Главная › Услуги › Различные факты о защите персональных данных. Неудержимый червь Stuxnet, или о плюшевом вредителе

Различные факты о защите персональных данных. Неудержимый червь Stuxnet, или о плюшевом вредителе

Описание

9 июля 2010 года специалисты белорусской антивирусной компании «ВирусБлокада» обнаружили в Иране вредоносное программное обеспечение (ВПО), которому было названо Stuxnet. У антивирусных компаний нет единого мнения, когда именно Stuxnet появился, по некоторым данным, распространение происходило уже с января 2009 года. Отличительные особенности:

Stuxnet содержит несколько модулей, написанных с использованием нескольких сред разработки и языков программирования;
для обхода механизмов антивирусной защиты некоторые модули (драйверы) ВПО имели цифровую подпись, сделанную с использованием сертификатов компаний Realtek и JMicron (предположительно, украденных);
несколько способов распространения – посредством USB-Flash накопителей и по сети. В версии 2009 года использовался широко применяемый способ запуска через autorun.inf (который, как правило, отключают из соображений безопасности), в версии 2010 года он был заменен на более эффективный – использование уязвимости обработки ярлыков MS10-046 (zero-day на тот момент). Для распространения через сеть использовались уязвимости MS08-067 (ранее использовалась в 2009 году ВПО Kido, что привело к массовым заражениям) и MS10-061 (zero-day на тот момент);
для обеспечения работы производилось повышение привилегий до уровня администратора системы при помощи использования двух локальных уязвимостей (zero-day на тот момент) MS10-073 (Windows 2000 и XP) и MS10-092 (Windows Vista, включая версию x64), таким образом, было предусмотрен нормальный запуск ВПО из-под ограниченных учетных записей;
Stuxnet организует свою собственную peer-to-peer (P2P) сеть для синхронизации и обновления своих копий;
присутствует функционал, позволяющий пересылать на удаленные сервера управления информацию, найденную на компьютере;
необычная «полезная» нагрузка – нарушение нормальной работы системы автоматизации SIMATIC, производимой компанией Siemens, которая обычно используется в различных промышленных системах управления производственными процессами.

Воздействие на систему Siemens SIMATIC

Специалист по информационной безопасности из Германии, Ральф Ленгнер, в сентябре 2010 опубликовал анализ действий Stuxnet относительно SIMATIC на собственном сайте.

SIMATIC WinCC (Windows Control Center) – ПО для создания человеко-машинного интерфейса, составная часть семейства систем автоматизации SIMATIC. Работает под управлением операционных систем семейства Microsoft Windows NT и использует базу данных Microsoft SQL Server 2000 (начиная с версии 6.0). WinCC взаимодействует с пакетом STEP 7.

SIMATIC STEP 7 – ПО для разработки систем автоматизации на основе программируемых логических контроллеров (ПЛК) SIMATIC S7-300/S7-400/M7/C7 и WinAC.

Если Stuxnet определяет, что запущен на инженерной станции, то подменяет часть STEP7, отвечающую за прошивку кода в ПЛК. В момент, когда инженер осуществит подключение к контроллеру, если Stuxnet опознает подходящую конфигурацию аппаратных средств, то модифицирует код, передаваемый в ПЛК. Исследователи выяснили, что злоумышленников интересовали контроллеры 6ES7-417 и 6ES7-315-2, а так же индустриальные сети стандарта Profibus-DP. Модифицированный STEP7, при попытке чтения измененных блоков программы ПЛК отображает их в исходном виде (rootkit компонента для сокрытия факта модификации).

Stuxnet осуществляет идентификацию целевой системы путем проверки блока данных DB 890. Это происходит периодически каждые пять секунд в среде WinCC.

Если условие выполнено, Stuxnet модифицирует модуль ОВ 35 во время передачи из Simatic Manager в ПЛК. Модуль ОВ 35 вызывается в ПЛК каждые 100 мс по таймеру, в нем перехватчик Stuxnet проверяет код возврата функции FC 1874. Если код возврата из FC 1874 – DEADF007, оригинальное содержимое ОВ 35 не выполняется.

Код Stuxnet в ПЛК позволяет:

слушать сеть Profibus-DP (по которой общаются ПЛК), и генерировать свои пакеты, причем данные для этих пакетов могут обновляться с инженерной станции;
читать входы ПЛК и управлять его выходами, к ним подключены датчики и исполнительные механизмы (ИМ) соответственно, при этом для целенаправленного воздействия нужно знать конкретно, какие датчики/ИМ подключены к каким входам/выходам;
синхронизировать свои копии среди зараженных ПЛК по сети Profibus-DP (ПЛК не могут заражаться друг от друга, исполняемый код контроллеров не может переписываться «на лету», только данные, это ограничение контроллеров Siemens).

Так же Stuxnet пытается подключиться к базе данных WinCC, используя «пароль по-умолчанию».

Siemens подтверждает, что целью вируса является конкретная технологическая конфигурация. Всего компания сообщила о 15 случаях заражения на производстве, в основном в Германии. Ни в одном случае Stuxnet не внедрился в ПЛК, так как не совпали параметры. При этом на работе оборудования это не сказалось, и во всех случаях Stuxnet удалось нейтрализовать.

Выводы

Указанные факты позволяют сделать следующие выводы:

Stuxnet является тщательно спроектированным ВПО, которое разрабатывалось группой специалистов различной направленности;
не выявлено фактов распространения посредством сети «Интернет», только через USB-Flash и посредством сети – эти признаки характерны для внедрения в закрытую систему, не имеющую прямого подключения к общедоступным сетям;
функционал нарушения нормальной работы системы управления производственными процессами Siemens WinCC (средство компьютерного саботажа) подразумевает, что разработчики Stuxnet для тестирования имели программно-аппаратную систему, идентичную той, на которую планировалась атака. Кроме того, они ориентировались на конкретную цель (использование данных от завербованного персонала внутри организации);
разработка такого масштаба предполагает значительное финансирование – оплата труда группы программистов, организация кражи цифровых сертификатов, покупка или разработка 4 zero-day уязвимостей, доступ к развернутой системе Siemens WinCC.

Все эти косвенные признаки могут указывать на причастность к разработке Stuxnet силовых ведомств или спецслужб каких-либо государств. Основная функция ВПО – распространение и автономная работа в замкнутой системе с последующим саботажем работы системы управления производственными процессами – не свойственна «традиционным» киберпреступникам, которые обычно преследуют цели «монетизации» прибыли (конечная цель – деньги) и, как правило, используют ВПО, разработанное программистами-одиночками. Именно по этим причинам Stuxnet называют кибероружием.

Версии

Эксперты полагают, что Stuxnet мог быть разработан для применения против АЭС в Бушере (Иран). В качестве вероятных разработчиков может выступать Израиль и США. В основу версии легли следующие факты:

Иран является одним из наиболее пострадавших от Stuxnet регионов. Судя по динамике данных о заражениях – примерно в мае-июне 2010 года Иран был лидером по числу заражений;
Бушерская атомная электростанция (АЭС) является одной из наиболее важных военных целей в Иране;
АЭС начали строить еще в 1970-е. В строительстве, принимала участие компания Сименс. В 1979 году Siemens прекратила работы в этой стране (из-за революции). Впоследствии Siemens вернулась в Иран и это был один из ее крупнейших рынков. В январе 2010 года компания Siemens снова объявила о прекращении сотрудничества с Ираном. Однако, летом она была уличена в поставке комплектующих в Бушер. Используется ли на АЭС программное обеспечение Siemens для управления процессами – официально неизвестно. На одном из размещенных в сети Интернет снимков экрана компьютера, сделанного якобы внутри АЭС, можно видеть систему управления WinCC компании Siemens;
участие в строительстве АЭС российской компании «Атомстройэкспорт», у которой есть проекты в Индии, а также традиционное пренебрежение вопросами информационной безопасности российскими компаниями, что могло привести к распространению Stuxnet в Индии;
Израиль является одной из наиболее заинтересованных в нарушении функционирования Бушерской АЭС стран. Иран подозревают в том, что на этой станции, под видом ядерного топлива, будут изготовляться запасы для производства собственного ядерного оружия, которое, наиболее вероятно, может быть использовано против Израиля;
Израиль входит в число стран, обладающих высококвалифицированными специалистами в области информационных технологий, способными использовать их как для атак, так и для шпионажа.

