Stuxnet — это вредоносный компьютерный червь , впервые обнаруженный в 2010 году и предположительно находящийся в разработке как минимум с 2005 года. Stuxnet нацелен на системы диспетчерского управления и сбора данных ( SCADA ) и, как полагают, несет ответственность за причинение существенного ущерба ядерной программе Ирана . [2] Хотя ни одна из стран открыто не признала ответственности, многочисленные независимые новостные организации признают Stuxnet кибероружием, созданным совместно Соединенными Штатами и Израилем в рамках совместной работы, известной как Операция «Олимпийские игры» . [3] [4] [5] Программа, начатая при администрации Буша , была быстро расширена в течение первых месяцев президентства Барака Обамы . [6]
Stuxnet специально нацелен на программируемые логические контроллеры (ПЛК), которые позволяют автоматизировать электромеханические процессы, например, те, которые используются для управления оборудованием и промышленными процессами, включая газовые центрифуги для разделения ядерных материалов. Используя четыре уязвимости нулевого дня , [7] Stuxnet атакует машины, использующие операционную систему Microsoft Windows и сети, а затем ищет программное обеспечение Siemens Step7. Сообщается, что Stuxnet взломал иранские ПЛК, собирая информацию о промышленных системах и заставляя быстро вращающиеся центрифуги разорваться на части. [2] Дизайн и архитектура Stuxnet не зависят от предметной области, и его можно адаптировать в качестве платформы для атаки на современные системы SCADA и PLC (например, на заводских сборочных линиях или электростанциях), большинство из которых находятся в Европе, Японии и других странах. Соединенные Штаты. [8] Сообщается, что Stuxnet разрушил почти одну пятую иранских ядерных центрифуг . [9] Нацеливаясь на промышленные системы управления, червь заразил более 200 000 компьютеров и вызвал физический износ 1000 машин. [10]
Stuxnet имеет три модуля: червь , выполняющий все процедуры, связанные с основной нагрузкой атаки; файл ссылки , который автоматически запускает распространяемые копии червя; и компонент руткита , отвечающий за сокрытие всех вредоносных файлов и процессов для предотвращения обнаружения Stuxnet. [11] Обычно он попадает в целевую среду через зараженный USB-накопитель , преодолевая таким образом любой воздушный зазор . Затем червь распространяется по сети, сканируя программное обеспечение Siemens Step7 на компьютерах, управляющих ПЛК. При отсутствии любого из критериев Stuxnet бездействует внутри компьютера. Если оба условия выполнены, Stuxnet внедряет зараженный руткит в ПЛК и программное обеспечение Step7, изменяя код и передавая неожиданные команды ПЛК, одновременно возвращая пользователям цикл нормальных значений операционной системы. [12] [13]
Stuxnet, обнаруженный Сергеем Уласенем из белорусской антивирусной компании VirusBlokAda , первоначально распространялся через Microsoft Windows и был нацелен на промышленные системы управления Siemens . Хотя это не первый случай нападения хакеров на промышленные системы [14] и не первый общеизвестный преднамеренный акт кибервойны , который был реализован, это первое обнаруженное вредоносное ПО , которое шпионит за промышленными системами и разрушает их, [15] и первое включить руткит программируемого логического контроллера (ПЛК) . [16] [17]
Первоначально червь распространяется беспорядочно, но включает в себя узкоспециализированное вредоносное ПО, предназначенное только для систем диспетчерского управления и сбора данных Siemens (SCADA), которые настроены для управления и мониторинга конкретных промышленных процессов. [18] [19] Stuxnet заражает ПЛК, подрывая программное приложение Step-7 , которое используется для перепрограммирования этих устройств. [20] [21]
Различные варианты Stuxnet были нацелены на пять иранских организаций, [22] причем вероятной целью, как многие подозревают, является инфраструктура по обогащению урана в Иране ; [21] [23] [24] В августе 2010 года Symantec отметила, что 60 процентов зараженных компьютеров во всем мире находились в Иране. [25] Компания Siemens заявила, что червь не причинил вреда ее клиентам, [15] но иранская ядерная программа, в которой используется находящееся под эмбарго оборудование Siemens, закупленное тайно, была повреждена Stuxnet. [26] [27] [28] «Лаборатория Касперского» пришла к выводу, что сложная атака могла быть проведена только «при поддержке государства ». [29] Главный исследователь F-Secure Микко Хиппёнен , когда его спросили, возможна ли поддержка государства, согласился: «Да, именно так это и будет выглядеть». [30]
В мае 2011 года программа PBS «Нужно знать» процитировала заявление Гэри Самора , координатора Белого дома по контролю над вооружениями и оружию массового уничтожения, в котором он сказал: «Мы рады, что у них [иранцев] возникли проблемы с их центрифугами». машина и что мы — США и их союзники — делаем все возможное, чтобы усложнить им ситуацию», предлагая «мигающее признание» участия Соединенных Штатов в Stuxnet. [31] По данным The Daily Telegraph , в ролике, показанном на вечеринке по случаю выхода на пенсию главы Армии обороны Израиля (ЦАХАЛ) Габи Ашкенази , были упоминания о Stuxnet как об одном из его оперативных успехов на посту начальника штаба ЦАХАЛа. [32]
1 июня 2012 года в статье The New York Times сообщалось, что Stuxnet был частью операции разведки США и Израиля под названием «Операция Олимпийские игры» , разработанной АНБ при президенте Джордже Буше и осуществленной при президенте Бараке Обаме . [33]
24 июля 2012 года в статье Криса Матыщика из CNET [34] сообщалось, что Организация по атомной энергии Ирана отправила электронное письмо главному научному сотруднику F-Secure Микко Хиппёнену с сообщением о новом экземпляре вредоносного ПО.
