Еще раз про Stuxnet

(Январь 2011)

Практически сразу ставший классическим примером того, как выглядит современное кибероружие, червь Stuxnet продолжает раскрывать свои тайны.

stuxnet

За несколько первых недель 2011 года череда независимых друг от друга событий в мире политики и инфотехнологий сложилась таким образом, что общая картина вокруг загадочного и мощного компьютерного червя Stuxnet стала выглядеть значительно отчетливее.

Известные прежде подробности всей этой туманной истории про некие «тайные силы», сумевшие подорвать иранскую ядерную программу с помощью весьма эффективного компьютерного вируса, можно найти, к примеру, в материале «Боевой червь Stuxnet». В последнее же время происходило вот что.

В январе этого (2011) года уходивший в отставку директор израильской разведслужбы Mossad Меир Даган и госсекретарь США Хиллари Клинтон отдельно и независимо друг от друга объявили, что по имеющимся у них сведениям усилия Ирана по созданию ядерного оружия оказались отброшены на несколько лет назад.

Правда, в аккуратном заявлении мадам Клинтон, сделанном в ходе ее недавнего вояжа по государствам Ближнего Востока, причиной столь серьезных проблем названы возглавляемые Америкой экономические санкции против Ирана, благодаря которым удалось существенно подорвать возможности этой страны по закупке необходимых технических компонентов и ведению соответствующего международного бизнеса.

Однако куда менее дипломатичный Меир Даган (ведомство которого открыто обвиняется Ираном в том, что это именно Mossad стоит за недавними убийствами нескольких ведущих иранских ученых-ядерщиков), выступая в Кнессете сообщил израильским законодателям, что Иран ныне попал в такие технологические трудности, которые способны задержать создание ядерной бомбы до 2015 года.

Это заявление прозвучало особенно сильно по той причине, что все последние годы Израиль очень упорно настаивал, что Иран в данной области уже находится практически на грани успеха.

Ни Меир Даган, ни, тем более, Хиллари Клинтон, не уточняли, какого именно рода технические проблемы столь серьезно осложнили усилия Ирана. По мнению же многочисленных экспертов, важнейшим фактором среди тех, что остановили время на этих ядерных часах, представляется компьютерный червь Stuxnet — «наиболее сложный и изощренный вид кибероружия из когда-либо применявшихся в мире».

* *

Любопытное дополнение к уже известным сведениям о Stuxnet предоставили доклады на январской конференции Black Hat DC. Согласно устоявшейся уже традиции в проведении хакерских форумов Black Hat, дополнительно к основному летнему мероприятию Black Hat / DefCon в Лас-Вегасе, в зимние месяцы на другом конце континента — в столичном округе Колумбия — проводится аналогичная конференция BH DC, как бы заточенная под интересы федеральных правительственных структур.

Вполне естественно, что на очередном форуме этого ряда, несколько дней назад закончившемся в г. Арлингтон под Вашингтоном, одной из центральных тем обсуждения стал компьютерный червь Stuxnet

Наиболее содержательный, вероятно, доклад на эту тему сделал Том Паркер (Tom Parker), консультант по безопасности из фирмы Securecon, углубленно изучавший коды программы Stuxnet. Как показал Паркер, результаты его анализа весьма убедительно демонстрируют, что код Stuxnet представляет собой продукт совместного творчества по крайней мере двух существенно разных групп.

Одна из них, судя по всему, состояла из команды весьма талантливых и продвинутых программистов, которые создали основную часть кода червя и его «эксплойтов», т. е. общего комплекса инструментов для использования незалатанных дыр в компьютерной защите систем. Вторая же группа, по всем признакам менее продвинутая и искушенная, занималась, похоже, адаптацией — причем весьма торопливой адаптацией — всего этого мощного инструментария непосредственно под задачу его конкретного применения.