Еще одна из версий о цели атаки – производство по обогащению урана в г. Натанзе (Иран). Эту версию косвенно подтверждают следующие факты:

производство по обогащению урана в Натанзе – мощно укрепленный и спрятанный глубоко под землёй объект – по свидетельствам экспертов, представляет собой намного большие риски с точки зрения производства ядерного оружия, нежели Бушерская АЭС;
в июле 2009 г. один из источников, связанных с ядерной программой Ирана, конфиденциально сообщил о серьезной ядерной аварии, произошедшей незадолго до этого в Натанзе. Позднее, согласно сообщениям иранских СМИ и британской Би-Би-Си, Голамреза Агазаде, глава Иранской организации по атомной энергии (IAEO), ушел в отставку. В то же время, согласно официальным данным, предоставляемым IAEO в контролирующие структуры, существенно (на несколько тысяч) упало количество функционирующих центрифуг в Натанзе, что могло являться последствиями воздействия Stuxnet.

Послесловие

В США в июне 2012 года вышла книга под названием «Confront and Conceal: Obama"s Secret Wars and Surprising Use of American Power» (Конфронтация и сокрытие: Тайные Войны Обамы и удивительное использование американской мощи), согласно которой Stuxnet был разработан именно в США с участием израильских специалистов и именно с целью нейтрализации ядерной программы Ирана. Автор – журналист The New York Times Дэвид Сэнгер – утверждает, что Stuxnet разрабатывался ещё в период президентства Джорджа Буша-младшего. Проект назывался «Olympic Games». Сначала это была программа по распространению шпионского ПО, благодаря которому удалось получить представление об оборудовании иранского центра по обогащению урана в Натанзе. Уже после этого был разработан функционал, который воздействовал на программное обеспечение, управляющему центрифугами очистки урана.

Ещё в прошлом году Дэвид Сэнгер и двое его коллег публиковали в New York Times статью, в которой утверждалось, что Stuxnet - действительно дело рук американских и израильских спецслужб и что испытывали его в секретном израильском центре «Димона» в пустыне Негев. Официально Израиль отказывается признавать у него существование собственной ядерной программы, однако авторы статьи ссылаются на неких осведомлённых экспертов в разведывательной и военной областях, которые подтверждают: в Димоне стоят центрифуги, практически идентичные тем, что стояли в Натанзе. Способность Stuxnet выводить их из строя была опробована, в том числе, на них.

По данным The Wall Street Journal, ФБР проводит расследование утечки информации, в результате которой стало известно о причастности правительства страны к кибератакам на ядерные объекты Ирана.

Многие эксперты относятся к этой информации скептически. Они считают ее очередным «вбросом» информации накануне президентских выборов в США.

Подробные источники информации о Stuxnet:

Аналитический отчет компании Symantec

Не успел мир толком разобраться с грозным червем Stuxnet, разработанным явно не без помощи государственных спецслужб, как в Сети появился DUQU, использующий тот же исходный код. По мнению Берда Киви, у основательно доработанного наследника есть все шансы превзойти родителя, но что именно станет его целью?

Во время Второй мировой войны имел однажды место такой случай. Совсем молодая по тем временам американская разведслужба OSS (из которой впоследствии получилось ЦРУ) по просьбе английских коллег занялась похищением криптографических ключей Испании. Очень уж британцам было нужно регулярно читать шифрованную дипломатическую переписку генерала Франко, как одного из главных союзников Гитлера в Европе, а аналитическими методами испанские шифры вскрыть не удавалось.

Похищение криптоключей происходило совершенно тривиальным образом. В подходящую ночь умельцы по взлому из OSS проникали в испанское посольство в Вашингтоне и копировали нужный англичанам очередной комплект ключей. Правда, поскольку комплекты менялись каждый месяц, то и ночные визиты в посольство приходилось наносить тоже ежемесячно. И вот, при завершении четвертого из таких посещений, сотрудников американской разведки арестовало ФБР США...

Конечно же, произошло это совсем не случайно и не по недоразумению. Просто глава ФБР Эдгар Гувер — в годы войны ставший еще и главным контрразведчиком страны — был абсолютно уверен, что подобного рода тайные дела на американской территории могут происходить только с его ведома и под его же контролем. А поскольку шеф внешней разведки Уильям Донован про операции в испанском посольстве не только с Гувером не советовался, но и вообще не считал нужным ставить его в известность, то директор ФБР решил как следует проучить зарвавшихся шпионов из смежного ведомства.

Ничего путного, впрочем, из этого урока не получилось. Разъяренный Донован (известный также под кличкой Дикий Билл) велел своим сотрудникам собрать на Гувера суровый компромат. А когда таковой был добыт, все проблемы разведки с ФБР стали решаться легко и просто — элементарным методом под названием «циничный и беспощадный шантаж». Но это уже совсем другая история...

Предупреждения об угрозе

Этот забавный эпизод мы сегодня вспоминаем вот по какой причине. Под конец октября сразу несколько государственных ведомств США, отвечающих за определенные аспекты национальной безопасности страны, выпустили информационные бюллетени с предупреждениями о новой компьютерной угрозе — вредоносной программе под названием DUQU (читать это буквосочетание в англоязычной среде предлагается как «дью-кью», однако для русского языка куда более естественно было бы просто «дуку»).

На фоне гигантского количества разнообразных вредоносных кодов, постоянно появляющихся в компьютерах и сетях, программа DUQU выделяется как особо опасная тем, что несет в себе бесспорные черты фамильного сходства и общего происхождения со знаменитым «червем червей» по имени Stuxnet. Напомним, в минувшем году он просто-таки поразил антивирусную индустрию и сетевую публику в целом своей небывалой сложностью и изощренностью. А конкретно для Ирана Stuxnet стал проблемой, серьезно затормозившей прогресс в обогащении урана и национальную ядерную программу в целом.

И хотя документальных — или тем более официальных — подтверждений этому нет, среди специалистов практически никто не сомневается, что созданием кода Stuxnet занимались в секретных лабораториях государственных спецслужб. Более того, имеется достаточное количество свидетельств, которые недвусмысленно указывают на разведки государств, приложивших к нему руку, а именно США и Израиля.

Иначе говоря, налицо следующие факты нашей странной жизни. В компьютерах множества разных государств объявляется новая, весьма изощренная шпионская программа, по своим ключевым признакам явно сработанная при участии разведки США. А в ответ американские органы безопасности вроде DHS (Департамент госбезопасности) и ICS-CERT (Реагирование на киберугрозы в области систем промышленного управления) рассылают документы о том, как этой трудноуловимой напасти следует противостоять (если «отжать» все многословные рекомендации, то получается, что, в общем-то, никак, кроме регулярного обновления штатных антивирусов).

С одной стороны, конечно, было бы странно, если бы никакой реакции не последовало вообще — учитывая крайне нервное отношение общества к появлению Stuxnet. С другой же стороны, совершенно неясно, каким образом одни структуры государства способны реально защищать от других — более мощных, эффективных и засекреченных.

Готовых ответов на подобные вопросы, естественно, ни у кого нет. Но чтобы лучше понять суть проблемы и масштаб обозначившейся угрозы, имеет смысл поподробнее рассмотреть историю появления Дуку и особенности устройства этой интересной программы.