25 декабря 2012 года иранское полуофициальное информационное агентство объявило о кибератаке Stuxnet, на этот раз на промышленные предприятия в южной части страны. В последние месяцы вредоносное ПО атаковало электростанцию и некоторые другие предприятия в провинции Хормозган . [35]
По словам Евгения Касперского , червь также заразил атомную электростанцию в России. Касперский, однако, отметил, что, поскольку электростанция не подключена к общедоступному Интернету, система должна оставаться в безопасности. [36]
Червь был впервые обнаружен охранной компанией VirusBlokAda в середине июня 2010 года. [20] Публикация в блоге журналиста Брайана Кребса от 15 июля 2010 года стала первым широко читаемым отчетом о черве. [37] [38] Первоначальное имя, данное VirusBlokAda, было «Rootkit.Tmphider»; [39] Однако компания Symantec назвала его «W32.Temphid», а позже изменила на «W32.Stuxnet». [40] Его нынешнее название образовано от комбинации некоторых ключевых слов в программном обеспечении («.stub» и «mrxnet.sys»). [41] [42] Причина открытия на данный момент связана с тем, что вирус случайно распространился за пределы намеченной цели ( завод в Натанзе ) из-за программной ошибки, допущенной в обновлении; это привело к тому, что червь распространился на компьютер инженера, который был подключен к центрифугам, и распространился дальше, когда инженер вернулся домой и подключил свой компьютер к Интернету. [33]
Эксперты «Лаборатории Касперского» поначалу подсчитали, что Stuxnet начал распространяться примерно в марте или апреле 2010 года, [43] но первый вариант червя появился в июне 2009 года. [20] 15 июля 2010 года, в день, когда о существовании червя стало широко известно, распространяемый На серверы двух ведущих списков рассылки по безопасности промышленных систем была совершена атака типа «отказ в обслуживании» . Эта атака из неизвестного источника, но, вероятно, связанная со Stuxnet, отключила один из списков, тем самым прервав работу важного источника информации для электростанций и заводов. [38] С другой стороны, исследователи из Symantec обнаружили версию компьютерного вируса Stuxnet, который использовался для атаки на ядерную программу Ирана в ноябре 2007 года и был разработан еще в 2005 году, когда Иран еще строил свой завод по обогащению урана. [44]
Второй вариант, с существенными улучшениями, появился в марте 2010 года, видимо, потому, что его авторы считали, что Stuxnet распространяется недостаточно быстро; третий, с небольшими улучшениями, появился в апреле 2010 года. [38] Червь содержит компонент с меткой времени сборки от 3 февраля 2010 года. [45] 25 ноября 2010 года в Великобритании Sky News сообщила, что получила информацию от анонимный источник в неопознанной организации, занимающейся ИТ-безопасностью , о том, что Stuxnet, или разновидность червя, продавался на черном рынке . [46]
В 2015 году «Лаборатория Касперского» отметила, что Equation Group использовала две одинаковые атаки нулевого дня до их использования в Stuxnet, в другом вредоносном ПО под названием fanny.bmp. [47] [48] и прокомментировал, что «сходный тип использования обоих эксплойтов вместе в разных компьютерных червях примерно в одно и то же время указывает на то, что Equation Group и разработчики Stuxnet либо одинаковы, либо тесно сотрудничают». [49]
В 2019 году исследователи Chronicle Хуан Андрес Герреро-Сааде и Сайлас Катлер представили доказательства того, что по крайней мере четыре различных вредоносных платформы, представляющих угрозу, сотрудничают для создания различных версий Stuxnet. [50] [51] Сотрудничество было названо «СПЛЕТНИЦА» после того, как группа угроз просочилась из секретных слайдов CSE , в которых фигурировал Флейм. [52] GOSSIP GIRL — это совместная организация, в которую входят Equation Group , Flame , Duqu и Flowershop (также известный как «Чеширский кот»). [53] [54] [55]
В 2020 году исследователь Факундо Муньос нашел доказательства того, что Equation Group сотрудничала с разработчиками Stuxnet в 2009 году, предоставив им как минимум один эксплойт нулевого дня [56] и один эксплойт 2008 года [57] , который активно использовался в реальных условиях. компьютерным червем Conficker и китайскими хакерами. [58] В 2017 году группа хакеров, известная как The Shadow Brokers, опубликовала огромное количество инструментов, принадлежащих Equation Group, включая новые версии обоих эксплойтов, скомпилированные в 2010 году, что свидетельствует о значительном дублировании кода при разработке как эксплойтов Stuxnet, так и эксплойтов Equation Group. с использованием набора библиотек под названием «Exploit Development Framework», также опубликованного The Shadow Brokers.
