(Сентябрь 2010)
Вполне рядовая, на первый взгляд, компьютерная инфекция, обнаруженная антивирусными экспертами прошедшим летом, в действительности оказалась опаснейшим кибероружием, способным на уничтожение целей в физическом мире.
[Первая статья в серии публикаций, посвященных программам, целенаправленно разработанным спецслужбами для кибервоенных атак.]
В последних числах сентября канадский город Ванкувер принимает у себя конференцию по компьютерной безопасности Virus Bulletin, ежегодно кочующую по разным местам Северной Америки и Западной Европы. Среди докладов нынешней конференции, вне всяких сомнений, самый большой интерес привлекают два независимых выступления — от Kaspersky Lab и Symantec — посвященных одной и той же теме: беспрецедентно изощренному компьютерному «гипер-червю» Stuxnet.
Если обрисовать предмет в нескольких словах, то Stuxnet представляет собой прежде неведомый публике класс программного обеспечения, уже разработанного на государственном уровне для военных наступательных кибератак.
Эта программа использовала для невидимого внедрения одновременно четыре разных и еще непропатченных дыры в защите систем (zero-day exploits), два похищенных у известных изготовителей подлинных сертификата для легального встраивания своих кодов в операционную систему и действительно очень умный механизм самостоятельного многоэтапного распространения. Механизм, который начинается с заражения обычных Windows-ПК инфицированной USB-флешкой, а заканчивается встраиванием собственного смертоносного кода в ПО Siemens S7 SPS для промышленных систем управления предприятиями.
Программа Stuxnet проникла в десятки тысяч промышленных компьютерных систем по всему миру, но, к великому счастью, практически ни одной из них это ничем не грозит. Эксперты по кибербезопасности убеждены, что Stuxnet — это высокоточное, сугубо избирательное оружие, остро заточенное под поиск и уничтожение одной-единственной конкретной цели.
В принципе, у специалистов к настоящему времени даже есть общее понимание, что именно это была за цель. Но поскольку никаких официальных заявлений на данный счет ни одним государством не сделано (да и вряд ли они вообще появятся), имеет смысл поподробнее разобраться с деталями и логикой всей этой захватывающей истории.
#
Впервые Stuxnet попал в поле зрения антивирусных фирм в середине июня 2010, когда не самая известная фирма компьютерной безопасности VirusBlokAda из Белоруссии обнаружила этого червя в компьютерах, принадлежащих одному их иранскому клиенту.
Названием для вредоносной программы послужило имя одного из файлов, обнаруженных в теле червя, а всемирную известность Stuxnet обрел примерно месяц спустя. Точнее, когда в июле корпорация Microsoft подтвердила, что данный червь активно заражает компьютеры под ОС Windows, работающие в составе крупномасштабных систем управления промышленными предприятиями.
Такого рода системы управления часто обозначают акронимом SCADA — англоязычным сокращением от словосочетания «supervisory control and data acquisition», т.е. «диспетчерское управление и сбор данных». SCADA-системы ныне управляют в индустрии работой чего угодно — от электростанций и заводского производства до нефтепроводов и военных объектов.
С этого момента червь Stuxnet стал объектом обширных и пристальных исследований специалистов по компьютерной безопасности. Которые довольно скоро и вполне единодушно были вынуждены признать, что ничего подобного им в своей практике видеть прежде не доводилось.
Тогда же в июле Stuxnet был классифицирован как гиперусложненная вредоносная программа, созданная, вероятнее всего, целой командой опытных разработчиков по заказу какого-то государства.
Оценка одного из пораженных инженеров, занимавшегося «препарированием» червя, звучала примерно так:
«После десяти лет ежедневных занятий обратной инженерной разработкой кодов, я еще никогда не встречался ни с чем, что хотя бы близко было похоже на ЭТО».
Невиданно огромный для подобного типа программ (размер исполняемого кода составляет порядка полумегабайта), обильно зашифрованный и слишком сложный для быстрого понимания его назначения, этот червь реально сильно удивил специалистов.
