о Stuxnet. В предупреждении ICS-CERT не было никаких разговоров о внедрении лестничной логики в ПЛК Siemens, или даже каких-либо упоминаний о том, что вирус саботирует ПЛК. Также ничего не говорилось и об опасностях, которые Stuxnet представлял для будущих атак.5 Молчание немецких властей было еще более странным, поскольку контроллеры Siemens были установлены почти на каждом немецком заводе или фабрике, которые мог назвать Ленгнер.

Он обсудил это с двумя своими давними друзьями-инженерами, Ральфом Розеном и Андреасом Тиммом. Ни у кого из них не было опыта реверс-инжениринга вирусов, но раз никому больше не нужно было узнать, что Stuxnet делает с ПЛК Siemens, значит им это предстоит сделать самим. Это означало бы тиски, где с одной стороны на них бы давили поручения от платных клиентов, а с другой – Stuxnet, но они пришли к выводу, что у них не остается выбора.

Ленгнер и его коллеги составляли довольно странную, но эффективную команду. В его профессии, где все привыкли наблюдать неряшливых, бледных инженеров с длинными хвостиками на голове, он, Лангнер, был энергичным 52-летним мужчиной с короткими темными волосами, лишенными всякой седины, носил строгие деловые костюмы и искусно выделанные кожаные туфли. У него были пронзительные голубые глаза на загорелом после отпуска лице и стройная, подтянутая фигура опытного альпиниста – побочный эффект лыжных экскурсий в Альпах и суровых походов в горы. И если щеголеватая внешность Ленгнера не выделяла его из толпы, то это точно делали его резкие манеры. У него была репутация откровенного индивидуалиста, он часто делал провокационные заявления, чем раздражал своих коллег. В течение многих лет он возмущался проблемами безопасности систем, но его грубая, конфронтационная манера часто отталкивала тех самых людей, которые больше всего нуждались в его речах. Розен и Тимм, напротив, оба были непримечательными айтишниками лет сорока, которые куда спокойней относились к своей спортивной форме и одежде, и в отличие от Ленгнера, заняли более тихую, второстепенную роль.

И хотя эти трое, казалось, во многом не подходили друг другу, скорее всего, лучшей команды, подходящей для анализа Stuxnet не существовало. Тимм проработал у Ленгнера экспертом по системам управления по меньшей мере десять лет, а Розен, и того, на три года больше. За все это время они накопили гигантский опыт и знания о промышленных системах управления в общем, и контроллерах Siemens в частности. Siemens, по сути, была их давним клиентом. Компания покупала программные продукты у фирмы Ленгнера, а он со своими инженерами иногда обучал сотрудников Siemens их собственным системам. Вероятно, было лишь небольшая горстка сотрудников Siemens, которая знала свои системы лучше, чем Ленгнер и его коллеги.

Начало его карьеры в информационной безопасности положила одна программка, которую он написал, чтобы подключить свой домашний компьютер к университетскому мейнфрейму. В колледже Ленгнер владел довольно слабым компьютером, которому не хватало вычислительной мощности, необходимой для проведения статистического анализа. Поэтому всякий раз, когда он хотел проверить данные, полученные в ходе своих многочисленных экспериментов, он должен был отправляться в кампус и подключать свой компьютер к мейнфрейму колледжа. Ленгнер ненавидел ездить в кампус, поэтому он изучил протоколы, необходимые для удаленного взаимодействия с серверами, и написал программу, которая позволяла ему делать это через модем из собственного дома.

 Для него не стало слишком большой проблемой сразу после окончания колледжа открыть свою собственную консалтинговую фирму по программному обеспечению, используя свою программу в качестве основы бизнеса. В то время это считалось прорывным продуктом, и вскоре инженеры систем управления начали искать его, чтобы с помощью его разработки удаленно взаимодействовать со своими датчиками и контроллерами. Методы, которые использовались в то время, часто утрачивали данные, поэтому на их фоне программа Ленгнера выглядела очень надежной.

В 1997 году к нему присоединился Розен, и вместе они разрабатывали индивидуальные системы для клиентов, которые хотели, чтобы компьютеры могли взаимодействовать с их ПЛК Siemens. Когда он и Ленгнер изучали протоколы Siemens и устройство ПЛК, чтобы заставить соединение работать, они были удивлены, обнаружив большое количество проблем безопасности в системах – те самые дыры, которые другие исследователи откроют для себя десятилетиями спустя. Но еще больше их поражал тот факт, что владельцы и операторы промышленных систем управления совершенно не обращали на это внимания, и соответственно не предпринимали никаких действий, чтобы все исправить. Вместо многоуровневых или сегментированных сетей, где критические системы были бы изолированы от повседневных рабочих компьютеров, они использовали обыкновенные сетевые архитектуры, которые обеспечивали доступ к ПЛК с любой машины в сети. У них также имелись системы, которые были напрямую подключены к интернету, и при этом не имели фаерволов или паролей, в лучшем случае это были стандартные, либо вшитые пароли, которые никогда не менялись.

Ленгнер и его команда запустили консалтинговый бизнес, чтобы помочь клиентам перенастроить их сети более надежно. Но концепция повышения безопасности систем управления оказалась тяжело продаваемой. В течение многих лет сообщество кибербезопасности было в значительной степени невосприимчиво к постоянным новостям о новых вирусах и хакерских атаках, которые обрушились на IT сообщество. Как результат, большинство продолжало думать, что они находятся в безопасности. Ленгнер постоянно предупреждал своих клиентов, что в конечном итоге они все равно заплатят за свою самоуверенность, и часто демонстрировал им, как хакер с минимальными навыками может вывести их машины из строя. Но мало кто предпринимал какие-то действия для решения этой проблемы. «Никто не хотел меня слушать», – говорит Ленгнер, – «за исключением очень немногих компаний, которые все-таки инвестировали в безопасность систем управления».

Теперь, десять лет спустя, Stuxnet стал тем камнем преткновения, о котором предупреждал Ленгнер. Но даже он был удивлен силой и масштабами атаки, когда она, наконец, произошла. На протяжении многих лет он разрабатывал разные сценарии возможных атак на ПЛК, как только об их уязвимостях станет известно общественности. Но ни один из его вариантов не предполагал использование лестничной логики ПЛК. Компьютерные атаки, как правило, развивались постепенно. Сначала хакеры проводили относительно простые атаки, которые требовали наименьшего количества усилий и навыков, а фирмы и лаборатории, специализирующиеся на кибербезопасности, в свое время, разрабатывали патчи и антивирусные программы, чтобы останавливать их. Затем взломщики находили альтернативные пути проникновения в системы, пока защитники вновь не залатывали дыры. Каждая последующая атака становилась все более изощренной, как и методы защиты. Такого вот развития событий, собственно, ожидал Ленгнер – постепенного. В случае с системами управления: сначала хакеры начнут с простых атак типа «отказ в обслуживании» посылая ПЛК команду «стоп», чтобы остановить любой процесс, который он контролирует, а затем перейдут к логическим бомбам и другим методам изменения настроек. Однако Stuxnet обошел все эти рудиментарные стадии развития и сразу перешел к одному из самых сложных видов атак, которые кто-либо мог разработать против ПЛК.

Из всего, что Ленгнер видел в коде, по-настоящему его поразила именно атака «человек в середине» на систему безопасности и станции мониторинга операторов. То, как Stuxnet хитро отключал систему безопасности и записывал операции ПЛК, чтобы потом воспроизвести их операторам во время атаки, поразило его – цифровой эквивалент шести тонного циркового слона, выполняющего стойку на одной ноге. Это был настолько высокий уровень изящества и утонченности, который он никогда не то что не видел, а даже не считал возможным.

Это также был самый жестокий сценарий, который он мог себе представить, потому что, как только злоумышленник отключал логику, отвечающие за передачу важных данных в систему безопасности, оставалось вопросом времени, прежде чем кто-то серьезно пострадает или погибнет. Отключите систему безопасности и датчики контроля на каком-нибудь химическом или газоперерабатывающем заводе, и вы можете выпустить ядовитый газ либо легковоспламеняющуюся жидкость, и никто не узнает об этом, пока не станет слишком поздно. Возможно, разработчики Stuxnet не намеревались ранить или убивать людей своей атакой, но хакеры-подражатели, которые набирались знаний у Stuxnet, скорее всего не будут такими осторожными.

Ленгнер прикинул, что в мире есть, возможно, ну несколько десятков человек, которые обладают уровнем знаний систем управления Siemens, необходимыми для разработки такого рода атаки, и трое из них сидели в его офисе. Но даже они не смогли бы сделать это с такой изощренностью, как это сделали разработчики Stuxnet.

Спустя три недели после изучения Stuxnet, Ленгнер вошел в конференц-зал, где он и его коллеги собирались каждое утро, чтобы обсудить прогресс в анализе кода. Розен и Тимм удивленно посмотрели на него. Обычно он был аккуратно одет и насторожен. Но сегодня он выглядел неряшливым и изможденным после бессоной ночи, проведенной за компьютером, в попытках разобрать код. Он шел от одного следа к другому, от одного к другому, будто пытаясь достать кролика из норы – что атакует Stuxnet? – пока наконец не ухватился за его хвост и не потянул к себе. Когда он поднял руку, то был удивлен тем, что обнаружил. «Я знаю в чем дело, – выпалил он своим друзьям. – Речь идет о ликвидации иранской ядерной программы. Речь идет о ликвидации Бушера».

Бушер, как отмечалось ранее, был атомной электростанцией на юго-западе Ирана, которая строилась в течение нескольких десятилетий. За эти годы он пережил много задержек и отмен и, наконец, должен был начать свою работу в этом месяце. Но незадолго до запуска чиновники заявили о еще одной задержке. Поскольку дата этого заявления совпала с запуском Stuxnet, Ленгнеру показалось логичным, что речь может идти о кибератаке.6

Розен и Тимм недоверчиво уставились на него. Вдвоем они думали об одном и том, не было в мире настолько глупого человека, которому взбрело бы в голову уничтожить гребаную атомную электростанцию. Не рискнут ли они выпустить радиоактивный материал? И зачем использовать ненадежного червя для выполнения столь важной задачи, когда они могли с вероятностью 99% уничтожить завод сбросив на него бомбу? Но когда Ленгнер начал соединять все точки воедино, его безумная теория начала обретать для них смысл.

Вот уже почти как месяц, с тех пор как они впервые увидели вредоносный код Stuxnet, которым они заразили свой ПЛК, Ленгнер и его команда искали в блоках кода Stuxnet улики, которые могли бы подсказать на какие объекты была нацелена атака. Конфигурации систем, на которые нацелен Stuxnet, может рассказать о его намерениях столько же, если не больше, чем сам код. Если бы они могли узнать, какими устройствами управляют ПЛК, и были ли оны настроены каким-либо особым образом, они могли бы значительно сузить диапазон возможных целей.

Несколько недель они ежедневно трудились над расшифровкой блоков, работая в небольшом офисе, который они занимали на верхнем этаже двухэтажного здания. Тихая жилая улица, на которой находился их офис, была густо обсажена деревьями и резко контрастировала с современным бетонно-стеклянным комплексом Symantec. Вместо нескольких этажей, уставленных кабинетами, у них была одна открытая комната, где работали Тимм и Розен, комната для совещаний и клиентов, и кабинет Ленгнера и его ассистента.

Каждое утро они собирались вместе, чтобы обсудить достигнутый прогресс, а затем до конца дня упорно работали над кодом, обсуждая свои догадки во время обеда в конференц-зале и за ужином в близлежащих ресторанах. В промежутках они даже успевали отвечать на звонки своих клиентов, которым требовалась помощь. Но когда клиенты звонили с предложениями новой работы, Ленгнер всем отказывал, так он был полон решимости взломать Stuxnet. Не то чтобы они могли себе позволить отказываться от оплачиваемой работы. У них не было ничего похожего на корпоративные ресурсы Symantec, и ни один внешний клиент не спонсировал их исследования. Вместо этого Ленгнер должен был оплачивать время и труд своих друзей из прибыли компании. Но никто не жаловался. Все они понимали, что Stuxnet это работа всей их жизни. «Мы понимали, что это была самая большая угроза в истории вредоносного программного обеспечения, – вспоминает Ленгнер, – Это была абсолютно фантастическая работа. Это была лучшая работа, которую я когда-либо делал, и я уверен, что уже не смогу найти задачу сложнее и интересней».

После еще нескольких недель кропотливого анализа команда Ленгнера пришла к поразительному выводу. Stuxnet не просто атаковал две конкретные модели ПЛК Siemens, он атаковал конкретный объект, где использовались эти ПЛК. Stuxnet был высокоточным оружием военного класса, нацеленным на единственную цель. Он не просто искал любой ПЛК модели S7-315 или S7-417 – ПЛК должен был иметь исключительную конфигурацию. В код атаки были встроенные подробные данные, описывающие точную техническую конфигурацию ПЛК, которую ищет вирус. Каждый завод, использующий промышленные системы управления имеет индивидуальные настройки для своего оборудования. Даже компании из одной отрасли не могли использовать абсолютно одинаковые конфигурации, а подбирали их соответственно своим потребностям. Но конфигурация, которую искал Stuxnet была настолько точной, что ее, скорее всего, можно было найти только на одном объекте во всем Иране, а если их и было несколько, то эти объекты были настроены абсолютно одинаково, чтобы контролировать идентичный процесс. Любая система, не подходящая под требования вируса, останется невредимой, Stuxnet просто остановит все свои процессы и перейдет к следующей системе в поисках своей цели.

Ленгнера ошеломила мысль о том, что кто-то вложил сколько денег и усилий в оружие, атакующее единственную цель. Это могло означать только одно – цель должна была быть чрезвычайно важной. Теперь им оставалось выяснить, что же это была за цель.

Большинство шагов, связанных с анализом кода, являются систематическими и высокотехническими – изолировать отдельные компоненты, расшифровать код и т.д. Но сопоставление компьютерного кода с реальным миром – это больше искусство, нежели наука. Втроем они перебирали гипотезы о том, какой, по их мнению, объект, был целью, а затем просматривали код в поисках доказательств того или иного предположения. Тем временем Ленгнер также обратился к своим знакомым в различных областях промышленности, чтобы расспросить их об конфигурации их ПЛК, чтобы посмотреть, сможет ли он найти хоть какое-нибудь совпадение. Прошло несколько дней, а успехов в сужении круга возможных целей так и не было. В конце концов Лангнер решил отойти, сделать шаг назад, от технических подробностей и посмотреть на проблему под другим углом, поискать подсказки в новостных статьях и других источниках. После нескольких бессонных ночей, проведенных в интернете, он наконец пришел к своей законченной теории о Stuxnet и Бушере.

Подозрения Ленгнера по поводу завода в Бушере впервые возникли, когда он вспомнил фотографию, которую видел в интернете в прошлом году, якобы сделанную во время пресс-тура в Бушере. На изображении был показан монитор компьютера с всплывающим сообщением, указывающим, что срок действия лицензии на программное обеспечение Siemens WinCC на машине истек. Это было доказательством того, что на заводе используется программное обеспечение именно от Siemens.7 Некоторые знакомые подтвердили для Ленгнера тот факт, что в Бушере используются ПЛК Siemens модели S417. Дальнейшее расследование показало, что российская компания, ответственная за установку оборудования на заводе, также использовала ПЛК Siemens на других объектах, включая завод в Болгарии, предположительно смоделированный по образцу Бушера. Ленгнер также узнал, что на болгарском заводе была установлена паровая турбина, управляемая контроллерами Siemens, что нехотя напомнило ему об испытании генератора Аврора, проведенным Национальной лабораторией Айдахо три года назад. И это испытание показало, что вредоносный код в силах уничтожить такую турбину.

Пока они втроем сидели в конференц-зале, Ленгнер излагал свою точку зрения, а Розен и Тимм лишь неохотно кивали, соглашаясь с его теорией. Они понимали, что в мире есть не так много объектов, которые бы в полной мере оправдали объем работы, проделанный над Stuxnet. Но если Ленгнер был прав, и Бушер и в правду был целью Stuxnet, а его физическое уничтожение – главной задачей червя, то по сути, это был акт войны.

А если Stuxnet был актом войны, то какой ответ на его открытие последует у Ирана, как только об этом станет известно? Разработчик Stuxnet вполне возможно запустили атаку для того, чтобы предотвратить полномасштабную войну с Ираном, но его разоблачение сейчас может привести как раз к противоположному исходу.

После разговора с Розеном и Тиммом Ленгнер был уверен в том, что он на правильном пути, но просто, чтобы убедиться, что иранская ядерная программа действительно является целью Stuxnet, он позвонил одному из своих клиентов, который располагал достаточными ему знаниями о ядерных заводах. Клиент этот работал в компании Enrichment Technology Company, крупнейшем европейском производителе оборудования для обогащения урана, ранее более известном как Urenco, чьи конструкции центрифуг раннего поколения украл и продал Ирану Хан. Если Stuxnet был нацелен не на турбину, подумал Лангнер, то, возможно, на центрифуги, используемые для обогащения урана для Бушера. (Лангнер ошибочно полагал, что центрифуги для обогащения урана находятся в Бушере).

«У меня есть к тебе один вопрос, – сказал Ленгнер своему другу по телефону. – Можно ли уничтожить центрифугу, просто манипулируя кодом контроллера?»

На другом конце провода ненадолго повисла тишина, прежде чем его друг ответил:

«Я не могу тебе сказать этого, Ральф. Это секретная информация, – отрезал он. Но затем добавил. – Ты знаешь, что центрифуги для обогащения урана используются нами не только в Германии и Нидерландах. Они также используются и в других странах.»

«Да, я знаю, – ответил Лангнер. – Например, в Иране. Именно поэтому я и позвонил тебе. Потому что мы исследуем Stuxnet.»

«Мне очень жаль, – твердо ответил мужчина. – Я ничего не могу рассказать тебе о центрифугах, это все секретная информация.»

Этого было достаточно для Лангнера. Он сказал Розену и Тимму, что они должны немедленно обнародовать эту новость. Если Бушер на самом деле являлся целью, то кто-то должен это подтвердить. Stuxnet и его цель были как ключ и замок. В мире существовал только один замок, который открывался этим ключом, и как только они опубликуют информацию о конструкции ключа, человек, у которого есть замок, должен будет увидеть их соответствие.

13 сентября 2010 года, почти через месяц, после того разоблачения Stuxnet командой Symantec, Лангнер опубликовал короткой пост в блоге под названием «Hack of the Century». В нем он утверждал, что Stuxnet был направленной атакой «против конкретной установки системы управления» и на этом закончил свое сообщение. Но три дня спустя он дополнил свой пост. «В результате расследования очевидно и доказуемо, что Stuxnet – это целенаправленная диверсионная атака, базируемая на больших инсайдерских знаниях, – писал он. – Это то, что сейчас должны знать все.»8

Затем последовал алгоритм с подробным описанием конкретных шагов, предпринимаемых Stuxnet для перехвата и введения своих команд в ПЛК Siemens. «Это вам не какой-то там скрипт-кидди, сидящей в подвале дома своих родителей», – написал Ленгнер. Это были высококлассные хакеры с весьма специфическими знаниями системы, которую они атаковали. Он в общих чертах описал, как вирус внедрял свой вредоносный код в ПЛК, чтобы захватить какой-то неизвестный критический процесс, а затем изложил свои мысли о Бушере, аккуратно обозначив их как свою теорию. Оставалось еще много неизвестных моментов, но доказательства, присутствующие в коде, утверждал он, в конечном счете укажут не только на точную систему, атакуемую Stuxnet, но и, возможно, самих злоумышленников.

С этими словами занавес над Stuxnet был открыт. Кибероружие, на разработку которого ушло годы, и, возможно, миллионы долларов, было полностью раскрыто и уничтожено в течение нескольких недель неизвестной антивирусной фирмой в Беларуси, горсткой исследователей из Калифорнии, которые ничего не знали ни о центрифугах, ни о ПЛК, а также дерзко говорящим немцем и его группой инженеров.

