Как работает Stuxnet?
Червь вползает в компьютер через гнездо USB из зараженного носителя, обычно disk-on-key, в народе именуемого флэшкой (кстати, израильское изобретение, впервые выпущенное в 1999 году компанией «М-Системс» Дова Морана и Амира Бана). С этого момента инфицированный компьютер сам становится источником заразы.
А червь внутри него (у Stuxnet есть шесть различных способов проникновения и закрепления в организме РС) начинает действовать в автономном режиме. Никакая команда извне ему уже не нужна. Он от рождения знает, что ему делать. Stuxnet тестирует содержимое компьютера, поступающие и исходящие из него команды и ведет себя совершенно индифферентно по отношению к поглотившему его организму, никак не вредит ни ему, ни его партнерам, пока не наткнется на признаки цели, для охоты на которую он создан: программы управления производством фирмы Siemens. И тогда он звереет, превращаясь в жестокого хищника-разрушителя.
Специализация Stuxnet — компьютерные программы крупномасштабных систем управления промышленными предприятиями — SCADA (Supervisory Control and Data Acquisition), то есть «диспетчерское управление и сбор данных». Эти системы регулируют технологические процессы электростанций, нефте— и газопроводов, военных заводов, предприятий гражданской инфраструктуры и всего такого прочего, чтобы не сказать вообще всего.
Stuxnet, обладая всеми необходимыми ксивами (помните краденые электронные подписи?) системного администратора и зная «точки смерти» операционной системы, которые никто не знает, кроме него и его создателей, поднимает себя во внутрикомпьютерной иерархии до уровня инициирования команд — фактически захватывает власть в системе и перенаправляет ее на выполнение собственной разрушительной цели.
Первым делом он меняет компьютеру «голову» — перепрограммирует программу PLC (Programmable Logic Controler — программируемый логический контроллер), отвечающую за логику. И начинает сам отдавать команды. По мнению специалиста по промышленной безопасности в Siemens Ральфа Лангнера, Stuxnet может изменить параметры работы «оперативного блока 35», ведущего мониторинг критических производственных ситуаций, требующих срочной реакции, в 100 миллисекунд. Если так, озверевшему червю ничего не стоит привести систему к разрушительной аварии.
Взяв управление на себя, Stuxnet последовательно ведет систему к разрушению производства. Он вовсе не шпион, как надеялись поначалу многие, он — диверсант. Один из последних кодов в программе червя — DEADF007. Красноречиво.
«Как только исходный код PLC перестает выполняться, — утверждает Ральф Лангнер, — можно ожидать, что вскоре какая-то вещь взорвется. И скорее всего это окажется что-то крупное».
Эксперты сходятся во мнении, что разработка и внедрение такого сложного вируса — задача, непосильная ни хакеру, ни группе хакеров, ни какой-либо частной структуре. Это явно дело рук государства. Только государство могло позволить себе запустить такого дорогостоящего червя по всему миру, тем самым фактически рассекретив его. Только ради крайне важной для него цели.
РАЗРАБОТКА И ВНЕДРЕНИЕ ТАКОГО СЛОЖНОГО ВИРУСА — ЗАДАЧА, НЕПОСИЛЬНАЯ НИ ХАКЕРУ, НИ ГРУППЕ ХАКЕРОВ, НИ КАКОЙ-ЛИБО ЧАСТНОЙ СТРУКТУРЕ. ЭТО ЯВНО ДЕЛО РУК ГОСУДАРСТВА.
Поскольку 60 % компьютеров, зараженных Stuxnet, находятся в Иране, а остальная масса в странах, так или иначе связанных с Ираном (больше всего, в частности, в Индонезии, Индии и Пакистане), можно догадаться, для кого его строили и на кого напускали.
