В течение многих лет пелена загадок и домыслов окружала вирусную атаку Stuxnet, нацеленную на ядерную программу Ирана. Так как же США и Израиль смогли внедрить свою вредоносную программу в компьютерную систему на супер защищенном заводе по обогащению урана? Об этой шпионской истории наш сегодняшний текст.
Первым в своем роде вирус, предназначенный для компроментации иранской ядерной программы, фактически начал эру цифровой войны и был явлен миру в 2007 году, после того, как Иран начал устанавливать первую партию центрифуг на завод по обогащению близ деревни Натанз.
Курьером, стоявшим за этим вторжением, о существовании и роли которого ранее не сообщалось, был внедренный крот, завербованный агентами голландской разведки по поручению ЦРУ и израильского разведывательного агентства Моссад.
Согласно источникам, из четырех разведок (США, Нидерланды, Израиль, Германия) некий иранский инженер, завербованный голландским разведывательным агентством AIVD, предоставил критически важные данные, которые помогли правительственным хакерам из США нацелить свой код на системы в Натанзе. Затем, все тот же крот предоставил необходимый доступ к внутренней сети завода, когда пришло время подключить Stuxnet. Инъекция вируса была произведена с помощью USB флэш-накопителя.
Еще в 2004 году ЦРУ и Моссад попросили голландцев помочь получить доступ к иранскому заводу, но только три года спустя крот, выдававший себя за механика и работавший на подставную компанию, пригодился для совершения диверсии в Натанзе. «Голландский крот был самым важным элементом в цепи по доставке вируса в Натанз», - так сообщил один из источников в спецслужбах.
Тайная операция ЦРУ, получившая кодовое имя «Олимпийские игры», была разработана не для того, чтобы полностью уничтожить ядерную программу Ирана, а для того, чтобы отложить ее на некоторое время. В игру должны были вступить санкции и дипломаты, задачей которых было сподвигнуть Иран сесть за стол переговоров, что в конечном итоге привело к заключению ядерной сделки между США, Ираном и Евросоюзом.
Участие Нидерландов в этой истории восходит к тому времени, когда между США и их союзниками в Европе все еще существовало соглашение относительно того, как вести себя с Ираном. Однако сейчас ситуация изменилась. Администрация президента Трампа в одностороннем порядке вышла из сделки по иранской ядерной программе в 2018 году.
Операция «Олимпийских игры» в основном была совместной американо-израильской миссией. Со стороны США в ней принимали участие АНБ и ЦРУ, а Израиль представляли Моссад, министерство обороны Израиля и израильское национальное подразделение SIGINT, аналог американской АНБ. Но, согласно источникам, США и Израиль также получали помощь еще от трех стран. Отсюда и скрытое кодовое имя, которое дало намек на символ самого известного в мире международного спортивного события. Двое из трех участвующих игроков были Нидерланды и Германия. А третьим, как полагают, была Франция. Также свою небольшую роль в этом деле сыграла и разведка Великобритании.
Согласно источникам, Германия предоставила технические спецификации и знания о промышленных системах управления, изготовленных немецкой фирмой Siemens, которые использовались на иранском заводе для управления центрифугами. Считается, что Франция также предоставила разведывательные данные подобного рода.
Но вот вклад голландцев в эту операцию был особенный. Именно голландские источники предоставили ключевую информацию о закупке Ираном оборудования для его незаконной ядерной программы, а также информацию о самих центрифугах. Это связано с тем, что центрифуги в Натанзе были основаны на чертежах, украденных у голландской компании в 1970-х годах пакистанским ученым Абдулом Кадир Ханом. Хан украл планы по созданию ядерной программы для Пакистана, а затем приступил к продаже этих планов и в другие страны, включая Иран и Ливию.
Голландское разведывательное агентство AIVD, наряду с американской и британской разведкой смогло внедриться в одну из подставных европейских фирм, которая входила в сеть снабжения Хана. Данная сеть прикрывалась различными европейскими консультантами, которые помогали строить ядерные программы в Иране и Ливии. Данная операция внедрения включала в себя не только классические приемы разведшколы, но и содержало элементы наступательных киберопераций по взлому систем противника, которые разрабатывались как часть ширящегося поля цифрового шпионажа.
Кибер-возможности голландской AIVD явно были недооценены. В прошлом году стало известно, что именно AIVD была главным поставщиком информации о взломе почты Национального комитета демократической партии США в 2016 году, за которым стояла российская хакерская группа, известная как Cozy Bear. Об этой истории читайте в наших следующих постах.
Но в первые дни становления ядерной программы Ирана хакерская команда AIVD была небольшой и все еще развивалась.
Иранская программа, которая долгие годы находилась на заднем плане, набрала обороты в 1996 году, когда Иран тайно приобрел у Хана набор чертежей и компонентов для центрифуг. В 2000 году Иран начал свою деятельность в Натанзе, планируя построить установку, которая будет состоять из 50 000 центрифуг для обогащения уранового газа. В том же году AIVD взломала электронную почту ключевого сотрудника одной из иранских оборонных организации, пытаясь получить больше информации о ядерных планах Ирана.