И теперь, когда тайна Stuxnet была раскрыта, Ленгнер начал испытывать те же опасения, что и Чиен, по поводу реакции хакеров. Как только истинная цель была раскрыта, Stuxnet сразу стал бесполезным набором строчек кода. Хакеры, должно быть, предвидели подобный ход развития события, и оставили для себя узкое окошко для возможности завершения своей миссии. Неужели теперь, в последней и отчаянной попытке достичь своей цели, они предпримут последний и решительный шаг? Ленгнер верил, что так и будет. «Мы вполне можем рассчитывать на то, что в скором времени что-то может взорваться, – писал он в своем посте. – Что-то большое.» Он закончил свою речь единственным предупреждением: «Добро пожаловать в кибервойну».

К посту прилагалась фотография трех «громил Stuxnet», сфотографированных перед белой доской в их офисе – Ленгнер, одетый в помятую белую рубашку и расстегнутый пиджак, и Розен с Тиммом позади него, последний дерзко кивав в камеру, стоял в черных очках.

После того, как он написал свой пост, Ленгнер отправил пресс-релиз в несколько ведущих СМИ и ждал взрыва заголовков. Но, к его ужасу, ничего не происходило. Как и предыдущее разоблачение Symantec, его открытие было встречено молчанием. «Все, наверное, подумали, что я спятил», – вспоминает он.

Однако был как минимум один человек, который так не думал. Фрэнк Ригер, технический директор немецкой охранной фирмы GSMK, прочитал рассуждения Ленгнера о Бушере и согласился с тем, что Stuxnet, скорее всего, был создан для саботажа иранской ядерной программы. Но, по правде, он думал, что Натанз, находящийся в нескольких сотнях миль от Бушера, был более вероятной целью.9 Завод в Натанзе, в отличие от Бушера, был запущен и работал с 2007 года. К тому же, он был фактически заполнен тысячами быстро вращающихся центрифуг, что делало его хорошей мишенью для, кто хотел нанести ущерб ядерной программе Ирана с помощью кибератаки. Ригер подробно изложил свои мысли в блоге и статье для немецкой газеты.10 В обоих текстах он ссылался на более раннюю статью Reuters, опубликованную примерно в то же время, когда был выпущен Stuxnet, то есть в 2009 году, описывая «десятилетний проект кибервойны», запущенный Израилем против ядерной программы Ирана. В статье цитировался американский источник, предположивший, что «вредоносное программное обеспечение» может быть использовано для захвата или аварийного управления на обогатительном заводе.11

Была и другая причина подозревать, что все-таки именно Натанз был целью Stuxnet. 16 июля, 2009 года, через три недели после выхода первой версии Stuxnet, основатель WikiLeaks Джулиан Ассанж разместил на своем сайте загадочную записку о возможном несчастном случае в Натанзе. Анонимный источник, утверждающий, что он напрямую связан с ядерной программой Ирана, сообщил Ассанжу, что недавно на АЭС произошла «серьезная» ядерная авария.12 WikiLeaks обычно публикует только документы, а не случайные письма от анонимных источников, но Ассанж нарушил это правило сказав, что у него были основания полагать, что источник заслуживает доверия. Он сослался на статью BBC, опубликованную в тот же день, в которой сообщается об отставке Голама Резы Агазаде, главы иранской Организации по атомной энергетике, который ушел со своего поста двадцатью днями ранее по неизвестным причинам.13 Временные рамки совпадали с выпуском новой версии Stuxnet 2009 года.

Независимо от того, была ли отставка Агазаде связана с аварией на заводе Натанза или нет, «теория Натанза» Ригера привлекла внимание общественности, и наконец, катапультировала Stuxnet в центр внимания. Все американские СМИ, которые до этого момента в основном игнорировали Stuxnet, подхватили рассуждения Ригера и начали распространять его слова. В течение почти десяти лет Натанз был центром растущей политической напряженности из-за неоднократных попыток остановки программы обогащения урана. Теперь, казалось, что это сложное цифровое оружие, подобного которому раньше никто не видел, было частью этих планов. Внезапно история о Stuxnet стала интересной и полной интриг. Там, где раньше была скучная техническая тягомотина, представляющая интерес только для технологической прессы, теперь был загадочный боевик, окутанный ореолом тайны и шпионскими играми преступного мира – и все это разыгрывалось на фоне ядерных разборок.

 Вскоре после того, как Ленгнер опубликовал свой первый пост о Stuxnet, он связался с Джо Вайсом в Соединенных Штатах, чтобы обсудить находки его команды. Ленгнер и Вайс разделяли один и тот же дерзкий стиль общения, который не всегда привлекал их коллег по цеху. В этой битве они были на одной стороне и уже который год пытались донести своим клиентам, владельцам промышленных систем управления, что их системы уязвимы к хакерским атакам. Специалисты из сообщества обычно тяжело вздыхают, когда слышат имя одного из них, но никто никогда не сомневался в их профессионализме. Ленгнер должен был выступить на предстоящей конференции посвященной промышленным системам управления Вайса в Мэриленде по другой теме, и спросил, может ли он вместо этого поговорить о Stuxnet. «Даже не знаю, сказать тебе «да» или «черт возьми, да!»» – ответил Вайс.

На следующей неделе Ленгнер уже был в Мэриленде. Предварительная шумиха вокруг его выступления гарантировала, что зал будет полон. В своем блоге Ленгнер обещал рассказать все подробности расследования его команды на собрании, поэтому аудитория была в предвкушении его речи, особенно после двух презентаций о Stuxnet, проведенными Siemens и кем-то из DHS, которые были лишены какого-либо смысла.

 Вайс выделил на выступление Ленгнера 45 минут, но вместо этого оно заняло полтора часа. И никто не был против. Более 100 участников конференции из водной, химической и электротехнической промышленных сфер внимали словам Ленгнера. «Мы все сидели, разинув рты», – вспоминает Вайс.14 Ленгнер принадлежал к той редкой породе технарей – умелых и харизматичных ораторов, которые умеют преподносить сухие технические детали просто и с юмором. Но его слова не столько позабавили слушающих, сколько потрясли их. Постепенно, на протяжении всей его речи, к владельцам промышленных систем управления доходило, что если завтра будет совершена еще одна атака на ПЛК, подобная Stuxnet, или даже сильнее, то никто не сможет ее не то что остановить, а даже обнаружить. Существовали способы проверить, не заражен ли ПК или ноутбук на базе Windows, но такого же простого способа узнать, заражен ли ПЛК не было. Если вирус использовал тот же метод скрытия вредоносного кода, что и Stuxnet, то не существовало ни одной антивирусной программы для ПЛК, или какого-либо другого способа узнать, изменен ли код контроллера. Единственный способ обнаружения атаки был на стадии заражения Windows, прежде чем вирус достигал ПЛК. Но Stuxnet показал глупость даже этой защиты, так как ни один антивирусный сканер не поймал его, прежде чем вирус достиг ПЛК. Операторы никогда не смогут обнаружить заражение, пока оно само не даст о себе знать.

           По оценкам Ленгнера, хакерам-подражателям потребуется около шести месяцев, до появления их первых пародий на Stuxnet. Они не будут точными копиями Stuxnet, или такими же сложными в разработке, сказал он присутствующим, но они и не должны такими быть. Опасность нападения была не только на такие критически важные объекты как Натанз. Stuxnet ставил под прицел все потенциально уязвимые объекты и системы. И поскольку разработчики Stuxnet умело спланировали свою атаку, они смогли избежать сопутствующего ущерба машинам, которые не являлись их целями, но последующие атаки почти наверняка не будут такими продуманными и контролируемыми. Какая-нибудь террористическая группировка, пожелавшая выкуп за электростанцию, путем захвата контроля над ее ПЛК, вряд ли будет беспокоиться, если их вирус повредит заводу или распространиться на другие системы управления.

После конференции Ленгнер решил провести выходные в Вашингтоне, чтобы встретиться там с Мэлиссой Хэтуэй, бывшим национальным координатором кибербезопасности Белого Дома, чтобы проинформировать ее о том, что нашла его команда. Хэтуэй сразу поняла потенциал возможного ответного удара по критической инфраструктуре США, а также проблему распространения цифрового оружия, с которой теперь столкнется мир – проблему, с которой, как она позже сказала The New York Times, ни одна страна не была готова иметь дело. «У нас около 90 дней, чтобы исправить это, – заявила она в газете, – прежде чем какой-то хакер выпустит свою первую копию Stuxnet».15

В тот уик-энд, когда Ленгнер все еще был в Вашингтоне, иранские представители впервые заявили о том, что компьютеры в Бушере действительно были заражены Stuxnet. Они совсем ничего не упомянули о Натанзе, а подробности атаки на Бушер заставляли сомневаться в том, что полезная нагрузка Stuxnet была развернута именно там. Махмуд Джафари, руководитель завода, заверил журналистов, что в результате атаки пострадали только персональные компьютеры некоторых работников, промышленные системы управления затронуты не были. «Все компьютерные программы на заводе работают нормально и не были повреждены Stuxnet», – сказал он.16 Реза Тагипур, чиновник Министерства связи и информационных технологий, также настаивал на том, что ущерб от вируса был незначительным, а вредоносная программа была «более или менее» локализована.17 Сообщения об небольшом ущербе не были удивительными, учитывая избирательность Stuxnet относительно конфигурации своей жертвы. Скорее всего, он распространился на машины Windows Бушера, а затем просто отключился, не найдя ПЛК, которые он искал.18

Среди заявлений со стороны Ирана, впрочем, была одна странная деталь, которая выделялась из ряда остальных. В одном из своих интервью Махмуд Джафари сказал, что в Иране было обнаружено пять разных версий Stuxnet.19 В то время, как Symantec и остальные исследовательские группы обнаружили только три.

Хотя вполне возможно, что Джафари ошибся, но его слова все равно породили интригующую возможность того, что по крайней мере две другие версии Stuxnet все еще остаются не обнаруженными. И если эти две версии все-таки существуют, то они могут содержать дополнительные улики и подсказки о Stuxnet и его разработчиках. К сожалению, однако, шанс того, что западные исследователи увидят эти новые версии вируса были крайне малы, так как иранское правительство вряд ли предоставило копии кода кому-то за пределами Ирана.20

 После выступления на конференции Вайса и встречи с Хэтуэй, Ленгнеру требовалось время, чтобы разобраться во всем том, что произошло с ним за последние недели. В тот уик-энд он пошел в National Mall и часами сидел на ступеньках мемориала Линкольна, глядя на отражающийся бассейн, пока вокруг него, то и дело, фотографировались туристы. Он думал об отчетах ICS-CERT и Siemens и их молчании по поводу лестничной логики инъекции в Stuxnet, а также о рисках для критически важных объектов инфраструктуры, исходящих от хакеров, которые наверняка будут использовать исходный код Stuxnet. Затем последовали мысли об ошеломляющем молчании общественности и Конгресса, которые, казалось, вовсе не были обеспокоены ящиком Пандоры, который открыл Stuxnet буквально узаконив использование кибероружия для разрешения политических споров. Они также не казались встревоженными по поводу цифровой гонки вооружений, которую запустил Stuxnet, процесс которой остановить будет уже невозможно. Сложилось такое чувство, подумал Ленгнер, что никто не хотел обсуждать эти вещи просто потому, что это вызовет вопросы об инициаторах атаки.

Ленгнер решил, что если молчание так и будет продолжаться дальше, то он будет вынужден выступить с дополнительной информацией о коде. Поэтому, как только он вернулся в Германию, он опубликовал новый пост, в котором излагал технические детали, которые ранее раскрывал только за закрытыми дверями конференц-зала Вайса. Как только пост был опубликован, блог был осажден трафиком со всего мира, включая также правительственные и военные домены США. Ленгнер надеялся, что теперь, когда важность Stuxnet стала очевидной, другие компании по кибербезопасности подхватят эстафету с того места, на котором остановилась его команда. Несмотря на большой объем проделанной роботы, впереди ее было еще больше. Они обнаружили то, что Stuxnet намеревался саботировать единственный объект, вероятно Натанз, – но они все еще не имели ни малейшего представления о том, что вирус в конечном счете должен сделать с заводом. Информация об этом все еще оставалась скрытой в коде.

В течение следующих трех недель Ленгнер и его команда были заняты несколькими проектами от платных клиентов, чтобы хоть как-то компенсировать деньги, которые они потеряли, работая над Stuxnet. Но когда ни от Symantec, ни от кого-либо еще за эти три недели не последовало никакой новой информации о коде, Ленгнер собрался с мыслями и решил, что им стоит продолжить с того места, где они остановились.

«Ребята, – обратился он к Розену и Тимму, – я думаю, нам нужно снова взяться за одно старое дельце».

Вопреки убеждению Ленгнера, некоторые элементы американского правительства все-таки не игнорировали Stuxnet – хоть и за завесой тайны. На самом деле группа аналитиков из DHS завершила бо́льшую часть своего собственного исследования Stuxnet в течение нескольких дней после того, как он был обнаружен в июле, и знали, что вирус саботирует ПЛК, еще до того, как к этому пришли Symantec и Ленгнер.

Stuxnet впервые появился в Национальном центре интеграции кибербезопасности и коммуникаций Министерства национальной безопасности США (NCCIC) в Арлингтоне, штат Вирджиния, утром 15 июля 2010 года, в то самое время, когда исследователи по всему миру впервые взглянули на код. Исходники кода поступили от CERT-Bund после того, как Siemens связался с командой компьютерного реагирования на чрезвычайные ситуации, чтобы сообщить о вредоносной атаке, нацеленной на их ПЛК.

NCCIC, или как их обычно называют, N-Kick, был открыт всего девять месяцев назад и являлся частью новой правительственной системы мониторинга и координации за киберугрозами в отношении критической инфраструктуры и гражданских правительственных систем. Когда в центр пришли исходники Stuxnet, Шон МакГарк, по иронии судьбы, был в разгаре планирования предстоящих правительственных учений Cyber Storm III, трехдневных учений, которые будут имитировать компьютерную атаку на критическую инфраструктуру США. Это должно было стать первым настоящим испытанием координационных способностей с момента открытия центра круглосуточного наблюдения. Но реальная угроза Stuxnet быстро взяла верх над планами имитированной атаки.

Дежурный этаж, на котором, к слову, отсутствовали окна, представлял собой алфавитный суп из сокращенных названий агентств: аналитики из ЦРУ и АНБ сидели рядом с агентами из ФБР, Секретной службы и экспертами по компьютерной безопасности из US-CERT и ICS-CERT. На этаже также присутствовали представители всех ведущих телекоммуникационных компаний и других отраслей, имеющих важнейшее значение для развития инфраструктуры страны.

МакГарк отправил копию Stuxnet в лабораторию ICS-CERT в Айдахо-Фолз, где аналитики и определили, что код атаки высвобождал свою полезную нагрузку только на конкретных моделях ПЛК Siemens. Двумя годами ранее они проводили оценку уязвимости того же программного обеспечения Step 7, которое атакует Stuxnet, но ПЛК, который использовали для испытаний, был возвращен Siemens. Теперь они должны были попросить Siemens прислать еще один, прежде чем смогут посмотреть, где Stuxnet освобождает свою полезную нагрузку. Спустя три недели ПЛК прибыл, с ним прибыла и группа инженеров из Siemens.

Тем временем исследователи в Айдахо расшифровывали код полезной нагрузки. Параллельно им, аналитики из Вирджинии корпели над ракетной частью, документируя каждую из ее функций в обширной блок-схеме. После двух дней работы, говорит МакГарк, его команда каталогизировала около 4 тысяч функций – больше, чем содержалось в большинстве коммерческих программ, – а также обнаружили четыре эксплойта нулевого дня, которые позже нашли Symantec и Kaspersky.

20 июля ICS-CERT выпустила рекомендацию, в которой объявила владельцам систем управления об обнаружении вредоносного ПО, нацеленного на систему Siemens Step 7. Но они не предоставили никаких подробностей о работе вируса, сказав только, что «полные возможности вредоносного ПО и его намерения… еще не известны». В последующих заявлениях добавилось немного подробностей об эксплоитах нулевого дня, используемых Stuxnet, а также информация о том, как обнаружить и удалить код, но мало говорилось о целях атаки, и совсем ничего не было написано о саботаже.21 МакГарк говорит, что задача правительства состояла в том, чтобы помочь владельцам критической инфраструктуры обнаружить и удалить Stuxnet, а не обеспечить его всесторонний анализ.22

Через несколько дней после того, как группа завершила анализ, МакГарк провел селекторное совещание с несколькими правительственными учреждениями и представителями частной промышленности, чтобы обсудить то, что им удалось обнаружить. В большинстве дискуссий о вредоносном ПО и уязвимостях, в разговоре всегда находилось несколько критиков, которые утверждали, что опасность уязвимостей значительно преувеличена, и что часть исходного кода Stuxnet не является новой. Иногда в роли скептиков выступали другие федеральные агентства, иногда это были владельцы и операторы критических инфраструктур, или поставщики, создавшие системы контроля. Но пока МакГарк излагал детали Stuxnet, в трубке стояла тишина. «У всех был этот момент «оу, черт», вы знаете, при чем в одно и то же время», – вспоминает МакГарк.23

Как ни странно, разработчик Stuxnet до сих пор неизвестен. МакГарк говорит, что, когда исходник вируса только попал к ним в руки, аналитики разведки из различных агентств на этаже искали в своих секретных источниках любую информацию или отчеты, связанные с червем, но ничего не нашли. Он также говорит, что на дежурном этаже никто вслух не задавался вопросом о том, мог ли Stuxnet быть разработанным в США. Посторонний мог бы вполне задаться вопросом, почему никто на дежурном этаже не повернулся к аналитикам из ЦРУ или АНБ, сидящим в соседней комнате, и спросить: «ну это же был один из ваших?». Но МакГарк настаивает на том, что атрибуция вируса не входит в их обязанности, поэтому они об этом даже не думали. Их задача состояла в том, чтобы раскрыть возможности вредоносного кода и определить наилучший способ защиты американских сетей.

«Сначала, когда вы посмотрите на вирус… вы вряд ли подумаете о том, что это может быть огонь по своим. Вы же не подумаете, что снайпер, стоящий на соседней крыше будет стрелять по вам», – говорит он. «Это может оказаться… Но в пылу этого, в самом начале, вы не слишком обеспокоены, и, естественно, отказываетесь верить в это.»

Но очень скоро Stuxnet стал «темой повышенного интереса» в Вашингтоне. В течение следующих нескольких месяцев МакГарк провел множество брифингов для ряда высокопоставленных людей – от Министерства обороны Джанет Наполитано, Джона Бреннана и других сотрудников аппарата национальной безопасности Белого Дома, до комитетов Сената и Палаты представителей по разведке, Министерства обороны и разведывательного управления обороны. Он даже отправился в Форт-Мид, чтобы поговорить с генералом Китом Александром, директором Киберкомандования США и АНБ – к тем самым организациям, которые, как подозревало большинство в сообществе кибербезопасности, стояли за атакой.

В Форт-Миде дюжина высокопоставленных военных правительственных и разведывательных руководителей внимательно слушали МакГарка, в то время, как он описывал, что обнаружила его команда. Но вопрос о том, стояли ли за этим нападением Соединенные Штаты так и не прозвучал. Они спросили МакГарка, был ли Stuxnet направлен против американских систем управления и сколько систем в стране были уязвимыми для вируса.24 Им также было любопытно узнать, сможет ли команда МакГарка определить, что являлось конечной целью Stuxnet. И, наконец, они спросили его, есть ли в коде какие-либо зацепки, на основании которых можно было бы найти разработчиков вредоносного ПО. На последний вопрос МакГарк ответил «нет», нет никаких улик, хоть как-нибудь указывающих на создателей вируса. В коде не было даже «отличительных знаков», которые можно было бы сопоставить с почерком некоторых известных хакерских групп или национальных шпионов.

МакГарк утверждает, что никогда, ни на секретных брифингах, ни в публичных выступлениях, никто не озвучивал вопрос, стоящий у всех на уме. «Я не думаю, что даже в шутку, кто-то сказал бы на официальной встрече что-то в роде «Эй, это сделали мы?»». Потому что подобные встречи проходят совсем не так. Я уверен, что в других местах велись рассуждения на эту тему, но они точно не прозвучат на нашем уровне».