Исследование распространения Stuxnet, проведенное Symantec , показало, что основными пострадавшими странами в первые дни заражения были Иран, Индонезия и Индия: [59]
Сообщается, что Иран усилил свои возможности в кибервойне после атаки Stuxnet и подозревается в ответных атаках на банки США в рамках операции «Абабиль» . [60]
В отличие от большинства вредоносных программ, Stuxnet не причиняет особого вреда компьютерам и сетям, которые не соответствуют определенным требованиям к конфигурации; «Нападавшие очень внимательно следили за тем, чтобы были поражены только намеченные цели… Это была работа стрелка». [61] Несмотря на то, что червь беспорядочен в связях, он становится инертным, если программное обеспечение Siemens не обнаружено на зараженных компьютерах, и содержит меры безопасности, предотвращающие распространение червя с каждого зараженного компьютера более чем на три других, а также самоудаление 24 июня 2012 года. [38]
Для своих целей Stuxnet содержит, среди прочего, код для атаки «человек посередине» , которая имитирует сигналы датчиков управления промышленными процессами, чтобы зараженная система не отключалась из-за обнаруженного аномального поведения. [38] [61] [62] Такая сложность весьма необычна для вредоносного ПО . Червь представляет собой многоуровневую атаку на три различные системы:
Stuxnet атаковал системы Windows, используя четыре беспрецедентные атаки нулевого дня (плюс уязвимость CPLINK и уязвимость, используемую червем Conficker [ 63] ). Первоначально он распространяется с помощью зараженных съемных носителей, таких как USB-накопители , [21] [45] , которые содержат файлы ярлыков Windows для запуска исполняемого кода. [64] Затем червь использует другие эксплойты и методы, такие как одноранговый удаленный вызов процедур (RPC), для заражения и обновления других компьютеров внутри частных сетей, которые не подключены напрямую к Интернету. [65] [66] [67] Количество используемых эксплойтов нулевого дня необычно, поскольку они высоко ценятся, а создатели вредоносных программ обычно не используют (и, таким образом, одновременно не делают видимыми) четыре разных эксплойта нулевого дня в одном и том же файле. червь. [23] Среди этих эксплойтов было удаленное выполнение кода на компьютере с включенным общим доступом к принтерам, [68] и уязвимость LNK/PIF, [69] при которой выполнение файла выполняется при просмотре значка в проводнике Windows, что исключает необходимость взаимодействие с пользователем. [70] Stuxnet необычно велик — полмегабайта, [65] и написан на нескольких различных языках программирования (включая C и C++ ), что также нетипично для вредоносных программ. [15] [20] [62] Windows-компонент вредоносного ПО является беспорядочным , поскольку он распространяется относительно быстро и без разбора. [45]
Вредоносное ПО имеет возможности руткита как в пользовательском режиме, так и в режиме ядра в Windows [67] , а его драйверы устройств были подписаны цифровой подписью с помощью закрытых ключей двух сертификатов открытых ключей , которые были украдены у отдельных известных компаний, JMicron и Realtek , расположенных в научном парке Синьчжу на Тайване. [45] [65] Подписание драйвера помогло ему успешно установить драйверы руткита режима ядра без уведомления пользователей, и, таким образом, он оставался незамеченным в течение относительно длительного периода времени. [71] Оба скомпрометированных сертификата были отозваны компанией Verisign .
Два веб-сайта в Дании и Малайзии были настроены как серверы управления и контроля вредоносного ПО, что позволяло его обновлять, а также осуществлять промышленный шпионаж путем загрузки информации. Оба этих доменных имени впоследствии были перенаправлены поставщиком услуг DNS на Dynadot в рамках глобальных усилий по отключению вредоносного ПО. [67] [38]
По словам исследователя Ральфа Лангнера, [72] [73] после установки в систему Windows Stuxnet заражает файлы проекта, принадлежащие управляющему программному обеспечению SCADA WinCC / PCS 7 от Siemens [74] (шаг 7), и подрывает ключевую коммуникационную библиотеку WinCC. называется s7otbxdx.dll
. При этом происходит перехват связи между программным обеспечением WinCC, работающим под управлением Windows, и целевыми устройствами ПЛК Siemens, когда они соединены кабелем передачи данных. Вредоносная программа способна незаметно модифицировать код на устройствах ПЛК и впоследствии маскировать свое присутствие от WinCC, если управляющее ПО попытается прочитать зараженный блок памяти из системы ПЛК. [67]
Кроме того, вредоносная программа использовала эксплойт нулевого дня в программном обеспечении базы данных WinCC/SCADA в виде жестко запрограммированного пароля базы данных. [75]
Полезная нагрузка Stuxnet нацелена только на те конфигурации SCADA, которые соответствуют критериям, которые он запрограммирован идентифицировать. [38]
Stuxnet требует подключения определенных подчиненных преобразователей частоты (преобразователей частоты) к целевой системе Siemens S7-300 и связанным с ней модулям. Он атакует только системы ПЛК с преобразователями частоты двух конкретных производителей: Vacon из Финляндии и Fararo Paya из Ирана. [76] Кроме того, он контролирует частоту подключенных двигателей и атакует только системы, которые вращаются в диапазоне от 807 Гц до 1210 Гц. Это гораздо более высокая частота, чем частота, на которой обычно работают двигатели в большинстве промышленных применений, за исключением газовых центрифуг . [76] Stuxnet устанавливает вредоносное ПО в блок памяти DB890 ПЛК, который контролирует шину обмена сообщениями Profibus системы. [67] При соблюдении определенных критериев он периодически изменяет частоту до 1410 Гц, затем до 2 Гц, а затем до 1064 Гц и, таким образом, влияет на работу подключенных двигателей, изменяя скорость их вращения. [76] Он также устанавливает руткит – первый подобный задокументированный случай на этой платформе – который скрывает вредоносное ПО в системе и маскирует изменения скорости вращения от систем мониторинга.
Компания Siemens выпустила инструмент обнаружения и удаления Stuxnet. Компания Siemens рекомендует обращаться в службу поддержки клиентов в случае обнаружения заражения, а также советует установить обновления Microsoft на предмет уязвимостей безопасности и запретить использование USB-накопителей сторонних производителей . [77] Siemens также советует немедленно обновить пароли доступа. [78]
Способность червя перепрограммировать внешние ПЛК может усложнить процедуру удаления. Лиам О'Мерчу из Symantec предупреждает, что исправление систем Windows может не полностью устранить инфекцию; может потребоваться тщательный аудит ПЛК. Несмотря на предположения, что неправильное удаление червя может нанести ущерб, [15] Siemens сообщает, что за первые четыре месяца с момента обнаружения вредоносное ПО было успешно удалено из систем 22 клиентов без каких-либо побочных эффектов. [77] [79]
Предотвращение инцидентов безопасности систем управления, [80] таких как вирусные инфекции, такие как Stuxnet, является темой, которая рассматривается как в государственном, так и в частном секторе.