История явления DUQU

Хотя первой официальной публикацией о выявлении новой вредоносной программы, несущей в себе известные признаки Stuxnet, стал отчет антивирусной фирмы Symantec от 17 октября этого года, реальная история обнаружения DUQU антивирусным сообществом началась на полтора месяца раньше.

Причем основную роль сыграли венгерские исследователи и испанский антивирусный проект VirusTotal. VirusTotal.com — это веб-сервис, организованный в свое время фирмой Hispasec из Малаги, где осуществляется «тотальный анализ» присылаемых сюда подозрительных файлов с помощью множества самых разных антивирусных движков. На выходе предоставляется список имен опознания, присвоенных данному вредоносному коду разными компаниями (если, конечно, такой код был уже кем-то выявлен ранее). Ныне VirusTotal является как бы совместным предприятием всего антивирусного сообщества. На данный момент число набранных вскладчину антивирусных программ составляет 43, а всякий новый выявленный образец кода-вредителя оперативно рассылается всем компаниям и лабораториям, принимающим участие в работе сервиса.

Именно здесь и произошло «первое свидание» DUQU с антивирусным сообществом, когда 1 сентября 2011 года некий неизвестный источник из Венгрии прислал в VirusTotal на предмет сканирования подозрительный файл под именем ~DN1.tmp. Наиболее известные антивирусные программы не увидели в этом файле ничего подозрительного, однако два менее популярных движка, BitDefender и AVIRA (точнее, четыре работающие на них антивирусные программы), детектировали его как вредоносный троянец-шпион. Вскоре после этого начального детектирования данный файл был добавлен в базы данных многих антивирусных фирм. Однако абсолютно ничего примечательного в связи с этим далее не случилось — просто обычное пополнение базы.

Затем, 9 сентября и снова, похоже, из Венгрии на сканирование в Virustotal был прислан еще один, теперь уже «настоящий» файл DUQU. Почему именно этот файл-драйвер следует считать «более настоящим» главным модулем DUQU, нежели предыдущего троянца, будет разъяснено подробнее в следующем разделе, посвященном многомодульной структуре этой программы. Здесь же важно отметить лишь то, что при первичном сканировании ни одна из 43 антивирусных программ, участвующих в проекте Virustotal, не детектировала данный файл как вредоносный.

Это очень примечательный факт, свидетельствующий о том, насколько профессионально и тщательно авторы программы DUQU делают свою шпионскую работу. Как покажет последующее изучение, именно этот, главный модуль DUQU несет в своем коде явное и неоспоримое сходство с кодом Stuxnet (первый файл-троянец не имел с ним ничего общего), но при этом авторы новой программы сумели изменить код до такой степени, что он абсолютно успешно прошел тесты на [не]выявление при анализе всеми мало-мальски популярными в мире антивирусными средствами...

Накапливаемые в базах Virustotal признаки файлов свидетельствуют, что этот же модуль-драйвер, но уже под другим именем и под маркой иной компании-изготовителя, еще раз поступал на сканирование в Virustotal 18 сентября. И опять, судя по всему, из Венгрии. И вновь, как это было и с первым драйвером, никаких выявлений вредоносной сути кода не произошло вплоть до 18 октября — когда, наконец, был опубликован официальный отчет Symantec. После которого сразу у всех, что называется, внезапно открылись глаза.

Отчет Symantec сам по себе представляется весьма примечательным документом, наглядно отражающим довольно «скользкую» природу как антивирусного бизнеса, так вообще занятий по защите информации в условиях непростых реалий нашего мира.

С одной стороны, отчет однозначно констатирует, что DUQU несет в себе очевидное фамильное сходство с Stuxnet (по убеждению аналитиков, авторы обеих программ при их создании и компиляции явно пользовались одним и тем же исходным кодом). С другой стороны, американская компания Symantec тщательно избегает любых упоминаний о том, что наиболее очевидным автором Stuxnet считаются спецслужбы США. Более того, к документу Symantec приложен еще более обширный аналитический отчет, полученный от другой «иностранной лаборатории с сильными международными связями», которая, собственно говоря, и выявила как DUQU, так и его сходство с Stuxnet. Однако название и госпринадлежность этой замечательной лаборатории «не раскрываются по ее просьбе».

Наконец, еще одна «страшная тайна», скрытая в отчете Symantec, это реальное название тайваньской фирмы, цифровая подпись которой подтверждает подлинность файла-драйвера DUQU. Именно эта особенность программы-шпиона, собственно, и была одной из главных причин, по которой все 43 антивирусных теста не выявили файл как вредоносный. Точно такая же особенность — похищенные у законных владельцев подлинные цифровые сертификаты — была и фирменной фишкой для обеспечения невидимости Stuxnet.

Но эта тайна, впрочем, раскрылась очень быстро, когда финская антивирусная компания F-Secure по имевшемуся у нее образцу DUQU идентифицировала данную тайваньскую фирму как C-Media Electronics Incorporation. Странное же замалчивание этого факта в отчете Symantec объясняется, скорее всего, тем, что сертификат для C-Media выдавал сертификационный сервис VeriSign — а владельцем его является... Symantec. Данный сертификат имел срок действия до августа 2012 года, однако VeriSign отозвал его сразу же, едва в Symantec занялись изучением вредоносной программы,

полученной от коллег.

Как только в прессе поднялся шум вокруг новоявленного «DUQU, сына Stuxnet», а таинственность его первооткрывателя стала порождать всевозможные безответственные спекуляции, авторы исходного отчета все же решились выйти из тени. Через несколько дней, 21 октября, на сайте CrySyS, венгерской «Лаборатории криптографии и системной безопасности» (Cryptography and System Security при Будапештском университете технологий и экономики) появился очень краткий пресс-релиз с официальным подтверждением их непосредственного участия в истории:

«Наша лаборатория участвовала в обнаружении вредоносной программы DUQU в рамках международного сотрудничества. В процессе углубленного ознакомления с функциональностью этой программы мы установили, что данная угроза почти идентична Stuxnet. После тщательного анализа образцов мы подготовили подробный отчет о программе DUQU, получившей это название от нас. Мы сразу же предоставили исходный отчет в компетентные организации… Но мы не можем раскрыть никакой дополнительной информации конкретно о данном случае».

Иначе говоря, венгерские исследователи решительно не пожелали раскрывать сведений о том, в чьих конкретно компьютерах они обнаружили образцы этой шпионской программы (основываясь на датах компиляции полученного от венгров кода, в Symantec заключили, что атаки с применением этой программы проводятся по меньшей мере с декабря 2010-го. То есть всего пять месяцев спустя после того, как был обнаружен червь Stuxnet).

Похожий сценарий с умалчиваниями о местах выявления заражений стал повторяться и далее, когда антивирусные фирмы начали объявлять, что файлы с признаками DUQU обнаружены, помимо двух случаев в Венгрии, также в Австрии, Великобритании, Индонезии, Иране, Судане... Скорее всего, список стран продолжает расти и поныне. Но каков именно профиль организаций и предприятий, пораженных DUQU, — никто, во-первых, не раскрывает. А, во-вторых, те, кто даже знают что-то определенное, не могут усмотреть какой-либо системы. Судя по всему, цели для внедрения шпионской программы выбираются сугубо индивидуально и по каким-то особым принципам, ведомым лишь тем, кто подсаживает этот код в машины.

И, что самое интересное, практически всегда удается выявлять только факт заражения системы главным модулем DUQU, но больше нигде не видно детектированного в самом начале троянца-шпиона. Для того чтобы понять вероятный смысл происходящего, пора рассмотреть, как этот DUQU устроен изнутри.

Устройство DUQU и его особенности

Уже на самом начальном этапе выявления DUQU, сопровождавшегося публикацией имен разных файлов, так или иначе относящихся к этой программе, возникла довольно серьезная путаница. И вот с чем она связана.