МакГарк также уверен, что Stuxnet – это не тот вирус, который написали в гараже какого-нибудь из неприметных домиков в спальном районе. «Когда я выступал, независимо от того, кто сидел в аудитории, были ли это старшие сотрудники разведки, либо кто-то еще, у меня никогда не возникало впечатления, что моя речь была хоть сколько-то интересна им», – говорит он. «То же самое происходило и в Министерстве внутренней безопасности, когда я проводил брифинг на уровне секретариата. У меня никогда не было такого чувства, вы знаете, что они знакомы с темой разговора… они просто надеялись, что я поскорее уйду».

Никто также не предлагал МакГарку отлучить свою команду от работы над Stuxnet. «Никто не говорил: «Эй, прекрати, оставь это дело, оно того не стоит»», – говорит он. «На самом деле все эти организации активно сотрудничали с нами… помогали с анализом и подбрасывали свои идеи насчет того, какой тип угрозы из себя представляет собой этот Stuxnet».

Но даже если чиновники в Вашингтоне открыто не задавали очевидный вопрос, эксперты, и просто наблюдатели, почти не сомневались в том, что за этим нападением стоят Соединенные Штаты – в одиночку, либо с Израилем – и казалось лишь времени, когда подробности атаки всплывут на поверхность.

Утверждение Ральфа Ленгнера о том, что Stuxnet – это высокоточное оружие, направленное на ядерную программу Ирана, должно быть, вызвало большой ужас и панику в залах Белого Дома и Пентагона, поскольку заговор, тщательно планируемый и осуществляемый ими на протяжении многих лет прямо сейчас раскрывался общественности прямо у них на глазах.

Сноски, ссылки и используемая литература:

1.    Все цитаты Ленгнера были взяты из интервью автора, проведенных в 2010, 2011 и 2012 годах.

2.    «Лестничная логика» – это общий термин для описания структуры команд, используемых для кодирования систем управления. Это название походит от лестничной структуры программирования, которая описывает каждый процесс поэтапно, последовательно.

3.    В своем первоначальном заявлении, Siemens заявила, что собрала команду экспертов для оценки опасности Stuxnet, и начнет предупреждать своих клиентов в случае, если их машины будут в зоне риска заражения вирусом. Позже компания заявила, что вирусом Stuxnet было заражено менее двух десятков их клиентов. Второе объявление компании было связано с зашифрованным паролем базы данных в программном обеспечении Siemens, которое Stuxnet использовал для распространения. Команда Siemens предупредила своих клиентов о недопустимости изменения пароля в связи с возможным нарушением критических функций в их системах. «В ближайшее время мы опубликуем руководство для клиентов, но оно не будет включать в себя рекомендации по изменению настроек по умолчанию, поскольку это может плохо повлиять на работу некоторых заводов, использующих нашу продукцию», – сказал представитель компании спустя неделю после того, как был разоблачен Stuxnet. Смотрите Роберт МакМиллиан, “After Worm, Siemens Says Don’t Change Passwords”, PCWorld.com, 19 июля, 2010.

4.    Эта уязвимость частично связана с тем, что в системе Siemens отсутствовала аутентификация, что позволяло отправлять на ПЛК вредоносную лестничную логику. Если бы система требовала от кода цифровую подпись, ПЛК бы не принял его.

5.    Смотрите ICS-CERT Advisory ICSA-10-201-01C, “USB Malware Targeting Siemens Control Software”, с последующими обновлениями можно ознакомиться по адресу: http://www.ics-cert.us-cert/gov/advisories/ICSA-10-201-01C. Смотрите также ICS-CERT Advisory ICSA-10-238-01B, “Stuxnet Malware Mitigation,” 15 сентября, 2010, доступно по адресу: http://www.ics-cert.us-cert/gov/advisories/ICSA-10-238-01B.

6.    Через пару недель иранские представители начали отрицать вину Stuxnet, и вместо этого объяснили задержку утечкой в бассейне рядом с реактором.

7.    Снимок экрана, сделанный фотографом United Press International, имеет подпись, идентифицирующую его как снимок экрана в Бушере, и говорит, что изображение было получено в феврале 2009 года. Некоторые критики оспаривают правдивость подписи, говоря, что изображение, по-видимому, показывает какое-то водоочистное сооружение, а не Бушер, но водоочистные сооружения являются частью работы атомной станции, что говорит о том, что и то, и другое мнение может быть правдой. Изображение можно посмотреть по адресу: http://www.upi.com/News_Photos/Features?The-Nuclear-Issue-in-Iran/1581/2/.

8.    “Stuxnet logbook, Sept 16, 2010, 1200 hours MESZ”, доступно по адресу: http://www.langner.com/en/2010/09/16/stuxnet-logbook-sep-16-2010-1200-hours-mesz.

9.    Статья появилась в немецкой газете Frankfurter Allgemeine Zeitung 22 сентября 2010 года. Статья написана на немецком языке, но автор описывает ее содержание на английском в блоге, опубликованном на его сайте, доступном по адресу: http://www.frank.geekheim.de/?p=1189.

10. В то время, когда он строил теорию о Бушере, Ленгнер не знал, что на атомной станции еще не было центрифуг. Когда он узнал об этом, он не отказался от мысли о том, что целью был именно Бушер, но думал, что оборудованием, которое атакует Stuxnet, было турбиной либо генератором. Только позже, с появлением дополнительной, более точной информации о конфигурациях целей Stuxnet, он пришел к выводу, что, Натанз является более очевидной целью, нежели Бушер.

11. Дэн Уильямс, “Wary of Naked Force, Israelis Eye Cyberwar on Iran”, 7 июля, 2009, доступно по адресу: http://www.reuters.com/article/2009/07/07/us-israel-iran-cyberwar-analysis-idUSTRES663EC20090707.

12. Пост на WikiLeaks можно посмотреть по адресу: http://www.mirror.wikileaks.info/wiki/Serious_nuclear_accident_may_lay_behind_Iranian_nuke_chief%27s_mystery_resignation/.

13. История была опубликована по адресу: http://www.news.bbc.co.uk/2/hi/8153775.dtm. Хотя вполне возможно, что отставка Агазаде была связана с тем, что произошло в Натанзе в конце июня 2009 года, столь же вероятно, что это произошло в связи с какими-то политическими обстоятельствами. В дополнение к тому, что Агазаде был главой иранской Организации по атомной энергетике, он также являлся вице-президентом Ирана. Он одновременно ушел с этих двух должностей, через две недели после жарко оспариваемых президентских выборов в Иране 12 июня 2009 года. Агазаде присоединился к политическому сопернику президента Ахмадинежада – мир-Хосейну Мусави, и ходили слухи, что яростные протесты против легитимности результатов выборов не позволили Агазаде сохранить свои правительственные посты после того, как Ахмадинежад победил на выборах. Также ему не очень повезло с обстоятельствами, поскольку как раз в июне 2009 года вышла первая версия Stuxnet. Согласно сообщениям BBC, Агазаде подал в отставку примерно 26 июня. Но июньская версия Stuxnet 2009 года была выпущена 22 июня, и как только она оказалась бы на нужном ей ПЛК, вирусу потребовалось бы две недели, чтобы начать саботаж. Поэтому время начала работы вируса и отставки Агазаде не совпадают.

14. Интервью автора, сентябрь, 2010. 

15. Джон Маркофф, “A Silent Attack, but Not a Subtle One”, New York Times, 26 сентября, 2010.

16. Лоран Майяр, “Iran Denies Nuclear Plant Computers Hit by Worm”, Agence France-Presse, 26 сентября, 2010, доступно по адресу: http://www.iranfocus.com/en/index.php?option=com_content&view=article&id=21820.

17. Дэвид Э. Сэнгер, “Iran Fights Malware Attacking Computers”, New York Times, 25 сентября, 2010.

18. Шесть месяцев спустя, доклад иранской Организации пассивной обороны, военной организации под председательством генерала Революционной гвардии Голама-Резы Джалали, которая отвечает за защиту ядерных объектов Ирана, опроверг эти заявления. Он сообщил, что Stuxnet насколько основательно заразил компьютеры в Бушере, что работу на заводе пришлось приостановить на неопределенный срок. В отчете утверждалось, что, если бы Бушер вышел в сеть, червь мог бы «внезапно остановить генераторы, а вместе с ними и электричество по всей стране». Однако было много причин сомневаться в выводах отчета, поскольку он содержал ряд преувеличенных заявлений относительно возможностей Stuxnet – таких как утверждение, что червь может «уничтожить аппаратное обеспечение машины шаг за шагом» – и тот факт, что конфигурация, которую искал Stuxnet, не соответствовала оборудованию, находящемуся на атомной электростанции. Все это наводило на мысль, что Иран, возможно, использует Stuxnet в качестве предлога для объяснения задержек в Бушере. Но также существовала вероятность, что другая цифровая атака – возможно модифицированная версия Stuxnet – могла быть разработана отдельно для Бушера. Смотрите Кен Тиммерман, “Computer Worm Wreaking Havoc on Iran’s Nuclear Capabilities”, Newsmax, 27 апреля, 2011, доступно по адресу: http://www.newsmax.com/KenTimmerman/iran-natanz-nuclear-stuxnet/2011/04/27/id/394327.

19. Лоран Майяр, “Iran Denies Nuclear Plant Computers Hit by Worm”.

20. Были и другие заявления официальных лиц, которые предполагали, что существуют и другие версии Stuxnet. Махмуд Лиайи, глава совета по информационным технологиям министерства промышленности, сказал журналистам, что, когда Stuxnet был активирован, «системы промышленной автоматизации начали передавать данные о производственных линиях» на внешние источники. Генерал Голам-Реза Джалали заявил на пресс-конференции в 2011 году, что червь был обнаружен во время взаимодействия с системами связи, находящимися в Израиле и Техасе. Дальше данные о зараженных машинах обрабатывались разработчиками червя, которые затем создавали планы атаки на ядерную программу. (Смотрите “Iran Military Official: Israel, US Behind Stuxnet Computer Worm”, Associated Press, 16 апреля, 2011, доступно по адресу: http://www.haaretz.com/news/world/iran-military-official-israel-u-s-behind-stuxnet-computer-worm-1.356287.) Но три обнаруженные исследователями версии Stuxnet взаимодействовали с серверами в Дании и Малайзии. Это не отрицает того факта, что согласно другой версии, сервера связи каким-то образом были обнаружены в Техасе, поскольку с помощью определенных инструментов можно было бы перенаправлять трафик на Техас. Но хотя у АНБ действительно есть элитная хакерская команда, базирующаяся в штате Одинокой Звезды, кажется маловероятным, что они допустили бы ошибку, позволившую червю выйти на них.

21. ICS-CERT Advisory ICSA-10-201-01, “USB Malware Targeting Siemens Control Software” и ICS-CERT Advisory ICSA-10-238-01B, “Stuxnet Malware Mitigation”.

22. Рекомендации ICS-CERT действительно содержали ссылку на веб-сайт Symantec для получения информации о вредоносном коде, но они не уточняли читателям, какая именно информация находится на их сайте.

23. Все цитаты из МакГарка были взяты из интервью автора, сентябрь 2012.

24. Система Siemens Step 7, как оказалось, занимала менее 10 процентов рынка систем управления в США. Аналитики NCCIC определили это, просмотрев базу данных, используемую исследовательскими компаниями, которая предоставляет статистику о наличии на рынке различных продуктов, включая количество промышленных систем управления, произведенных конкретными поставщиками, которые были проданы в Соединенных Штатах. Они определили, что большинство систем Step 7, используемых в Штатах, были задействованы на производственных предприятиях, хотя они также были обнаружены в сферах сельского хозяйства, водоочистных сооружений и электроэнергетике. 

Глава 11. Цифровой заговор.

Когда в 2010 году был обнаружен Stuxnet, в залах Белого дома, возможно, и воцарилось беспокойство, но в мае 2008 года оптимизм царил среди всех, кто знал о секретной программе, поскольку всё шло именно так, как и планировалось.

В то время в самом разгаре были президентские выборы – кандидаты Барак Обама и Джон МакКейн боролись за лидерство в опросах общественного мнения. Президент Буш находился на последнем году своего правления, когда во время визита в Израиль, по случаю шестидесятилетия этой страны, он столкнулся с дерзкой просьбой. Израильтяне хотели получить от США одобрение и поддержку для нанесения авиаудара по заводу обогащения урана в Натанзе.

Правительство Израиля готовилось к воздушному удару по меньшей мере с 2003 года, когда инспекторы МАГАТЭ впервые осмотрели Натанз и обнаружили там частицы высокообагащенного урана в пробах окружающей среды, взятых с завода. Разговоры об авиаударе затихли на некоторое время после того, как Иран согласился приостановить свою деятельность по обогащению в 2003 и 2004 годах, но вернулись в 2006 году, когда Иран вышел из соглашения о приостановке и приступил к установке первых центрифуг в подземных цехах. Теперь, когда было установлено и успешно эксплуатировалось три тысячи центрифуг, к тому же ходили слухи об удвоении этого числа в недалеком будущем, разговоры об ударе разразились громче, чем когда бы то ни было.

Израиль был не единственной страной, настаивающей на нападении. Согласно секретным правительственным телеграммам, опубликованным на Wikileaks, их арабские соседи были столь же непреклонны в отношении прекращения ядерной программы Ирана. «Мы все в ужасе», – сказал однажды американским дипломатам президент Египта Хосни Мубарак.1 Король Саудовской Аравии Абдалла в приватном разговоре призвал Соединенные Штаты оказать услугу, когда речь пойдет об Иране и Ахмадинежаде, и помочь им «отрубить змее голову».2 «Ядерный Иран угрожает миру во всем регионе, а не только в Израиле» – заявил наследный принц Абу-Даби Мохаммад бен Зайд. Если Иран получит ядерную бомбу, «на земле воцариться ад», сказал он, предупредив, что Египет, Саудовская Аравия, Сирия и Турция также начнут свою разработку ядерного оружия для поддержания паритета. В администрации Буша также были лица, которые поддерживали авиаудар – «мальчики-бомбардировщики», как их называл Буш. Среди них был и вице-президент Дик Чейни, который поддерживал нападение Израиля на Сирию в прошлом году.4

Но Буш выступил против таких резких мер. «Я считаю абсолютно абсурдным тот факт, что люди подозревают меня в том, что я пытаюсь найти предлог для нападения на Иран», – заявил он в 2007 году.5 Даже если бы он действительно поддерживал удар, ему было бы трудно добиться широкой поддержки масс. Опрос Гэллапа в ноябре 2007 года показал, что 73 процента американцев предпочитают введение санкций и дипломатию нежели авиаудар, а оценка Национальной разведки, опубликованная в том же году, утверждала, что Иран разрабатывает ядерное оружие пассивно, что также подрывало поддержку ядерного удара.  

Израиль, конечно, был в таком положении и раньше, добиваясь поддержки США для нанесения удара – в 1981 году, когда он вывел из строя иракский реактор «Осирак», и снова в 2007 году, когда страна разбомбила предполагаемый ядерный реактор в Сирии.6 Агенты израильской разведки получили важную информацию о последнем объекте в 2006 году, когда они следили за высокопоставленным сирийским чиновником в Лондоне и установили на его ноутбук троянский конь, когда тот, по своей невнимательности, оставил его в своем гостиничном номере. Вредонос выгрузил из компьютера десятки документов, включая чертежи и фотографии, иллюстрирующие строительство комплекса Аль-Кибар, который израильтяне считали ядерным реактором, предназначенным для разработки оружия. Они заполучили поддержку США для атаки на этот объект после того, как предоставили им доказательства того, что Северная Корея поддерживала строительство этого объекта.7

Поздним вечером 5 сентября 2007 года началась операция «Орчард» – израильские военные самолеты покинули базу на севере Израиля и направились на запад, к морю, и затем внезапно повернули на восток. Летя на низкой высоте, они пересекли границу Сирии, и уничтожили радарную станцию вблизи турецкой границы, используя компьютерные атаки и высокоточные ракеты. Примерно через 20 минут они успешно выполнили свою операцию и благополучно вернулись домой. По заявлениям президента Сирии Башара Асада они нанесли удар по пустому военному зданию. «Там не было людей, не было армии, там не было ничего», – утверждал он.8 Но американская разведка установила, что реактор находился всего в нескольких неделях от его запуска.9

Теперь Израиль намеревался сделать то же самое и в Иране. Они полагали, что авиаудар по Натанзу отбросит ядерную программу Ирана как минимум на три года назад. Но нападение на Иран несло в себе больше сложностей и рисков, нежели нападения на Сирию и Ирак. В обоих предыдущих случаях израильтяне атаковали один наземный объект, который даже не был укреплен, а в случае с Сирией цель была достаточно близка к дому, так что пилоты успевали нанести удар и вернуться до того, как сирийцы успеют ответить. Удар по Ирану, однако, требовал дозаправки самолетов и полета через большие участки арабского воздушного пространства. И вместо одной цели самолеты должны были нанести удар, по меньшей мере, полудюжине объектов, разбросанных по всей стране – обогатительный завод в Натанзе и завод по переработке урана в Исфахане были лишь двумя из них, некоторые из них находились под землей. Иран вынес важный урок из израильского нападения на Ирак десятилетиями ранее – ключом к сохранению ядерной программы является рассредоточение объектов ядерной программы по всей стране, и у американцев было «мало уверенности» насчет того, что Израиль располагал местонахождениями всех объектов, которые нужно было атаковать для остановки ядерной деятельности Ирана.10 Советник Израиля по национальной безопасности даже признала это, заявив делегации Конгресса США в 2006 году: «Мы не знаем местонахождения всех объектов».11

В своем обращении к народу в 2002 году президент Буш назвал Иран частью «оси зла», наряду с Ираком и Северной Кореей, которые угрожают миру во всем мире. Соединенные Штаты, по его словам, не позволят «самым опасным режимам в мире» «угрожать нам самым разрушительным оружием в истории человечества».12 Это было очень громкое заявление. Но спустя несколько лет – лет, наполненных трудностями ведения войны в Ираке – Буш смягчил свою позицию. Министр обороны США Роберт М. Гейтс был убежден, что нападение на Иран не только завершится провалом, но и будет иметь плохие последствия для американских войск в Ираке и Афганистане. Это также могло спровоцировать ответные террористические действия против Израиля со стороны проиранских группировок в Ливане и Секторе Газа, подорвать цены на нефть и вызвать экономические проблемы по всему миру. И самое главное, вместо того, чтобы обуздать ядерные амбиции Ирана, это могло направить его на еще более решительный курс к созданию ядерного оружия и заставить иранских чиновников выгнать инспекторов МАГАТЭ из страны, уводя их ядерную деятельность еще дальше от глаз общественности.

По всем этим и многим другим причинам Буш отверг стремление Израиля нанести авиаудар, но не без альтернативной стратегии.13

К тому же, два года назад советники Буша предложили, как ему казалось, еще лучшее решение проблемы с Ираном, возможно, даже блестящее. И весной 2008 года, когда он последний раз путешествовал по Израилю в качестве президента, казалось, что они действительно смогут это сделать.

Точно неясно, когда именно началось планирование и разработка Stuxnet, но где-то в 2006 году, после того, как Иран вышел из соглашения о приостановке обогатительной деятельности, американские военные и разведывательные агентства, как сообщается, предложили президенту совершить кибератаку, позже названую «Олимпийские игры». Некоторое время Буш оценивал возможности ее проведения. С учетом двух затяжных и тяжелых войн, которые уже велись в Ираке и Афганистане, он решил, что не хочет участвовать еще и в третьей битве на Ближнем Востоке. Секретные операции, которые физически бы уничтожили ядерные объекты Ирана также были исключены, поскольку они также, вероятно, спровоцировали бы войну.14

Поэтому его советники предложили третий вариант – цифровой, который будучи тщательно спланированным и выполненным, мог бы достичь тех же результатов, что и его физические аналоги, но без всех тех рисков и последствий.