Теперь бы надо еще понять, с чего червь так взъелся на Siemens? Вроде бы приличная фирма, пылесосы выпускает… В сотнях тысяч компьютеров мира, инфицированных Stuxnet, он мирно спит и никому не гадит. И только повстречавшись с автоматизированными системами управления производством (АСУП) «Made in Siemens», этот сонный глист превращается в огнедышащего дракона.
Тоже, надо сказать, не бином Ньютона, на первый взгляд.
Именно Siemens начинал строительство АЭС в Бушере. Еще в 1970 году. Ну, кто тогда в Иране не строил? Даже Израиль едва не построил там завод по производству ракет «Йерихо», как говорят, весьма эффективных. Чудом пронесло — исламская революция помешала. Вот и Siemens убрался из страны после прихода к власти Хомейни. Но затем немцы вернулись. Иран стал для Siemens одним из крупнейших заказчиков.
После введения санкций с большой неохотой, под жестким давлением канцлера Меркель, на которую, в свою очередь, упорно давили Израиль и США, в январе 2010 года Siemens объявил о прекращении контрактов с Ираном. На это ссылаются представители компании в ответ на то и дело возникающие упреки. Однако уже летом их поймали на поставках комплектующих для Бушера. Бушерскую АЭС построили, как известно, специалисты российского «Атомстройэкспорта», на российских же технологиях, но, как выяснилось, с использованием сименсовских АСУП. Иначе незачем было бы использовать их в качестве идентификационного манка для Stuxnet.
Червь хоть и не шпионская программа, но кое-какую информацию дает, в том числе для широкой публики. Хотя бы самим фактом своего существования.
Официальный пуск АЭС в Бушере состоялся 21 августа. В преддверии этой даты бывший посол США в ООН Джон Болтон отсчитывал дни израильского удара по иранским ядерным объектам. Логика проста, и она уже однажды сработала. Уничтожение иракского ядерного реактора в 1981 году случилось как раз накануне пуска местной АЭС. Потому что бомбить работающий реактор нельзя.
Но 21 августа прошло, станцию в Бушере открыли, а израильского упреждающего удара не последовало. «Израильтяне упустили свой шанс», — прокомментировал Джон Болтон.
Однако и станция не заработала. Не потому ли, что обнаружился червь?
«НЬЮ-ЙОРК ТАЙМС» НАПИСАЛА, ЧТО УРОН ОТ ВИРУСНОЙ АТАКИ НА КОМПЬЮТЕРНЫЕ СЕТИ ИРАНА СОПОСТАВИМ С ПОСЛЕДСТВИЯМИ УДАРА ИЗРАИЛЬСКИХ ВВС.
Рожденный ползать летать, конечно, не может. И не надо. Зато может сделать часть работы за тех, кому лететь. «Нью-Йорк таймс» написала, что урон от вирусной атаки на компьютерные сети Ирана сопоставим с последствиями удара израильских ВВС. Stuxnet остановил по крайней мере 3 тысячи центрифуг в Натанзе — главном иранском заводе по обогащению урана.
Нет никаких официальных подтверждений того, что жуткий червь — дело рук израильских специалистов. Только догадки. Правда, прозрачные.
Израиль уже останавливал центрифуги в Натанзе. И тоже, очевидно, благодаря компьютерной диверсии.
Автор вышедшей недавно книги «Моссад: крупнейшие операции», бывший депутат кнессета, профессор Михаэль Бар-Зоар (он написал ее в соавторстве с известным израильским журналистом Нисимом Машалем), рассказал об одном таком эпизоде. Был назначен торжественный запуск нового каскада центрифуг для обогащения урана. Собралось много высокопоставленных лиц — праздник. Но едва нажали на кнопку «пуск» — весь каскад взорвался с эффектом домино — такая цепная реакция.
Израиль создал в Европе (и об этом тоже рассказано в новой книге) целую сеть фиктивных фирм, которые поставляли Ирану комплектующие к центрифугам и компьютерное оборудование. «Надо ли говорить, — улыбается Бар-Зоар, — что они не очень хорошо работали?»