2010-і роки перестали бути часом домінування хакерів-одинаків. Найвміліших до цього часу або завербували на державну службу, або надовго посадили у в’язницю. Країни, що вчасно усвідомили важливість кібербезпеки, почали працювати не лише над захистом, а і над кібератаками. Така комплексна робота дозволила хакерству вийти на якісно новий рівень, адже окрім створення надійних команд професіоналів, держава могла допомагати ресурсами, наприклад, розвідданими.
Історія виявлення Stuxnet
Існування Stuxnet виявили росіяни, що допомагали Ірану з їх ядерною програмою. Цим відзначилася “антивірусна” компанія VirusBlokAda (республіка бєларуссь, російська федерація), розробник “антивірусного” рушія для сайту VirusTotal, який відомий тим, що свого часу злив персональну інформацію 5600 користувачів сервісу, передусім держслужб США: АНБ, ФБР і т.д.
У 2010 році до VirusBlokAda надійшов запит від їх гарного клієнта на технічну підтримку для комп’ютера іранського ядерника, що постійно видавав “синій екран смерті” (BSOD). Керівник команди, товариш Сєрґєй Уласен (звання в ГРУ невідоме) просканував інші комп’ютери локальної мережі і зрозумів, що вони усі інфіковані невідомим раніше вірусом, майстерно виконаним і добре замаскованим. Детально покопавшись в системі, росіянин дослідив механізм дії вірусу. Але невдовзі Лабораторія Касперського забрала боротьбу з Stuxnet собі і надалі росіяни тісно співпрацювали з владою Тегерана по ліквідації разаження.
Як виглядав Stuxnet
Stuxnet це був не один вірус, а цілий комплекс програмного забезпечення, що складався з хробака, руткіта і сайтів, через які розсилалися оновлення вірусу і передавалися нові команди.
Хробак відповідав за поширення вірусу. Він інфікував USB-флешку і за допомогою вразливості нульового дня (ще не виявлену і не закриту Microsoft) міг обходити вбудовану систему захисту Windows і запускатися. Хробак же займався і “корисним навантаженням” – виконував основний код, заради якого усе це було зроблено.
Stuxnet сканував систему на наявність дуже специфічного обладнання – термінал Siemens S7-300 з підключеними контролерами виробництва Vacon (Фінляндія), або Fararo Paya (Іран) і які встановлюють швидкість обертання двигунів у діапазоні від 807 Гц до 1,210 Гц. Це дуже специфічні вимоги, більшість промислових двигунів працюють на суттєво нижчих обертах. Окрім двигунів газових центрифуг, звісно. Якщо Stuxnet не виявляв необхідної конфігурації обладнання, то вірус переходив у сплячий режим.
Вірус використовував ще одну вразливість нульового дня в перериваннях RPC для того щоб поширитися по локальній мережі. Справа в тому, що важливе промислове обладнання не підключають до Інтернету щоб уникнути інфікування, хакерських атак і перехоплення керування ззовні. Такі комп’ютери максимум об’єднуються в локальну мережу за потреби. Тому основними методами поширення вірусу були саме USB-флешки і передача локальною мережею, хоч це повільніше і складніше.
Вірус змінював швидкість обертання двигунів до 1410 Гц, потім до 2 Гц, а потім до 1064 Гц. Такі стрибки створювали вібрації, які могли призводити до розриву центрифуги, або принаймні до її деформації. Реальні значення, які фіксував контролер SIMATIC, перехоплювалися і підмінялися фіктивними показниками, щоб програма моніторингу Siemens STEP7 не зупинила процес. Для цього вірус встановлював в систему власний драйвер, який мав одразу два справжніх цифрових підписи, виданих поважними тайванськими фірмами Realtek і JMicron, щоб Windows і антивірусне ПЗ не заблокувало встановлення фіктивного драйвера. Це також закривало очі існуючих антивірусів на ці елементи вірусу – немає причин не довіряти драйверу зі справжнім цифровим підписом. Більше того, програма моніторингу не могла отримати доступ до інфікованої частини контролера – вірус підставляв їй дані з іншого сегмента пам’яті, щоб вона його не перезаписала.
Два веб-сайти в Данії і Малайзії були налаштовані на розсилку оновлень вірусу, надсилання команд і збору зворотної інформації.
Загалом, Stuxnet використовував чотири вразливості нульового дня. Досить незвично, що вірус використовує так багато вразливостей, які ще не виявлені експертами з кібербезпеки, адже кожну з них надзвичайно важко знайти, найрозумніші спеціалісти з кібербезпеки працюють над тим, щоб їх вчасно усувати. Кожна з таких вразливостей вельми цінується в середовищі хакерів і час від часу вони виставляються на продаж за мільйони доларів. Такі вразливості зазвичай використовуються при ручних атаках, зрідка в поширених вірусах. Stuxnet же використовував одночасно чотири вразливості нульового дня, що є незвично і марнотратно, як для звичайного вірусу. Вірогідно, над вірусом працювало декілька команд хакерів, які обмінювалися досвідом.