Военные и разведывательные сообщества практиковали такие атаки уже почти десять лет, участвовав ранее в небольших «кибервылазках», но все те операции даже и близко не были сопоставимы по масштабу с атакой Stuxnet. Большинство прошлых миссий были просто шпионскими и выполнялись исключительно с помощью цифровых инструментов, проводились они как дополнение к обычной войне – кибер-деятельность, предназначенная для оказания помощи войскам на поле боя, а не для того, чтобы заменить эти сами войска.15

Этот новаторский план предусматривал цифровую атаку на центрифуги и компьютерные системы в Натанзе с целью их физического уничтожения. Требования и ограничения для проведения этой операции были крайне обширными. Это должен быть хирургически точный удар, способный атаковать конкретные машины, оставляя при этом невредимыми другие. Вредонос должен был обойти все внутренние системы безопасности, чтобы осесть в системе и оставаться незамеченной там на протяжении нескольких месяцев. Затем он должен был причинить цели достаточный ущерб, значимые последствия, и при этом не привлекать к себе внимания.

И если атака в конечном счете все же увенчается успехом, потенциальный выигрыш будет огромным. Если кибератака сможет уничтожить иранские центрифуги IR-1 или иным способом замедлить стремительную гонку страны к ядерному прорыву, это ослабило бы некоторое давление на дипломатические отношения и предоставило МАГАТЭ и разведывательным службам больше времени для сбора доказательств ядерных намерений Ирана. Это также немного улучшит политические отношения США с Израилем. Правительство Израиля давно обвиняли Соединенные Штаты в затягивании времени с решением иранского вопроса, цифровая атака докажет, что Штаты не сидят сложа руки, ожидая, когда ситуация разрешится с помощью санкций и дипломатии.

Что еще более важно, если центрифуги будут уничтожены и урановый газ будет просто растрачен в пустую, это приведет к истощению и без того бедных запасов драгоценных материалов Ирана для их ядерной программы. По оценкам экспертов, Иран располагал достаточным количеством материала для создания 12-15 тысяч центрифуг, если бы с помощью атаки удалось бы уничтожить хотя бы несколько тысяч из них, это бы сильно ударило по ядерной программе. А при наличии удачи, это также могло создать политический раскол в иранском режиме. С целью добиться прогресса в ядерной программе на Ахмадинежада и его сторонников уже оказывалось определенное давление, но, если атака сорвет все их усилия и отбросит ядерную программу на несколько лет назад, она вполне может посеять раздор внутри режима.

В компьютерной атаке было очень много преимуществ. Цифровая бомба может достичь тех же результатов, что и кинетическое оружие, но не подвергая при этом риску жизни пилотов. Она также может добиться успеха скрытно, как не смогла бы ни одна физическая бомба, незаметно повреждая систему в течение недель и месяцев. Разумеется, в конечном счете иранцы увидят результат цифрового саботажа, но, если все будет сделано хорошо, они никогда не узнают его истинную причину, и смогут лишь предполагать, были ли проблема физическим дефектом, ошибкой программирования или еще чем-то другим. И даже если они обнаружат в системе вредоносный код, кибератака, проведенная должным образом, не оставит за собой следов, которые могли бы привести к ее источнику. Все эти плюсы были ключевыми, поскольку Соединенные Штаты хотели предотвратить войну, а не начать ее.

Были у кибератаки и другие преимущества. Авиаудары имел очевидные недостатки, когда речь шла о бомбардировках объектов, погребенных глубоко под землей, таких как Натанз.16 Но цифровая атака могла беспрепятственно проскользнуть мимо систем противовоздушной обороны и электрифицированных ограждений, чтобы без особых усилий проникнуть в подземную инфраструктуру, которая была бы недоступна для удара с воздуха или другими средствами. Кроме того, вирус мог выводить из строя устройства не только на известных объектах, но и на неизвестных. Вы не можете разбомбить завод, о котором вы не знаете, но это может сделать вирус. Если Иран имел другие секретные обогатительные заводы, расположенные по всей стране, которые использовали то же оборудование и конфигурации, что и Натанз, вирус, попавший в компьютерные системы мог бы распространиться с известных объектов на неизвестные.

Цифровой саботаж, хотя и на менее изощренном уровне, не был беспрецедентным. В 1980-х годах ЦРУ, Министерство обороны и ФБР провели совместную операцию по саботажу программного и аппаратного обеспечения Советского Союза. Это началось после того, как подполковник Владимир Ипполитович Ветров, 48-летний чиновник отдела «Линия Х» технологического управления КГБ, начал сливать французам разведданные о десятилетней советской операции по краже технологий с Запада.

Ветров слил около трех тысяч документов, которые французы окрестили «досье Фэруэлла», подробно описывая длинный список технологий, который советы уже украли с Запада, а также список технологий, который еще предстояло обрести. Когда список пожеланий попал к доктору Гасу Вайсу, советнику по экономике в Совете национальной безопасности Рейгана, он предложил тогдашнему директору ЦРУ Уильяму Кейси хитроумный план. ЦРУ позволит советским агентам получать технологии, которые они хотят – но при этом шпионское агентство будет подсовывать подделанные проекты и чертежи, чтобы направить их дальнейшие научные усилия на бесполезные предприятия. Он также предложил модифицировать продукты и компоненты до того, как они достигнут «железного занавеса», чтобы те прошли любые испытания на качество, которым могли бы подвергнуть их советы, и только потом давали сбой. Этот план был действительно беспроигрышным, потому что даже если советское правительство обнаружит контрразведывательную операцию, оно всегда будет с подозрением относиться к любой информации или технологии, приобретенной на Западе, никогда при этом не зная, были ли она изменена и когда она могла дать сбой. Это будет «редкость в мире шпионажа», писал позже Вайс во внутреннем информационном бюллетене ЦРУ, описывая схему: «операция, которая будет успешной в любом случае, даже если ее раскроют».17

Согласно этой схеме, «в советскую военную технику были внедрены надуманные компьютерные чипы, на газопроводе были установлены якобы неисправные турбины, а неверные планы нарушили работу химических объектов и тракторного завода», – писал Вайс. Кроме того, советам скармливали заранее недостоверную информацию о самолетах-невидимках и тактических самолетах, а также о западных программах космической обороны. Советский космический шаттл также был построен по «отвергнутому проекту НАСА», который был передан советским ученым, сообщал Вайс.18

Досье Фэруэлла, по словам Вайса, так и не было раскрыто, но Ветрову повезло меньше. В 1982 году он был заключен в тюрьму за убийство своей любовницы, жены сотрудника КГБ, и был разоблачен как двойной агент – хотя диверсионные усилия ЦРУ все также оставались тайной.19 В 1986 году ЦРУ закрыло операцию.

Вайс, ныне покойный, никогда не уточнял, как повлияли изобретенные компьютерные чипы и другие дефектные детали, которые были подсунуты в Советскую цепочку поставок, но в 2004 году Томас К. Рид, работавший с Вайсом в Совете национальной безопасности, написал книгу, в которой кратко упомянул досье Фэруэлла и приписал взрыв сибирского трубопровода 1982 году схеме ЦРУ – тот самый взрыв, на который ссылались исследователи из Symantec в своем блоге о Stuxnet. По словам Рида, одним из пунктов в списке покупок Линии Х было программное обеспечение для управления насосами, клапанами и турбинами на Транссибирском трубопроводе, который строился для транспортировки природного газа, с уренгойских газовых месторождений в Сибири, в страны Европы. Когда ЦРУ узнало, что советские инженеры пытаются получить программное обеспечение от компании в Канаде, агентство в сотрудничестве с фирмой внедрило в код логическую бомбу. Код был разработан для сброса скорости насоса и настройки клапанов на трубопроводе, чтобы «производить давление, намного превышающее допустимое для соединений и сварных швов трубопровода», – писал в своей книге Рид.20 Программное обеспечение «прекрасно управляло процессами… какое-то время», отмечал он. Но затем, по словам Рида, в какой-то заранее заданный момент насосы и клапаны вышли из строя, создавав такое огромное давление газа, которое привело к взрыву мощностью в три килотонны – «самый грандиозный неядерный взрыв и пожар, который можно было видеть из космоса».

Есть много людей среди тех, кто считает историю о взрыве трубопровода апокрифической. Один из бывших сотрудников опроверг эту историю и считает, что Рид и Вайс просто играли фактами.21 Как бы там ни было, досье Фэрруэла действительно существовало и послужило вдохновением для последующих диверсионных схем, направленных на ядерную программу Ирана.

Одна из операций, послужившая примером для досье Фэруэлла, развернулась после того, как ЦРУ проникло в сеть ядерных поставок Хана примерно в 2000 году, и начало подсовывать туда поддельные детали и компоненты, направляющиеся в Иран и Ливию, где Хан также начал предоставлять свои незаконные ядерные услуги. Специалист по оружию из Лос-Аламосской Национальной лаборатории работал с ЦРУ над изменением некоторых моделей вакуумных насосов, чтобы те выходили из строя через случайные промежутки времени. Как и в случае с операцией против Советского Союза, план состоял в том, чтобы модифицировать части так искусно, чтобы они нормально работали в течение некоторого времени, а затем ломались таким образом, чтобы определение причины поломки было максимально трудным.

Из семи насосов, которые испортило ЦРУ, шесть отправилось в Ливию, а седьмой оказался в Иране. Инспекторы МАГАТЭ позже случайно наткнулись на него во время одного из визитов в Натанз.22 Иранцы, очевидно, не поняли, что насос был испорчен.

Однако им удалось обнаружить другую диверсионную операцию, которая произошла в 2006 году. В этом случае дело касалось ИБП – источников бесперебойного питания, полученных из Турции. ИБП помогают регулировать поток электричества и важны для работы центрифуг, которые требуют надежного и стабильного поступления энергии для вращения в течении длительного периода времени с равномерными скоростями. Если электрический ток будет колебаться, центрифуги будут ускоряться и замедляться, ухудшая этим процесс обогащения и даже выводя сами центрифуги из положения равновесия.

Хан, очевидно, купил устройства у двух бизнесменов в Турции и тайно переправил их в Иран и Ливию.23 Но в начале 2006 года, когда Иран попытался обогатить свою первую партию урана в небольшом каскаде на экспериментальной установке в Натанзе, все пошло совсем не так, как ожидали тамошние инженеры. Каскад работал как положено в течение десяти дней, но затем произошел сбой, и все центрифуги пришлось заменить. В то время об этом никто ничего не говорил. Но год спустя, во время телевизионного интервью, глава иранской Организации по атомной энергетике рассказал о том, что произошло. Инженеры установили 50 центрифуг в каскад, объяснил он, и в одну ночь «все 50 центрифуг просто взорвались». ИБП, контролирующие подачу тока, «работали не должным образом», – сказал он. «Позже мы обнаружили, что ИБП, которые мы когда-то импортировали из Турции, были саботированы». Он также добавил, что после этого случая, они начали проверять все импортное оборудование, перед тем, как начинать его использование.24

Были и другие известные планы по саботажу деталей и компонентов иранской ядерной программы, но по крайней мере один из них был прерван, а другие не сработали так, как планировалось.25 Однако то, что советники Буша предложили сделать в 2006 году, обещало вывести черное искусство саботажа на совершенно новый уровень.

То, что они предлагали, было автономным, точным ударом, включавшим в себя компьютерный код, который мог бы действовать независимо от его разработчиков, как только он попадал на целевые машины. Код, который имел интеллект, чтобы знать, когда он нашел свою цель, и освобождать свою полезную нагрузку только при совпадении всех нужных параметров. Который также тщательно маскировал свое присутствие. И главное, это был код, который мог физически уничтожить оборудование, но не через мгновенные, громкие взрывы бомб, а через незаметные и длительные действия.

Некоторые чиновники в администрации Буша скептически относились к тому, что такая атака может сработать, уподобляя ее неопробованному научному эксперименту.26 Но разработчики этой операции не ожидали от нее чудес. Они не рассчитывали полностью уничтожить иранскую программу по обогащению урана, а лишь на какое-то время остановить ее работу, выиграв этим немного время. И даже если операция будет раскрыта, это все равно будет беспроигрышный вариант, как и в ситуации с досье Фэруэлла, поскольку это приведет к сеянию сомнений и паранойи среди иранцев. Даже если инженеры обновят свои машины, перепрограммируют их, они никогда не будут уверены в том, что системы не оказались заражены снова, и что враги не попытаются изменить свою тактику. Они всегда будут начеку при малейших признаках неприятностей, и, если что-то пойдет не так, они никогда не узнают наверняка, была ли причина в физическом дефекте или вражеской компьютерной атаке. Они также будут гораздо осторожнее относиться к любому оборудованию, произведенному за границами Ирана, опасаясь, что оно может быть саботировано.

Дерзкая и изощренная схема, которая сочетала в себе как тайную, так и нелегальную деятельность, была, по сообщениям, задумана Стратегическим командованием США – подразделением Министерства обороны, которое управляет и контролирует ядерное оружие страны – во главе с генералом Джеймсом Картрайтом в качестве одного из ее разработчиков.27 Бывший высокопоставленный американский чиновник описал генерала Картрайта как человека идеи, в то время как бывший директор АНБ Кит Александр был человеком дела и отвечал за выполнение плана. «Роль Картрайта состояла в том, чтобы все красиво расписать, что называется, на бумаге», – сказал один чиновник газете Washington Post. Александр, в свою очередь, «обладал техническими ноу-хау и выполнял фактическую работу».28 Затем элитная команда программистов из АНБ разработала код. Более поздние версии, как сообщается, объединили в себе код от АНБ и код от Подразделения 8200 – израильский аналог АНБ. Однако после завершения разработки кода, его нужно было передать ЦРУ для контроля за доставкой к месту назначения, поскольку только ЦРУ имеет законные полномочия для проведения тайных операций.

Помимо сложных технических трудностей операции, существовали также и юридические проблемы, которые необходимо было решить, поскольку США намеревались атаковать инфраструктуру другой страны без объявления войны. Тайные операции требуют наличия документа, известного как президентское заключение, чтобы санкционировать свои действия, а также согласие Конгресса. И до того, как Буш подписал бумаги на проведение операцию, должен был быть проведен тщательный анализ, чтобы оценить связанные с операцией риски.29

           К счастью, саботаж центрифуг не нес в себе риск ядерной аварии. Газ гексафторида урана, при достаточной концентрации, был разрушителен для легких и почек, но весь каскад содержал в себе считанные десятки граммов газа, который быстро рассеивался, как только попадал в открытый воздух.

И хотя риск ядерного взрыва отсутствовал, оставались другие последствия, которые также стоило учесть, включая риск уничтожения компьютеров в Натанзе. Последнее было возможно в случае если код содержал в себе ошибку или баг, которые были несовместимы с системами, тем самым наводя иранцев на атаку и проваливая этим всю операцию. Существовал также риск возмездия, в случае если Иран обнаружит, что за атакой стоят Соединенные Штаты, а также риск ответного удара, если кто-то изменит код и использует его против американской критической инфраструктуры.

Но все-таки, пожалуй, самым большим риском было то, что Иран и другие страны узнают о настоящих кибервозможностях США. Проблема с использованием кибероружия заключается в том, говорит один бывший агент ЦРУ, что «как только оно появляется, это похоже на использование вашего истребителя-невидимки в первый раз, вы уже выпустили его в небо, и не можете притворяться, что истребителя-невидимки больше не существует. Итак, вопрос в том, для какого воздушного боя вы действительно хотите использовать этот истребитель-невидимку?».30

Стоила ли операция против Ирана разоблачения этого совершенно нового оружия? А как насчет потери моральных позиций, если вдруг станет известно, что за атакой стоят Соединенные Штаты? Цифровая атака, уничтожившая критическую инфраструктуру другой страны – а Иран, без сомнения, заявил бы, что центрифуги были частью критической инфраструктуры – по сути, была актом войны. Соединенным Штатам было бы крайне сложно указать обвиняющим пальцем на какую-то другую страну.

Неясно, как далеко были продвинулись исследования и работа к тому времени, когда советники Буша предложили свой план в 2006 году. Но как только Буш одобрил проведение секретной операции, команде понадобилось всего восемь месяцев, чтобы завершить её разработку.

Это был гениальный заговор, который развивался точно по плану.

До поры, до времени…

Сноски, ссылки и используемая литература:

1.    Сотрудники Spiegel, “Cables Show Arab Leaders Fear a Nuclear Iran”, Der Spiegel, 1 декабря, 2010.

2.    Телеграмма Госдепартамента США от Майкла Гфеллера, 20 апреля, 2008, доступно по адресу: http://www.nytimes.com/interactive/2010/11/28/world/20101128-cables-viewer.html#report/iran-08RIYADH649.

3.    “Cables Show Arab Leaders Fear a Nuclear Iran”, Der Spiegel.

4.    Джеффри Голдберг, “The Point of No Return,” The Atlantic Monthly, сентябрь 2010.

5.    Кэтрин Коллинз и Дуглас Франц, Fallout: The True Story of the CIA’s Secret War on Nuclear Trafficking (New York: Free Press, 2011), 212.

6.    В июне 1991 года, когда тогдашний министр обороны Чейни посетил Израиль, он якобы передал снимок реактора «Осирак», сделанный после того, как он был уничтожен. Чейни прокомментировал изображение: «генералу Иври с благодарностью и признательностью за выдающуюся работу, которую он проделал над иракской ядерной программой в 1981 году, что значительно облегчило нашу работу». Смотрите Дуглас Франц и Кэтрин Коллинз, The Nuclear Jihadist: The True Story of the Man Who Sold the World’s Most Dangerous Secrets (New York: Free Press, 2007), 190.

7.    Эрих Фоллат и Хольгер Старк, “The Story of ‘Operation Orchard’: How Israel Destroyed Syria’s Al Kibar Nuclear Reactor,” Der Spiegel, 2 ноября, 2009. Для получения информации о радиоэлектронных средствах, использованных для уничтожения радиолокационной станции, смотрите, Дэвид. А. Фулхам, “U.S. Watches Israeli Raid, Provides Advice,” Aviation Week, 21 ноября, 2007.

8.    Джулиан Боргер, “Israeli Airstrike Hit Military Site, Syria Confirms,” Guardian, 1 октября, 2007.

9.    Дэвид Олбрайт отмечает, что при полной эксплуатации реактор мог производить достаточно плутония для создания ядерного оружия каждые один-два года. Дэвид Олбрайт, Peddling Peril: How the Secret Nuclear Trade Arms America’s Enemies (New York: Free Press, 2010), 3.

10. Тим Шипман, “U.S. Pentagon Doubts Israeli Intelligence Over Iran’s Nuclear Program,” Telegraph, 5 июля, 2008.

11. Госдепартамент США, “Israeli NSA Eiland on Iranian Nuclear Threat,” 26 апреля, 2006, опубликовано на WikiLeaks: http://wikileaks.org/cable/2006/04/06TELAVIV1643.html.

12. Эрих Фоллат и Хольгер Старк, “The Birth of a Bomb: A History of Iran’s Nuclear Ambitions,” Der Spiegel, 17 июня, 2010.

13. Дэвид Э. Сэнгер, “U.S. Rejected Aid for Israeli Raid on Iranian Nuclear Site,” New York Times, 10 января, 2009.

14. Дэвид Э. Сэнгер, “Iran Moves to Shelter Its Nuclear Fuel Program,” New York Times, 1 сентября, 2011.

15. Подробнее об истории кибервойны правительства США читайте в главе 12.

16. В середине 2007 года западные спутники засекли признаки возможного строительства туннеля в горах, прилегающих к Натанзу, возможно для того, чтобы изолировать материалы и оборудование от предполагаемого нападения на завод. NCRI сообщили, что Иран фактически строит секретные туннели в более чем дюжине мест по всей стране для зашиты ракетных и ядерных установок от потенциальной атаки. Израиль добился от США соглашения о поставке нового поколения бомб для подрыва бункеров, которые, как утверждается, были в десять раз мощнее предыдущего поколения и были способны пробивать цемент и проникать глубоко под землю. Но новые бомбы должны были быть готовы только к 2009 или 2010 году, и при этом не было никакой гарантии, что они сработают против Натанза. Смотрите Дэвид Олбрайт и Про Бреннан, “New Tunnel Construction at Mountain Adjacent to the Natanz Enrichment Complex,” ISIS, 9 июля, 2007, доступно по адресу: https://isis-online.org/uploads/isis-reports/documents/IranNatanzTunnels.pdf. Смотрите также, Уильям Брод, “Iran Shielding Its Nuclear Efforts in Maze of Tunnels,” New York Times, 5 января, 2010.

