21 ноября 2013 г.
Основные элементы общепринятой истории о вирусе Stuxnet - либо неправда, либо не отражают полной картины, утверждает в статье для Foreign Policy Ральф Ленгнер, один из руководителей консалтинговой фирмы Langner Group, работающей в области кибербезопасности.
"На самом деле Stuxnet - не одно оружие, а два", - поясняет автор. По большей части внимание приковано к относительно мелкой и простой подпрограмме Stuxnet, которая меняет скорость уранообогатительной центрифуги. "Но вторая и "забытая" подпрограмма - на порядок сложнее и незаметнее. Тот, кто разбирается в безопасности промышленных контрольных систем, сочтет ее кошмаром. И, как ни странно, эта более изощренная атака была нанесена первой. Более простая, более привычная подпрограмма появилась всего несколько лет спустя - и была обнаружена сравнительно скоро", - говорится в статье.
Ленгнер сообщает, что последние три года анализировал не только коды программы, но и объект атаки - уранообогатительный комбинат - и процессы его работы. "Я обнаружил: полная картина, включающая первый и менее известный вариант Stuxnet, приглашает к пересмотру самой атаки. Оказывается, атака была гораздо опаснее, чем кибероружие, представление о котором укоренилось в массовом сознании", - говорится в статье.
По словам Ленгнера, в 2007 году неизвестный передал на антивирусный сайт VirusTotal образчик некого кода. Спустя 5 лет было обнаружено, что это "первый вариант Stuxnet - по крайней мере, первый из известных нам", - пишет автор. Но, если бы не вторая, упрощенная версия, первоначальный Stuxnet, возможно, так и остался бы незамеченным. "Сегодня мы знаем, что код содержал оружие для сильных помех системе, разработанной для защиты центрифуг на уранообогатительном комбинате в Натанзе", - говорится в статье.
При второй, более известной атаке, Stuxnet пытался ускорить вращение роторов в центрифугах, чтобы они сломались. "Первоначальное" оружие применило другую тактику. Оно пыталось вызвать слишком сильное давление на центрифуги в Натанзе, саботируя каскадную систему", - пишет автор. В Натанзе используется уникальная система защиты, без которой "устаревшие и ненадежные центрифуги IR-1" станут почти бесполезны. Эти центрифуги - "становой хребет" иранского обогащения урана, добавляет Ленгнер.
Иранцы придумали остроумную защиту от сбоев: каскадная система защиты позволяет продолжать обогащение урана, изолируя отдельные центрифуги, которые барахлят.
Правда, если изолировать много центрифуг на одной и той же стадии обогащения урана, рабочее давление опасно возрастет. Иранцы и тут нашли остроумный выход: срабатывает датчик, открывается выпускной клапан, и давление сбрасывается.
Однако эта система сделала центрифуги Натанза уязвимыми к "кибератаке, настолько нестандартной, что закрадывается подозрение - может, ее создатели были под кайфом?" - пишет автор.
Каскадная система защиты в Натанзе опирается на промышленные контроллеры Siemens S7-417. Stuxnet был разработан, чтобы заразить эти контроллеры и взять их под полный контроль непредвиденным способом.
Компьютер, зараженный первым вариантом Stuxnet, отрывается от физической реальности и "видит" только то, что ему внушает червь.
Первым делом этот вариант Stuxnet заметает следы: записывает показания датчиков в течение 21 секунды. "Затем, пока длится атака, он проигрывает эти 21 секунду снова и снова, в виде закольцованного ролика. В машинном зале кажется, что все нормально, - как людям-операторам, так и подпрограммам, которые должны подавать аварийные сигналы", - разъясняет специалист.
После этого Stuxnet начинает строить козни. Он закрывает изоляционные клапаны на первых двух и последних двух стадиях обогащения урана. Давление растет и в конечном итоге может повлечь за собой переход гексафторида урана в твердое состояние, что непоправимо испортит центрифуги. Впрочем, автор считает, что при атаках на объект в Натанзе старались избежать повальных разрушений, чтобы вторжение осталось незамеченным.
На взгляд автора, был также риск, что атака вообще не удастся: код подпрограммы настолько сложный, что даже малейшая смена конфигурации влечет за собой нейтрализацию или сбой.
"Неизвестно, каковы были бы результаты атаки через рост давления. В любом случае, в 2009-м атакующие решили попробовать что-нибудь другое", - пишет автор.
По словам Ленгнера, новый вариант Stuxnet чрезвычайно отличался от старого: более простой и не столь малозаметный, он атаковал другую систему - ту, которая управляет скоростью роторов в центрифугах.
Распространялся он тоже по-другому. Первую версию должен был целенаправленно распространять агент атакующих - например, на флешке с зараженным файлом конфигурации контроллеров Siemens.
"Новая версия воспроизводила себя сама, распространяясь по доверенным сетям и USB-флешкам по самым разным компьютерам, а не только по тем, где был установлен софт Siemens с конфигурацией контроллеров. Можно предположить, что атакующие утратили возможность доставить вредоносную программу в пункт назначения, напрямую заражая системы авторизованных сотрудников, либо что система моторов центрифуг была установлена и конфигурирована другими сторонами, к которым был невозможен прямой доступ", - говорится в статье.