По словам другого антивирусного эксперта, в сравнении с червем Stuxnet все прочие примечательные атаки последнего времени, вроде приснопамятной Aurora, в ходе которой были хакнуты сети Google и десятков других ведущих компаний, выглядят просто детскими игрушками.
При всей своей перегруженности программа Stuxnet написана чрезвычайно хорошо и грамотно. Она очень, очень тщательно заточена под то, чтобы ничего не поломать и не нарушить в заражаемых ею системах, чтобы не было видно абсолютно никаких внешних признаков инфицирования.
А самое главное, она делает все для гарантирования того, чтобы ее окончательная миссия, которая манипулирует параметрами и кодами в управляющем компьютере SPS, была запущена и выполнена лишь в том случае, когда имеется полная уверенность, что это именно та самая система, на которую программа изначально была нацелена.
Однако понимание всех этих нюансов пришло, конечно же, далеко не сразу. Поначалу специалисты фирм Symantec и Kaspersky Lab, примерно одновременно и всерьез взявшиеся за борьбу с червем, обнаружили лишь один опасный zero-day-баг – дыру в защите от USB-устройств, подсоединяемых к ПК. Уязвимость получила название LNK и срабатывала она для инфицирования почти любых компьютеров, в независимости от версии операционной системы Windows – начиная с ископаемой Win 2000 и до наиболее современной, предположительно весьма безопасной Windows 7.
Еще через несколько недель исследований специалисты обеих антивирусных фирм независимо друг от друга обнаружили, что Stuxnet в действительности использует для внедрения далеко не одну, а четыре прежде неизвестных zero-day-уязвимостей (баг спулера печати и два EoP-бага, повышающих привилегии). Одновременное использование сразу четырех zero-day-багов — это очень и очень необычное свойство вредоносной программы, никогда прежде не наблюдавшееся экспертами ни в Symantec, ни у Касперского.
Соответственно, не доводилось им видеть и поведение столь продвинутого червя в работе. Попадая в корпоративную сеть — на первом этапе через зараженное USB-устройство — Stuxnet использовал баги, повышающие его привилегии (EoP), чтобы получить доступ администратора к другим ПК, разыскивал системы, в которых работают программы управления WinCC и PCS 7 SCADA, захватывал эти системы, используя баг спулера печати, а затем пытался применять принятый по умолчанию фабричный пароль Siemens для захвата управления программным обеспечением SCADA.
После этого червь получал возможность перепрограммировать так называемую программу PLC (programmable logic control — программируемый логический контроллер), чтобы диктовать всем управляемым системой механизмам новые команды и инструкции.
Попутно следует подчеркнуть, что опаснейшие коды атакующего червя для всякой зараженной системы выглядели совершенно легитимными, поскольку люди, стоявшие за созданием Stuxnet, предварительно похитили по крайней мере два цифровых сертификата, принадлежащие компаниям Realtek Semiconductor и JMicron Technology. Драйверы и программы этих фирм давно и прочно прописаны в операционных системах компьютеров, поэтому действия правильно подписанных кодов Stuxnet не вызывали абсолютно никаких сигналов тревоги.
Другой интересный нюанс — это один из способов, которым атакующая сторона минимизировала риски обнаружения своей программы. В каждом USB-устройстве, куда подсаживался Stuxnet, работал счетчик, который контролировал число заражаемых устройством машин и не позволял инфицировать больше трех компьютеров. Иными словами, атакующие, судя по всему, таким образом пытались ограничить масштабы распространение червя, дабы он оставался как можно ближе к объекту, против которого был направлен.
Функционирование червя Stuxnet рассчитано на полностью автономную работу программы и не требует ни подключений к интернету для получения дополнительных инструкций, ни управления со стороны человека вообще. В программе выявлено настолько много разных типов выполняемых функций, что для экспертов очевидно — созданием этого продукта занималась команда людей с богатым опытом в самых разных областях: от конструирования невидимых руткитов и эксплуатации багов проникновения до работы с базами данных.