Израильские и западные спецслужбы тайно следили за прогрессом в Натанзе в течение следующих двух лет, до августа 2002 года, когда группа иранских диссидентов публично обнародовала иранскую программу на пресс-конференции в Вашингтоне, используя информацию, слитую им спецслужбами. Инспекторы МАГАТЭ, обнаружив, что иранская программа заходит намного дальше, чем предполагалось, потребовали предоставить доступ к заводу в Натанзе. Это была первая попытка мирным способом остановить Иран от замыслов от развития своей военной ядерной программы.
Иран был вынужден согласиться и прекратить всю деятельность в Натанзе. В то же время МАГАТЭ стремилось получить как можно больше информации об их разработках. Пауза продолжалась в течение всего 2004 года и большей части 2005 года. Но США и Израиль понимали, что возобновление программы в Натанзе было только вопросом времени. Поэтому, и ЦРУ, и Моссад хотели иметь доступ к внутренней сети иранцев.
Обращение к голландцам за помощью в этом вопросе произошло в конце 2004 года, когда представитель Моссада, работающий в посольстве Израиля в Гааге, и сотрудник ЦРУ, базирующийся в посольстве США, встретились с представителем AIVD. Разговоры пока не велись о том, чтобы использовать кибероружие для нанесения удара по системе управления в Натанзе; целью в то время пока была только разведка и получение данных.
Однако же, эта встреча была не случайной. В 2003 году британская и американская разведки провели успешную операцию по перехвату корабля, перевозившего компоненты для тысяч центрифуг и направлявшегося в Ливию. Точно такие же компоненты использовались иранцами на своем заводе в Натанзе. Эта поставка предоставила четкие доказательства незаконной ядерной программы Ливии. Но Ливию убедили отказаться от продолжения своей ядерной программы в обмен на отмену санкций. Ливийцы также согласились отказаться от использования любых ранее полученных компонентов центрифуг.
К марту 2004 года США перевезли компоненты с захваченного корабля и те, что уже находились в Ливии в Национальную лабораторию Оак-Ридж, штат Теннесси и еще на один секретный объект в Израиле. В течение следующих месяцев международная команда ученых собирала центрифуги и изучала их, чтобы определить, сколько времени понадобится Ирану для обогащения газа, достаточного для создания ядерной бомбы. После этого созрел план по осуществлению диверсии на центрифуги.
У голландцев уже был инсайдер в Иране, и после того, как поступил запрос от ЦРУ и Моссада, голландцы решились «сдать его в аренду» американцам. Его задачей на первом этапе было наладить две параллельные схемы - каждая с участием местной подставной компании - в надежде, что какая-нибудь из них сможет вывести его на завод в Натанзе.
Создание фиктивной компании с сотрудниками, клиентами и документами, показывающими историю деятельности, требует времени, а времени уже не хватало. В конце 2005 года Иран объявил о выходе из соглашения о приостановке программы, а в феврале 2006 года он начал обогащать свою первую партию гексафторида урана на экспериментальной установке в том же Натанзе. Однако у иранцев возникли некоторые проблемы, которые замедлили весь проект на год. И только в феврале 2007 года они официально запустили программу обогащения, установив первые центрифуги в главных залах завода в Натанзе.
К тому времени разработка кода для атаки на центрифуги уже вовсю велась. В 2006 году было проведена тестовая диверсия, на имевшихся у американцев центрифугах. Результаты были представлены президенту Джорджу Бушу, который санкционировал секретную операцию, как только генералы доказали ему, что она действительно может быть успешной.
К маю 2007 года в Натанзе было установлено 1700 центрифуг для обогащения газа, а к лету иранцы планировали удвоить это количество. И где-то перед летом 2007 года голландский крот уже был внутри системы Натанза. Одна из его схем проникновения за периметр сработала.
Первая фирма, созданная кротом, не смогла попасть в Натанз - была проблема с тем, как она была создана, и «иранцы уже начали что-то подозревать», объясняет один из источников.
Вторая фирма, получив поддержку от израильских специалистов, оказалась более успешной. На этот раз голландскому кроту, который по образованию был инженером, удалось проникнуть внутрь Натанза, выдав себя за механика. И хотя его работа не включала прямую установку центрифуг, он все же смог оказаться в нужных ему для сбора информации местах. По-видимому, он посещал Натанз несколько раз в течение нескольких месяцев.
Источники не предоставили подробностей о собранной кротом информации, но вирус Stuxnet должен был быть точечной атакой, которая могла иметь успех только в том случае, если код вируса обнаружит очень специфическую конфигурацию оборудования и настройки сети. Используя информацию, предоставленную кротом, хакеры смогли обновить код вируса так, чтобы повысит точность его срабатывания.
По данным известного разработчика антивирусов, компании Symantec, которая, собственно и обнаружила Stuxnet, злоумышленники первый раз обновили код в мае 2006 года, а затем в феврале 2007 года, как раз когда Иран начал устанавливать центрифуги в Натанзе. Но последние изменения они внесли в код 24 сентября 2007 года, изменив ключевые параметры, необходимые для проведения атаки, и скомпилировали код в тот же день.