17. Позже бюллетень был рассекречен. Смотрите Гай Вайс, “The Farewell Dossier: Strategic Deception and Economic Warfare in the Cold War,” в Studies in Intelligence, 1996, доступно по адресу: https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/csi-studies/studies/96unclass/farewell.htm.

18. По словам Вайса, ЦРУ также начало кампанию по дезинформации вокруг технологии лазерного оружия, чтобы убедить советских ученых в том, что эта недоказанная технология – именно то, чем им стоит срочно заняться. Когда ЦРУ обнаружило советские документы, в которых обсуждалась эта технология, агентство организовало размещение статей о ней в журнале Nature и других респектабельных научных изданиях, чтобы создать шумиху о ней, как о многообещающем открытии. Затем они резко прекратили публиковать какую-либо информацию касающуюся этого вопроса, чтобы заставить советов думать, что технология имеет стратегическое значение и что разговоры о ней были подавлены правительством. Вайс сказал, что советы, видимо, проглотили наживку, ибо годы спустя, когда Советский Союз распался, были найдены доказательства того, что советские ученые проводили исследования в области лазерных технологий.

19. Полная история жизни Ветрова и досье Фэруэлла изложены в книге Сергея Костина и Эрика Рейно, Farewell: The Greatest Spy Story of the Twentieth Century. Книга, опубликованная на французском языке в 2009 году, была переведена на английский Кэтрин Кавин-Хиггинс и опубликована в 2011 году компанией Amazon Crossing. Книга была экранизована, фильм вышел в 2009 году под названием L’affaire Farewell.

20. Томас К. Рид, At the Abyss: An Insider’s History of the Cold War (New York: Presidio Press, 2004), 268–69.

21. Рассказ Рида о взрыве трубопровода после первой публикации обрел свою собственную жизнь и неоднократно пересказывался как факт, хотя ни один рассказчик не смог его обосновать. Поэтому есть поводы сомневаться в правдивости этой истории. По словам Рида, взрыв был зафиксирован американскими инфракрасными спутниками и вызвал переполох среди членов Совета национальной безопасности. Они начали догадываться, не проводил ли Советский Союз испытания атомного оружия в Сибири, но Вайс сказал им не беспокоиться по этому поводу. Вайс никогда не объяснял, почему им не стоило беспокоиться об этом, но 20 лет спустя, когда Рид писал свою книгу, Вайс сказал ему, что причиной взрыва, о котором они беспокоились, была делом рук ЦРУ. Но Василий Пчелинцев, бывший глава КГБ в регионе, где, по словам Рида, произошел взрыв, сказал, что этого никогда не было, и что Вайс, скорее всего, просто ошибочно связал досье Фэруэлла со взрывом, который произошел в апреле 1982 года в другом регионе. И взрыв тот, говорил Пчелинцев, был результатом смещения труб, которые двигались из-за таяния снега, а не саботажа со стороны ЦРУ. Смотрите Анатолий Медецкий, “KGB Veteran Denies CIA Caused ’82 Blast”, Moscow Times, 18 марта, 2004.

На вопрос, верит ли он рассказу Вайса о взрыве трубопровода, Рид ответил мне в телефонном интервью в октябре 2010 года: «Я действительно не знаю, произошло ли это… Ясно только то, что этот эпизод с досье существовал на самом деле. Агентство провело очень серьезную кампанию по саботажу материалов, отправляемых русским». Он сказал, что помнит, что, взрыв произошел в то время, когда он еще работал в Совете национальной безопасности. «Я вспомнил, что произошло событие, которое сильно озадачило разведывательное сообщество». Но был ли это взрыв трубопровода на самом деле, «это было тридцать лет назад», говорит он, признавая, что его и Вайса воспоминания могли потерять четкость на протяжении столь долгого времени. «Я с уважением отношусь к русским историкам, которые утверждают, что никакого взрыва, связанного с досье, не было… Но, возможно, взрыв и был, но был результатом не троянского коня… Правда это или нет, я не знаю». Однако не стоит слишком надеяться, что любые будущие пересказы истории о взрыве трубопровода будут сделаны без соответствующих оговорок.

22. Инспекторы МАГАТЭ увидели тот насос в Натанзе, потому что он выделялся из остальных наличием наклейки, идентифицирующей его как собственность Лос-Аламосской Национальной лаборатории, что они сочли странным. Когда МАГАТЭ провело расследование, оказалось, что серийный номер этого насоса совпадал с серийными номерами насосов, которые они видели в Ливии, что могло значить только одно – все эти насосы были из одной и той же партии. Инспекторы отследили заказ на насосы до американской лаборатории. Никто так и не смог выяснить, как наклейка из Лос-Аламоса попала на насос в Натанзе и почему она не смутила иранцев. Смотрите Коллинз и Франц, Fallout, 138.

23. Frantz and Collins, Nuclear Jihadist, 238.

24. Интервью Голама Резы Агазады, январь 2007 года, с Аянде-йе. Само интервью недоступно онлайн, но на него ссылаются Шейла МакВикар и Фархан Бухари, “Assessing Iran’s Nuclear Program,” CBS News, 4 апреля, 2007, доступно по адресу: http://www.cbsnews.com/news/assessing-irans-nuclear-program.

25. Один из не состоявшихся планов, придуманный Моссадом и ЦРУ, как описано в книге Джеймса Райзена State of War, предусматривал использование электромагнитного импульса для уничтожения компьютеров, используемых на ядерных объектах Ирана. Шпионы планировали контрабандой ввезти в Иран оборудование, которое доставит электромагнитный импульс к линиям электропередач за пределами объектов. Однако ЦРУ отказалось от этой затеи, поняв, что оборудование слишком велико, чтобы тайно доставить его в Иран. Райзен, State of War: The Secret History of the CIA and the Bush Administration (New York: Free Press), 208–9.

26. Сангер, “U.S. Rejected Aid for Israeli Raid”.

27. Тайные операции включают в себя секретную деятельность, такую как наблюдение и сбор разведывательной информации для обнаружения информации о цели, которая позже может быть атакована. Однако, эта тайная деятельность, по задумке, должна быть обнаружена, поскольку она предназначена для влияния на условия – политические, экономические или военные – хотя сторона, ответственная за эту деятельность может оставаться скрытой, например, ЦРУ. Операция Stuxnet включала в себя как подпольную, так и тайную деятельность. Подпольная деятельность включала в себя сбор разведывательных данных о заводе. Но установка вредоносного кода в систему управления должна была быть скрытой лишь до определенного времени.

28. Эллен Накасима и Джоби Уоррик, “Stuxnet Was Work of U.S. and Israeli Experts, Officials Say”, Washington Post, 2 июня, 2012.

29. Сангер, “U.S. Rejected Aid for Israeli Raid”.

30. Интервью автора, 2012.

31. Дэвид Е. Сангер, Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power (New York: Crown, 2012), 193.

Глава 12. Пятый элемент.

Когда советники Буша предложили ему идею высокоточного цифрового оружия, направленного на саботаж иранских центрифуг, планы по развитию подобных возможностей разрабатывались уже в течение десяти лет. Америка вполне осознавала, что их собственные военные сети могут быть уязвимы для вражеских атак.

Ученые и военные и того дольше размышляли над концепцией кибервойны и потенциалом цифрового оружия. Еще в 1970 году Совет по обороне изучал потенциальные военные преимущества атак на компьютерные сети. Это сделало бы их ненадежными и бесполезными в том, что тогда называлось информационная война. Однако в то время компьютеризация только начинала свои обороты, как такового интернета еще не существовало, так что потенциальные возможности должны были подождать, пока их догонит реальность.

Это произошло в 90-х годах, примерно в то же время термин «кибервойна» был введен в основополагающем документе 1993 года RAND под названием «Кибервойна грядет!»: «Мы предполагаем, что кибервойна может стать тем же, чем блицкриг был в 20 веке», – писали в то время Джон Аркилла и его соавтор.1 Аркилла, ныне профессор Военно-морской аспирантуры в Калифорнии и военный консультант, признал потенциал цифровых атак еще во время Первой войны в Персидском заливе, когда Соединенные Штаты использовали специальную радиолокационную систему для обнаружения движущихся целей в Ираке, и понял, что она вполне могла бы быть обезврежена, иранцам просто нужно было найти способ как это сделать. Тогда Аркиллу поразило, что компьютерные технологии, которые с одной стороны делают современную армию сильной, с другой стороны открывают в ней уязвимости. «Что сделало эту мысль еще более пугающей, так это то, что эта власть принадлежала не только правительственной армии, но и хакерам», – добавил он позже. И разрушительная сила этих хакерских групп росла, что называется, «не по дням, а по часам».2

Военные уже имели свой первый опыт с кибератаками в 1980-х годах, когда немец по имени Маркус Гесс, который, как сообщается, был завербован КГБ, взломал сотни военных систем и исследовательских объектов, таких как Национальная лаборатория Лоуренса Беркли, в поисках разведданных о спутниках и системе космической обороны.3 Затем последовали и другие опасности. В 1990 году, в преддверии Первой войны в Персидском заливе, голландские подростки взломали почти три десятка американских военных машин, ища информация о ракетах Patriot, ядерном оружии и операции против Ирака. Американцы опасались, что подростки планируют продать информацию Ираку. Затем, в 1994 году, шестнадцатилетний британский хакер, под руководством своего двадцатиоднолетнего наставника из Уэльса, хакнул системы ВВС США и использовал их для проникновения в южнокорейский институт ядерных исследований, а также для нападения на более чем сотню других жертв. В то время Соединенные Штаты были вовлечены в деликатные ядерные переговоры с Северной Кореей, и военные опасались, что если бы хакеры нацелились на объект в Северной Корее, то могли бы привести две страны на грань войны.4

Но это правило работало для обеих сторон. Если американские системы были уязвимы для атак, то такими же уязвимыми были и системы противников. И хотя Соединенные Штаты еще не располагали возможностями для проведения таких атак, колеса уже были приведены в движение.

Военно-воздушные силы первыми предприняли шаги в этом направлении в 1993 году, когда они переформировали свой Центр радиоэлектронной борьбы в Центр информационной войны ВВС и создали два года спустя 609-ю эскадрилью информационной войны – первое военное подразделение кибербойцов.5 Расположенный на авиабазе Шоу в Южной Каролине, она должна была объединить в себе наступательные и оборонительные кибердействия для поддержки боевых операций. На тот момент, наступательные операции были все еще более теоретическими, поэтому подразделение сосредоточилось в основном на оборонительных тактиках. Но военные быстро поняли, что оборонительные и наступательные тактики сильно взаимосвязаны, потому что, защищая свои собственные сети от вражеских атак, они получали разведданные и навыки, необходимые для взлома вражеских. В 1996 году эскадрилья организовала учения «Красная команда/Синяя команда», чтобы проверить наступательные и оборонительные навыки подразделения, и в течение двух часов красная команда получила полный контроль над системой воздушного контроля синей команды.

В 1997 году военные провели более организованные учения по оценке своих оборонительных возможностей против атак вражеских хакеров. Это упражнение, получившее название «Приемник», столкнуло красную команду хакеров АНБ с сетями Тихоокеанского командования США на Гавайях. Для проведения атаки команде было запрещено использовать инсайдерские знания или что-либо еще, кроме готовых инструментов, которые были доступны обычным хакерам. Команда красных начала свое наступление через коммерческую учетную запись удаленного доступа в интернете и ворвались прямо в сети военных без особого сопротивления. Системные администраторы на Гавайях, которые не знали об учениях, заметили только два из многочисленных вторжений, совершенных хакерами из АНБ в течение 90 дней, но даже тогда они ничего не заподозрили, потому что входящий трафик напоминал обычный трафик, которые администраторы ожидали увидеть в сети. Это было мало похоже на нападение на Перл Харбор в 1941 году, когда оператор радара Опана на острове Оаху заметил приближающиеся самолеты, но не поднял тревогу, потому что его начальство посчитало, что они были союзными.

Хакеры красной команды оставили в системах файлы-маркеры в знак доказательства того, что они там были, а также создали ряд имитационных атак, демонстрирующих, как они могли захватить контроль над энергетическими и коммуникационными сетями в Оаху, Лос-Анджелесе, Чикаго и Вашингтоне, округ Колумбия. Если бы они захотели, то могли бы захватить контроль над системой, используемой для командования сотнями тысяч военнослужащих, или организовать «каскадные отключения электроэнергии и другие мероприятия, которые вызвали бы социальные волнения», – согласно словам генерал-лейтенанта Джона Х. Кэмплбелла, ныне отставного генерала ВВС, одно время возглавлявшего информационные операции Пентагона. Это упражнение «напугало до чертиков многих людей, – позже сказал Кэмпбэлл, – потому что последствия того, что эта команда смогла сделать, были довольно многообещающими.7

Позже, когда военные руководители были проинформированы об учениях, они предположили, что красная команда использовала секретные инструменты для атаки, и были удивлены, узнав, что АНБ использовало те же методы, что и любой подросток-хакер.

В следующем году группа подростков ворвалась в военные сети, используя те же самые низкоуровневые методы, в деле, которое получило название Операция Солнечный Восход. Злоумышленники, похитившие конфиденциальные данные с пятисот систем, оказались двумя калифорнийскими подростками, подстрекаемыми израильским хакером по имени Эхуд Таненбаум. В то время Министерство обороны провело две военные кампании – в Боснии и Герцеговине и Ираке. Вторжение, по мнению военных специалистов, было очень похожим на то, что сделали бы вражеские нападающие, если бы они пытались получить преимущество на поле боя. Заместитель министра обороны Джон Хамре, по сути, считал, что эти атаки «могут быть первыми выстрелами настоящей кибервойны, возможно, со стороны Ирака».8 Это были реальные военные игры, которые подчеркнули трудность в нахождении отличий между государственными нападениями и атаками простых подростков, испытывающих свои возможности. «Все что мы выучили в «операции Приемник, мы переучили в Солнечном Восходе», – позже заключил Хамре. «Нет ничего лучше, чем реальный опыт».9

Настоящий урок, однако, произошел немного позже, когда Хамре созвал собрание, чтобы обсудить вторжение, и оглядел комнату, заполненную двумя дюжинами людей, которые спрашивали: «Кто здесь главный?», «Кто отвечает за нашу безопасность?» и понял, что в случае с кибератаки, никто, видимо, не был ответственным. Шок от осознания этого факта привел к созданию в декабре 1998 года совместной целевой группы – Computer Network Defense (JTF-CND), первой военной группы, которой было поручено выяснить, как все-таки защитить военные сети.10

Оперативная группа, возглавляемая Кэмпбеллом, представляла собой пеструю группу, состоящую из пары летчиков-истребителей ВВС и флота, офицера морской пехоты, нескольких рейнджеров, пилота подводной лодки, сотрудников разведки и нескольких контрактников. Один офицер описал их как «несколько парней в летных куртках… и кучка гражданских лиц в галстуках».11 Лишь немногие из них были IT-шниками, знавшими толк в сетях. Первоначально у них не было ни офиса, ни вспомогательного персонала, и им приходилось работать в трейлерах на стоянках. Но со временем группа выросла до более чем 150 человек.

Их миссия состояла в разработке доктрин и методов защиты сетей Министерства обороны от нападения, но прежде чем начать, им нужны были ответы на два вопроса: должны ли они разработать структуру типа NORAD для защиты гражданской критической инфраструктуры? И что насчет нападения? «Мы все уже жаждем перейти в режим атаки», – вспоминает Маркус Сакс, армейский инженер, один из первых членов оперативной группы. «Все думают о потенциале запуска кибероружия… Мы хотим пойти по этому пути и как бы выяснить, насколько сильно может измениться нападение с п цифрового оружия».

Это была эпоха хакерских конференций, таких как Def Con и HOPE, две конференции, проводимые в Лас-Вегасе и Нью-Йорке, которые стали популярными форумами для хакеров и исследователей, на которых те могут обсудить дыры в безопасности и хакерские инструменты.13 ФБР и другие разведывательные службы каждый год под прикрытием скрывались на Def Con, поэтому Сакс решил тоже поприсутствовать и, так сказать, открыть глаза на возможности того, какие возможности может предоставить эта конференция для военных. Но оперативной группе было приказано сбавить обороты, так как военные еще не были готовы к наступательным операциям. «Еще не были проработаны юридические вопросы», – объясняет Сакс.

Однако была и другая причина для осторожности. Кибероружие – это оружие, из которого вы стреляете, и оно никуда не исчезает. Кто-нибудь может поднять его и выстрелить прямо в тебя», – говорит Сакс. «Это была очень серьезная причина, для того, чтобы не начинать его использование».

В то время Сакс не знал, что в прошлом году министр обороны уже дал АНБ полномочия начать разработку методов компьютерного сетевого нападения(CNA), задача, которую шпионское агентство приняло в качестве расширения своих существующих обязанностей в области радиоэлектронной борьбы, которые включали глушение вражеских радиолокационных систем и уничтожение каналов связи.14 АНБ считало, что его технические гении могут сыграть решающую роль на зарождающемся цифровом поле боя.

Преимущества цифрового боя перед классической войной были очевидны, писало АНБ во внутреннем информационном бюллетене в 1997 году.15 В эпоху телевизионных войн, когда изображения мешков для трупов давали не давали забыть людям насколько суровы реалии войны, кибервойна в свою очередь предлагала хорошую альтернативу, которую будет намного легче воспринимать людям. Но были и другие преимущества, отмеченные в докладе: низкая стоимость для проведения таких кампаний, «гибкая база развертывания», где «быть в пределах досягаемости» цели вовсе не обязательно, а также разнообразный и постоянно расширяющийся набор целей по мере компьютеризации все более и более важных систем.

Шпионское агентство, по сути, еще за десять лет до Stuxnet начало рассматривать наступательные возможности, предоставляемые растущей зависимостью мира от компьютерных систем управления в критической инфраструктуре. Другая статья в том же бюллетене предлагала построить карту для отслеживания технологий, которые уже были на полках магазинов, а также тех, которые все еще были «огоньком в глазах инженеров», чтобы в последствии развить возможный спектр атак.16 В бюллетене также предлагалось каталогизировать все общедоступные хакерские инструменты – уже доступные для использования вирусы, логические бомбы, трояны и бэкдоры. Эти мощные инструменты, «если они будут эффективно использоваться», отметил автор, «могут быть чрезвычайно разрушительными для информационной инфраструктуры любой страны».17 Это включало, однако, и инфраструктуру США. «Итак… прежде чем вы начнете думать об этой богатой целями среде», – предупреждал информационный бюллетень агентства, – «помните, что генерал Кастер тоже был в богатой мишенями среде!».18

Однако, несмотря на очевидный интерес к проведению цифровых атак, юридические вопросы продолжали вызывать недоумение. Весной 1999 года, когда силы НАТО сбрасывали бомбы на Югославию, Ассоциация Военно-Воздушных Сил созвала в Техасе закрытый симпозиум для обсуждения возможностей того, что все еще называлось «информационной войной». Генерал Джон Джампер, командующий ВВС США в Европе, сказал собравшимся, что, хотя информационная война и вызывает ощущение захвата «неприкосновенной инфраструктуры» противника, военных там еще не было. Кибероружие на тот момент все еще оставалось в основном лабораторным оружием, и единственная информационная война, которая велась в тот момент, происходила между юристами, политиками, и военными лидерами в Вашингтоне, которые все еще спорили о значимости и законности сетевых атак.19 Джампер сказал собравшимся: «Я представляю себя возле того же самого стратегического стола, где у вас есть пилот истребителя, пилот бомбардировщика, агенты специальных операций и бойцы информационной войны. Когда вы идете вниз по списку целей, каждый из них по очереди поднимает руку говоря: «я могу взять эту цель на себя». Когда вы доберетесь до информационного воина, он скажет: «я могу взять эту цель, но сначала я должен вернуться в Вашингтон и получить президентское одобрение».20

Однако это начало меняться в 2000 году, когда оперативная группа Пентагона по сетевой обороне внезапно получила указание добавить наступательные операции к своей миссии и разработать доктрину их использования. Изменение фокуса деятельности также привело к изменению названия. Вместо Joint Task Force–Computer Network Defense они стали называться Joint Task Force–Computer Network Operations. Внешне это изменение было незаметным, чтобы не привлекать внимания, говорит Сакс, но внутренне оно сигнализировало о готовности военных начать серьезно планировать наступательные операции.