Подразделение национальной кибербезопасности Министерства внутренней безопасности США (NCSD) управляет Программой безопасности системы управления (CSSP). [81] В рамках программы действует специализированная группа реагирования на компьютерные чрезвычайные ситуации, называемая «Команда реагирования на киберчрезвычайные ситуации в промышленных системах управления» (ICS-CERT), два раза в год проводит конференции ( ICSJWG ), проводит обучение, публикует рекомендуемые методы и предоставляет инструмент самооценки. В рамках плана Министерства внутренней безопасности по улучшению компьютерной безопасности в США в 2008 году оно и Национальная лаборатория Айдахо (INL) работали с Siemens над выявлением дыр в безопасности в широко используемой компанией Process Control System 7 (PCS 7) и ее программном обеспечении Step. 7. В июле 2008 года INL и Siemens публично заявили о недостатках в системе управления на конференции в Чикаго; Stuxnet воспользовался этими дырами в 2009 году. [61]
Несколько отраслевых организаций [82] [83] и профессиональных обществ [84] [85] опубликовали стандарты и рекомендации по передовому опыту, предоставляющие указания и рекомендации для конечных пользователей систем управления о том, как создать программу управления безопасностью системы управления . Основная посылка, которую разделяют все эти документы, заключается в том, что предотвращение требует многоуровневого подхода, который часто называют глубокоэшелонированной защитой . [86] Эти уровни включают политику и процедуры, осведомленность и обучение, сегментацию сети, меры контроля доступа, меры физической безопасности, усиление защиты системы, например, управление исправлениями, и мониторинг системы, антивирусную защиту и систему предотвращения вторжений (IPS). Стандарты и лучшие практики [ кто? ] также все [ неправильный синтез? ] рекомендуют начать с анализа рисков и оценки безопасности системы контроля. [87] [88]
Эксперты полагают, что Stuxnet потребовал самых масштабных и дорогостоящих усилий по разработке в истории вредоносного ПО. [38] Для развития его многочисленных способностей потребовалась бы команда высококвалифицированных программистов, глубокие знания промышленных процессов и интерес к атакам на промышленную инфраструктуру. [15] [20] Эрик Байрс, имеющий многолетний опыт поддержки и устранения неполадок систем Siemens, рассказал Wired , что написание кода заняло бы много человеко-месяцев, если не человеко-лет. [65] По оценкам Symantec , группа, разрабатывающая Stuxnet, состояла бы из пяти-тридцати человек, и на подготовку ушло бы шесть месяцев. [89] [38] The Guardian , BBC и The New York Times заявили, что (неназванные) эксперты, изучающие Stuxnet, считают, что сложность кода указывает на то, что только национальное государство будет иметь возможность его создать. [23] [89] [90] Самоуничтожение и другие гарантии в кодексе подразумевали, что западное правительство несет ответственность или, по крайней мере, несет ответственность за его развитие. [38] Однако эксперт по безопасности программного обеспечения Брюс Шнайер первоначально осудил освещение Stuxnet в новостях в 2010 году как шумиху, заявив, что оно почти полностью основано на предположениях. [91] Но после последующих исследований Шнайер заявил в 2012 году, что «теперь мы можем окончательно связать Stuxnet с конструкцией центрифуги в лаборатории ядерного обогащения Натанза в Иране». [92]
В январе 2024 года де Фолькскрант сообщил, что диверсантом был голландский инженер Эрик ван Саббен , который проник в подземный ядерный комплекс в городе Натанц и установил оборудование, зараженное Stuxnet. [93]
Ральф Лангнер, исследователь, который установил, что Stuxnet заражал ПЛК, [21] впервые публично предположил в сентябре 2010 года, что вредоносное ПО имеет израильское происхождение и нацелено на иранские ядерные объекты. [94] Однако совсем недавно на конференции TED , записанной в феврале 2011 года, Лангнер заявил: «Я считаю, что в этом замешан Моссад , но ведущей силой является не Израиль. Ведущей силой, стоящей за Stuxnet, является кибер-сверхдержава – есть только один, и это Соединенные Штаты». [95] Кевин Хоган, старший директор по обеспечению безопасности Symantec, сообщил, что большинство зараженных систем находилось в Иране (около 60%), [96] что привело к предположениям о том, что вирус, возможно, был намеренно нацелен на «высокоценную инфраструктуру» в Иране. Иран [23] включая АЭС в Бушере или ядерный объект в Натанзе . [65] [97] [98] Лангнер назвал вредоносное ПО «оружием одноразового действия» и сказал, что предполагаемая цель, вероятно, была поражена, [99] хотя и признал, что это были предположения. [65] Другой немецкий исследователь и представитель немецкого компьютерного клуба «Хаос» , Франк Ригер, был первым, кто предположил, что целью был Натанц. [38]
По данным израильской газеты Haaretz , в сентябре 2010 года эксперты по Ирану и специалисты по компьютерной безопасности все больше убеждались в том, что Stuxnet призван «диверсировать на заводе по обогащению урана в Натанзе, где эксплуатационная мощность центрифуг упала за последний год на 30 процентов». [100] 23 ноября 2010 года было объявлено, что обогащение урана в Натанзе несколько раз прекращалось из-за ряда серьезных технических проблем. [101] В первой половине 2009 года на объекте произошла «серьезная ядерная авария» (предположительно остановка некоторых центрифуг [102] ), которая, как предполагается, заставила Голама Резу Агазаде , главу Организации по атомной энергии Ирана (АЭИ) уйти в отставку. [103] Статистические данные, опубликованные Федерацией американских ученых (ФАС), показывают, что количество действующих в Иране центрифуг для обогащения загадочным образом сократилось с примерно 4700 до примерно 3900, начиная примерно с того времени, когда должен был произойти ядерный инцидент, упомянутый WikiLeaks. [104] Институт науки и международной безопасности (ИГИЛ) в отчете, опубликованном в декабре 2010 года, предполагает, что Stuxnet является разумным объяснением очевидного ущерба [105] в Натанзе и, возможно, уничтожил до 1000 центрифуг (10 процентов ) где-то между ноябрем 2009 г. и концом января 2010 г. Авторы заключают:
Похоже, что атаки направлены на то, чтобы заставить изменить скорость ротора центрифуги, сначала повышая скорость, а затем снижая ее, вероятно, с целью вызвать чрезмерные вибрации или искажения, которые могли бы разрушить центрифугу. Если его целью было быстро уничтожить все центрифуги на заводе по обогащению топлива, Stuxnet потерпел неудачу. Но если целью было уничтожить более ограниченное количество центрифуг и замедлить прогресс Ирана в эксплуатации FEP, одновременно затруднив обнаружение, возможно, это удалось бы, по крайней мере временно. [105]
В докладе Института науки и международной безопасности (ИГИЛ) далее отмечается, что иранские власти пытались скрыть аварию, устанавливая новые центрифуги в больших масштабах. [105] [106]
Червь действовал, сначала заставляя зараженную иранскую центрифугу IR-1 увеличиваться с обычной рабочей скорости в 1064 герца до 1410 герц на 15 минут, а затем возвращаться к нормальной частоте. Двадцать семь дней спустя червь снова начал действовать, замедлив зараженные центрифуги до нескольких сотен герц на полные 50 минут. Напряжения из-за чрезмерных, а затем и более низких скоростей привели к расширению алюминиевых центрифужных трубок, часто заставляя части центрифуг вступать в достаточный контакт друг с другом, чтобы разрушить машину. [107]
По данным The Washington Post , камеры Международного агентства по атомной энергии (МАГАТЭ), установленные на объекте в Натанзе, зафиксировали внезапный демонтаж и удаление примерно 900–1000 центрифуг в то время, когда на заводе, как сообщается, был активен червь Stuxnet. Однако иранские специалисты смогли быстро заменить центрифуги, и в отчете сделан вывод, что обогащение урана, вероятно, было прервано лишь на короткое время. [108]
15 февраля 2011 года Институт науки и международной безопасности опубликовал отчет, в котором говорится:
Если предположить, что Иран проявит осторожность, Stuxnet вряд ли уничтожит новые центрифуги на заводе в Натанзе. Иран, вероятно, удалил вредоносное ПО из своих систем управления. Чтобы предотвратить повторное заражение, Ирану придется проявлять особую осторожность, поскольку на многих компьютерах в Иране установлен Stuxnet. Хотя Stuxnet, судя по всему, предназначен для уничтожения центрифуг на объекте в Натанзе, разрушение ни в коем случае не было полным. Более того, Stuxnet не снизил производство низкообогащенного урана (НОУ) в 2010 году. Объемы НОУ, безусловно, могли быть больше, и Stuxnet мог быть важной частью причины, почему они не увеличились значительно. Тем не менее, остаются важные вопросы о том, почему Stuxnet уничтожил только 1000 центрифуг. Одно из наблюдений заключается в том, что уничтожить центрифуги с помощью кибератак может быть труднее, чем часто думают. [109]
Агентство Associated Press сообщило, что 24 сентября 2010 года полуофициальное агентство новостей иранских студентов опубликовало заявление, в котором говорится, что эксперты Организации по атомной энергии Ирана встретились на прошлой неделе, чтобы обсудить, как можно удалить Stuxnet из их систем. [19] По мнению аналитиков, таких как Дэвид Олбрайт , западные спецслужбы уже некоторое время пытались саботировать иранскую ядерную программу. [110] [111]
Глава АЭС в Бушере сообщил Reuters , что Stuxnet заразили только персональные компьютеры сотрудников станции, а государственная газета Иран Дейли процитировала Резу Тагипура , министра связи Ирана, который сказал, что это не вызвало "серьезных последствий". ущерб государственным системам». [90] Директор Совета информационных технологий при Министерстве промышленности и горнодобывающей промышленности Ирана Махмуд Лиаи заявил, что: « Против Ирана начата электронная война ... Этот компьютерный червь предназначен для передачи данных о производственных линиях из наших промышленные предприятия за пределы Ирана». [112]
В ответ на инфекцию Иран собрал команду для борьбы с ней. Чиновник заявил, что, поскольку в Иране пострадало более 30 000 IP-адресов, инфекция быстро распространяется в Иране, и проблема усугубляется способностью Stuxnet мутировать. Иран создал свои собственные системы для устранения инфекций и посоветовал не использовать антивирус Siemens SCADA, поскольку есть подозрения, что антивирус содержит встроенный код, который обновляет Stuxnet, а не удаляет его. [113] [114] [115] [116]
По словам Хамида Алипура, заместителя главы иранской правительственной компании информационных технологий: «Атака все еще продолжается, и распространяются новые версии этого вируса». Он сообщил, что его компания начала процесс очистки в «чувствительных центрах и организациях» Ирана. [114] «Мы ожидали, что сможем искоренить вирус в течение одного-двух месяцев, но вирус нестабилен, и с тех пор, как мы начали процесс очистки, распространились три его новые версии», - сказал он газете « Исламская республика ньюс ». Агентство , 27 сентября 2010 г. [116]
29 ноября 2010 года президент Ирана Махмуд Ахмадинежад впервые заявил, что компьютерный вирус вызвал проблемы с контролером, управляющим центрифугами на его объектах в Натанзе. По данным Reuters, на пресс-конференции в Тегеране он заявил журналистам: «Им удалось создать проблемы для ограниченного числа наших центрифуг с помощью программного обеспечения, которое они установили в электронные части». [117] [118]