Модульная структура DUQU предполагает наличие как минимум трех типов существенно разных программ, функционально друг с другом практически не связанных. Во-первых, непременно должен быть так называемый файл-установщик, осуществляющий доставку главного модуля DUQU в машину-жертву (сам главный модуль такой функции не имеет, но, что интересно, ни на одной из машин, зараженных DUQU, ничего похожего на файл-установщик пока выявить не удалось). Во-вторых, собственно главный модуль DUQU, также имеющий отчетливую составную конструкцию из собственных модулей-компонентов (о выполняемых ими троянских функциях речь пойдет чуть ниже). И, в-третьих, собственно вредоносная программа для шпионского сбора и похищения информации в зараженной системе. Ее в разных источниках называют либо «расширенный кейлоггер», либо «инфостилер», но суть от этого не меняется. К слову, этот модуль работает вполне независимо от уже упомянутых двух, которые обеспечивали его незаметное внедрение в компьютер.

Что бы там ни говорили в Иране, но Stuxnet смог здорово притормозить развитие ядерной программы этой страны. На что же натаскивается сейчас DUQU?

Все то, что говорится в прессе и отчетах антивирусных исследований относительно близкого родства между DUQU и Stuxnet, относится лишь к основному модулю (не занимающемуся хищениями информации). Но при этом само название DUQU, которое совокупная программа получила от венгров, пошло от характерного имени файлов вида ~Dqx.tmp, где временно хранит собираемые в зараженной системе данные модуль-кейлоггер. Иначе говоря, характерный префикс DQ в именах выявляемых файлов на самом деле не имеет почти никакого отношения к работе главного модуля DUQU. Можно говорить, что взаимосвязь основного модуля и кейлоггера друг с другом установлена на основе того факта, что оба они выявлены на одной машине, а главный модуль функционально способен загружать в машину из сети любые другие компоненты.

Что же представляет собой этот главный модуль? В его составе обычно выделяют три основных компонента:

1. Драйвер, встраивающий свою библиотеку DLL в системные процессы;

2. Зашифрованный файл DLL (с системным расширением PNF), который также имеет дополнительный модуль и скрытно работает через сеть с удаленным сервером команд и управления

3. Настроечный конфигурационный файл (также зашифрован).

Подобно ранее изученному Stuxnet, главный модуль DUQU использует весьма изощренную и во многом уникальную технологию, обеспечивающую сокрытие своих компонентов в оперативной памяти, а не на жестком диске машины, — дабы эффективно избегать обнаружения антивирусными средствами. Обе программы, DUQU и Stuxnet, используют особый драйвер ядра, который расшифровывает нужные зашифрованные файлы и встраивает их в уже работающие процессы. Такого рода «инъекции» в работающую память — это действительно очень эффективный способ избегать выявления, потому что здесь не происходит обращения к диску. А именно на последнее обычно и реагируют антивирусы.

Помимо этих методов обеспечения невидимости в системе, первые из исследованных вариантов программы DUQU были сконфигурированы для работы в течение 36 дней, после чего главный модуль автоматически удаляет себя из зараженной системы. Из анализа последующих образцов стало ясно, что этот период работы не является жестко заданным, так что в других случаях самоуничтожение может происходить и раньше, и позже.

Около года тому назад по результатам анализа Stuxnet экспертами «Лаборатории Касперского» было сделано заключение, что программа состоит фактически из двух разных частей — несущей платформы и самостоятельного отдельного модуля, отвечающего за работу с PLC, т.е. программируемыми логическими контроллерами для диверсионного управления промышленными процессами.

По сути дела, Stuxnet в виде кода воплощал собой нечто типа боевой ракеты из реальной жизни, где имеется модуль-ракетоноситель (собственно червь) и его боеголовка (то есть модуль PLC). На основании такой конструкции тогда же было предположено, что часть Stuxnet, отвечающая за его распространение и заражение системы, может быть использована вновь и вновь с самыми различными «боеголовками».

Ныне же, наблюдая за происходящим вокруг DUQU, можно заключить, что примерно такой сценарий разворачивается и здесь. За тем лишь исключением, что «боеголовки» у DUQU пока не обнаружено. Единственное, что иногда удавалось засечь, это лишь сравнительно безобидный шпион-кейлоггер для предварительной «разведки на местности». Однако по самой природе своей эта программа способна доставить в зараженную систему любую «боеголовку» и запустить ее против любой цели.

В отличие от Stuxnet, который без разбора заражал огромное множество машин, но при этом искал совершенно определенную систему, DUQU, по наблюдениям антивирусных экспертов, избирательно заражает очень небольшое количество весьма специфических систем по всему миру. Но для каждой из систем DUQU может использовать существенно разные модули — с разными именами, разной длиной файлов и разными значениями чек-сумм.

Еще одна их характерных особенностей DUQU заключается в том, что здесь код не имеет функции размножения или самораспространения. Иначе говоря, вредоносная программа не является компьютерным червем или вирусом в общепринятом смысле этих терминов. С другой стороны, ни на одной из зараженных систем по сей день так и не удалось найти модуль-инсталлятор (дроппер), то есть остается неясным, с помощью каких механизмов основной модуль DUQU внедряется в систему. А значит, неизвестно, является ли этот инсталлятор самовоспроизводящимся и какие именно уязвимости защиты он использует. На текущий момент именно это считается главным недостающим звеном во всей головоломке. Потому что именно файл полагают ключом к успешному решению загадки DUQU и отысканию эффективного антидота.

Уже известные (весьма унылые) результаты всеобщей борьбы с угрозами типа Stuxnet, реально способными выводить из строя промышленные предприятия и критически важные инфраструктуры, невольно наводят на мысль, что и с противостоянием угрозам типа DUQU в итоге получится примерно то же самое.

Чтобы более выпукло и наглядно проиллюстрировать, к чему ныне свелась защита компьютерных систем промышленного управления, можно процитировать недавнюю запись из блога Ральфа Лангнера (Ralph Langner) — широко известного ныне специалиста в данной области, в свое время первым разобравшегося с «начинкой боеголовки» Stuxnet.

В последних числах сентября Лангнеру довелось принимать участие в промышленной конференции WeissCon, где выступал некто Марти Эдвардс (Marty Edwards) — нынешний глава структуры ICS-CERT, в составе правительства США отвечающей за компьютерную безопасность индустриальных систем управления. Суть удивительного доклада этого чиновника сводилась к представлению нового подхода их ведомства к тому, как теперь надо смотреть на уязвимости — путем исключения всего, что не выглядит как баг (дефект программы), который может быть исправлен поставщиком продукта.

Иными словами, поясняет Лангнер, отныне вы просто не увидите от ICS-CERT никаких рекомендаций или предупреждений относительно «особенностей» программ, которые потенциально можно использовать для атак.

Такой подход, по свидетельству эксперта, самым радикальным образом — примерно на 90% — сокращает число уязвимостей, поскольку подавляющее большинство так называемых «моментов» в безопасности, с которыми сталкивается индустрия, — это не баги программирования, а конструктивные дефекты системы.

До того как разразилась гроза с выявлением Stuxnet, уязвимостью официально именовали следующее: «Дефект или слабость в конструкции системы, в ее реализации, функционировании или управлении, которые можно было бы использовать для нарушения политики безопасности системы». Ну а теперь, иронизирует Лангнер, всем нам стало жить намного безопаснее, потому что многие проблемы вдруг просто взяли и исчезли. Остались одни только баги программирования. И если до недавнего времени безопасность промышленных систем управления была очень трудным делом, то ныне все стало легко и просто. По крайней мере, для организации ICS-CERT. Ну а остальным, заключает с горечью Лангнер, не полегчало, потому что в итоге совершенно не принципиально — атаковали вашу систему через «баг» или «особенность». Последствия останутся неприятными, а порой и катастрофическими.