В коді вірусу було знайдено ім’я MYRTUS, що є ім’ям перської цариці, що врятувала єврейський народ від повного винищення. Через це походження вірусу пов’язують з ізраїльськими спецслужбами. Також вірус пов’язують з програмою американських спецслужб, запущеній за Буша Молодшого. Хоч ніякої достовірної інформації про розробників немає, більшість аналітиків схиляються до того, що це спільна робота американських хакерів і ізраїльських спецслужб. Зокрема, цієї версії притримувався і завербований росіянами Едуард Сноуден.
Stuxnet містив код, який видаляв вірус після 24 червня 2012 року. Попри те, що перші відкривачі вірусу назвали його інакше, вірус невдовзі було названо Stuxnet як комбінацію слів, що найчастіше зустрічалися в його коді – “.stub” і “mrxnet.sys”.
Пікантності усій цій історії додає той факт, що Іран використовує центрифуги P-1. Хоч Ізраїль тримає власну ядерну програму в суворій таємниці, швидше за все у нього є такі самі центрифуги.
Усі ядерні програми агресивних теократій і диктатур, що з’явились у 21 сторіччі, походять з Пакистану. Коли після чергового нападу на Індію, остання створила власну ядерну зброю, Пакистан взявся шукати можливості теж створити ядерну зброю і продовжити нападати на Індію. В цей час в поважній європейській компанії URENCO працював фанатичний пакистанець Абдул Кадир Хан. Він викрав з компанії секретні документи, що стосувалися технології збагачення урану, і під його керівництвом Пакистан створив власну ядерну зброю. Пакистану цього виявилося мало і він зайнявся продажем технології направо і наліво. Окрім Ірану, технологію придбав Муаммар Каддафі. Але коли американці точно переконалися, що у Лівії немає повноцінної армії, то відважно вторглись туди у 2011 році.
Хоч це не визнається офіційно, вважається, що центрифуги Р-1, які американці захопили в Лівії, вони таємно передали Ізраїлю. А це означає, що перед застосуванням Stuxnet, ізраїльтяни могли тестувати вірус на власному ядерному об’єкті у Димоні.
Розслідування і подальші події
Спочатку вважалося, що вірус потрапив на іранські комп’ютери весною 2010 року, але потім було виявлено, що перші версії вірусу потрапили в систему ще в червні 2009 року. Зрештою було знайдено схожий код, фактично попередника Stuxnet, ще у вірусі 2007 року, через що експерти вважають, що Ізраїль зайнявся його розробкою ще в 2005 році, коли Іран тільки розпочав будувати заводи із збагачення урану.
Цікаво що виявили вірус, вірогідно, через помилку програмістів. В черговому оновленні вірусу було змінено код поширення, і він став поширюватися за межі цільових комп’ютерів ядерної програми. Вірогідно хакери були незадоволені темпом поширення вірусу серед іранських дослідників і вирішили трохи форсували процес. Це призвело до того, що іранський інженер після підключення флешки до комп’ютера, що керує центрифугою, підключив її до власного комп’ютера, підключеного до Інтернет. Це дозволило російським антивірусним спеціалістам виявити вірус віддалено і заявляти, що вони не допомагають Ірану з ядерною програмою, а суто допомогли приватній особі з антивірусним захистом. Якщо б для діагностики потрібен був би огляд комп’ютерними спеціалістами на місці, то виявлення вірусу якщо і відбулося б, то через місяці а то й роки.
Уряд Ірану офіційно ніяк не відреагував на кібератаку. Іранці тривалий час замовчували цю інформацію і відповідали, що їм про кібератаку нічого не відомо. Було відмічено лише посилення співпраці Ірану з росіянами у сфері кібервійни. Росіяни ж навпаки, активно задіяли політичну трибуну для захисту свого ісламістського союзника, звинувативши США в спробі створити “другий Чорнобиль”. Цікаво це чути від, власне, творців першого.
Лабораторія Касперського заявила, що такий вірус неможливо було б створити без державної підтримки. Надалі саме ЛК зайнялася боротьбою з Stuxnet і захистом іранських ядерних об’єктів. Також вони взяли до себе на роботу товариша Сєрґєя Уласена. За версією ЛК, за розробкою стоїть група, яку вони назвали “Equation Group”, яка пов’язана з державними структурами США. Росіяни пильно аналізували код вірусу і на їх думку Equation Group стоїть за розробкою цілої низки вірусів і експлойтів, направлених на державне і корпоративне шпигунство і диверсію.