Вредоносное ПО написано на множестве разных языков. С одной стороны, это C, C++ и другие объектно-ориентированные языки высокого уровня. А с другой — коды STL (Statement List), низкоуровневого языка типа ассемблера, используемого в системах управления промышленными процессами. Плюс вообще впервые наблюдаемый специалистами руткит для PLC, скрывающий вредоносный STL-код.
Если же говорить о работе червя со SCADA-системами вообще, то в первую очередь следует подчеркнуть, что эта область приложения компьютеров отличается очень высоким уровнем специализации. Иначе говоря, по свидетельству специалистов, разработчики Stuxnet в своем распоряжении непременно должны были иметь для тестирования именно то реально применяемое аппаратное обеспечение, под которое затачивалось их кибероружие. Ибо все признаки свидетельствуют, что они в точности и в деталях знали нюансы работы техники на том конкретном объекте, который был избран целью атаки.
#
Начиная с этого момента разбора представляется наиболее логичным от наблюдений и свидетельств антивирусных экспертов из Symantec и Kaspersky Lab перейти к результатам анализа, выполненного специалистом по безопасности компьютерных промышленных систем из фирмы Siemens.
Ибо Stuxnet был несомненно заточен против ПО именно этой компании, уверенно доминирующей на рынке SCADA-систем, а весьма уважаемый германский специалист по безопасности промышленных систем Ральф Лангнер (Ralph Langner), работающий в Siemens, недавно опубликовал в Сети результаты своих исследований, посвященных интересным свойствам невиданного прежде гипер-червя из киберпространства.
Поначалу, как и у экспертов из антивирусных фирм, первой идеей Лангнера было то, что Stuxnet написали для похищения промышленных секретов — каких-нибудь фирменных формул, рецептов или схем, которые могут быть использованы конкурентами для производства контрафактной продукции. Однако, углубившись в анализ свойств червя, обнаружил Лангнер нечто существенно иное.
Червь Stuxnet действительно занят непрерывными поисками, однако разыскивает он кое-что совершенно другое — очень специфические установочные параметры системы, нечто вроде ее «отпечатков пальцев», которые говорят, что именно работает под управлением PLC или программируемого логического контроллера.
Как уже говорилось, промышленные SCADA-системы весьма специфичны для каждой конкретной фабрики. Они состоят из множества небольших узлов, измеряющих температуру, давление, потоки жидкостей и газов, они управляют вентилями, моторами, и всем прочим хозяйством, необходимым для поддержания нередко опасных промышленных процессов в рамках их норм безопасности и в пределах эффективности.
Таким образом, оба компонента систем — аппаратные модули конфигурации и программное обеспечение — являются специфическим набором, изготовляемым для каждой конкретной фабрики. Ну а с точки зрения червя Stuxnet все эти вещи выглядят как «отпечаток пальцев». И лишь только в том случае, если идентифицирована надлежащая конфигурация, он начинает делать больше, много больше, нежели просто тихо себя распространять в поисках цели.
(Именно эта особенность программы свидетельствует об одной принципиально важной вещи: атакующая сторона очень точно знала конфигурацию выбранной цели. Она наверняка должна была иметь поддержку инсайдера или группы инсайдеров внутри фабрики, либо какой-то еще способ доступа к программной части и аппаратной конфигурации избранного для атаки объекта.)
Среди шагов, которые, как обнаружил Лангнер, делает Stuxnet при обнаружении искомой цели, оказались изменения в фрагментах программного кода Siemens, известного как «оперативный Блок 35». Этот важный компонент программы Siemens занимается мониторингом критических производственных операций — вещей, которые требуют срочной реакции в пределах 100 миллисекунд.
Вмешиваясь в работу Блока 35, Stuxnet может, к примеру, легко вызвать аварийный сбой в работе, ведущий к саморазрушению промышленного процесса. Так, во всяком случае, это видит Лангнер.
В частности, в его аналитической работе пошагово демонстрируется, что именно происходит с системой, когда Stuxnet находит свою цель по ее «отпечаткам». Как только Stuxnet выявляет критически существенную функцию, срабатывающую в модуле PLC, вредоносная программа берет управление системой на себя.