Вдобавок Stuxnet внезапно был оснащен комплексом слабых мест в программах Microsoft Windows и крадеными сертификатами, позволяющими "червю" выдавать себя за легальный драйвер.
Автор заключает, что переделкой Stuxnet началась некая "новая организация". "Напротив, разработку атаки через рост давления можно воспринять как труды "инсайдеров" - группы высококлассных специалистов по безопасности промышленных контрольных систем и кодировщиков, которые существовали в некой "экзотической экосистеме", очень далекой от стандартной ИТ-безопасности", - говорится в статье. Атаки через превышение скорости указывают, что "круг стал шире и обрел новый центр тяжести", по образному выражению автора. Ленгнер заключает: если Stuxnet создан в Америке, то центр тяжести - штаб-квартира АНБ.
Как бы то ни было, новый вариант Stuxnet гораздо проще опознавался как вредоносная программа. Атаковал он так, что на комбинате должны были почуять неладное просто по шуму центрифуг. Значит, создатели второго варианта смирились с риском, что атака будет замечена.
Автор предполагает: "У атакующих была возможность "сломать шею" жертве, но они предпочли периодически душить ее, вновь и вновь. Stuxnet - "малопроизводительное" оружие, главная задача которого - сократить срок службы иранских центрифуг и создать впечатление, что с замысловатыми контрольными системами у иранцев происходит что-то непостижимое".
Ленгнер ищет мотивы этой тактики. Однократное уничтожение оборудования не помешало бы стратегии Ирана (имелись резервные центрифуги). Но Stuxnet, по подсчетам автора, отбросил иранскую ядерную программу на два года назад. Вдобавок слабые атаки Stuxnet крайне озадачивали иранских инженеров. Возможно, в итоге иранцы отчаялись бы и сочли, что не смогут наладить центрифуги и защитную систему.
По легендам, летом 2010 года Stuxnet "ускользнул" с комбината в Натанзе. Автор в это не верит: "Stuxnet распространялся лишь с компьютера на компьютер, которые были подключены к одной локальной сети или обменивались файлами через USB-флешки".
У автора своя версия: "Скорее всего, подрядчики, работавшие в Натанзе, пришли со своими лэптопами, зараженными Stuxnet, к своим второстепенным клиентам и подключили лэптопы к "локальным" сетям клиентов". Так червь в итоге распространился в другие страны и (когда люди осуществляли дистанционное обслуживание по интернету) на другие континенты.
"Поскольку Stuxnet докладывал об IP-адресах и хост-именах зараженных систем в свои центры управления, по-видимому, атакующие ожидали его распространения на "системы мирных граждан", мирились с этим и охотно желали внимательно отследить это распространение", - говорится в статье. На взгляд автора, так была добыта информация о подрядчиках из Натанза, их других клиентах и, возможно, даже секретных ядерных объектах Ирана.
Stuxnet также указал удобный путь к проникновению на хорошо защищенные объекты. "Заражались уязвимые цели, имевшие законный допуск в "эпицентр", - подрядчики", - пишет автор. Рано или поздно подрядчики нечаянно принесли на комбинат зараженные мобильные устройства и флешки.
Автор предостерегает: практически все промышленные и военные объекты зависимы от подрядчиков, многие из которых попросту не умеют соблюдать меры безопасности.
И еще один тревожный вывод: хотя Stuxnet явно был создан неким государством, не исключено, что будущие атаки с использованием подобных вредоносных программ станут наноситься "частными" игроками". Велика вероятность, что такие игроки нанесут удары по гражданской инфраструктуре: "эти системы не только более доступны, но и стандартизованы".
Автор возвращается к применению двух вариантов Stuxnet в Иране: "Это была скорее кампания, чем атака, и, похоже, ее приоритеты сильно изменились во время ее осуществления".
По мнению автора, операция "Олимпийские игры" (как он ее называет) началась как эксперимент. Она показала, что кибероружие эффективно, да к тому же не создает риска для военных, наносит меньший побочный ущерб, может применяться исподтишка и очень дешево. "Содержимое этого ящика Пандоры имеет последствия далеко за пределами Ирана: на его фоне "аналоговая война" кажется отсталой, жестокой, устаревшей - оставшейся в XX веке", - говорится в статье.
Обнаружение Stuxnet показало миру, на что способно кибероружие в руках сверхдержавы. "Оно также спасло Америку от унижения. Если бы другая страна - возможно, даже враждебная - первой продемонстрировала мастерство в виртуальной сфере, это был бы форменный новый "момент спутника" в истории США", - пишет автор.
Неясно, был ли Stuxnet предан огласке намеренно. "Но одно мы знаем: он изменил глобальную военную стратегию в XXI веке", - заключает Ральф Ленгнер.
Ральф Ленгнер | Foreign Policy