Возвращаясь же к DUQU, надо подчеркнуть, что аналитиков антивирусных фирм, опубликовавших подробности об этой программе, больше всего поразило дальнейшее поведение ее неведомых создателей. После такой широкой огласки, казалось бы, те должны были тихо исчезнуть из виду или хотя бы на время затаиться. Но ничего подобного не произошло. Уже на следующий день после публикации стали детектироваться все новые и новые модули DUQU с совсем свежими датами компиляций и множеством совершенно новых внешних признаков.

Иначе говоря, шпионы доходчиво продемонстрировали, что намерены и дальше делать эту свою работу — чего бы там не предпринимали структуры компьютерной безопасности.

Почти как во времена Дикого Билла и Эдгара Гувера.

Русские хакеры стали брендом нашего времени. Судя по заголовкам мировой прессы, коварные взломщики почти всемогущи и способны хоть вытащить на свет подноготную Всемирного антидопингового агентства, хоть усадить в Белый дом Дональда Трампа.

При этом не слышно истерии по поводу хакеров из других стран. А между тем всего несколько лет назад хакеры учинили успешную диверсию на ядерном объекте.

Ядерная программа Ирана вызывала и вызывает острую реакцию у ряда стран, в первую очередь у Израиля и США. Исламская Республика упорно стремилась вступить в ядерный клуб, но эти попытки вызывали только холодную ярость в Вашингтоне и Тель-Авиве: со времён исламской революции Тегеран рассматривали как опасного врага. Разумеется, и там и там хватает ястребов, которые предпочли бы разбомбить любую стоящую на пути проблему, однако в 2000-е годы оставшимся анонимными разведчикам пришёл в голову гораздо более тонкий план воздействия на атомный проект аятолл.

Военная операция была бы чрезвычайно затратной, вызвала бы очевидные проблемы на международной арене, к тому же всегда существует риск неожиданной неудачи. Завод по обогащению урана в Натанзе был хорошо защищён, и даже бомбардировка не гарантировала его полного уничтожения. Однако нетривиальный подход удалось найти.

Для уничтожения иранской атомной программы был разработан оригинальный компьютерный вирус, получивший название Stuxnet. Вирус был заточен для работы с компьютерами строго определённой конфигурации, то есть он не начинал крушить первую попавшуюся систему, в которую попал. Оказавшись на новом компьютере, Stuxnet начинал сканировать программное обеспечение, отыскивая автоматизированные системы управления, используемые в ядерной промышленности. Такие системы специфичны для каждого завода - система датчиков, управления разными узлами и агрегатами везде своя. Stuxnet искал строго определённую цель. Если он не находил такую, то просто "засыпал" в ожидании возможности переместиться дальше.

Интересно, что, по данным американской прессы, израильтяне построили целый комплекс, имитировавший иранские установки для обогащения урана. На "имитационных центрифугах" отрабатывали внедрение в систему и саму атаку. Разработчики вируса понимали, что второго шанса у них не будет, так что первый удар должен быть убойным.

Однако иранцы, само собой, держали отключёнными от сети компьютеры, управлявшие ядерными объектами. Поэтому Stuxnet распространялся только через флеш-накопители. При этом электронный диверсант использовал украденные сертификаты крупной уважаемой компании Realtek - для обмана антивирусов. Вирус при всей своей сложности очень компактный и, попав на компьютер, практически не отсвечивал: ни у кого просто не возникало повода его разыскивать.

Само собой, распространяться таким образом вирус мог очень долго. Однако хакеры имели возможность ждать: строительство атомной станции или разработка ядерного оружия - дело небыстрое. Рано или поздно кто-то должен был совершить оплошность.

Первоначально целью кибератаки стали иранские фирмы, занимающиеся разработкой программ для промышленных предприятий. Разведка представляла, какие компании могут быть вовлечены в ядерную программу, поэтому вирус внедряли в первую очередь в фирмы, имеющие связи с ними. При этом так и остались туманными обстоятельства самого первого заражения, так что, вероятно, сыграла свою роль старая добрая агентурная разведка: кто-то же должен был в первый раз вставить заражённую флешку в компьютер. Правда, отследить одиссею Stuxnet не могли даже создатели. Этот вирус был чрезвычайно хорошо написан, с тем чтобы не нанести никакого вреда системе, не отвечающей нужным параметрам, и не оставить ни малейших признаков внедрения. Впоследствии оказалось, что своими неисповедимыми путями вирус заразил несколько промышленных компьютеров в Германии, но не пришёл в действие, поскольку не обнаружил совпадения параметров с теми, что искал.

Летом 2010 года очередная копия Stuxnet наконец обнаружила себя на компьютере, управляющем иранской ядерной центрифугой. И вот тут вирус развернулся по полной программе.

Stuxnet оказался маленьким техническим шедевром. Просто взломать программное обеспечение центрифуг было бы недостаточно: да, на какое-то время их пришлось бы остановить, но затем вирус ждал бы быстрый и бесславный конец. Однако суть конструкции этого вируса состояла в том, что он перехватывал управление заражённым компьютером и сам начинал отдавать команды, но так, чтобы у живых операторов сохранялась иллюзия контроля над ситуацией.

Для этого вирус некоторое время провёл внутри системы, собирая информацию о технологических процессах и текущем режиме работы оборудования. Накопив достаточно сведений, "червь" принялся за работу. Получив контроль над иранскими ядерными центрифугами, Stuxnet начал потихоньку менять им режим работы. Иранские центрифуги рассчитаны на определённую скорость оборотов. Stuxnet потихоньку менял частоту вращения, заставляя центрифуги работать в критическом режиме. Центрифуги резко разгонялись и так же резко тормозили. При этом операторы пребывали в блаженном неведении о происходящем, поскольку показатели, выходящие на их экраны, вирус фальсифицировал. Процесс занял несколько месяцев: разработчики вируса, очевидно, полагали, что за это время удастся как следует износить максимальное количество центрифуг.

В результате в один прекрасный момент иранские центрифуги в Натанзе начали массово выходить из строя. В короткий срок 1368 из имевшихся у страны аятолл центрифуг просто сломались без возможности восстановления.

Это был этапный момент в практике информационных войн. Компьютерный вирус причинил физический вред. Хакеры не просто украли или уничтожили данные, но изувечили существующее в реальном мире промышленное оборудование. Разрушительный эффект от применения вируса был сравним с воздушной бомбардировкой, при этом ни одна настоящая ракета никуда не полетела, более того, даже сам факт атаки долгое время оставался под сомнением. Глава Организации по атомной энергии Ирана Голам Реза Агазаде без объяснения причин подал в отставку, центрифуги остановились, а ядерная программа Ирана оказалась отброшена на годы назад. В Иране эта история вызвала жёсткий разбор полётов, в ходе которого даже задерживались "ядерные шпионы", которые в итоге оказались непричастны к аварии.

Однако история вируса-диверсанта на этом не кончилась.

Летом 2010 года Сергей Уласень, специалист из небольшой белорусской фирмы "ВирусБлокАда", обнаружил неизвестного червя и сделал его описание достоянием широкой публики. Компания, где работал Уласень, работала в том числе с клиентами из Ирана, и те обратились к нему за помощью со своими заражёнными компьютерами. Уласень, уже подозревая, что с компьютером что-то не то, прочесал его особенно тщательно и в итоге вышел на искомый вирус. Что поразило специалистов по безопасности, так это наличие реальных сертификатов, позволявших изображать "честную" программу. Другое обстоятельство, сделавшее пойманный вирус героем дня, - его узкоспециализированное предназначение.