Один из самых последних кодов, который Stuxnet отправляет в обреченную систему, носит выразительное название “DEADF007”. Ну а затем очевидно начинается фейерверк, хотя точное назначение захваченных программой функций остается неизвестным, говорит Лангнер.
Это может быть и перевод скорости вращения турбины на максимально возможные обороты, и отключение системы смазки, или еще какие-то жизненно важные для нормальной работы функции системы (конкретная природа повреждений, вызываемых червем, просто неизвестна, потому что со стороны по коду SPS нельзя увидеть, что именно делают задаваемые параметры, не видя схему той конкретной фабрики, которой управляет система).
Что бы это ни было, говорит Лангнер, анализ показывает, что Stuxnet отменяет защитные функции и подает в систему свои, фатальные команды: «Как только исходный код PLC перестает выполняться, можно ожидать, что вскоре какая-то вещь взорвется. И скорее всего, это окажется что-то крупное».
По свидетельству Лангнера, «Stuxnet — это 100-процентно целенаправленная кибератака, заточенная на уничтожение некоего промышленного процесса в физическом мире. Это явно не имеет отношения к шпионажу и похищениям информации, как полагали некоторые. Это 100-процентно диверсионная атака».
#
Поскольку ныне практически все исследователи, изучающие червя, вполне единодушны в выводах о том, что Stuxnet был сконструирован чрезвычайно изощренным и умелым мастером — скорее всего, специалистами государственной спецслужбы — и был создан для разрушения чего-то большого и важного, то теперь остается выяснить лишь два «простых» вопроса: (а) что за государство стоит за Stuxnet и (б) против какого объекта была направлена диверсия?
На сегодняшний день имеется достаточное количество фактов и доводов для того, чтобы (не наверняка, конечно, но) с высокой степенью достоверности ответить на оба этих вопроса.
По-своему очень содержательный ключ к поискам ответов на все вопросы вокруг Stuxnet дает следующий комментарий одного из специалистов, занимавшихся «вскрытием червя». Или, выражаясь иначе, обратной инженерной разработкой вредоносной программы:
«Это то, что создает государство, если единственной другой возможностью остается начало войны».
Переформулируя суть наблюдения чуть более развернуто, можно сказать так. Если считать, что война — это продолжение политики жестко-силовыми методами, а компьютерный червь Stuxnet — это, как вполне очевидно для специалистов, созданное неким государством кибероружие, то большинство тайн вокруг этой вредоносной программы наверняка связано с нюансами сложных межгосударственных отношений в каком-нибудь горячем регионе планеты.
Вычислить этот регион и даже конкретное государство, против которого была направлена атака Stuxnet, оказывается совсем несложно. Как уже говорилось, в механизм распространения червя его создателями заложен счетчик, искусственно ограничивающий ареал распространения инфекции.
Согласно же данным компании Symantec, тщательно регистрирующей все известные случаи заражения компьютеров этим червем, география распространения напасти в августе 2010 года выглядела следующим образом. Иран — 62 867 инфицированных машин, Индонезия — 13 336, Индия — 6 552, США — 2 913, Австралия 2 436, Великобритания 1 038, Малайзия 1 013 и Пакистан — 993.
Иначе говоря, если пересчитывать в относительных долях, а не в абсолютных цифрах, то на Иран приходится почти 70% всех зараженных систем… Ответ, как говорится, очевиден.
Ну а если все достаточно ясно со страною-целью атаки, то становится намного проще ответить и на вопрос о том, кто может стоять за созданием Stuxnet. Два главных и самоочевидных политических противника Ирана, это конечно же США и Израиль.
Обе страны не только известны своей очень жесткой позицией относительно ядерных амбиций иранского государства, но и располагают достаточным техническим потенциалом для создания и применения кибероружия уровня Stuxnet. Но хотя эти факты помогают ощутимо сузить поиск, из них, строго говоря, совершенно не следует, что червя наверняка сделали израильтяне или американцы.
То есть для более весомых гипотез определенно требуются дополнительные детали.
#
Надеяться, что такие детали или подсказки будут как-то добыты из тела препарированного червя — дело в общем-то сомнительное и безнадежное. Как свидетельствуют специалисты, авторы подобных программ вполне намеренно могут встраивать в коды программ ложные следы и указатели, запутывающие тех, кто попытается отыскать источник.