При анализе кода Stuxnet Паркер одновременно обращал внимание на то, каково качество собственно кода и как хорошо он делает то, для чего предназначен. Было обнаружено несколько признаков, свидетельствующих, что если оценивать код в целом, то сделан он не очень хорошо. Однако на некоторых уровнях он работает исключительно эффективно.

Кроме того, Паркер написал специальную программу, которая анализирует элементы схожести между кодом Stuxnet и кодами некоторых других хорошо известных вирусов-червей. С одной стороны, в сравнении с прочими вредоносными программами общее качество кода Stuxnet выглядит довольно невысоким. Но с другой стороны, многофункциональность Stuxnet настолько велика, что коллективное авторство его программного наполнения не вызывает никаких сомнений…

* *

Случилось так, что практически одновременно с началом конференции Black Hat DC газета «Нью-Йорк Таймс» (NYT) опубликовала большой материал команды журналистов (William Broad, John Markoff, David Sanger), занимавшихся самостоятельным расследованием тайн, окружающих Stuxnet. Обширные связи журналистов, работающих на ведущую американскую газету, позволили восстановить подробности этой истории в таком объеме, что загадок принципиального характера здесь, в общем-то, уже и не осталось.

Если излагать итоги их расследования в двух словах, то вредоносная программа Stuxnet, сумевшая вывести из строя значительную долю иранских ядерных центрифуг, а попутно заразившая свыше 100 000 компьютерных систем по всему миру — это результат совместных работ США и Израиля, направленных на подрыв усилий Ирана по созданию собственной атомной бомбы. Причем ключевым звеном в этой тайной операции оказывается и сам по себе интереснейший объект — израильский ядерный комплекс Dimona в пустыне Негев.

Этот строго охраняемый секретный комплекс знаменит тем, что именно здесь занимаются созданием арсенала ядерных вооружений Израиля — вооружений, которые благодаря постоянной протекции США для мирового сообщества и международных органов контроля по сию пору как бы не существуют. Хотя официально это никогда не признавалось, не секрет, что многочисленные каскады фабрики по обогащению урана в Димоне производят важнейший материал для израильского ядерного оружия.

А кроме того, как стало известно журналистам от целого ряда экспертов из военных и разведывательных структур, за последние два года комплекс Димона выполняет еще одну чрезвычайно секретную роль — как критично важный полигон для совместных усилий США и Израиля по подрыву иранской ядерной программы.

По свидетельству знающих людей, за рядами колючей проволоки, окружающей комплекс Dimona, у Израиля работает целый комплекс ядерных центрифуг, практически идентичных тем, что обогащают уран на иранской фабрике в Натанзе.

Хотя американские и израильские официальные лица категорически отказываются публично обсуждать любые вопросы, связанные с происходящим на объекте Dimona, журналистам газеты NYT удалось добыть достаточно много интригующих свидетельств в других источниках.

В частности, достоверно установлено, что в начале 2008 года германская компания Siemens (контроллеры которой оказались главной мишенью Stuxnet) имела некий совместный проект с одним из ведущих научно-исследовательских центров США, Национальной лабораторией Айдахо. Цель их совместного исследования состояла в выявлении уязвимостей компьютерных контроллеров, которые эта компания продает для управления индустриальными процессами по всему миру.

А кроме того, как сейчас известно, эти контроллеры американские разведслужбы определили как ключевое оборудование в работе иранских фабрик по обогащению урана.

Сейчас в Siemens говорят, что эта совместная с Айдахо-лэб программа была обычной частью общих усилий компании по усилению безопасности своих продуктов против кибератак.

Но как бы там ни было, данный шаг предоставил Национальной лаборатории Айдахо — которая является подразделением министерства энергетики, отвечающего за ядерные вооружения США — все возможности по выявлению тех скрытых дыр в защите систем Siemens, которые уже в следующем году были чрезвычайно эффективно использованы червем Stuxnet.

Среди новых подробностей о работе Stuxnet недавно всплыла, к примеру, такая.