В ближайшие месяцы Stuxnet изучили буквально под микроскопом и разобрали на байты. Общий вывод был практически единодушным: это не вирус, написанный хакером-одиночкой, и не продукт творчества хулиганов. Судя по интеллектуальным усилиям, вложенным в разработку вируса, речь идёт об изощрённо написанной полноценной боевой программе, создававшейся группой специалистов в течение длительного срока.

Причём разработчики имели источники, снабжавшие их разведывательными данными о цели, которую предстоит атаковать, и ресурсы, характерные не для сетевых хулиганов, а для спецслужб. Более того, вирус существовал во множестве модификаций и уже давно путешествовал по планете, заразив десятки тысяч компьютеров.

Впоследствии выдвигались более или менее обоснованные версии насчёт действительных масштабов кибератак. Дело в том, что конкретно атака, предпринятая Stuxnet, имела неприятные для Ирана, но всё же не абсолютно убойные последствия. Однако Stuxnet разрушил лишь конкретную цель, в то время как потенциальных задач для такого вируса может быть значительно больше. Управление промышленными объектами, транспортной инфраструктурой - разнообразные автоматизированные системы в наше время внедрены буквально повсюду. Как показал пример Ирана, инфильтрация достаточно искусно написанного червя может быть проведена незаметно. А дальнейшие события ограничиваются только фантазией авторов вируса.

Выход из строя столь большого количества центрифуг заставил задуматься - а не является ли это следствием какой-то диверсии спланированной при помощи недавно появившегося компьютерного вируса Stuxnet - который именно в Иране получил довольно большое распространение по сравнению с другими государствами, что может служить доказательством того, что разработчики вируса метили именно в Иран. И, как получается, непосредственно в завод по обогащению урана, используя известные уязвимости его операционной системы и пресловутый «человеческий фактор».

Но заказчик - неизвестен, гипотетический исполнитель - якобы сотрудник концерна «Сименс» (Siemens), вставивший инфицированный флеш-накопитель в управляющую систему производства. Ущерб же, причиненный ядерной программе Ирана, в данном случае сопоставим с ущербом от пресловутого удара израильских ВВС в 1981 году, как раз накануне пуска АЭС, когда была полностью разрушена вся инфраструктура предприятия.

Как свидетельствуют результаты проведенного расследования, именно кибернетические атаки как раз и могут стать идеальным инструментом столь масштабного повреждения оборудования - они стремительны, высокоэффективны в своей разрушительности и, в то же время, абсолютно анонимны

При этом следует отметить, что вирус Stuxnet атакует на уровне логических контроллеров (контроллеры - компьютеры, занимающиеся управлением крупных производственных и энергетических комплексов), заражая программную основу системы. В списке его целей - преобразователи частотно регулируемых приводов (VFD). Среди обнаруженных в теле вируса активируемых частот есть и такие, которые могут влиять на электронное оборудование иранских центрифуг IR-1. Хотя само по себе это обстоятельство еще ничего не значит.

Чего на самом деле добивались разработчики вируса, неизвестно. Если они ставили перед собой именно задачу физического разрушения центрифуг, то их план не сработал, так как вирус Stuxnet этого не обеспечил. Но если они намеревались повредить те или иные узлы центрифуг или вывести их из строя на длительное время, то, возможно, они даже преуспели, так как нанесенный вирусом урон оказался внезапным и весьма ощутимым. Следует отметить, что когда персонал осознал, что с работой центрифуг происходит что-то неладное и отключил подачу на них электроэнергии, - было уже поздно, а обстановка в цеху напоминала последствия террористического акта, связанного с применением множества взрывных устройств одновременно.

Официально Иран не признал, что завод оказался под ударом компьютерного вируса. Однако на самом высшем уровне подтверждается, что кибератаки на его ядерные объекты ведутся. Так, в конце ноября 2010 г. президент Махмуд Ахмадинежад заявил, что у «ограниченного числа центрифуг» возникли проблемы с программным обеспечением в электронике.

В то же время Глава организации по атомной энергии Ирана доктор Али Акбар Салехи обозначил дату, когда вирус Stuxnet появился на иранских ядерных объектах, - это середина 2009 года. Следовательно, время, которое потребовалось вредоносному вирусу на прохождение пути от первых зараженных персональных компьютеров до заводских цехов составляет более одного года.

При этом в 2009–2010 гг. иранские специалисты демонтировали и заменили порядка 1 000 центрифуг IR-1 на заводе. И до этого данная довольно устаревшая модель центрифуг часто выходила из строя (порядка 10 % ежегодно), но замена столь большой партии, как в 2010 г., заставила задуматься, начать расследование и глубокое научное изучение этого вопроса.

Разумеется, завод по обогащению урана - это закрытое предприятие с ограниченным доступом, высоким уровнем режима секретности системы управления и контроля и не соединен с Интернетом. По оценкам специалистов, добраться до управляющих компьютеров вирус мог только через персональные компьютеры специалистов завода - сначала заразив их домашние компьютеры, или через компьютеры людей, как-то связанных с заводом, а потом уже посредством их флешек вирус мог попасть на компьютеры систем управления.

Передовицы мировой прессы заполонили мрачные пророчества о наступлении эры кибернетических войн. Над разгадкой тайны вируса Stuxnet, поразившего завод по обогащению урана Ирана, бьются специалисты самых разных направлений: от IT-безопасности до лингвистики и антропологии. Следует отметить, что вирус Stuxnet был обнаружен антивирусными лабораториями достаточно давно, однако об истинных масштабах заражения мир узнал только в конце сентября 2010 г.

По вполне понятным и логичным причинам разработчики вируса Stuxnet предпочитают держаться в тени. Однако специалисты акцентируют внимание на том, что совершенно очевидно, - сложность этого вируса можно назвать беспрецедентной, а создание подобного проекта требует огромных интеллектуальных и финансовых инвестиций, а значит, под силу лишь структурам государственного масштаба. Эксперты сходятся во мнении, что этот вирус не является плодом усилий просто «группы энтузиастов». Лоран Эсло, руководитель отдела систем безопасности фирмы Symantec, предполагает, что над созданием вируса Stuxnet работали как минимум до 10 человек на протяжении шести-девяти месяцев. Франк Ригер, технический директор GSMK, поддерживает своего коллегу: по его словам, вирус создавала команда опытных программистов, а разработка заняла около полугода. Ригер называет и ориентировочную стоимость создания вируса Stuxnet: она составляет не менее $ 3 млн. О диверсионном предназначении вируса говорит Евгений Касперский, генеральный директор «Лаборатории Касперского»: «Stuxnet не крадет деньги, не шлет спам и не ворует конфиденциальную информацию. Этот зловред создан, чтобы контролировать производственные процессы и в буквальном смысле управлять огромными производственными мощностями. В недалеком прошлом мы боролись с кибер-преступниками и интернет-хулиганами, теперь, боюсь, наступает время кибертерроризма, кибероружия и кибервойн». Тильман Вернер, участник содружества специалистов в области интернет-безопасности, уверен: хакеры-одиночки на такое не способны.

«Stuxnet настолько совершенен с технической точки зрения, что следует исходить из того, что в разработке вредоносной программы принимали участие специалисты из госструктур или что они, по крайней мере, оказывали какую-то значимую помощь в ее создании», - утверждает Вернер.

Специалисты отмечают, что вирус Stuxnet проникает в компьютер через гнездо USB из зараженного носителя, обычно disk-on-key, в народе именуемого флешкой. С этого момента инфицированный компьютер сам становится источником заразы.

А «червь» внутри него (у вируса Stuxnet отмечают шесть различных способов проникновения и закрепления в операционной системе компьютера) начинает действовать в автономном режиме. Никакая команда извне ему уже не нужна. Он от рождения знает, что ему делать. Вирус Stuxnet тестирует содержимое компьютера, поступающие и исходящие из него команды и ведет себя совершенно нормально по отношению к поглотившей его системе, никак не вредит ни ей самой, ни ее партнерам, пока не наткнется на признаки цели, для охоты на которую он создан, - программы управления производством концерна «Сименс». И тогда он превращается в жестокого хищника-разрушителя.