По этой причине куда более продуктивным путем изысканий представляется — для начала — поиск конкретного объекта, против которого была направлена атака Stuxnet. Учитывая обостренную скрытность Ирана во всем, что касается его ядерной программы, сделать это тоже не так-то просто. Но кое-что все же здесь известно.
Например, Ральф Лангнер, обильно цитировавшийся выше эксперт Siemens по безопасности промышленных систем управления, предполагает, что целью червя могла быть Бушерская АЭС. На настоящий момент эта десятилетиями достраиваемая электростанция является, вероятно, самым знаменитым объектом иранской ядерной программы.
Лангнер же в поддержку своей гипотезы напоминает, что в минувшем августе объявленный пуск объекта в очередной раз был сорван без внятного объяснения причин. А также указывает на публиковавшийся в СМИ снимок-скриншот с экрана одного из управляющих компьютеров в Бушере.
Снимок, как считается, был сделан в феврале 2009 года, отображает схему работы электростанции, и по ряду сопутствующих признаков из него видно, что для управления используются Windows и программное обеспечение Siemens. То есть компоненты именно той среды, где распространяется и атакует Stuxnet. Однако каких-либо еще аргументов для поддержки гипотезы Лангнера, в общем-то, больше нет.
Намного более обоснованную и правдоподобную гипотезу выдвинул другой германский специалист, Франк Ригер (Frank Rieger), технологический директор фирмы компьютерной безопасности GSMK из Берлина. По результатам анализа Ригера, куда более вероятной целью для атаки червя была не Бушерская АЭС, как ныне предполагает большинство, а фабрика по обогащению урана в Натанзе.
Мощно укрепленный и спрятанный глубоко под землю завод в Натанзе, как свидетельствуют эксперты, представляет собой намного большие риски с точки зрения производства ядерного оружия, нежели Бушерская АЭС.
#
В подкрепление своего предположения о том, что целью Stuxnet в действительности были тысячи центрифуг Натанза, Ригер приводит впечатляющую подборку сведений из доступных ему публикаций прессы и свидетельств специалистов.
Начинает же Ригер свою цепочку доводов с анализа свойств самого червя Stuxnet. Хотя в изучавших его антивирусных фирмах нет согласия о том, когда именно Stuxnet появился (в Symantec признаки инфекции отследили назад лишь до января 2010, а у Касперского — до июля 2009, по меньшей мере), согласно имеющимся у германского эксперта данным распространение Stuxnet явно происходило уже в январе 2009.
Примерно полгода спустя, 17 июля 2009, известный сайт WikiLeaks опубликовал довольно туманную новость следующего содержания:
Две недели тому назад один из источников, связанный с ядерной программой Ирана, конфиденциально сообщил WikiLeaks о серьезной ядерной аварии, произошедшей недавно в Натанзе. Натанз является главным объектом в иранской ядерной программе по обогащению урана.
У WikiLeaks имеются основания доверять этому источнику, однако контакт с этим источником оказался утрачен. Обычно в WikiLeaks не принято упоминать подобного рода инциденты без дополнительных подтверждений информации.
Однако сегодня, согласно сообщениям иранских СМИ и британской Би-Би-Си, Голамреза Агазаде, глава IAEO или Иранской организации по атомной энергии, ушел в отставку при загадочных обстоятельствах. Согласно этим сообщениям, вопрос об отставке был поднят 20 дней назад.
Последующая перекрестная сверка с информацией из архивов новостного агентства Ирана ISNA подтверждает, что Г. Агазаде именно в это время действительно ушел с поста главы Организации по атомной энергии Ирана. При этом, согласно официальным данным, предоставляемым IAEO в контролирующие структуры, количество реально функционирующих центрифуг в Натанзе существенно (на несколько тысяч) упало именно в то время, когда WikiLeaks сообщал о серьезной аварии на объекте.