В тот же день двое иранских ученых-ядерщиков стали жертвами отдельных, но почти одновременных взрывов заминированных автомобилей возле университета Шахида Бехешти в Тегеране. Маджид Шахриари , квантовый физик, был убит. Тяжело ранен высокопоставленный чиновник Министерства обороны Ферейдун Аббаси . Wired предположил, что убийства могут указывать на то, что тот, кто стоял за Stuxnet, считал, что этого недостаточно, чтобы остановить ядерную программу. [119] В той же статье Wired высказывается предположение, что за убийствами могло стоять иранское правительство. [119] В январе 2010 года в результате аналогичного взрыва бомбы погиб еще один иранский ученый-ядерщик, профессор физики Тегеранского университета . [119] 11 января 2012 года директор завода по обогащению ядерного топлива в Натанзе Мостафа Ахмади Рошан был убит в результате нападения, очень похожего на то, в котором погиб Шахриари. [120]
Анализ ФАС показывает, что обогатительные мощности Ирана выросли в течение 2010 года. Исследование показало, что иранские центрифуги работают на 60% лучше, чем в предыдущем году, что значительно сократит время Тегерана на производство урана бомбового качества. Отчет ФАС был рассмотрен представителем МАГАТЭ, который подтвердил исследование. [121] [122] [123]
Официальные лица Европы и США, а также частные эксперты сообщили агентству Reuters, что иранским инженерам удалось нейтрализовать и очистить Stuxnet от ядерного оборудования своей страны. [124]
Учитывая рост иранских мощностей по обогащению в 2010 году, страна, возможно, намеренно распространила дезинформацию, чтобы заставить создателей Stuxnet поверить в то, что червь более успешно вывел из строя иранскую ядерную программу, чем это было на самом деле. [38]
Во многих сообщениях СМИ [ 89 ] [102] [ 127 ] и таких экспертах , как Ричард А. Фалькенрат , бывший старший директор по политике и Планы Министерства внутренней безопасности США . [128] [90] Йосси Мельман, освещающий разведку для израильской газеты «Гаарец» и написавший книгу об израильской разведке, также заподозрил в причастности Израиль, отметив, что Меир Даган , бывший (до 2011 года) глава национальной разведки «Моссад» , срок его полномочий был продлен в 2009 году, поскольку, по слухам, он участвовал в важных проектах. Кроме того, в 2010 году Израиль стал ожидать, что Иран получит ядерное оружие в 2014 или 2015 году – по крайней мере, на три года позже, чем предполагалось ранее – без необходимости военного нападения Израиля на иранские ядерные объекты; "Кажется, они что-то знают, что у них больше времени, чем предполагалось первоначально", - добавил он. [27] [61] Израиль публично не прокомментировал атаку Stuxnet, но в 2010 году подтвердил, что кибервойна теперь является одним из столпов его оборонной доктрины, а подразделение военной разведки создано для реализации как оборонительных, так и наступательных вариантов. [129] [130] [131] Отвечая на вопрос, стоял ли за вирусом Израиль осенью 2010 года, некоторые израильские официальные лица [ кто? ] разразился «широкими улыбками», подогревая слухи о том, что к его возникновению причастно правительство Израиля. [132] Советник американского президента Гэри Самор также улыбнулся, когда упомянули Stuxnet, [61] хотя американские официальные лица предположили, что вирус возник за границей. [132] По сообщению The Telegraph , израильская газета Haaretz сообщила, что видео, прославляющее оперативные успехи Габи Ашкенази , уходящего в отставку начальника штаба Армии обороны Израиля (ЦАХАЛ), было показано на его вечеринке в отставку и содержало ссылки на Stuxnet, тем самым усиливая утверждения о том, что Израиль Ответственность несут силы безопасности. [133]
В 2009 году, за год до обнаружения Stuxnet, Скотт Борг из Подразделения по кибер-последствиям США (US-CCU) [134] предположил, что Израиль, возможно, предпочтет организовать кибератаку, а не военный удар по иранским ядерным объектам. [111] В конце 2010 года Борг заявил: «У Израиля определенно есть возможность создать Stuxnet, и у такой атаки мало недостатков, поскольку было бы практически невозможно доказать, кто это сделал. Таким образом, такой инструмент, как Stuxnet, является очевидным излюбленным оружием Израиля. ." [135] Иран использует центрифуги P-1 в Натанзе, конструкцию которых А.К. Хан украл в 1976 году и увез в Пакистан. Его сеть по распространению ядерного оружия на черном рынке продавала P-1, в частности, Ирану. Эксперты полагают, что Израиль также каким-то образом приобрел P-1 и протестировал Stuxnet на центрифугах, установленных на объекте в Димоне , который является частью его собственной ядерной программы . [61] Оборудование может быть из США, которые получили P-1 в рамках бывшей ядерной программы Ливии . [136] [61]
Некоторые также цитируют несколько подсказок в коде, таких как скрытая ссылка на слово MYRTUS , которое , как полагают, относится к латинскому названию миртового дерева , которое на иврите называется хадасса . Хадасса — имя при рождении бывшей еврейской царицы Персии, царицы Эстер . [137] [138] Однако возможно, что ссылка «MYRTUS» — это просто неверно истолкованная ссылка на компоненты SCADA , известные как RTU (удаленные терминальные блоки), и что эта ссылка на самом деле является «My RTU» — функцией управления SCADA. [139] Кроме того, число 19790509 появляется в коде один раз и может относиться к дате 9 мая 1979 года , дню, когда Хабиб Эльганян , персидский еврей, был казнен в Тегеране . [67] [140] [141] Другая дата, фигурирующая в кодексе, — «24 сентября 2007 года», день, когда президент Ирана Махмуд Ахмадинежад выступил в Колумбийском университете и сделал комментарии, ставящие под сомнение обоснованность Холокоста . [38] Такие данные не являются окончательными, поскольку, как отмечает Symantec, «...у злоумышленников будет естественное желание вовлечь в это другую сторону». [67]