Перед целевой группой теперь постоянно стояло множество вопросов. Была кибератака военной акцией или тайной операцией? Каковы были требования для проведения подобных атак? Уничтожение компьютерных систем связи казалось очевидной задачей для наступательной операции, но как насчет саботажа систем управления вооружением?21 И кто будет ответственным за проведение таких операций? До тех пор, пока ВВС нуждались в уничтожении вражеских радиолокационных систем, они вынуждены были работать совместно с группой радиоэлектронной борьбы АНБ. Но АНБ было разведывательным агентством, основной задачей которого был перехват информации. Вывод из строя компьютеров, контролировавших артиллерийскую систему, больше походил на работу боевых подразделений, а не компьютерных.

С добавлением наступательной миссии к оперативной группе генерал-майор Джеймс Д. Брайан стал новым командующим оперативной группы. Но заместитель министра обороны Хамре дал ясно понять, что оборона по-прежнему является приоритетом группы, и что наступательные операции должны быть просто вспомогательными к обычным операциям, а не заменой им.

 По крайней мере так было до теракта 11 сентября, о которых вспоминал Брайан как о «изменивших наши приоритеты». Наступательные операции внезапно приобрели большее значение, и впервые группа начала подходить к наступательным кибератакам так, как подходила к кинетическим – как к средству уничтожения целей, а не просто использования компьютеров для сбора разведданных. «Мы действительно обратились к военному командованию и запросили у них список целей», – вспоминал он позже. «И мы действительно прошли через процедуру взвешивания, анализа и определения приоритетов целей в глобальном масштабе.22

Наступательные операции США продвинулись еще дальше в 2003 году, когда Пентагон разработал секретную «Карту информационных операций», направленную на превращение информационной войны в основную военную компетенцию наравне с воздушными, наземными, морскими и специальными операциями.23 В секретном докладе, опубликованном с изменениями несколько лет спустя, отмечалось, что уже ведется всеобъемлющий процесс оценки возможностей кибероружия и шпионских инструментов и разработки политики их использования. Последнее подразумевает собой попытку определить, какой уровень манипулирования данными или системами считать нападением или применением силы, а какой квалифицировать как простой сбор разведданных. Какие действия могут быть законно предприняты в целях самообороны и какой уровень атрибуции необходим, прежде чем Соединенные Штаты смогут нанести ответный удар? Кроме того, могут ли Соединенные Штаты использовать «невольные хосты» для запуска атаки, то есть прохождение через другие системы или управление ими для атаки противника, если в результате невольный хост столкнется с возмездием?

В 2004 году, чтобы учесть это повышенное внимание к наступательным операциям, Министерство обороны разделило свои наступательные и оборонительные кибероперации на два подразделения, что для многих стало сигналом начала милитаризации киберпространства. Оборонительное подразделение стало называться Объединенной оперативной группой по глобальным сетевым операциям, а наступательное подразделение – Объединенным функциональным компонентом командования кибердействий. Последний размещался в Форт-Миде, на родине АНБ, но находился под стратегическим командованием США и руководством генерала морской пехоты Джеймса Э. Картрайта. Но в следующем году, как говорят некоторые, действительно начался «культ наступления» – когда генерал Кит Александр занял пост директора АНБ после генерала Майкла Хайдена, и акцент на разработке кибероружия для ведения войны значительно усилился. Все это происходило параллельно разработке операции «Олимпийские игры» и Stuxnet.

Шесть лет спустя, в мае 2010 года, когда Stuxnet был уже широко распространен на компьютерах по всему миру и был готов к своему разоблачению, Пентагон объединил свои оборонительные и наступательные кибероперации под новым киберкомандованием США. Новое подразделение по-прежнему входило в состав Стратегического командования США, но находилось под командованием директора АНБ Александра, что давало лидеру агентства беспрецедентные полномочия как в разведывательных операциях, так и в кибератаках. Через три месяца после создания Киберкомандования США Пентагон официально признал киберпространство «пятой сферой» ведения военных действий после авиации, суши, моря и космоса.

Однако все это было лишь формальным признанием деятельности, которая так или иначе велась уже в течение десятилетия. Однако из-за секретного характера наступательных операций общественность имела лишь незначительные намеки на эти действия, которые понемногу просачивались в публику на протяжении многих лет.

Например, в конце 90-х годов в Косово силы НАТО, возможно, использовали определенные кибертехнологии «для искажения изображений, которые», по словам Джона Аркиллы, работавшего в то время в Стратегическом командовании США, «создавали сербские интегрированные системы ПВО».24 Президент Клинтон также, как сообщается, одобрил тайную кибероперацию, направленную против финансовых активов президента Югославии Слободана Милошевича в европейских банках, хотя существуют противоречивые заявления, которые ставят этот факт под сомнение.25 В 2003 году однако, когда аналогичная кибератака была предложена для замораживания финансовых активов Саддама Хусейна, министр финансов США отклонил ее, опасаясь, что подобная атака может иметь непоправимые последствия для других финансовых счетов на Ближнем Востоке, в Европе и Соединенных Штатах.26

В 2007 году США помогли Израилю с кибератакой, которая сопровождала бомбардировку комплекса Аль-Кибар в Сирии, предоставив разведданные о потенциальных уязвимостях в сирийских системах обороны. Как отмечалось ранее, они вывели из строя сирийскую радиолокационную станцию вблизи турецкой границы, комбинируя использование электронных помех и высокоточных бомб. Но, если верить аналитикам американской разведки, израильтяне взломали систему ПВО Сирии, дополнительно используя бортовую технологию для «электронной атаки воздух-земля», а затем проникли еще глубже в систему через компьютерные коммуникации.27 В недавнем докладе Управления подотчетности правительства США атаки типа «воздух-земля» описываются как полезные для достижения «в противном случае недоступных сетей», которые не могут быть достигнуты через проводные соединения.28

В 2011 году, во время гражданского восстания в Ливии, также велись разговоры об использовании кибератак для разрыва военных линий связи этой страны и создания помех системам раннего предупреждения в обнаружении военных самолетов НАТО. Однако план был отвергнут в связи с недостатком времени на его подготовку. Потребность в более длинном времени подготовки является одним из главных недостатков цифровых операций – разработка атаки, которая параллельно не зацепит невинных граждан, требует предварительной разведки и планирования.

Совсем недавно утечки от бывшего системного администратора АНБ Эдварда Сноудена предоставили некоторые из самых обширных взглядов на тайные кибероперации правительства в его борьбе с терроризмом. Документы описывают элитные хакерские силы АНБ в Форт-Миде и региональных центрах в Джорждии, Техасе, Колорадо и Гавайях, которые предоставляют Киберкомандованию США инструменты и методы атаки, необходимые для контртеррористических операций. Но правительственные кибервоины также сотрудничали с ФБР и ЦРУ в проведении цифровых шпионских операций, включая оказание помощи ЦРУ в отслеживании целей для его кампании по уничтожению беспилотников.

Чтобы выследить Хасана Гуля, соратника Усамы бен Ладена, который был убит в результате удара беспилотника в 2012 году, АНБ развернуло «арсенал инструментов кибершпионажа», чтобы, согласно документам Сноудена, полученным Washington Post, захватить контроль над ноутбуками, прослушивать аудиофайлы, и отслеживать радиопередачи – все для того, чтобы определить, где Гуль может остановится ночью.30 А с 2001 года, АНБ также проникло в широкий спектр систем, используемых партнерами Аль-Каиды в Йемене, Африке и других местах для сбора разведданных, которые они не могли получить через программы массового сбора данных от интернет-компаний, таких, как Google и Yahoo, или от сетей подводных кабелей и интернет-узлов.

Однако подозреваемые в терроризме – не единственные цели АНБ. В последние годы также увеличилось количество операций против национальных противников. В 2011 году АНБ провело 231 наступательную кибероперацию против других стран, три четверти из которых, согласно документам, были обозначены как «первоочередные цели», такие как Иран, Россия, Китай и Северная Корея. В рамках секретной программы стоимостью 652 миллиона долларов под кодовым названием GENIE АНБ, ЦРУ и специальные военные оперативные группы внедрили десятки тысяч цифровых жучков в компьютеры и маршрутизаторы по всему миру для эксплуатации компьютерных сетей, или CNE (взлом компьютерных сетей для передачи информации). Некоторые из них устанавливаются удаленно, остальные же требуют физического доступа для установки – ЦРУ или ФБР перехватывают поставки оборудования от производителей и розничных продавцов, чтобы внедрить в них вредоносное ПО или установить поддельные чипы до того, как они достигнут покупателя. Жучки или имплантаты работаю как «спящие клетки организма» – они могут включаться и выключаться по желанию оператора, и производить сбор данных только тогда, когда это необходимо.31 Большинство имплантатов создаются специальном отделом АНБ и имеют кодовые названия, такие как UNITEDDRAKE и VALIDATOR. Они предназначены для открытия бэкдора, через который хакеры АНБ могут удаленно исследовать зараженные системы и все устройства, которые взаимодействуют с ними, а также устанавливать дополнительные инструменты для извлечения из них огромных объемов данных. Имплантаты, как утверждается, были созданы таким образом, чтобы выживать в системах на протяжении многих лет и продолжать работать даже при обновлении программного обеспечения жертвы, которые обычно уничтожают их.32 В 2008 году АНБ имело 22 252 имплантата, установленных в системах по всему миру. К 2011 году это число возросло к 68 975, а в 2013 агентство рассчитывало установить 85 тысяч имплантатов, планируя довести этот показатель до миллиона. Но такое большое количество имплантатов создало для АНБ проблему. С таким их количеством, скрывающимся в системах по всему миру, шпионское агентство банально не могло воспользоваться всеми машинами, находящимися под контролем. Согласно документам Сноудена, в 2011 году, шпионы АНБ могли в полной мере использовать только 10% зараженных ими машин. Чтобы исправить это, агентство планировало автоматизировать процесс с помощью новой системы под кодовым названием TURBINE, которая, как утверждается, способна управлять миллионами имплантатов одновременно.33

Однако все эти операции – от Косово до Сирии и Ливии, а также разоблаченные в документах Сноудена – были сосредоточены на краже или изменении данных, или использовании кибертехнологий, которые помогали доставить физическое оружие к цели. Ни одна из них не была проведена как полноценная замена классическим физическим атакам. Это и было тем фактором, который сделал Stuxnet настолько принципиально другим и новым.

Stuxnet стоит особняком как единственная кибератака, которая привела к физическому уничтожению системы. Но есть намеки на то, что Соединенные Штаты готовились и к другим подобным атакам. Согласно сверхсекретной президентской директиве, просочившейся через Сноудена, в октябре 2012 года президент Обама приказал высокопоставленным сотрудникам национальной безопасности и разведки подготовить список иностранных целей – «систем, процессов и инфраструктур» – для возможной кибератаки.34 Точно неизвестно, действительно Соединенные Штаты были намерены проводить атаки, или просто строили планы на случай возможного конфликта. Но такие операции, как отмечалось в директиве, могут предоставить «нетрадиционные и уникальные» возможности «для достижения национальных целей США по всему миру практически без предупреждения цели и с потенциальными последствиями, варьирующимися от безобидных до вполне серьезных повреждений».

Всплеск наступательных операций и их планирование сопровождался таким же всплеском спроса на квалифицированных IT специалистов и средства атаки, необходимые АНБ для проведения этих операций. Хотя большинство имплантатов, используемых АНБ, разрабатываются их собственными силами в отделе TAO, в 2013 году АНБ также выделило 25,1 миллиона долларов на «тайные закупки уязвимостей программного обеспечения» у частных поставщиков – то есть небольших фирм и крупных кибероборонных подрядчиков, которые составляют новый промышленный военный комплекс, питающий серый рынок уязвимостей нулевого дня.35 Эта тенденция в правительственном аутсорсинге наступательных киберопераций видна в объявлениях о вакансиях, которые стали появляться последние годы от подрядчиков из сферы кибербезопасности, ищущих, например, «разработчиков кибератак», или опытных специалистов в «анализе программного обеспечения на наличие уязвимостей и разработке кода эксплойта». Один из проектов подрядчика из сферы кибербезопасности Northrop Grumman смело описывал «захватывающий и быстро развивающийся Научно-исследовательский проект» для «наступательной операции в киберпространстве», который не оставлял при этом никакой двусмысленности в отношении характера работы. Другие более тонко заявляют о своих намерениях, например, листинг Booz Allen Hamilton, подрядчика, на которого работал Сноуден в АНБ, искал «целевого аналитика цифровых сетей» для разработки эксплойтов «для операционных систем персональных компьютеров и мобильных устройств, включая Android, BlackBerry, Iphone и Ipad». Во многих вакансиях в числе требуемых навыков упоминаются как CND (защита компьютерных сетей), так и CNA (атаки на компьютерные сети), подчеркивающие, что проводимые исследования можно использовать как для улучшения безопасности систем, так и для их атаки.

Кто эти люди, которые заполняют эти рабочие места? Иногда это такие люди как Чарли Миллер, математик, упомянутый в главе 7, который был завербован АНБ для взлома кодов и компьютеров. А иногда это бывшие хакеры, разыскиваемые правоохранительными органами за взлом правительственных систем США, которых нанимают за их способность сделать то же самое, только на стороне государства. Нехватка высококвалифицированных кандидатов в профессиональных рядах, которые могут удовлетворить требования для элитных киберотрядов, привела к тому, что военные и разведывательные службы начали посещать хакерские конференции, такие как Def Con, где им, возможно, придется простить прошлые проступки хакера и немного снизить свои требования относительно офисной одежды и пирсинга, чтобы привлечь самых отборных специалистов. Один хакер, нанятый правительственным подрядчиком, поделился с интервьюером о своем беспокойстве, из-за того, что его история взлома правительственных систем США помешает ему работать с федералами, но кадровая компания, которая наняла его, «похоже, не заботилась о том, что всего пару лет назад я взламывал собственное государство или курил травку».36

Он описал часть работы, которую он проделал в составе команде из пяти тысяч сотрудников, работавших в здании без опознавательных знаков в невзрачном офисном комплексе в Вирджинии. Рабочим было запрещено приносить в здание мобильные телефоны или другую электронику, и даже оставлять их в своем автомобиле.   

Как только он был принят на работу, компания сразу дала ему список программ, которые он должен был взломать. Он быстро нашел базовые уязвимости во всех программах из списка. Его группа, по его словам, имела в своем распоряжении огромное хранилище уязвимостей нулевого дня – «десятки тысяч готовых к использованию багов» в программных приложениях и операционных системах для любой конкретной атаки. «Буквально, если вы можете назвать программу или контроллер, у нас есть эксплойты на любой случай», – утверждал хакер. Их не беспокоили патчи, потому что для каждой уязвимости, исправленной ее разработчиком, у них имелась другая, которая заменит ее. «Мы новая армия», – сказал он, – «Тебе может не нравится, что делает армия, но ты все равно хочешь, чтобы она у тебя была».37

 Это расширение правительственных операций по поиску уязвимостей освещает важный вопрос, который мало рассматривался, когда целевая группа Министерства обороны впервые разрабатывала свою наступательную доктрину десять лет назад. Этот вопрос даже сегодня получает мало общественного внимания и вообще не обсуждался в Конрессе – то есть этические вопросы и вопросы безопасности вокруг накопления эксплойтов и уязвимостей нулевого дня. Накапливая эксплойты нулевого дня для использования правительством в атаках, вместо того, чтобы передавать информацию о дырах поставщикам для исправления, правительство поставило владельцев критической инфраструктуры и пользователей компьютеров в Соединенных Штатах под угрозу атаки со стороны хакеров, корпоративных шпионов и иностранных разведывательных служб, которые, несомненно, обнаружат эти уязвимости и будут использовать их для своих собственных операций.

Как отмечалось ранее, когда исследователи обнаруживают уязвимости, они обычно раскрывают их публично или в частном порядке ее разработчику. Делается это для того, чтобы патч можно было распространить среди максимального количества пользователей. Но в случае с военными и разведывательными службами, в случае если в операции им требуется уязвимость нулевого дня, исправить уязвимость, это последнее что они хотят сделать. Вместо этого они держат кулачки и надеются, чтобы эту уязвимость не обнаружили до того, как они ее используют. «Если вы создали целую операцию, основанную на существовании одной уязвимости, черт, вы только что потеряли систему, в которую вы, возможно, вложили миллионы долларов и тысячи человеко-часов», – сказал Энди Пеннингтон, консультант по кибербезопасности из K2Share на конференции в 2011 году. Пеннингтон – бывший офицер систем вооружения ВВС США, чья работа робота до выхода на пенсию заключалась в обзоре новых кибертехнологий и разработке для ВВС оружия нового поколения.38 «Вы ж не собираетесь нанять команду исследователей, чтобы найти уязвимость, а затем выложить ее в сеть, чтобы все видели, пытаетесь ли вы разработать атаку на нее», – заявил он позже в интервью. «Мы вкладываем в выявление уязвимостей миллионы долларов, а все для того, чтобы использовать их и сохранять наше тактическое преимущество».

Но эта правительственная модель, в основе которой лежит удержание всех в уязвимом положении, чтобы в случае необходимости атаковать несколько целей – эквивалент отказа от вакцинации всего населения, чтобы заразить вирусом несколько выбранных людей.

Вполне вероятно, что, используя в Stuxnet целых четыре уязвимости нулевого дня для атаки на системы в Иране, хакеры, или компьютерные специалисты другого государства также использовали их для своих целей. «Наивно полагать, что пускай даже и с недавно обнаруженным нулевым днем вы будете единственным в мире, кто его открыл» – утверждает Говард Шмидт, бывший координатор Белого Дома по кибербезопасности и бывший исполнительный директор Microsoft. «Будь то другое правительство, исследователь, или продавец эксплойтов, вы можете быть единственным владельцем уязвимости несколько часов, возможно, дней, но не надейтесь, что это будет продолжаться долго».40

Уязвимость .LNK, которую использовал Stuxnet, была известна группе Zlob еще в 2008 году, за два года до того, как ее использовали в Stuxnet. Уязвимость диспетчера очереди печати также была известной и доступной для эксплуатации любым человеком.41 Кто знает, как долго другие нулевые дни, используемые в Stuxnet, могли быть известны и использованы другими хакерами в их атаках? В 2007 году, Immunity, кибероборонная фирма во Флориде, определила, что среднестатистический эксплойт нулевого дня остается необнаруженным на протяжении 348 дней, перед тем, как его обнаружат в системах. Наиболее длинная продолжительность жизни уязвимости нулевого дня составляет приблизительно три года.42 Сегодня ситуация не сильно отличается: средняя продолжительность жизни нулевого дня составляет десять месяцев, наиболее живучим удается скрываться в среднем до двух с половиной лет.43

Вскоре после занятия должности в 2009 году президент Обама объявил, что кибербезопасность в целом и обеспечение безопасности критической инфраструктуры в частности, являются главными приоритетами для его администрации. Но сокрытие информации об уязвимостях в американских системах, с тем, чтобы их можно было использовать против иностранных систем, создает раскол в правительстве, сталкивает агентства, которые копят и эксплуатируют нулевые дни, с теми, кто, как Министерство внутренней безопасности, должен помочь обеспечить безопасность и защиту критической инфраструктуры США и правительственных систем.

