Найти тему
Триумф Инфо
473 подписчика

STUXNET — боец невидимого фронта

8
4 мин
Оглавление

Первый эпизод войны с приставкой «кибер»

В последнее время мы всё чаще слышим о кибервойне, но мало кто знает, как она началась. Эксперты в области инновационного военного противостояния сходятся во мнении: иранский инцидент с кибератакой вирусом Stuxnet — это и есть начало отcчёта.

Город под землей

Иран — один из краеугольных камней политики Вашингтона. Кроме того, у Тегерана есть «хороший друг» в регионе — Израиль. Главная угроза, исходящая от неугомонного Ирана — его ядерная программа, которая развивается и по сей день.

Как известно, на территории Ирана функционирует целый ядерный город Натанз, в котором сосредоточены все «мозги» проекта. Не секрет, что степень защиты города высочайшая: люди проходят отбор и за ними ведётся тщательная слежка, они работают в условиях полного отсутствия связи, в том числе интернета. Научный центр находится под землей и тщательно прикрыт средствами ПВО от ударов с воздуха.

В то же время, Иран абсолютно не скрывал своих успехов в покорении опасного источника энергии: сам город и визиты на его территорию первых лиц государства регулярно показывали по телевидению.

Не удивительно, что город автоматически превратился в мишень №1 для противников иранского атома. Уничтожить его военным путем не представлялось возможным, никто не желал вступать в открытую конфронтацию с организованной армией Ирана. Оставался единственный вариант подрыва деятельности «ядерного города» — зайти с чёрного входа. Именно этот способ был выбран американо-израильскими спецслужбами наиболее вероятным.

Фото: jta.org
Фото: jta.org

«Олимпийские игры»

Операция по кибердиверсии на территорию города Натанза получила название «Олимпийские игры». По разным данным, в нём принимали участие подразделения спецслужб США и Израиля.

Задачей диверсии было вывести из строя работу по обогащению урана на максимально длительный срок, тем самым откинув иранскую программу на пару шагов назад. Объектом атаки на заводе стали центрифуги — самое дорогостоящее оборудование в ядерном городе. Дело в том, что для соблюдения всех технологий процесса обогащения урана, необходима точная настройка скорости вращения центрифуг. Кроме того, её несанкционированное изменение должно было привести к взрыву оборудования. Именно этот технический параметр попал под прицел злоумышленников.

Участникам операции стало известно, оборудование какой фирмы отвечало за настройку скорости вращения центрифуг. Оставалось вычислить конкретные модели микроконтроллеров, поставляемых Ирану. И приступить к написанию зловредного кода, способного задать вращение центрифуг со скоростью, приводящей к взрыву.

Фирмой-поставщиком оказалась компания Siemens. Вычислить конкретные модели контроллеров было не так уж сложно — вряд ли они могли применяться в других сферах деятельности.

Дальнейшие этапы реализации плана «Олимпийских игр» были понятны:

  1. написание кода под контроллеры Siemens, способного задать им критические значения работы объекта установки;
  2. внесение кода управления в код вредоносной программы;
  3. доставка вредоносного кода до объекта управления центрифугами;
  4. заражение ПО на объекте, вывод из строя центрифуг;
  5. торможение ядерной программы Ирана.
Фото: op-online.de
Фото: op-online.de

Что такое Stuxnet

Вредоносная программа с кодом управления внутри получила название Stuxnet. Специальный код, предназначенный для внедрения в ПО, установленное на оборудование управления центрифугами.

Одна из сложнейших задач внедрения в ПО — обойти антивирусные программы, установленные в системе управления центрифугами. Антивирусы мгновенно реагировали на внешние угрозы, то же самое ожидало вредителя Stuxnet.

Но создатели кода тщательно продумали порядок борьбы с антивирусом. Уважающие себя разработчики ПО подписываются под своими творениями специальными сертификатами. Антивирус читает сертификат, и все вопросы к ПО отпадают. Украсть такой сертификат практически невозможно.

Но решение лежало именно в этой плоскости. История умалчивает, каким образом в составе кода вредоносной программы появились сразу два сертификата — Realtek Semiconductor Corp. и JMicron. Но с таким послужным списком Stuxnet обходил антивирус без проблем.

Доставка «до двери»

Самым сложным этапом «Олимпийских игр» оставался этап доставки кода Stuxnet до машин, управляющих работой центрифуг. Учитывая, что город под землей полностью исключал использование на его территории Интернета, оставался единственный возможный способ — заражение через flash-накопитель. Но для этого нужен был человек, имеющий доступ к управляющим компьютерам. Гипотетическим исполнителем доставки Stuxnet считается сотрудник Siemens, который вставил заражённый носитель в систему управления центрифугами.

Иранская сторона неохотно комментирует последствия кибератаки 2009 года, о нанесенном ущербе мы можем судить по следующей косвенной информации: в период с 2009 по 2010 год на объекте были демонтированы и заменены около 1000 центрифуг IR-1. Ущерб от кибератаки эксперты по масштабам сопоставляют с ударом израильской боевой авиации по АЭС накануне её запуска в 1981 году.