Наконец, по совсем уж интересному совпадению, примерно в то же самое время, 7 июля 2009 года, израильский новостной сайт ynet-news.com, связанный с известной и хорошо информированной газетой Yediot Ahronot, опубликовал материал о возможной кибервойне Израиля против иранской ядерной программы. Опубликованные в этом материале сведения настолько любопытны, что здесь имеет смысл привести наиболее содержательный фрагмент публикации практически в дословном пересказе.
#
Как рассказывает безымянный автор этой статьи, в конце 1990-х годов компьютерный специалист из Shin Bet, израильской спецслужбы внутренней безопасности, хакнул компьютер-мэйнфрейм, управляющий работой крупного топливного склада Пи-Глилот к северу от Тель-Авива.
Поначалу это компьютерное проникновение мыслилось спецслужбой как своего рода дежурная проверка средств охраны на стратегически важном объекте. Но затем, по зрелом размышлении над важностью достигнутого результата, это также указало израильтянам на огромный потенциал подобных хайтек-проникновений, обеспечивающих пути к реально серьезным диверсиям.
«Попав однажды внутрь компьютерной системы Pi Glilot, мы неожиданно обнаружили, что — не говоря уже о доступе к секретным данным — мы можем также устроить преднамеренные взрывы, просто перепрограммируя подачу топлива в трубопроводах», — поделился воспоминаниями один из ветеранов тех памятных учений в спецслужбе Шин-Бет.
С этого знаменательного момента, собственно, и принято отсчитывать историю израильской кибервоенной программы, которая ныне, десятилетие спустя, рассматривается независимыми экспертами как наиболее вероятное направление усилий Израиля по обузданию ядерных амбиций его архипротивника Ирана.
По свидетельству осведомленных в этих делах источников, привлекательность кибератак особо возросла по тем причинам, что, с одной стороны, возможности Израиля для обычных авиаударов по удаленным и укрепленным атомным объектам Ирана существенно ограничены. А с другой стороны, главный союзник – США – ныне явно не желает ввязываться в еще одну открытую войну на Ближнем Востоке.
Если же цитировать практически дословно одного из недавно ушедших в отставку руководителей сил безопасности Израиля, то избранная стратегия звучит так:
«Мы пришли к выводу, что для достижения наших целей ключевая уязвимость Ирана — в его компьютерных сетях… Поэтому мы стали действовать соответствующим образом».
Кибервоенные подразделения структурно упрятаны глубоко внутри разведывательных спецслужб Израиля, которые имеют богатейший опыт в традиционных методах саботажа и диверсий, а их операции тщательно прикрыты официальным режимом секретности и цензурой. Эти силы могут привлекать для своей работы самые ценные технологические достижения коммерческих фирм Израиля, многие из которых входят в число мировых хайтек-лидеров, а в руководстве которых зачастую сидят ветераны элитных компьютерных подразделений военной разведки.
Как охарактеризовал данную ситуацию Скотт Борг (Scott Borg), директор американской фирмы Cyber Consequences Unit, консультирующей вашингтонские правительственные ведомства по вопросам кибербезопасности, «если судить по моим контактам с израильскими специалистами на разнообразных международных форумах, Израиль сегодня вполне определенно располагает продвинутыми возможностями для кибератак».
Когда его попросили — в гипотетическом плане — описать возможные сценарии атак Израиля против Ирана через компьютерные сети, Борг заметил, что вредоносное ПО, к примеру, можно было бы встроить в систему для того, чтобы нарушить, захватить или вообще разрушить управление каких-нибудь критично важных объектов, вроде заводов по обогащению урана.
Подобного рода атаки, отметил Борг, могут быть очень быстрыми. Но их можно делать и латентными — когда вредоносные программы прокрадываются незаметно и, затихнув, ожидают некоей внешней команды для нанесения удара. Либо они могут иметь в себе заранее запрограммированный механизм для автоматического удара в тот момент, когда зараженный объект достигает наиболее критичного уровня активности.