В своем выступлении на конференции 2011 года Энди Пеннингтон признал, что в правительстве существуют «конкурирующие интересы», когда речь заходит об уязвимостях. Но, добавил он, когда правительство находит уязвимости, которые оно хочет эксплуатировать, оно использует «скоординированное раскрытие уязвимостей» – своего рода ограниченное раскрытие – чтобы «облегчить оборону Соединенных Штатов» таким образом, чтобы при этом правительство сохраняло свою возможность атаковать. Он также добавил, что Министерство обороны «очень тесно сотрудничает с Microsoft», а также производителями систем управления, чтобы своевременно сообщать им об уязвимостях, обнаруженных в их системах. «Но я хотел бы еще раз подчеркнуть, что цель состоит в том, чтобы справиться с этим… чтобы мы могли поддерживать операции». С этой целью ми хотели бы быть «очень рассудительными в том, что вы раскрываете и как это фиксируется СМИ».44 Хотя он не уточнил, что означает ограниченное раскрытие информации, некоторые специалисты предположили, что речь идет о предоставлении информации об уязвимостях администраторам Министерства обороны – с целью принятия ими шагов для защиты военных систем от атак – все еще скрывая ее от поставщика и общественности. Сообщается также, что Microsoft заранее уведомляет правительство и частные компании о новых дырах в безопасности, обнаруженных в ее программном обеспечении, чтобы помочь правительству принять меры по защите своих систем до появления патча. Но это также может послужить удобной подсказкой АНБ, чтобы удалить любые эксплоиты, уже используемые для атаки на эту уязвимость до того, как Microsoft раскроет ее публично, или наоборот, быстро эксплуатировать машины, имеющие эту уязвимость, перед тем, как она будет исправлена.45

Грег Шаффер, бывший помощник министра внутренней безопасности сообщил Национальному общественному радио, что Министерство внутренней безопасности, которое помогает защитить невоенные системы правительства, иногда получает помощь «от организаций, которые работают над наступательными миссиями.46

Другой чиновник из Министерства внутренней безопасности, однако, говорит, что он не может вспомнить, чтобы «когда-либо видел уязвимость, поступившую к нам от Министерства обороны… Мы хотели бы чтобы было раскрыто как можно больше уязвимостей, чтобы обеспечить нам наилучшую оборонительную позицию». Но хотя отсутствие такой информации было неприятным фактом, он признал, что было бы неправильно со стороны правительства сохранять свою способность атаковать противника во вред критическим инфраструктурам и менее значимым системам страны.47

Хотя информация об уязвимостях может не передаваться от наступательных подразделений к обороняющим подразделениям для их исправления, все же бывают случаи, когда уязвимости, обнаруженные обороняющейся стороной, передавались наступательной стороне. Такое может произойти, например, для того, чтобы убедиться, что уязвимость в системе управления, уже эксплуатируемой АНБ или другими агентствами, не была обнаружена и исправлена. Бывший чиновник Министерства внутренней безопасности сказал, что этот «процесс поиска уязвимостей», как его называют, для систем управления, начался спустя некоторое время после того, как в 2007 году был проведен тест генератора Аврора. С тех пор уязвимости, которые правительственные исследователи находят в системах управления, проверяются специальной комиссией, с целью убедиться, что их раскрытие не навредит текущим операциям. «Если кто-то использует их… в законных целях… ну, мы должны уравновесить необходимость его раскрытия, исходя из ценности того, чтобы оставить ее открытой на некоторое время», – сказал бывший чиновник.

Этот процесс принятия решений в правительстве имеет давнюю традицию. Например, во время Второй мировой войны, когда англичане взломали шифр немецкой Энигмы и обнаружили, что союзные конвои были немецкой целью, им пришлось взвесить преимущества перенаправления конвоя для его сохранения, – и таким образом дать понять немцам, что их шифр был взломан – против стоимости жертвования конвоем, чтобы продолжать использовать критически важный источник разведданных.

Процесс принятия решения США включает в себя Центральный комитет, состоящий из представителей различных министерств и ведомств – Министерства обороны, Министерства юстиции, Государственного департамента, Министерства внутренней безопасности, Белого дома и разведывательного сообщества – и построен по образу другого процесса, разработанного Комитетом по иностранным инвестициям в Соединенных Штатах, известного как процесс КИИСШ, который взвешивает последствия иностранных инвестиций в США для национальной безопасности.

В случае с уязвимостями программного обеспечения, если правительственные исследователи обнаруживают дыру, например, в системе безопасности ПЛК, они предоставляют результаты исследования комитету, чтобы узнать, заинтересован ли кто-то в ее существовании. «Каждый имеет право голоса в отношении воздействия на компании или системы, от раскрытия уязвимости или нет», – говорит один чиновник. «Все это делается по электронной почте в секретной сети, где все возвращаются с ответом «да» или «нет». И если кто-то говорит «да», мы садимся и обсуждаем этот вопрос. «Если все говорят «нет», то мы просто продолжаем вести наш обычный процесс раскрытия уязвимостей».

На вопрос, передавало ли Министерство внутренней безопасности когда-либо информацию об уязвимостях наступательной стороне, с целью их эксплуатирования, он ответил «нет». Но признал, что сам акт обсуждения уязвимостей Комитетом принятия решений может непреднамеренно дать идеи о новых уязвимостях и их использовании. Хотя он говорит, что никогда не слышал, чтобы кто-то в комитете обращался к представителям систем промышленного управления с просьбой не раскрывать информацию о уязвимости с целью ее использования, он признал, что такие разговоры, вероятно, никогда не прозвучат так открыто. «Скорее всего они молча делают заметки, и мы никогда не узнаем, разработали ли они эксплойт для конкретной уязвимости, или нет», – сказал он.

Сноски, ссылки и используемая литература: 

1. Джон Аркилла и Дэвид Ронфельдт, “Cyberwar Is Coming!” опубликованная в 1993 году и перепечатана как Глава 2 в книге Аркиллы и Ронфельдта под названием In Athena’s Camp: Preparing for Conflict in the Information Age (RAND, 1997).

2. Он обращался к PBS Frontline в 2003 году для своего шоу «CyberWar!» Интервью доступно по адресу: http://www.pbs.org/wgbh/pages/frontline/shows/cyberwar/interviews/arquilla.html.

3. Операция была сорвана системным администратором по имени Клифф Столл, который обнаружил атаку, исследуя источник 75-центового несоответствия счетов. Столл рассказал свою историю в своей уже ставшей классической книге The Cuckoo’s Egg: Tracking a Spy Through a Maze of Computer Espionage (New York: Doubleday, 1989).

4. Джонатан Унджед-Томас, “How Datastream Cowboy Took U.S. to the Brink of War,” Toronto Star, 1 января, 1998.

5. Информационная война включала в себя не только наступательные и оборонительные кибероперации, но и психологические операции, радиоэлектронную борьбу и физическое уничтожение информационных целей.

6. 39-страничная книга повествует об истории 609-й эскадрильи. Копия книги под названием 609 IWS: A Brief History Oct. 1995–June 1999, была опубликована по запросу FOIA и доступна по адресу: http://www.securitycritics.org/wp-content/uploads/2006/03/hist-609.pdf.

7. Джон «Суп» Кэмпбэлл выступал в рамках дискуссии под названием “Lessons from Our Cyber Past: The First Military Cyber Units,” в Атлантическом совете, 5 марта 2012 года. Кэмпбэлл был первым командиром Объединенной оперативной группы по защите компьютерных сетей в декабре 1998 года, а затем был главным советником директора ЦРУ по военным вопросам. Стенограмму дискуссии можно найти по адресу: http://www.atlanticcouncil.org/news/transcripts/transcript-lessons-from-our-cyber-past-the-first-military-cyber-units.

8. Брэдли Грэм, “U.S. Studies a New Threat: Cyber Attack,” Washington Post, 24 мая, 1998.

9. Смотрите предыдущую сноску.

10. Некоторая информация о первой целевой группе и истории кибердеятельности военных взята с интервью в марте 2012 года с Джейсоном Хили, главой инициативы по кибер-государственному управлению в Вашингтоне, округ Колумбия, и первоначальным членом первой целевой кибергруппы военных. Хили также рассказывает некоторые истории киберконфликта в книге, которую он редактировал, пожалуй, лучшая книга для изучения данной ситуации. Смотрите A Fierce Domain: Conflict in Cyberspace, 1986 to 2012 (Cyber Conflict Studies Association, 2013).

11. Генерал-Майор Джеймс Д. Брайан, командующий-основатель JTF-Computer Network Operations, говорил на конференции “Lessons from Our Cyber Past: The First Military Cyber Units.”

12. Эта и другие цитаты Сакса взяты из интервью автора, март 2012 года.

13. «HOPE» означает Hackers on Planet Earth. 

14. Радиоэлектронная борьба, которая относится к Первой мировой войне, включает в себя использование электромагнитной и направленной энергии для управления электромагнитным спектром для отказа работы вражеских систем. Компьютерные сетевые атаки, напротив, определяются как действия, направленные на нарушение, изменение, ухудшение или уничтожение информации, хранящейся на компьютерах и компьютерных сетях в соответствии с директивой Министерства обороны 3600.1.

15. “IO, IO, It’s Off to Work We Go,” Cryptolog: The Journal of Technical Health (Spring 1997): 9. Cryptolog – это внутренний секретный ежеквартальный информационный бюллетень, выпускаемый сотрудниками АНБ и предназначенный для них же, который включает в себя все: от обзоров книг до профилей сотрудников и технических статей по интересующим темам. В 2013 году агентство рассекретило выпуски, опубликованные в период с 1974 по 1990 года, и опубликовало их публично, хотя некоторые из них все еще редактируются. Архив доступен по адресу: http://www.nsa.gov/public_info/declass/cryptologs.shtml.

16. “Thoughts on a Knowledge Base to Support Information Operations in the Next Millennium,” Cryptolog: The Journal of Technical Health (Spring 1997): 32.

17. Уильям Б. Блэк-младший, “Thinking Out Loud About Cyberspace,” Cryptolog: The Journal of Technical Health (Spring 1997): 4.

18. Отредактировано автором, “IO, IO, It’s Off to Work We Go.”

19. Уильям М. Аркин, “A Mouse that Roars?” Washington Post, 7 июня, 1999.

20. В 1999 году Управление генерального юрисконсульта Министерства обороны изучило ряд существующих договоров и международных законов и пришло к выводу, что не существует ни одного международно-правового принципа или свода законов, которые бы четко регулировали вид киберопераций, предлагаемых военными. Управление генерального юрисконсульта Министерства обороны, оценка международно-правовых вопросов в информационных операциях, опубликованная в мае 1999 года, доступна по адресу: http://www.au.af.mil/au/awc/awcgate/dod-io-legal/dod-lo-legal.pdf.

21. В качестве примера того, насколько системы вооружения зависят от программного обеспечения: во время операции «Буря в пустыне» в 1991 году система противоракетной обороны Patriot, установленная в Дахране, Саудовская Аравия, не смогла перехватить ракеты Скад из-за неполадки программного обеспечения в системе управления, которая заставила ее искать ракеты в неправильном месте. В результате атаки погибли 28 американских солдат. Смотрите “Software Problem Led to System Failure at Dhahran, Saudi Arabia,” Управление подотчетности правительства США, 4 февраля 1992 г., доступно по адресу: http://www.gao.gov/products/IMTEC-92-26.

22. Джеймс Д. Брайан, “Lessons from Our Cyber Past.”

23. “The Information Operations Roadmap,” датированная 30 октября 2003 года, 74-страничный отчет, который был рассекречен в 2006 году, хотя страницы, посвященные компьютерным сетевым атакам, сильно отредактированы. Документ доступен по адресу: http://information-retrieval.info/docs/DoD-IO.html.

24. Интервью Аркиллы с Frontline в его шоу «CyberWar!» В статье Washington Post указывается, что атаки на компьютеры, контролирующие системы ПВО в Косово, были произведены с самолетов, а не наземными специалистами. Брэдли Грэм, “Military Grappling with Rules for Cyber,” Washington Post, November 8, 1999.

25. Джеймс Райзен, “Crisis in the Balkans: Subversion; Covert Plan Said to Take Aim at Milosevic’s Hold on Power,” New York Times, June 18, 1999. В статье Washington Post говорится, что этот план так и не осуществился. «Мы прошли через муштру выяснения того, как мы будем делать некоторые из этих киберопераций, если вообще будем делать», – слова одного из старших военных офицеров газете. «Пока что мы не приступили ни к одной из них». Грэм, “Military Grappling with Rules for Cyber.”

26. Джон Маркофф и Х. Санкер, “Halted ’03 Iraq Plan Illustrates US Fear of Cyberwar Risk,” New York Times, August 1, 2009. Согласно словам Ричарда Кларка, именно министр финансов наложил на него вето. Смотрите, Ричард Кларк и Роберт Нэйк, Cyber War: The Next Threat to National Security and What to Do About It (New York: Ecco, 2010), 202–3. В целом страны соблюдают негласное соглашение против манипулирования финансовыми системами и счетами из-за беспокойства по поводу дестабилизирующего воздействия, которое оно может оказать на глобальный рынок и экономику. 

27. Дэвид А. Фулгам, Роберт Уолл и Эми Батлер, “Israel Shows Electronic Prowess,” Aviation Week, 25 ноября, 2007. Эта статья больше недоступна на сайте Aviation Week, но полностью сохранилась на сайте http://www.warsclerotic.wordpress.com/2010/09/28/israel-shows-electronic-prowess.

28. “Electronic Warfare: DOD Actions Needed to Strengthen Management and Oversight,” опубликовано Управлением подотчетности США в июле 2012 года. 

29. Эрик Шмидт и Том Шенкер, “US Debated Cyberwarfare in Attack Plan on Libya,” New York Times, 17 октября, 2011. 

30. Грег Миллер, Джули Тейт и Бартон Геллман, “Documents Reveal NSA’s Extensive Involvement in Targeted Killing Program,” Washington Post, 16 октября, 2013.

31. Бартон Геллман и Эллен Накасима, “U.S. Spy Agencies Mounted 231 Offensive Cyber-Operations in 2011, Documents Show,” Washington Post, 30 августа, 2013.

32. АНБ достигает этого, устанавливая имплантат в BIOS машин, а также в основной загрузочной записи – основные части жесткого диска, которые не стираются, когда программное обеспечение на компьютере обновляется или удаляется. Смотрите Graphic: The NSA’s Spy Catalog,” Spiegel Online, доступно по адресу: http://www.spiegel.de/international/world/a-941262.html.

33. Один раз АНБ и шпионское агентство Соединенного Королевства, или же GCHQ, использовали изощренный метод под названием Quantum Insert для взлома компьютеров бельгийских телекоммуникационных работников с целью получения доступа к телекоммуникационной сети и маршрутизатору, который компания использовала для обработки трафика пользователей мобильных телефонов. Атака заключалась в использовании высокоскоростных серверов, установленных АНБ в ключевых точках коммутации, чтобы перехватить серфинг-трафик системных администраторов, работавших на компанию. Шпионские агентства сначала собирали обширные пласты информации о сотрудниках – адреса их электронных почт, IP-адреса и возможные привычки серфинга – затем высокоскоростные серверы следили за запросами от машин сотрудников на определенные веб-страницы, такие, как страница профиля жертвы в LinkedIn. Когда жертва пыталась получить доступ к странице LinkedIn, сервер перехватывал запрос до того, как он достигал LinkedIn, и передавал пользователю поддельную страницу, с которой на его компьютер попадало вредоносное ПО. Оказавшись в машине системного администратора, шпионы могли использовать его учетные данные, чтобы получить доступ к другим частям телекоммуникационной сети, и взломать маршрутизатор. 

34. Гренн Гринвальд и Юэн МакАскилл, “Obama Orders US to Draw up Overseas Target List for Cyber-Attacks,” Guardian, 7 июня, 2013. В октябре 2012 года была опубликована 18-страничная президентская директива №20, в которой наступательные операции называются операциями наступления с кибер-элементами.

35. Геллман и Накасима, “US Spy Agencies Mounted 231 Offensive Cyber-Operations.”

36. Роджер А. Граймс, “In His Own Words: Confessions of a Cyber Warrior,” InfoWorld, 9 июля, 2013.

37. Смотрите предыдущую ссылку. 

38. Пеннингтон выступал на конференции посвященной промышленным системам управления в 2011 году. Спонсором конференции является Министерство внутренней безопасности. 

39. Интервью автора, ноябрь 2011 года.

40. Джозеф Мэнн, “Special Report: US Cyberwar Strategy Stokes Fear of Blowback,” Reuters, 10 мая, 2013, доступно по адресу: http://www.reuters.com/article/2013/05/10/us-usa-cyberweapons-specialreport-idUSBRE9490EL20130510.

41. Смотрите Главу 6, где уже упоминалось, как были обнаружены эти две уязвимости, до того, как их использовали разработчики Stuxnet в своей атаке.

42. Самнер Лемон, “Average Zero-Day Bug Has 348-Day Lifespan, Exec Says,” IDG News Service, 9 июля, 2007, доступно по адресу: http://www.computerworld.com/s/article/9026598/GV9Jm2u7rmsCe65wKzPTw5jtS38n2tVEGiifespan_exec_says.

43. Роберт Лемос, “Zero-Day Attacks Long-Lived, Presage Mass Exploitation,” Dark Reading, 18 октября, 2012, доступно по адресу: https://www.darkreading.com/vulnerabilities%E2%80%94threats/zero-day-attacks-long-lived-presage-mass-exploitation/d/d-id/1138557. Исследование проводилось компанией Symantec.

44. Пеннингтон, Industrial Control Systems–Joint Working Group Conference, 2011.

45. Майкл Райли, “U.S. Agencies Said to Swap Data with Thousands of Firms,” Bloomberg, 14 июня, 2013, доступно по адресу: http://www.bloomberg.com/news/2013-06-14/u-s-agencies-said-to-swap-data-with-thousands-of-firms.html.

46. Том Гьелтен, “Stuxnet Raises ‘Blowback’ Risk in Cyberwar,” Morning Edition, NPR, 2 ноября, 2011, доступно по адресу: http://www.npr.org/2011/11/02/141908180/stuxnet-raises-blowback-risk-in-cyberwar.

47. Интервью автора, 2012.

Глава 13. Цифровые снаряды.

Лиам О`Мурчу чувствовал себя изможденным. Он сидел за своим рабочим столом вот уже два часа, анализируя код, кусочек за кусочком, в последней отчаянной попытке определить, что атакует Stuxnet, удача была не на его стороне.

Было начало октября, прошло пару недель с того, момента, как Ральф Ленгнер определил Stuxnet как высокоточное оружие, нацеленное на единственную цель, и обе команды – в Гамбурге и Калифорнии – теперь работали независимо, не уведомляя друг друга о своей работе, в попытках идентифицировать цель цифрового оружия.

Одна из вещей, которую обнаружили исследователи Symantec, заключалась в том, что прямо перед тем, как Stuxnet освобождал свою разрушительную полезную нагрузку на ПЛК 315, он искал в нем три «магических значения» – комбинации цифр и букв, встроенных в блоки данных самого контроллера. Когда Stuxnet сталкивался с ПЛК 315, он анализировал его блоки на предмет этих магических значений – 2C CB 00 01, 7050h и 9500h – и определял его как свою цель только в случае совпадения всех трех значений.

Эрик Чиен тщательно изучил Google на предмет этих значений в контексте Stuxnet, но все тщетно. Исследователи предположили, что первый из них мог быть серийным номером для какого-то аппаратного компонента, который подключался к ПЛК, поэтому О`Мурчу создал имитированную среду ПЛК Step 7, чтобы проверить эту догадку. Система Step 7 имеет встроенную функцию эмулирования построения виртуальной сети ПЛК для тестирования различных конфигураций оборудования перед построением завода. Эмулятор содержал длинный список аппаратных компонентов, которые инженеры могли виртуально подключить к ПЛК по одному, просто нажав на его название в меню. Каждый раз, когда инженер выбирал элемент из списка, на экране появлялся идентификационный номер этого компонента. О`Мурчу надеялся, что таинственный 2C CB 00 01 был среди них. Но просидев за компьютером два часа, систематично подключая одно устройство за другим, ни получил ни одного совпадения, он перепробовал более сотни компонентов. Ему начало казаться, что он попросту теряет драгоценное время, пока в списке устройств он не перешел к группе карт Profibus и Profinet. Они передавали данные между ПЛК и компонентами, которыми они управляли. О`Мурчу нажал на карточку Profibus CP 342-5, и на мониторе всплыло значение…

 Однако карта Profibus была лишь половиной головоломки. Он все еще не знал, какими устройствами управляет ПЛК. Воодушевленный этим небольшим успехом, О`Мурчу быстро перепробовал все остальные компоненты из списка, но ни один из них, увы, не совпал с магическим значением. Но это уже и не имело значения. В любом случае, с этой находкой они сделали большой скачек вперед. Теперь они знали, что Stuxnet ищет конфигурацию с одной из шести таких сетевых карт, так что оставалось вопросом времени, когда они разгадают вторую половину таинственной конфигурации.