Код вируса был разработан так, чтобы закрывать выпускные клапаны на случайно выбранных центрифугах, чтобы газ входил в них, но не мог выходить. Это повышало давление внутри центрифуг и с течением времени причиняло им повреждения.
Stuxnet был спроектирован так, что инфицирование происходило только одним способом - через USB-накопитель. Система управления центрифугами, установленная в Натанзе, была от немецкого промышленного концерна Siemens. И она не имела никаких контактов с внешними сетями, абсолютно вещь в себе. Поэтому хакеры должны были найти способ преодолеть этот «ров», чтобы скомпроментировать ее. Иранские инженеры периодически осуществляли перепрограммирование системы управления с помощью кода, загруженного на флэш-накопители USB. Поэтому крот, либо напрямую установил код, подключив зараженную флэшку в разъем, либо через флэшку одного из инженеров, который затем невольно запустил Stuxnet, во время сеанса программирования системы.
Как только это было сделано, крот больше никогда не возвращался в Натанз, а вирус уже работал и продолжал разрушать центрифуги весь 2008 год. В 2009 году хакеры решили сменить тактику и попробовать новую версию кода.
Новая версия, вместо того, чтобы закрывать выпускные клапаны на центрифугах, изменяла скорость их вращения, ускоряя их до уровня, выше которого они не были предназначены для вращения, и затем замедляя их. Цель состояла в том, чтобы повредить сами центрифуги, а также подорвать эффективность всего процесса обогащения. Примечательно, что хакеры скомпилировали эту версию кода атаки еще 24 сентября 2007 года, тогда же когда они скомпилировали код для самой первой версии, видимо предполагая, что понадобится еще один сценарий проведения атаки.
К тому времени, когда апдейт кода был выпущен, хакеры уже утратили внутренний доступ к системе, который они получили через крота - или, возможно, они просто больше не нуждались в нем. Эта версия Stuxnet попала на завод в Натанзе, уже через других курьеров. Целями были сотрудники пяти иранских компаний - все они являлись подрядчиками по установке промышленных систем управления в Натанзе и других объектах в Иране.
«Удивительно, что мы все еще получаем представление о процессе разработки Stuxnet [через 10 лет после его открытия]», - сказал Лиам О'Мурчу, директор по развитию подразделения Security Technology and Response в Symantec. О'Мурчу был одним из трех исследователей в компании, которые сделали реверсирование кода Stuxnet после его обнаружения. «Интересно видеть, что у них была та же самая стратегия для внедрения [первой версии Stuxnet], но это был более ручной процесс. ... Им нужен был кто-то на том берегу, и его жизнь явно была в опасности, когда они выполняли эту операцию ».
О'Мурчу думает, что изменение тактики для более поздней версии Stuxnet может быть признаком того, что возможности атакующих улучшились, и им больше не нужно было подвергать риску раскрытия голландского крота.
«Может быть ... еще в 2004 году у них не было возможности сделать это в автоматическом режиме без присутствия кого-либо на том берегу», - сказал он. «В то время как пять лет спустя они смогли осуществить всю атаку полностью удаленно и не подвергать кого-либо излишнему риску».
Но у их более поздней тактики был другой недостаток. Чтобы увеличить вероятность того, что вирус достигнет целевых систем внутри Натанза, хакеры добавили несколько механизмов распространения в новую версию кода. Это привело к тому, что Stuxnet вышел из-под контроля, сначала на машинах других заказчиков из той пятерки скомпроментированных иранских компаний, а затем и на тысячах других машин, по всему миру, что привело к открытию Stuxnet и его публичному представлению в июне 2010 года.
Через несколько месяцев после открытия Stuxnet, израильский вебсайт написал, что в Иране арестовали и, возможно, казнили нескольких работников в Натанзе, полагая, что они могли способствовать внедрению вредоносного ПО в системы на заводе. Двое из разведывательных источников указали, что по программе Stuxnet действительно произошла гибель людей, но не сказали, был ли среди них голландский крот.
Из-за своего преждевременного открытия Stuxnet существенно не отодвинул иранскую программу. В то же время он помог выиграть время для дипломатов и введения санкций, чтобы посадить Иран за стол переговоров. Stuxnet также изменил характер кибервойны и запустил гонку цифровых вооружений. Это привело к тому, что другие страны, в том числе и сам Иран, увидели ценность в использовании наступательных кибер-операций для достижения своих политических целей - следствие, с которым США сталкиваются с тех пор сами.
Генерал Майкл Хейден, бывший глава ЦРУ и АНБ, признал новаторский характер разработки, когда он сравнил операцию Stuxnet с атомными бомбами, сброшенными на Хиросиму и Нагасаки.
«Я не хочу притворяться, что это тот же эффект, - сказал он, - но, по крайней мере, в каком-то смысле, это август 1945 года».
Оригинал статьи (англ.)