Цікаво на це відреагували німці з Siemens. Вони заявили, що їх клієнти від атаки не постраждали. Що ж до ситуації в Ірані, то на цю країну накладено технологічне ембарго, і за обладнання, ввезене незаконно в обхід санкцій, вони відповідальності не несуть. Втім, Siemens випустили оновлення, яке видаляє вірус навіть без допомоги антивірусного ПЗ, що навряд чи допомогло офіційним клієнтам (яких вірус хоч і міг уражати, але не заподіював шкоди), але точно могло допомогти іранським ядерникам. Курйоз ситуації однак полягає в тому, що Іран заборонив використовувати продукт для видалення вірусу від Siemens SCADA, побоюючись, що він не видаляє, а модифікує вірус на ввезеному нелегально обладнанні.
Спеціалісти компанії Symantec підрахували, що майже 60% виявлень вірусу Stuxnet прийшлося на Іран, що дуже прозоро вказує на високоточність ураження. Але ще більш цікаво було спостерігати за статистикою по інших країнах. Серед найбільш уражених – Індонезія, Індія, Пакистан і т.д. – країни, що найбільш тісно співпрацюють з промисловим сектором Ірану, допомагаючи йому обходити санкції.
Спеціалісти з кібербезпеки і інженери Siemens вважають Stuxnet одним з найдорожчих вірусів у світі, бо окрім використання цінних невідкритих вразливостей Windows і професійного програмування і кодування, для його створення також потрібна була робота високоосвічених інженерів, які були глибоко обізнані в роботі і вразливостях конкретних центрифуг, програмістів, що глибоко розуміють роботу промислового обладнання Siemens, а також не виключено використання шпигуна чи диверсанта, який запустив вірус на комп’ютер когось з іранських ядерників.
Цікаво, що одночасно з Іраном, Stuxnet було запущено у Північній Кореї, яка використовувала схожу технологію виготовлення ядерної зброї. Але через надзвичайну закритість країни і малопоширеність персональних комп’ютерів, операція повністю провалилася.
Спадщина
Попри те, що експлойти стали відомі і дірки в Windows закрили, такий складний продукт не пішов в небуття просто так. Вже 1 вересня 2011 року було виявлено вірус Duqu, який діяв схожим чином і мав подібний код. У ЗМІ його охрестили “сином” Stuxnet. На відміну від Stuxnet, Duqu не нищив заводи, а збирав інформацію – конфігурацію обладнання, натиски клавіш, тощо.
У 2012 році виявили шкідливе ПЗ Flame, яке використовувало практично ідентичний до ранніх версій Stuxnet модуль поширення. Росіяни з Лабораторії Касперського стверджують, що між цими вірусами є чіткий зв’язок, і що на їх думку у американців існує ціла платформа Tilded, на якій вони будують віруси під різні потреби.
У 2018 році в Ірані заявляли, що відбили атаку Stuxnet 2.0 і погрожували Ізраїлю військовою відповіддю, якщо той не припинить. Однак про існування цього вірусу в незалежній технічній пресі жодної інформації немає.
Вплив Stuxnet
Хоч із зрозумілих причин, уряд Ірану не повідомляв про наслідки від дій Stuxnet, аналітики США повідомляють про аварії на Іранських центрифугах на початку 2009 року, що призвело до звільнення тодішнього голови іранської ядерної програми Голама Рези Агазаде. Американці стверджують, що між 2009 і 2010 роками кількість іранських ядерних центрифуг зменшилася приблизно з 4700 до 3900 штук. Інститут науки та міжнародної безпеки (ISIS, не плутати з Ісламською Державою Іраку і Леванта – ISIS) стверджували, що є усі ознаки, що це результат роботи саме Stuxnet. МАГАТЕ також відмічало, що в цей час іранські ядерники масово демонтували і вивозили зі свого ядерного об’єкту в Натанзі близько 900 – 1000 центрифуг, втім вони дуже швидко встановили на їх місце нові, тож розробка, вірогідно, не зупинилася, а лише дещо сповільнилася. На їх думку, якщо мета полягала в знищенні усіх центрифуг, то місія явно зазнала невдачі, але якщо ціль полягала у гальмуванні процесу, зменшивши кількість робочих центрифуг, то цієї мети, принаймні частково, досягнуто.
Водночас, часто лунала і критика Stuxnet у західних країнах. Попри те, що використання вірусу не потребує застосування військової сили з усіма її наслідками, дорога і тривала розробка призвела до надто малої кількості знищених центрифуг. При здатності Ірану швидко відновити втрачені потужності, переваги цієї операції виглядають мляво. Вірогідно це пов’язано з тим, що фізично зруйнувати завод кібератакою виявилося не так вже і просто.
Але самим глобальним наслідком ідей, закладених в Stuxnet є потенційна загроза використання сучасних модифікацій вірусу, поки що невідомих публічно, які можуть широкими тенетами обплутувати тисячі промислових об’єктів у всьому світі. Такі віруси можуть як займатися промисловим шпіонажем і збирати інформацію, так і, скажімо, вимкнути електропостачання в якійсь західноєвропейській країні. Тож, чекаємо на подальші новини з цього фронту, адже ця історія навряд чи закінчена.
В якості джерела переважно виступала стаття на Wikipedia.