Специализация вируса Stuxnet - это компьютерные программы крупномасштабных систем управления промышленными предприятиями SCADA (Supervisory Control and Data Acquisition), т. е. «диспетчерское управление и сбор данных». Эти системы регулируют технологические процессы электростанций, нефте- и газопроводов, военных заводов, предприятий гражданской инфраструктуры и т. п.

Вирус Stuxnet, обладая необходимыми исходными возможностями системного администратора и зная уязвимые места операционной системы, которые не знает, кроме него и его создателей, никто, поднимает себя в сложившейся управленческой иерархии до уровня инициирования команд, фактически захватывает власть в системе и переадресует ее на выполнение собственной разрушительной цели.

Первым делом он меняет компьютеру «голову» и перепрограммирует программу PLC (Programmable Logic Controler - программируемый логический контроллер), отвечающую за логику. И начинает сам отдавать команды.

По мнению специалиста по промышленной безопасности в концерне «Сименс» Ральфа Лангнера, вирус Stuxnet может изменить параметры работы «оперативного блока 35», ведущего мониторинг критических производственных ситуаций, требующих срочной реакции в 100 миллисекунд. Если так, озверевшему «червю» ничего не стоит привести систему к разрушительной аварии.

Взяв управление на себя, вирус Stuxnet последовательно ведет систему к разрушению производства. Он вовсе не шпион, как надеялись поначалу многие, он диверсант. Как только исходный код PLC перестает выполняться, утверждает Ральф Лангнер, можно ожидать, что вскоре какое-то звено взорвется, разрушится. И, скорее всего, это окажется что-то важное.

Эксперты сходятся во мнении, что разработка и внедрение такого сложного вируса - задача непосильная ни хакеру, ни группе хакеров, ни какой-либо частной структуре. Это явно дело рук государства. Только государство могло себе позволить запустить такого дорогостоящего «червя», тем самым фактически рассекретив его, только ради крайне важной для него цели и только потому, что не могло больше ждать.

В связи с этим тот же Ральф Лангнер высказывает логичное предположение, что вирус Stuxnet уже, скорее всего, сделал свое дело. Все же «червь», хоть явно и не шпионская программа, но кое-какую информацию дает, в том числе для широкой публики, хотя бы самим фактом своего существования.

Проблемы концерна «Сименс»

Широко известным фактом является то, что Бушерскую АЭС построили специалисты российского «Атомстройэкспорта» по российским технологиям и с использованием компьютерных систем управления производством концерна «Сименс».

Следует отметить, что, по оценке специалистов, вирус Stuxnet поражает лишь конкретный тип контроллеров концерна «Сименс», а именно SIMATIC S7, который, по сведениям МАГАТЭ (Международное агентство по атомной энергии), используется Ираном. При этом порядка 60 % компьютеров, зараженных вирусом Stuxnet, находится в Иране, а остальные 40 % - в странах, так или иначе связанных с ним: Индонезии, Индии и Пакистане.

Важной деталью рассматриваемого вопроса является то, что именно концерн «Сименс» принимал активное участие в 70-х гг. прошлого века в обеспечении высокотехнологическим оборудованием ядерной программы Ирана. После победы исламской революции концерн прекратил работу в стране, но затем немцы вернулись, и Иран стал для них одним из крупнейших заказчиков специфического оборудования. Однако после введения международных санкций, с большой неохотой и под жестким давлением правительства Германии, концерн «Сименс» объявил о прекращении контрактов с Ираном. На этот факт до сих пор ссылаются представители концерна в ответ на то и дело возникающие упреки. Однако вскоре их поймали на поставках запрещенного оборудования и комплектующих двойного назначения, которые могут быть использованы для установки на ядерных объектах Ирана, о чем речь пойдет ниже.

Версия программной поддержки

Как и во всем мире предприятия ядерного цикла, завод по обогащению урана - предприятие закрытое и имеет большие ограничения, в том числе связанные с доступом посторонних на свою территорию. Но некоторые представления о специфике производственного процесса у организаторов диверсии были. Так, в 2007–2008 гг. завод посещали инспекторы МАГАТЭ - тогда иранские власти еще не закрыли перед ними двери. Специалисты узнали немало интересной информации даже из официальной иранской теле- и фотосъемки, посвященной визиту на завод президента страны Махмуда Ахмадинежада в 2008 г. Службы безопасности сработали тогда на удивление непрофессионально. Так, на фото можно было разглядеть мониторы компьютеров, работающих под операционной системой Windows; стало точно известно, какие центрифуги используются в Натанзе (в обход эмбарго на поставки запрещенного оборудования Иран закупал центрифуги в Пакистане); а компьютерное управление моторами центрифуг производится с помощью контроллеров концерна «Сименс». Владея этой информацией, необходимо было только решить, каким надежным образом занести вредоносную программу в компьютерную сеть предприятия, ведь из соображений безопасности она не подсоединена к Интернету. И авторы вируса Stuxnet разработали хитроумное решение:

Так как под нужды конкретного производства для сименсовских контроллеров всегда создается специальное программное обеспечение (собственно система управления), то управленческие программы «пишутся» на них под заказ, следовательно, разработчики впоследствии занимаются их плановой поддержкой и регулярно доставляют на производство файлы обновлений. Наиболее возможным способом доставки информации в закрытую сеть завода являются внешние носители. Хакеры «закинули» вирус Stuxnet в шесть иранских компаний - разработчиков программного обеспечения, которые, по их мнению, могли иметь контакты с заводом в Натанзе. Заразить компьютеры этих компаний было делом техники ввиду того, что они подключены к Интернету, и их сотрудники пользуются электронной почтой. Как и следовало ожидать, расчет на то, что рано или поздно вирус попадет по назначению, полностью оправдался: зараженные компьютеры, которые управляют производством, в какой-то момент подали команду на раскручивание центрифуг до тех пор, пока часть из них не вышла из строя. Только тогда обслуживающий персонал завода заметил неладное и обесточил их.

Израильский след

Иран превратился в объект повышенного международного внимания, когда западные страны начали всячески предпринимать шаги по срыву его ядерных программ, направленных, по их мнению, на создание своего ядерного оружия. В этих условиях проводится работа по развалу его экономики при одновременной атаке военно-промышленного и научного секторов. Такой вывод содержится в вышедшей в Евросоюзе книге специалиста в области разведки Ивонника Деноэля «Секретные войны Моссада». В этом издании впервые подробно рассказывается об операции по срыву работы центрифуг по обогащению урана с помощью компьютерного вируса.

Первые данные о подземном заводе по обогащению урана в г. Натанзе западные спецслужбы получили в 2002 году, когда агенты германской разведки завербовали иранского бизнесмена, чья компания принимала участие в создании этого объекта. Исходя из слов автора - иранец согласился предоставить карты, фотографии, техническое описание и иные сведения об этом объекте в обмен на обещание вывезти его позднее из страны и предоставить немецкое гражданство. Однако, отмечает Деноэль, иранская контрразведка разоблачила этого агента в 2004 г. и ликвидировала его. Тем не менее его супруга смогла вывезти из Ирана в Германию портативный компьютер погибшего мужа.

«Компьютер стал подлинной пещерой Али-Бабы, а немецкой разведке потребовались месяцы, для того чтобы изучить попавшие в ее руки документы», - замечает автор книги.

Вслед за этим в 2006 г. на заводе в Натанзе и ядерном центре Исфахана последовала «подозрительная» серия взрывов, когда из строя были выведены трансформаторы во время запуска газовых центрифуг, на которых происходит обогащение урана. В результате в Натанзе были повреждены до 50 центрифуг.