Также поступали сообщения об участии США и их сотрудничестве с Израилем, [142] [143] причем в одном сообщении говорилось, что «исчезающе мало сомнений в том, что [они] сыграли роль в создании червя». [38] Сообщалось, что Соединенные Штаты в рамках одной из своих самых секретных программ, инициированных администрацией Буша и ускоренных администрацией Обамы , [ 144] стремились уничтожить ядерную программу Ирана с помощью новых методов, таких как подрыв иранского компьютера. системы. Утечка дипломатической телеграммы показала, что Соединенным Штатам посоветовали атаковать ядерные возможности Ирана посредством «скрытого саботажа». [145] В статье в газете «Нью-Йорк Таймс» в январе 2009 года упоминается неуказанная на тот момент программа по предотвращению военного нападения Израиля на Иран, при этом некоторые усилия были сосредоточены на способах дестабилизации центрифуг. [146] В статье Wired утверждалось, что Stuxnet «считается созданным Соединенными Штатами». [147] Голландский историк Питер Куп предположил, что компания Tailored Access Operations могла разработать Stuxnet, возможно, в сотрудничестве с Израилем. [148]
Тот факт, что Джон Бамгарнер, бывший офицер разведки и член Отдела кибер-последствий США (US-CCU), опубликовал статью до того, как Stuxnet был обнаружен или расшифрован, в которой описывался стратегический кибер-удар по центрифугам [149] и предполагалось, что То, что кибератаки допустимы против национальных государств, которые реализуют программы по обогащению урана, нарушающие международные договоры, придает этим утверждениям некоторую достоверность. Бамгарнер отметил, что центрифуги, используемые для переработки топлива для ядерного оружия, являются ключевой мишенью для киберопераций и что их можно заставить уничтожить себя, манипулируя скоростью их вращения. [150]
В марте 2012 года в интервью программе «60 минут» генерал ВВС США в отставке Майкл Хейден , который занимал посты директора ЦРУ и Агентства национальной безопасности , отрицая, что знает, кто создал Stuxnet, сказал, что, по его мнению, это была «хорошая идея». Но у него есть и обратная сторона: оно узаконило использование сложного кибероружия, предназначенного для нанесения физического ущерба. Хейден сказал: «Есть те, кто может взглянуть на это… и, возможно, даже попытаться использовать это в своих целях». В том же отчете Шон Макгерк, бывший сотрудник по кибербезопасности Министерства внутренней безопасности, отметил, что исходный код Stuxnet теперь можно загрузить онлайн и изменить для использования в новых целевых системах. Говоря о создателях Stuxnet, он сказал: «Они открыли коробку. Они продемонстрировали возможности... Это не то, что можно вернуть обратно». [151]
В апреле 2011 года официальный представитель иранского правительства Голам Реза Джалали заявил, что расследование пришло к выводу, что за атакой Stuxnet стояли США и Израиль. [152] Фрэнк Ригер заявил, что спецслужбы трех европейских стран согласились с тем, что Stuxnet является совместным проектом США и Израиля. Код инжектора Windows и полезных данных ПЛК различаются по стилю, что, вероятно, подразумевает совместную работу. Другие эксперты полагают, что американо-израильское сотрудничество маловероятно, поскольку «уровень доверия между разведывательными и военными ведомствами двух стран невысок». [38]
В статье журнала Wired об американском генерале Ките Б. Александре говорилось: «И он и его кибервоины уже начали свою первую атаку. Кибероружие, которое стало известно как Stuxnet, было создано и создано АНБ в сотрудничестве с ЦРУ и Израильская разведка в середине 2000-х годов». [153]
Другими возможными вариантами являются Китай , [154] Иордания и Франция , и компания Siemens, возможно, также приняла участие. [38] [142] Лангнер предположил, что инфекция могла распространиться с USB-накопителей, принадлежащих российским подрядчикам, поскольку иранские цели не были доступны через Интернет. [21] [155] В 2019 году сообщалось, что иранский «крот», работавший на голландскую разведку по указанию Израиля и ЦРУ, вставил вирус Stuxnet на USB-накопитель или убедил сделать это другого человека, работающего на объекте в Натанзе. [156] [157]
Сандро Гайкен из Свободного университета Берлина заявил, что нападение на Иран было уловкой, призванной отвлечь внимание от настоящей цели Stuxnet. По его словам, его широкое распространение на более чем 100 000 промышленных предприятиях по всему миру предполагает полевые испытания кибероружия в различных культурах безопасности, проверку их готовности, устойчивости и реакции — все это очень ценная информация для подразделения кибервойны. [158]
Великобритания отрицает свою причастность к созданию червя. [159]
В июле 2013 года Эдвард Сноуден заявил, что Stuxnet был разработан совместно США и Израилем. [160]
Согласно сообщению Reuters, АНБ также пыталось саботировать ядерную программу Северной Кореи , используя версию Stuxnet. Сообщается, что операция была начата одновременно с атакой на иранские центрифуги в 2009–2010 годах. Северокорейская ядерная программа имеет много общего с иранской, поскольку обе они были разработаны с использованием технологий, переданных пакистанским ученым-ядерщиком А.К. Ханом . Однако эта попытка провалилась, поскольку чрезвычайная секретность и изоляция Северной Кореи не позволили внедрить Stuxnet на ядерный объект. [161]
В 2018 году Голамреза Джалали, руководитель Национальной организации пассивной обороны Ирана (NPDO), заявил, что его страна отразила атаку типа Stuxnet, нацеленную на телекоммуникационную инфраструктуру страны. Министр связи Ирана Мохаммад-Джавад Азари Джахроми с тех пор обвинил Израиль в организации нападения. Иран планирует подать в суд на Израиль через Международный Суд (МС), а также готов начать ответную атаку, если Израиль не откажется. [162]
В статье [163] в журнале Foreign Policy, опубликованной в ноябре 2013 года, утверждается, что существовала более ранняя, гораздо более изощренная атака на центрифужный комплекс в Натанзе, направленная на увеличение частоты отказов центрифуг в течение длительного периода времени путем скрытного создания инцидентов с избыточным давлением газа гексафторида урана. Это вредоносное ПО могло распространяться только при физической установке, вероятно, на ранее зараженном полевом оборудовании, используемом подрядчиками, работающими над системами управления Siemens внутри комплекса. Неясно, была ли эта попытка атаки успешной, но показательно, что за ней последовала другая, более простая и традиционная атака.