Иранские ядерные объекты, скорее всего, изолированы от сетей и компьютеров внешнего мира, продолжил Борг, так что хакерам не удалось бы получить к ним непосредственный доступ. Поэтому израильтянам потребовалось бы замаскировать свое вредоносное ПО в каких-то программах, используемых иранцами, или же избирательно и тайно внедрить его в портативные устройства, приносимые на объект каким-нибудь, скажем, сотрудником из технического обслуживания, не ведающим что он делает. «Зараженной USB-флешки для этого было бы вполне достаточно», — заметил Борг.
То, что подобные вещи реально происходят, не подлежит сомнению. В 2008 году иранский бизнесмен Али Аштари (Ali Ashtari) был казнен властями Ирана как израильский шпион, обвиненный в поставках «зараженного» коммуникационного оборудования для одного из секретных военных проектов Ирана. По этому поводу в иранских СМИ цитировался один из начальников сил безопасности, сообщивший, что действия Аштари «привели к краху всего проекта с необратимыми повреждениями». Израиль, как обычно, полностью уклонился от комментариев по данному поводу.
Одно из важнейших преимуществ кибервойны — это возможности действовать скрытно и попутно все отрицать. Для Израиля это особенно важно в случае атак против иранской ядерной программы, которая, как упорно настаивает Тегеран, является сугубо мирной затеей.
С другой стороны, эффективность наносимых киберударов довольно сложно адекватно оценить, потому что атакованная сеть зачастую может скрыть масштабы повреждений или же, наоборот, подделать симптомы понесенного урона. Военные удары, со своей стороны, имеют немедленный и поддающийся оценкам физический эффект…
#
На этом пассаже цитирование израильской публикации пора закончить. Сильно ею впечатленный Франк Ригер обращает особое внимание, что в данной статье описан не только общий принцип работы Stuxnet, но даже упомянуты зараженные USB-флешки, как главное средство внедрения червя.
В ретроспективе же, глядя из дня сегодняшнего, весь этот материал, по мнению Ригера, очень похож на своего рода завуалированное объявление — сделанное как для союзников, так и для неприятеля — об уже одержанной тайной победе…
Возвращаясь же к свойствам препарированного червя, эксперт отмечает, что — судя по текущему состоянию анализа — имеются веские основания расценивать атаку Stuxnet как синхронизированную и распределенную на множество идентичных узлов (внедренные черви этого типа не нуждаются, вообще говоря, в интернете, но при этом обладают возможностями для пиринговой связи друг с другом).
На ядерной электростанции, вроде Бушерской АЭС, имеется не так много идентичных SPS-узлов, поскольку в систему объединено большое множество подсистем различного рода. С другой стороны, фабрика центрифуг по обогащению урана состоит из тысяч идентичных узлов, которые объединены в структуры, именуемые каскадами. Каждый из этих узлов по необходимости повторяет своих соседей, поскольку для увеличения численности центрифуг обогащения так устроено массивное масштабирование системы.
При такой архитектуре червю Stuxnet потребовалось бы заразить каждую из центрифуг, а затем вызвать лавину массовых отказов оборудования. (Имеются неофициальные свидетельства, что именно это и произошло в Натанзе).
Подводя же общий итог своих изысканий, Франк Ригер достаточно уверенно предполагает, что целью атаки Stuxnet был ядерный объект в Натанзе. И вполне очевидно, что червь добился успешного результата в своей диверсии — эффективно сократив технические возможности фабрики по обогащению урана.
Вполне возможно, что мир никогда не узнает наверняка, какого рода авария произошла в Натанзе — если, конечно, сам Иран не выступит на сцену и честно все не расскажет. Пока что это представляется маловероятным.
Аналогично, никто и никогда, скорее всего, не признается в авторстве червя Stuxnet — нового класса вредоносных программ, сконструированных для физического поражения целей на уровне реального оружия. При этом не вызывает сомнения, что со временем специалисты по SCADA-системам наверняка смогут установить, какую именно технику разрушает Stuxnet.
Скорее всего, этот же результат укажет и на наиболее вероятных авторов данной вредоносной программы. Но, как заметил в своих комментариях Ральф Лангнер, создателей червя это вряд ли волнует. Они наверняка знают, что никто их за это в тюрьму не отправит.
kiwi arXiv 