Между тем в 2009 году на ядерном объекте Израиля «Димона» в пустыне Негев была создана совместная с США группа специалистов по мониторингу израильской ядерной программы. Одновременно израильские спецслужбы создали на основе полученной разведкой документации точную рабочую копию иранского обогатительного завода в Натанзе. Данные работы облегчались тем, что как в «Димоне», так и в Натанзе использовалась французская ядерная технология. Деноэль пишет, что израильским спецслужбам удалось приобрести на мировом «черном рынке» центрифуги, аналогичные которым использует Иран для обогащения урана.

В результате, как считают независимые специалисты, создание Израилем «зеркального Натанза» с его производственным циклом позволяет ему в реальном времени следить за прогрессом в ключевой области иранской ядерной программы - работами по обогащению урана. По данным автора, именно центрифуги завода в Натанзе и стали объектом атаки западных спецслужб, использовавших для этого компьютерные сети.

Как сообщает Деноэль, в 2008 г. осуществлявший сделки с Ираном, немецкий машиностроительный концерн «Сименс» «согласился на сотрудничество с Министерством внутренней безопасности США с целью помочь его специалистам найти уязвимые места в компьютерной системе вооруженных сил Ирана». Этому способствовал тот факт, что «Сименс» участвовал в создании компьютеров, которые занимаются управлением крупных производственных и энергетических комплексов (контроллеры). Как оказалось, компьютерное оборудование немецкой компании использовалось иранцами и на заводе в г. Натанзе.

Одновременно спецслужбами Израиля и США была организована группа по созданию компьютерного вируса Stuxnet, начавшая работу в «Димоне». В этой связи газета «Нью-Йорк таймс» писала, что без воссоздания производственного процесса иранского завода в Натанзе в израильском ядерном центре вирус Stuxnet не смог бы сработать с высокой эффективностью. При этом Израиль привлек к работам ранее ушедших на пенсию ученых и техников, работавших в ядерном секторе в 50–60-х гг. – настолько специфичным, да и, более того, довольно устарелым оказался производственный процесс в Натанзе. Но именно эти специалисты-ветераны обладали необходимыми знаниями для воссоздания технологических процессов иранской ядерной программы.

Операция по промышленному саботажу в Иране имела несколько уровней. Так, в июне 2009 г. специалисты США и Израиля создали и запустили в Интернет упрощенную версию вируса Stuxnet, источник происхождения которого невозможно было определить. Первоначально данный вирус позволял похищать хранящуюся в компьютерах информацию, идентификационные номера, пароли и кодовые слова, сведения о конфигурации сетей.

Спустя несколько недель вслед за первым появлением в мировой Сети вируса Stuxnet была выпущена его сложная версия, направленная на атаку иранских производственных объектов. Именно ее направили специалисты США и Израиля в сети завода в г. Натанзе, где он взял под контроль систему управления центрифугами. Согласно Деноэлю, вирус вынуждал контрольные программы сообщать о «нормальной работе», проникая в то же время все глубже в производственные системы.

«Тем самым в компьютерной системе Натанза была создана виртуальная действительность, которая не позволяла иранским специалистам заподозрить факт вирусной атаки», - отмечает автор книги.

Все говорит о том, что в 2010 г. был отдан приказ о начале атаки, и вирус, взяв под контроль управление центрифугами, заставил их увеличить скорость вращения ротора с 1 000 оборотов в секунду до 1 400. При достижении подобной скорости происходит поломка и выход из строя центрифуги.

О том, что на заводе в г. Натанзе происходят какие-то события, немедленно сообщили инспекторы МАГАТЭ. Обычно на этом предприятии, где были развернуты 8 700 центрифуг, количество выходивших из строя не превышало 10 % в год. Однако в течение трех месяцев 2010 г. иранские техники заменили до 2 тыс. центрифуг, сообщили представители МАГАТЭ. Как считают западные аналитики, технологическая атака позволила отбросить назад на 24 месяца прогресс в работах по обогащению урана. Так, по мнению бывшего главы «Моссад» Меира Дагана, «успешная операция задержала начало производства Ираном обогащенного оружейного урана на несколько лет».

Тем не менее, по словам Деноэля, эта операция не смогла остановить ядерную энергетическую программу Ирана. Поврежденные центрифуги были заменены, а согласно данным западных разведок, Тегеран имеет до 8 тысяч резервных центрифуг.

Материалы расследования

Согласно статистическим данным, собранным до событий 2010 г., имевшиеся в распоряжении Тегерана резервные центрифуги - это довольно устаревшая модель (IR-1), и они также часто выходят из строя. Так, еще в 2009–2010 гг. иранские специалисты демонтировали и заменили порядка 1 000 центрифуг IR-1 на заводе по обогащению урана.

Опубликованные данные МАГАТЭ подтверждают, что в начале 2010 г. на заводе происходило нечто странное. В цеху (технологический модуль A26) было отключено 11 из 18 каскадов центрифуг - всего 1 804 машины. В других цехах ситуация выглядела лучше, хотя и там фиксировались отключения одного-двух каскадов.

Монтаж модуля A26 производился в 2008 г. Это второй модуль, собранный на заводе. По состоянию на июнь 2009 г., 12 из 18 каскадов этого модуля обогащали уран. В августе 2009 г. обогащением занималось 10 каскадов, а в ноябре только шесть.

Такое уменьшение числа каскадов, обогащающих уран, подтверждает, что на модуле A26 возникли существенные проблемами. А в период между ноябрем 2009 г. и концом января 2010 г. (точнее сказать нельзя) случилось нечто, потребовавшее выключения сразу 11 каскадов.

В то же время следует отметить, что сам по себе факт отказа центрифуг IR-1 не является из ряда вон выходящим событием. Центрифуги IR-1 ломаются и делают это часто. По неофициальным оценкам специалистов МАГАТЭ, в год на этом заводе выходит из строя до 10 % от общего количества установленных центрифуг, т. е. по 800–900 машин ежегодно.

Не исключено, что центрифуги модуля A26 отказали по «естественным» причинам, хотя количество вышедших из строя машин достаточно велико и превышает годовую норму отказов.

Есть и другое объяснение, исключающее всякий внешний саботаж, - это качество установки узлов центрифуг в модуле A26, которое может быть низким, что могло дать о себе знать. Так, известно, что центрифуги первого иранского модуля (A24) работают устойчиво. Но на втором модуле (A26) качество работ при установке узлов центрифуг, проводимых после введения международного запрета (на поставку соответствующего специфического оборудования), могло оказаться ниже, чем для первого. Такое объяснение не противоречит реалиям. Непонятно, правда, почему заводской брак сказался спустя год с лишним после пуска второго модуля.

Есть и третья версия. Так, первый модуль (A24) мог быть изготовлен из официально закупленных импортных составляющих, а второй (A26) - из неизвестно как попавших в Иран комплектующих. В этом случае, массовый выход центрифуг второго модуля из строя не должен вызывать особого удивления.

При этом следует отметить, что эксперты фирмы Symantec определили, что вирус Stuxnet среди прочего атакует частотные преобразователи, которые выпускались иранской компанией Fararo Paya и финской Vacon. Соответствующие последовательности команд в теле вируса эксперты обозначили как «A» и «B». Частотные преобразователи на центрифугах нужны для системы управления моторами, которая позволяет с большой точностью задавать скорости вращения роторов центрифуг.

Преобразователи, в которые целил вирус Stuxnet, имеют ограниченную сферу применения, в том числе и предназначены для установки на центрифугах. Многие специалисты после сообщения фирмы Symantec» поверили в то, что вирус был разработан для борьбы с ядерной программой Ирана.

В то же время Иран никогда не указывал тип преобразователей в своих декларациях и не позволял инспекторам получить эти данные.

(Окончание следует)