1 сентября 2011 года был обнаружен новый червь, предположительно связанный со Stuxnet. Лаборатория криптографии и системной безопасности (CrySyS) Будапештского университета технологии и экономики проанализировала вредоносное ПО, назвав угрозу Duqu . [164] [165] Symantec на основе этого отчета продолжила анализ угрозы, назвав ее «почти идентичной Stuxnet, но с совершенно другой целью», и опубликовала подробный технический документ. [166] Основной компонент, используемый в Duqu, предназначен для сбора информации [62] , такой как нажатия клавиш и системная информация. Украденные данные могут быть использованы для будущей атаки типа Stuxnet. 28 декабря 2011 года директор по глобальным исследованиям и анализу «Лаборатории Касперского» рассказал агентству Reuters о результатах недавних исследований, показывающих, что платформы Stuxnet и Duqu возникли в 2007 году и называются Tilded из-за ~d в начале файла. имена. В ходе этого исследования также была обнаружена возможность создания еще трех вариантов на базе платформы Tilded. [167]
В мае 2012 года была обнаружена новая вредоносная программа Flame, предположительно связанная со Stuxnet. [168] Исследователи назвали программу «Пламя» по названию одного из ее модулей. [168] Проанализировав код Flame, «Лаборатория Касперского» заявила, что между Flame и Stuxnet существует тесная связь. Ранняя версия Stuxnet содержала код для распространения заражения через USB-накопители, который практически идентичен модулю Flame, использующему ту же уязвимость. [169]
Бывший министр обороны США Уильям Дж. Перри и Том З. Коллина, директор по политике Фонда Плаушерс , написали, что каждый день происходят тысячи, а может быть, и миллионы атак на использование американскими военными Интернета и аналогичных коммуникаций, предназначенных только для Министерства обороны. Если кибератака на какое-либо государство, обладающее ядерным оружием, приведет к тому же, что США и Израиль, как сообщается, сделали с Ираном с помощью Stuxnet, это может убедить лидеров этой страны в том, что они подверглись нападению с применением ядерного оружия, хотя на самом деле это не так. Это может привести к тому, что они по ошибке начнут ядерную войну, полагая, что могут потерять способность реагировать соответствующим образом, если будут ждать дополнительной информации. [170]
Если бы страной, подвергшейся такой кибератаке, была Индия или Пакистан, возникшая в результате ядерная война, скорее всего, привела бы к ядерной осени, в течение которой примерно четверть человечества, большая часть которого не пострадала напрямую от ядерных взрывов, могла бы умереть от голода, если бы они это сделали. не умереть раньше от чего-то другого. [171] Если бы Соединенные Штаты, Россия или Китай (или, может быть, даже Великобритания или Франция) подверглись такой кибератаке, возникшая в результате ядерная война, вероятно, вызвала бы ядерную зиму , во время которой 98 процентов человечества умерли бы от голода, если бы они не поддался чему-то другому раньше. [172] [ актуально? ]
Перри и Коллина также отметили, что случайная ядерная война гораздо более вероятна, чем первый удар России по Соединенным Штатам. Они заявили, что основные ядерные арсеналы мира сосредоточены на неправильной проблеме. В подтверждение этого утверждения они процитировали несколько источников, в том числе исследование GAO, которое показало, что многие передовые системы вооружения в США используют коммерческое и бесплатное программное обеспечение без изменения паролей по умолчанию. Хакеры, работающие на GAO, смогли незамеченными проникнуть в системы Министерства обороны, частично используя пароли по умолчанию, найденные в Интернете. [173] [ актуально? ]
С 2010 года Stuxnet и его последствия широко освещались в международных СМИ. В первых комментариях The Economist отметил, что Stuxnet представляет собой «новый вид кибератаки». [174] 8 июля 2011 года журнал Wired опубликовал статью, в которой подробно описывалось, как эксперты по сетевой безопасности смогли расшифровать происхождение Stuxnet. В этой статье Ким Зеттер заявил, что «соотношение затрат и выгод Stuxnet все еще находится под вопросом». [175] Позднее комментаторы стали акцентировать внимание на стратегическом значении Stuxnet как кибероружия. После статьи в Wired Хольгер Старк назвал Stuxnet «первым цифровым оружием геополитического значения, которое может изменить способы ведения войн». [176] Между тем, Эдди Уолш назвал Stuxnet «новейшей в мире высококлассной асимметричной угрозой». [177] В конечном итоге некоторые утверждают, что «широкое освещение Stuxnet в СМИ послужило лишь рекламой уязвимостей, используемых различными киберпреступными группировками». [178] Хотя это может быть и так, освещение в СМИ также повысило осведомленность об угрозах кибербезопасности.
Документальный фильм Алекса Гибни «Нулевые дни» 2016 года посвящен феномену, связанному со Stuxnet. [179] Уязвимость нулевого дня (также известная как нулевой день) — это уязвимость компьютерного программного обеспечения, которая неизвестна или не устранена теми, кто должен быть заинтересован в смягчении уязвимости (включая поставщика целевого программного обеспечения). Пока уязвимость не будет устранена, хакеры могут использовать ее для негативного воздействия на компьютерные программы, данные, дополнительные компьютеры или сеть.
В 2016 году выяснилось, что генерал Джеймс Картрайт , бывший глава Стратегического командования США, слил информацию, связанную со Stuxnet. Позже он признал себя виновным во лжи агентам ФБР, проводившим расследование утечки информации. [180] [181] 17 января 2017 года президент Обама полностью помиловал его, тем самым сняв с него обвинительный приговор.
Помимо вышеупомянутого документального фильма Алекса Гибни « Нулевые дни» (2016), в котором рассматриваются вредоносные программы и окружающая их кибервойна, есть и другие работы, в которых упоминается Stuxnet: