Шпионаж

Кто кого: вирус Stuxnet против промышленности Ирана

Не имеющий аналогов компьютерный вирус заражает промышленные контроллеры на госпредприятии и выводит оборудование из строя. Удар по ключевой отрасли экономики влечёт непредсказуемые последствия для государства — сопоставимые с действиями неприятельских армий. И это не фантазии об отдалённом будущем. Ещё в 2010-м мир узнал о таком вирусе. Настало время кибервойны?
Фарид Мамедов
  • 6.5K
  • 7
  • 3
  • 127

Широкие массы интернет-пользователей узнали о вирусе Stuxnet благодаря журналисту Брайану Крепсу 15 июля 2010 года. Позже аналитики из американской разведки намекнули: целью вируса была ядерная программа Ирана.

По сообщению Daily Telegraph, тогдашний госсекретарь Хиллари Клинтон косвенно признавала, что вирус создали США.

Это не вирус, это какое-то кибероружие

По сообщениям крупнейших антивирусных компаний Symantec и «Лаборатория Касперского», вирус, по всей видимости, имел отношение к заражению промышленных контроллеров газовых центрифуг иранского завода по переработке ядерного топлива в Натанзе. Эксперт Symantec охарактеризовал вредоносную программу как кибероружие. И все сошлись во мнении, что над созданием зловреда «поколдовали» госорганы.

Это произвело фурор. Впервые компьютерный троян оказывал влияние не на виртуальную инфраструктуру, а на реально работающий промышленный объект. Согласно заложенной в нём программе, он то повышал, то понижал частоту оборотов, на которых работали газовые центрифуги. Это должно было привести к отказу оборудования.

Банк центрифуг в Натанзе (фото: IRIB)

Stuxnet поразил воображение аналитиков, во-первых, своим гигантским размером. Начальная версия занимала полмегабайта, а последняя модификация — два мегабайта. Это резко контрастировало с обычными вирусами, размер которых обычно не превышал пары десятков килобайт.

Во-вторых, он отличался повышенной сложностью. Чтобы исследовать Stuxnet, ведущим специалистам в области антивирусной защиты понадобилось более полугода. И даже после этого они не были уверены, что смогли полностью изучить все возможности вредоносной программы.

Червяк на марше

Выяснилось, что Stuxnet заражает только две модификации контроллера Siemens, которые, как считалось, использовались на иранских газовых центрифугах. Чтобы заразиться вирусом, требовалось каким-то образом записать его в контроллер. И здесь обнаружилось самое интересное.

Stuxnet выводил из строя только те машины, на которых были установлены SCADA-система WinCC и средства программирования контроллеров Siemens. Если на компьютере их не было, вирус начинал заражать имеющиеся в сети машины, пока не обнаруживал необходимых программ. При этом работающей системе он не наносил никакого вреда.

(Фото: Behrouz Mehri)

Интересно, что завод в Натанзе не имел доступа к интернету. Он был изолирован от внешнего мира. Вирус должен был активировать заранее внедрённый на объект человек.

Центр эпидемии — Иран

Основная масса сообщений о заражении шла из Ирана. По времени это совпало с отчётом Иранского ядерного агентства перед международными структурами о внезапном сокращении общего количества газовых центрифуг на 800 штук. Экспертное сообщество немедленно связало два эти факта.

В итоге разразился международный скандал. Иранские власти немедленно обвинили США и Израиль в ведении кибервойны против страны. Один из высокопоставленных чиновников, курировавших информационную политику внутри Ирана, заявил: инфицировано несколько десятков тысяч компьютеров в промышленных системах.

Тут же встал вопрос о положении дел на иранской АЭС в Бушере. Слухи носились самые невероятные. В основном в стиле «мы все умрём!».

Однако системы управления АЭС делались российскими фирмами. Это фактически исключало заражение или возможный перехват управления станции.

Вирус даже если туда и внедрился, не нанёс никакого ущерба.

Иранские техники работают на атомной электростанции в Бушере

Вслед за Ираном повалили сообщения из Китая, где вирус заразил тысячи промышленных систем. Правда, никаких техногенных катастроф это не вызвало, даже к снижению производства не привело.

Ключ к ящику Пандоры

Все, кто комментировал ситуацию со Stuxnet, отмечали важный момент: если кто-то решился написать подобного рода систему, то он по сути стал инициатором и первопроходцем в области кибервойны. За ним, безусловно, потянутся другие.

И действительно, в последующие годы было обнаружено несколько новых вирусов, напоминающих кибероружие. Например, Duqu и Flame, которые зафиксировали опять же в Иране.

Первый формально вообще не занимался зловредной деятельностью. Его задачей было выяснить топологию сетей и найти их уязвимые места. Но Duqu имел схожие со Stuxnet части программного кода, и многие посчитали, что вирусы работали в связке. Duqu был разведчиком, выявлявшим точки входа, а Stuxnet наносил удар.

Flame оказался ещё сложнее. Исследователи стали подозревать, что это вообще не что иное как платформа для разработки вирусов. Она занималась кибершпионажем: следила за абсолютно любыми действиями пользователя на заражённом компьютере и отсылала данные на удалённый сервер.

Президент Ирана Махмуд Ахмадинежад во время посещения ядерного центра по обогащению урана в Натанзе

Работал вирус в сетях иранских нефтедобывающих и нефтеперерабатывающих заводов. По всей видимости, зловред был прологом для нанесения удара по этой ключевой для экономики Ирана отрасли.

Нет сомнений: если бы злоумышленникам удалось вывести из строя нефтяное оборудование, последствия для страны были бы непредсказуемыми.

Прикладная вирусология

После такой сенсации к проблеме заражения промышленных систем стали подходить «по науке».

В 2016 году на нескольких конференциях по безопасности были представлены вирусы, способные заразить PLC (ПЛК, программный логический контроллер. — Прим.ред.) фирмы Siemens. Вредоносные программы устраивали DDoS-атаки и заражали другие контроллеры по сети. Смысл презентации заключался в том, чтобы ликвидировать «дыры» в работе безопасности контроллера. Как оказалось, это довольно просто. Нужно лишь активировать защиту от записи, которая препятствует любому изменению кода. Если пароль неизвестен, то червь не может инфицировать PLC.

К тому же, пока киберпророки восторгались новыми возможностями вирусов, реальность нанесла второй суровый удар. Федерация американских учёных, пристально следившая за ядерной программой Ирана, выяснила, что к концу 2010 года количество центрифуг не только вернулось к исходному значению, но даже несколько увеличилось. Проанализировав открытые данные, они пришли к выводу: мощность иранских центрифуг увеличилась на 60 процентов. Получилось, что после вирусной атаки Иран не затормозил свою ядерную программу, а ускорил её.

Бушерская АЭС

Позже эти данные подтвердили в МАГАТЭ. Есть пара версий, которые объясняют этот парадокс: либо после атаки центрифуги на заводе заменили на более мощные, либо плановую модернизацию центрифуг приняли за их вывод из строя.

В любом случае, первый кавалерийский наскок, сопровождавшийся шумом и истерикой, окончился полным пшиком. Хотя, возможно, следующие попытки превзойдут все ожидания.