Функционально особенности вредительских действий червя можно разделить на два основных компонента. Один из них был сконструирован для того, чтобы управлять вращением ядерных центрифуг иранцев и заставить их работать в нештатных режимах, радикально нарушающих процесс обогащения урана. Другая же часть программы работает так, словно позаимствована с экранов шпионских или криминальных кинотриллеров.

Данный компонент имеет возможность скрытно записывать все характеристики того, как выглядит функционирование ядерной фабрики в нормальном режиме, а затем воспроизводить эту картину вновь для операторов, управляющих работой оборудования. Словно заранее записанная видеолента службы безопасности в фильмах об ограблении банков, эта программа воссоздавала на мониторах и датчиках картину того, как будто все работает нормально, в то время как на самом деле центрифуги работали далеко за границами допустимых режимов…

* *

Согласно перекрестным свидетельствам целого ряда источников (осведомленных специалистов в области компьютерной безопасности, экспертов по ядерному обогащению и бывших сотрудников государственных ведомств), которые снабжали информацией журналистское расследование New York Times, торопливая операция по созданию червя Stuxnet была совместным проектом американцев и израильтян. А также имела тут место некоторая помощь — будь она невольная или же вполне осознанная — со стороны немцев и англичан.

Политические истоки этого проекта можно отыскать в последних месяцах правления администрации президента Буша. В январе 2009 года все та же газета New York Times сообщала, что Джорджем Бушем санкционирована секретная программа по подрыву электроэнергетических и компьютерных систем вокруг Натанза, основного центра Ирана по обогащению урана.

По свидетельству чиновников, знакомых с иранской стратегией нынешней госадминистрации США, президент Барак Обама, которого ознакомили с данной программой еще до того, как он официально занял Белый дом, обеспечил ускорение уже ведущихся работ. Как засвидетельствовали другие источники в американском правительстве, тем же самым к этому времени занимались и израильтяне.

Точнее, Израиль уже давно прорабатывал разные пути к подрыву ядерных возможностей Ирана, но в последние годы упор приходилось делать на то, чтобы не спровоцировать войну. Которая в случае с Ираном вполне могла бы последовать в ответ на прямой военный удар того типа, с помощью которых уничтожались ядерные объекты Ирака в 1981 году и Сирии в 2007.

Как рассказали журналистам бывшие госдеятели США, два с лишним года назад, когда Израиль все еще полагал, что единственное решение проблемы — это военный удар, израильтяне обращались за помощью к Бушу. Им требовались сверхмощные бомбы для подрыва подземных бункеров и прочее оснащение, которое они считали необходимым для эффективной атаки с воздуха.

По оценкам Израиля, представленным Белому дому, такой удар позволил бы отбросить ядерные программы Ирана примерно на три года назад. Насколько известно, данный запрос израильтян был американцами отвергнут. Однако при этом у США были собственные идеи относительно того, как добиться примерно тех же самых целей — «остановить время на ядерных часах» — но существенно иными методами.

Новые идеи о «кибернетических» методах воздействия на политических противников рождались в США на почве сильной обеспокоенности Вашингтона по поводу собственной компьютерной уязвимости. Прекрасно осознавая, насколько могут быть уязвимы к атакам многие миллионы тех компьютеров, что управляют в США практически всем — от банковских транзакций до транспорта и электрических энергосетей — компетентные американские структуры всерьез занялись решением этих проблем примерно с середины 2000-х годов.

В сфере критически важных для государства инфраструктур и промышленного производства ключевую роль играют специализированные компьютеры, известные как контроллеры и управляющие всеми типами индустриальной техники. Озаботившись защитой контроллеров, к началу 2008 года Департамент отечественной безопасности США (DHS) объединил силы с Национальной лабораторией Айдахо, дабы провести углубленное изучение потенциальных уязвимостей в широко применяемых контроллерах фирмы Siemens под названием PCS-7 (от Process Control System, т. е. «система управления процессами»).

Уязвимость такого рода контроллеров к кибератакам ни для кого, в общем-то, не была секретом. Не меньше других озабоченная безопасностью своих продуктов, корпорация Siemens присоединилась к исследованиям Айдахо-лэб, и к июлю 2008 года они создали совместную PowerPoint-презентацию, посвященную уязвимостям контроллеров PCS-7.

Соответствующий доклад на эту тему был представлен на специализированной конференции по безопасности в Чикаго летом 2008, а файл презентации объемом 62 страницы до недавнего времени был открыто выложен на сайте Siemens (однако ныне оттуда изъят).

В заявлении, сделанном в середине января 2011 в ответ на запрос журналистов NYT, Национальная лаборатория Айдахо подтвердила, что действительно имела партнерскую исследовательскую программу с корпорацией Siemens, попутно отметив, что эта компания была лишь одним из многих изготовителей, в продукции которых ими выявлялись кибер-уязвимости. В этом же заявлении указано, что составленный лабораторией отчет не давал подробностей о конкретных уязвимостях, которые могли бы использовать злоумышленники.

Однако далее этот документ сообщает, что лаборатория не может давать комментарии относительно своих секретных миссий — оставляя таким образом без ответа конкретный вопрос журналистов о том, передавались ли материалы об уязвимостях систем Siemens, собранные в ходе исследований, каким-либо третьим сторонам в составе разведывательных структур государства.

В файле презентации к докладу об уязвимостях PCS-7, который был представлен на чикагской конференции, а совсем недавно исчез с веб-сайта корпорации Siemens, нигде ни словом не обсуждаются те конкретные места или объекты, где используются данные компьютеры. Однако вполне достоверно известно, что в Вашингтоне прекрасно знали — именно такие контроллеры были критично важным элементом для работы иранской фабрики по обогащению урана в Натанзе.

Недавно опубликованные через сайт WikiLeaks дипломатические депеши Госдепартамента США, например, демонстрируют, как весной 2009 года очередная партия контроллеров Siemens, направлявшихся в иранский порт Бандар Аббас, была задержана в порту Дубаи, ОАЭ. Усилиями американцев груз был арестован, поскольку данная техника предназначалась для работы «каскадов уранового обогащения», пользуясь терминологией одной из дипломатических телеграмм, обеспечивших задержание груза…

* *

Наиболее секретная, наверное, часть всей этой туманной истории, окружающей появление червя Stuxnet, сосредоточена вокруг проблемы тестирования. Иначе говоря, каким образом авторам данной вредоносной программы, остро заточенной под диверсию на совершенно конкретном объекте, удалось практически проверить свою «теорию киберсаботажа».

Ведь вряд ли кто будет сомневаться, что столь серьезное и мощное кибероружие решились бы пустить в дело, не протестировав его предварительно на реальных машинах по обогащению урана — дабы быть уверенными, что вредоносное ПО действительно способно успешно выполнить возлагаемую на него задачу.

Эту часть своего расследования журналисты NYT ведут от Нидерландов, где в 1970-е годы была разработана специфическая конструкция высокой цилиндрической машины-центрифуги для обогащения урана.

Как ныне хорошо известно всем интересующимся данным вопросом, Абдул Кадыр Хан, пакистанский инженер-металлург, работавший на голландцев, похитил эту конструкцию и в 1975 году сбежал с ней в Пакистан. Построенная там машина, ныне известная как P-1, или «пакистанская центрифуга первого поколения», в конечном итоге помогла этой стране создать свою атомную бомбу.

А кроме того, с одобрения высшего пакистанского руководства А.К. Хан создал атомный черный рынок, через который нелегально продал центрифуги P-1 Ирану, Ливии и Северной Корее. Каким-то образом сумело получить в свое распоряжение эти центрифуги также и государство Израиль.

Когда именно и каким образом израильтяне сумели раздобыть центрифуги P-1 — то ли через Европу, то ли через подпольную сеть Хана, то ли какими-то еще иными способами — по сию пору остается неясным. Но как бы там ни было, эксперты-ядерщики, знакомые с израильской атомной программой, дружно соглашаются, что на секретном объекте Dimona в пустыне Негев имеются многие и многие ряды высоких, почти двухметровых цилиндров P-1.

Как свидетельствует Авнер Коэн, автор книги-расследования «The Worst-Kept Secret», посвященной израильской ядерной программе, эти центрифуги долгое время были важной частью комплекса «Димона». Кроме того, добавляет Коэн, у него имеются сведения, что израильская разведка специально просила уже уволившийся на пенсию руководящий персонал «Димоны» помочь им с иранской проблемой. Причем некоторые из этих помощников в прошлом явно занимались программой обогащения урана.

Строго говоря, отметил Авнер Коэн, у него нет никаких конкретных сведений относительно изготовления червя Stuxnet. Однако он видит в этой истории «сильный израильский почерк» и полагает, что доскональное знание работы центрифуг было здесь критичным фактором.

Другой ключ к той же загадке имеется и в США. Американцы получили в свое распоряжение партию центрифуг P-1 после того, как Ливия отказалась от своей ядерной программы в конце 2003 года. А машины этой программы, соответственно, были отосланы в Оукриджскую национальную лабораторию, штат Теннеси, т.е. в еще одно подразделение министерства энергетики США.

Имеется информация, что уже в начале 2004 года множество разных экспертов-ядерщиков из государственных и частных американских структур были собраны по приглашению ЦРУ, которое от лица правительства призвало специалистов принять участие в секретной программе по сбору этих центрифуг в работоспособный комплекс — для изучения их уязвимостей.

Как вспоминает ныне один из участников той встречи в ЦРУ, «идея о создании тестового полигона проталкивалась весьма энергично».

Построенная в итоге этих усилий фабрика, говорят специалисты-ядерщики, в принципе вполне могла бы сыграть свою роль в тестированиях червя Stuxnet. Однако, по имеющимся у этих экспертов сведениям, ни американцы, ни подключившиеся на определенном этапе англичане так и не сумели добиться сколь-нибудь устойчивой работы от этого очень сырого, ненадежного и норовистого оборудования…

С другой стороны, по имеющимся у Авнера Коэна свидетельствам, израильтяне — хотя и с очень большими сложностями — все же сумели освоить эту технологию центрифуг. И как подтвердил журналистам NYT один из американских экспертов по ядерной разведке, израильтяне действительно использовали машины типа P-1 для тестирований эффективности червя Stuxnet.

Тот же анонимный источник добавил, что по имеющимся у него сведениям Израиль работал против Ирана совместно с США, однако Вашингтон при этом всячески стремился обеспечить себе плацдарм для «правдоподобного отрицания» (plausible deniability) своего участия в данном проекте.

* *

На сегодняшний день — всякий раз, когда речь заходит о ядерной программе Ирана или о ее очевидных нынешних проблемах — ни американские, ни израильские официальные лица ни единым словом не упоминают имя вредоносной компьютерной программы Stuxnet. Не говоря уже о каком-либо признании своей роли в ее создании.

При этом, однако, представители израильского руководства позволяют себе широко улыбнуться, когда их спрашивают об эффектах данного компьютерного червя.

А главный американский стратег в администрации президента Обамы по вопросам противодействия распространению оружия массового уничтожения, Гэри Сэймор (Gary Samore), на недавней конференции по поводу Ирана хотя и уклонился от прямого ответа на вопрос о Stuxnet, однако добавил с улыбкой:

«Я рад слышать, что у них возникли проблемы с их центрифугами, а США и их союзники делают все, что возможно, дабы максимально осложнить весь этот процесс»…