Прошло три месяца после открытия Stuxnet и весь мир узнал о загадочном вирусе, который, очевидно, был направлен на Иран. И все же догадки о том, что Stuxnet был нацелен именно на обогатительный завод в Натанзе оставались только догадками. Исследователи Symantec были настроены найти доказательства этому в коде. Но сначала им нужен был ускоренный курс по ПЛК.

Открытие того, что Stuxnet саботирует ПЛК Siemens, безусловно, стало большим прорывом для Фальера и его коллег. Но Ленгнер был прав, говоря, что в своих исследованиях они оказались в тупике. «Мы быстро поняли, что ничего не знаем о ПЛК», – говорит Чиен.1

Доказательств того, что Stuxnet внедряет вредоносный код, было, безусловно, мало, но Фальер также обнаружил, что вирус имеет не одну, а целых две полезные нагрузки. Stuxnet делал как бы двойную атаку. Один «снаряд» была нацелен на Siemens S7-315, другой – на Siemens S7-417.

В ПЛК внедрялось всего несколько килобайт вредоносного кода, но взлом этого кода был ключом к решению самой большой головоломки Stuxnet. Была только одна проблема. Код был написан в формате и на языке, которым Фальер видел впервые в жизни. Ракетная часть Stuxnet была написана на С и С++ и скомпилирована на сборке Intel x86 – наиболее распространенный и широко известный компьютерный язык ассемблера. Но цифровые боеголовки использовали непонятный язык программирования, созданный специально для ПЛК Siemens – STL.2 Чтобы запрограммировать ПЛК, инженеры записывали команды на языке STL, затем преобразовывали его в MC7, язык ассемблера, а потом компилировали его в читаемый для ПЛК двоичный код. Это означало, что даже если Фальеру удастся обратить единицы и нули двоичного кода обратно в STL, он все равно не будет понимать, что делает этот код. Это было немного похоже на расшифровку зашифрованного сообщения знаменитой скульптуры Криптоса в ЦРУ, чтобы обнаружить, что незашифрованное сообщение было написано на греческом языке. В объявлении Symantec от 17 августа они призвали всех, кто знаком с ПЛК и STL, связаться с ними, но не получили ни одного ответа.

Им не пришлось бы обращаться за помощью к общественности, если бы им помочь сами Siemens, но, увы, это было не так. Чиен связался с компанией в самом начале их расследования и контактировал с ними все эти месяцы, пока они работали над Stuxnet. Но всякий раз, когда он отправлял немецкой компании письма с вопросами о том, как работает Step 7, в Siemens уходили недели на ответ. Обычно к тому времени исследователи из Symantec находили ответ самостоятельно и уже имели к Siemens список новых вопросов.3

Была и другая группа людей, которые могли бы помочь им. Ленгнер и его команда преуспевали именно в тех областях, которые никак не поддавались исследователям из Symantec. У них бы вышел отличный симбиоз – Symantec с их опытом в системах Windows и реверс-инжениринге вредоносного кода, и команда Ленгнера с их отличным знанием ПЛК и программного обеспечения Siemens. Но все надежды на сотрудничество быстро рухнули после короткого обмена электронными письмами, за которыми последовали пару постов в блоге, что в итоге привело к недоразумениям и плохим взаимоотношениям между группами. Это была проблема, которая легко решалась одним телефонным звонком, но ни у одной из сторон не было желания делать это первой.

Из-за отсутствия какой-либо помощи исследователи предприняли единственное решение, которое подходило им – они купили несколько книг по STL в интернете и приступили к изучению работы кода. Лучший способ отреверсить код, написанный на STL, рассуждали они – научиться писать на нем.

Каждый день, во время утренних и вечерних поездок на работу и домой на метро, Фальер корпел над книгами, уча STL. За несколько дней его прогресс практически не сдвинулся с места, когда в интернете он обнаружил инструмент с открытым исходным кодом, который был создан для программирования ПЛК Siemens как бесплатная альтернатива Step 7. Фальер начал изучать инструмент, чтобы увидеть, как выглядит код написанный на STL, когда он был скомпилирован в MC7, а затем использовал его в качестве справочника, чтобы отреверсить код MC7 Stuxnet.

Потребовались недели, чтобы до конца разобраться в коде, и когда он наконец сделал это, несколько килобайт двоичного кода, который Stuxnet внедрял в ПЛК, превратились в более чем 4 тысячи строк кода для атаки на Siemens S7-315 и более чем 13 тысяч строк кода для атаки на Siemens S7-417. Это был слишком большой объем для того, чтобы хотя бы прочесть его, не говоря уже о том, чтобы попытаться исследовать. Поэтому Фальер решил перевести его на язык С, чтобы как-то облегчить себе работу. Все таки С он знал куда лучше. Однако это все давало ему только возможность читать код, без ПЛК он все еще не мог посмотреть на него в действии. Поэтому он написал небольшую программку под Windows, чтобы имитировать ПЛК на своей машине и запускал код на ней. С теоретическими знаниями и возможностью их практического применения, он, наконец, мог собрать все кусочки атаки воедино.

Одна из первых вещей, поразивших его в этой атаке, заключалась в том, что она разворачивалась в шесть этапов, которые повторялись в течении недель и месяцев. Как только все циклы атаки были пройдены, она запускалась вновь и вновь. Это означало, что вместо того, чтобы нанести один единственный удар, который вызвал бы необратимые последствия для систем, как первоначально полагали исследователи из Symantec, разработчики вируса пошли дальше, и создали искусную атаку, которая рассчитывалась на долгий промежуток времени. Это, в сочетании с атакой «человек внутри» которая скрывала саботаж от операторов, делало вирус практически невидимым и не оставляло намеков на точный источник проблем. Нападавшие, понял Фальер, рассчитывали оставаться незамеченными в системе в течение нескольких месяцев, и у них это получалось.

Первая часть атаки, этап разведки, длилась около двух недель, в течение которых Stuxnet записывал нормальные показатели контроллеров, чтобы, когда начнется саботаж, передавать их операторам, тем самым маскируя присутствие неполадок в оборудовании. Stuxnet записывал данные не реже одного раза в минуту и переходил к следующему этапу только после записи данных не менее 1 миллиона раз.

Как только было записано достаточное количество данных, начинался двухчасовой обратный отсчет. Когда таймер достигал нуля, начинался саботаж. Он продолжался, однако, всего пятнадцать минут, и как только все необходимое было сделано, работа ПЛК и устройств, которыми он управлял, возобновлялась в привычном режиме. Затем, после пятичасового перерыва, вся последовательность начиналась снова, только на этот раз перед атакой Stuxnet выжидал около 26 дней, и записывал вдвое больше информации, чем в первый раз. Когда начиналась сама атака, во второй раз она длилась пятьдесят минут, вместо пятнадцати. И, как и, перед этим, после окончания саботажа, работа всех устройств возвращалась в норму еще на 26 дней, и весь цикл повторялся снова. Каждый раз, когда после этого происходил саботаж, он длился от пятнадцати до пятидесяти минут, несмотря на то, что этап сбора данных длился все так же 26 дней.

Фальер понятия не имел, зачем было изменять продолжительность саботажа и в чем разница между этими двумя последовательностями. Без знания того, какие устройства атаковал Stuxnet, он не мог узнать природу атаки. Это немного похоже на то, как смотреть на трассирующие ракеты, не имея ни малейшего понятия о том, во что они попадут.

Последний прорыв в головоломке под названием Stuxnet произошел в начале ноября, когда голландский программист по имени Роб Хулсебос, эксперт по протоку Profibus отправил Чиену электронное письмо. Он ответил – хотя и с опозданием – на второй призыв о помощи, который специалисты из Symantec опубликовали в своем блоге, попросив всех, кто как-то стыкался с Profibus и критическими системами управления, связаться с ними. Письмо Хулсебоса содержало всего два абзаца, в основном, информацию о Profibus, которую Чиен уже знал, но было одно предложение, которое смогло заинтересовать его. Голландец писал, что каждое периферийное устройство, подключенное к сетевой карте Profibus, имеет уникальный идентификатор, присвоенный ему Profibus. Каждый идентификатор был размером около 2 байт, или 16 бит, писал Хулсебос.

Чиен вспомнил, что два неизвестных значения, происхождение которых они все еще пытались понять – 7050h и 9500h – были ровно по 16 бит.

Он направился в кабинет О`Мурчу и показал ему электронное письмо со своего BlackBerry. Пока Чиен заинтересовано оглядывался через его плечо, О`Мурчу вбил в Google запрос с информацией об идентификаторах устройств Profibus и нашел несколько ссылок на брошюры с их продукцией. Чиен указал ему на один PDF-файл, содержащий список актуальных устройств, используемых с сетевыми картами Profibus. О`Мурчу открыл файл, и перед ними появился список устройств и их уникальных идентификаторов. О`Мурчу медленно листал вниз, пока в самом низу списка не оказался тот самый магический код, который они искали – 9500h. Согласно инструкции, идентификатор соответствовал марке преобразователя частоты, изготавливаемого одной финской компанией. Чиен покопался на сайте в поисках информации по другому ID, но ничего не нашел. Поэтому он написал электронное письмо в Profibus с просьбой идентифицировать код 7050h. Он не ожидал, что компания вообще ему ответит, и был удивлен, когда получил ответное письмо, в котором указывалось, что код 7050h соответствует преобразователю частоты, изготавливаемом компанией из Ирана.

Частотный преобразователь – это электронное устройство, которое управляет электрическим током, подаваемым на двигатели и роторы, чтобы контролировать их скорость. Увеличьте частоту, и скорость двигателя увеличиться пропорционально. ID 9500h – это частотный преобразователь, изготовляемый компанией Vacon в Финляндии, в свою очередь 7050h являлся неопределенной моделью преобразователя, производившегося компанией Fararo Paya в Иране. О`Мурчу подозревал что преобразователи фирмы Fararo Paya были иранской подделкой финских устройств.4 Если это было правдой, то, скорее всего, за пределами Ирана не было ни одного предприятия, использовавшего преобразователи от Fararo Paya.

Они скачали все, что смогли найти о частотных преобразователях, включая дюжину руководств для различных марок преобразователей. К сожалению, среди них не оказалось ни одного руководства для преобразователей Vacon или Fararo Paya, но некоторые из них содержали команды для управления, которые были идентичны для всех марок устройств. Одна из команд написанная на STL, которую Фальер извлек из кода Stuxnet, была «47F and 1», и конечно, заглянув в руководство, они нашли там следующие слова: «Чтобы запустить частотный преобразователь, используйте команду 47F и используйте значение 1». Пальца О`Мурчу в оцепенении застыли над клавиатурой, когда он в слух прочел эту строчку. Он не мог поверить в это. В течение четырех месяцев они пытались разгадать тайну атаки Stuxnet, работая по ночам и выходным, и теперь, с помощью нескольких запросов в Google они нашли ответ. Это было в ровной степени как волнующе и приятно, так же и разочаровывающе.

Это был конец рабочего дня, они оба были измотаны, поэтому, немедля ни минуты, они быстро отправили электронное письмо Фальеру, сообщая ему о своих находках, к которым прикрепили несколько руководств в формате PDF, демонстрирующие команды. «Взгляни на это, и скажи, найдешь ли ты здесь что-нибудь, что заработает», – писал Чиен Фальеру. И отправились по домам.

Проснувшись утром и увидев письмо, Фальер немедля помчался в офис. Он вытащил список всех конфигурационных данных и команд, извлеченных из Stuxnet, и начал сравнить их с командами из руководств. Он уже подозревал, что Stuxnet мог изменять частоту устройства другом конце ПЛК – код атаки содержал числа вроде 10640, которые, как он подозревал, было 1,064 Гц, выраженное в децигерцах. И теперь у него было подтверждение этому.

Он использовал руководства, чтобы перевести все команды Stuxnet, и в течение часа или двух имел полный план атаки, который он отослал О`Мурчу и Чиену.

Прежде чем начинать атаковать ПЛК S7-315, Stuxnet убеждался, что система использует частотные преобразователи, произведенные Vacon или Fararo Paya, и что преобразователи работают на частоте между 807 и 1210 Гц. Stuxnet искал завод, на котором было установлено до 186 преобразователей, и все они работали на частоте выше 800 Гц. Частотные преобразователи имеют очень широкий спектр применения, но преобразователи, работающие на частоте 600 и выше Гц, имели ограниченное применение – настолько ограниченное, что, когда Чиен сделал соответствующий запрос в интернете, он обнаружил, что они регулировались для экспорта в Соединенные Штаты комиссией по ядерному регулированию. Теперь не могло быть никаких сомнений. Stuxnet был нацелен на ядерный объект. Ленгнер просто предполагал, говоря, что Stuxnet атаковал ядерный завод Ирана, но теперь у них были доказательства в коде, которые полностью подтверждали его слова.

Чиен был ошеломлен тем, как красиво все ставало на свои места.

Они месяцами пытались расшифровать код, продвигаясь вперед не милями, а дюймами, боясь, что они могут никогда не дойти до конца. Теперь, оглядываясь назад, все это казалось таким простым и элегантным. Располагая всеми деталями, Фальер изложил пошаговое описание атаки от начала до конца.

Как только Stuxnet обнаруживал машину со Step 7, он распаковывал двойник .DLL файла, имевшегося в стандартной системе, и заменял его. Затем он терпеливо ждал, пока программист запустит Step 7 для чтения или создания блоков кода для ПЛК S7-315. Дальше Stuxnet внедрял свой вредоносный код в блоки и ожидал, пока программист подключит свой ноутбук к ПЛК, или скопирует команды на USB-накопитель, чтобы передать их в ПЛК. До попадания вредоносного кода в ПЛК могло пройти несколько дней, или даже недель, но как только это происходило, атака развертывалась без малейшего сопротивления.

После первого этапа сбора данных, во время которого на протяжении 13 дней вирус записывал данные, Stuxnet сначала увеличивал частоту до 1410 Гц на пятнадцать минут, и затем уменьшал ее до 1064 Гц, предположительно нормальной рабочей частоты, примерно на 26 дней. Как только Stuxnet записывал все данные, необходимые на втором этапе сбора данных, он резко снижал частоту до 2 Гц на пятьдесят минут, прежде чем снова восстановить ее до 1064 Гц. Еще через 26 дней атака возобновлялась вновь. Каждый раз, когда вирус изменял частоту, атака «человек внутри» подавала операторам и системе безопасности ложные показатели частоты, оставляя их слепыми в отношении происходящего.

Наконец, Symantec располагала точной информацией относительно действий Stuxnet с ПЛК S7-315. Но действия относительно модели S7-417 все так же оставались загадкой. Две цифровые боеголовки прибывали одной и той же ракетой, но действовали независимо друг от друга.

S7-417 является высококлассной моделью ПЛК, которая поставляется с 30 Мб оперативной памяти на борту и ценой более 10 тысяч долларов за штуку, в сравнении с примерно 500 долларами за S7-315. Как бы в соответствии с его более высоким статусом, атака, нацеленная на эту модель ПЛК, также была намного больше, с гораздо большим количеством блоков кода – 40 блоков кода по сравнению с 15 блоками, содержащимися в атаке на модель 315 – некоторые из которых генерировались прямо во время атаки на основе условий, в которые попадал Stuxnet.

Код атаки на 417-ую модель также был намного сложнее, как с точки зрения выполняемых шагов, так и условий, при которых атака могла освободить свою полезную нагрузку. Кроме того, в построении этой атаки использовались причудливые конструкции, которые были сильной головной болью для реверс-инженеров. Там были указатели, ведущие к другим указателям, которые в свою очередь вели к еще одним указателям, это значительно затрудняло прослеживание последовательности событий в коде. Разница в структуре между двумя атаками создавала впечатление, будто коды этих двух атак были написаны совершенно разными командами программистов, использующих разные инструменты.

Вирусописатели, очевидно, вложили много времени и усилий в код атаки на 417-ую модель контроллера, поэтому Фальер был озадачен, обнаружив, что он не работает – на самом деле злоумышленники намеренно отключили его. В части кода, ответственной за проверку совпадения конфигурации ПЛК с конфигурацией, которую искал Stuxnet, хакеры вставили исключение – программный трюк, который включал введение преднамеренной ошибки в код с целью прервать миссию до ее начала. Более того, не было никаких признаков того, что атака на S7-417 вообще когда-либо активировалась. Stuxnet требовалось генерировать критический блок кода на лету, чтобы заставить атаку работать, но код, который должен был создавать этот блок, был недописанным.

Оставалось неясным, отключили ли хакеры код, потому что он все еще находился на стадии разработки, или же он все-таки был завершен, но в какой-то момент его решили по какой-то причине отключить. Фальер вспомнил недавнюю новость, в которой цитировался иранских чиновник, заявлявший, что в Иране было найдено пять версий Stuxnet.5 До сих пор Symantec и другие исследователи нашли только три версии. Но, возможно, была еще одна версия вируса которая содержала полную версию атаки на Siemens S7-417?

Основываясь на подсказках, которые Фальер и его коллеги нашли в трех версиях Stuxnet, казалось, что на самом деле должна быть еще как минимум одна неизвестная им версия. Например, номера версий трех обнаруженных атак были в неправильной последовательности. Их пронумеровали сами разработчики Stuxnet – июньский вариант 2009 года был версией 1.001, а мартовский и апрельский варианты 2010 года 1.100 и 1.101 соответственно. Пробелы в цифрах свидетельствовали о том, что должны были быть разработаны и другие версии – включая версию 1.00, которая, логично, должна была бы предшествовать всем трем из уже обнаруженных версий – пускай они даже никогда не были выпущены в свет.

Что бы ни атаковал код, нацеленный на S7-417, он отличался от атаки на S7-315. В отличие от атаки на 315-ую модель, код атаки на S7-417 был нацелен на систему, которая состояла их 984 устройств, разбитых на группы по 164. И во время атаки, саботажу поддавались только 110 из 164 устройств. К сожалению, код атаки 417-ой модели не содержал в себе никаких магических значений, который помогли бы команде Symantec идентифицировать цель. Ленгнер и его команда, которые вели свое исследование параллельно с Symantec, предположили, что код атаки на S7-417 может быть нацелен на сам каскад, а не на отдельные центрифуги, возможно, или, возможно, на трубы и клапаны, которые контролируют поток газа в каскады. Но без дополнительной информации в коде и более достоверных доказательств ни Ленгнер, ни Symantec не могли точно сказать, что делала атака на 417-модель ПЛК. После нескольких месяцев работы и значительного прогресса в других областях, им всем пришлось смириться с тем, что они зашли в очередной тупик – похоже, Stuxnet был полон решимости сохранить хотя бы одну из своих тайн.

Из-за отсутствия четкого понимания кода атаки 417, исследователи из Symantec решили опубликовать то, в чем они были действительно уверены, а именно окончательные детали атаки на S7-315.

Итак, 12 ноября 2010 года, ровно через четыре месяца после того, как VirusBlokAda объявила о своем обнаружении кода Stuxnet, Symantec опубликовали в своем блоге сообщение, в котором поделились своими находками, а конкретно, что Stuxnet атакует уникальную конфигурацию конкретных преобразователей частоты. «Требования Stuxnet к конкретным частотным преобразователям и рабочим характеристикам значительно сужают круг потенциальных целей», – писал Чиен в типичном для него загадочном и осторожном стиле.6 В своих текстах он никогда не упоминал иранскую ядерную программу, или даже центрифуги, но смысл его сообщения был и без того понятен.

Спустя четыре дня после того, как компания Symantec опубликовала свой пост, специалисты обогатительного завода в Натанзе полностью остановили работу всех центрифуг. Спустя шесть дней, до 22 ноября, на объекте была прекращена вся деятельность по обогащению. Иранские представители не дали никаких объяснений по поводу внезапной остановки работы Натанза, но исследователи Symantec подозревали, что это было сделано с целью проверки всех компьютерных систем на присутствие Stuxnet. Хотя информация о черве находилас