Вирусы против иранского атома

Завод по обогащению урана в Натанзе. Фото Reuters

13 сентября 2013
A A A


Компьютерные атаки на Тегеран продолжаются

Ситуация в Сирии становится все более напряженной. Мир замер в ожидании. Силы, считающие себя вправе решать судьбы мира, готовят очередное силовое вмешательство во внутренние дела суверенного государства. Рост количества фактов внешнего вмешательства во внутренние процессы независимых государств уже позволяет говорить об этом как об опасной тенденции в мировой политике. При этом методы применяются самые разные. И все большую эффективность приобретают не только военные атаки. Уже в ближайшем будущем не менее, а, возможно, и более мощным оружием, позволяющим влиять на развитие государств извне, могут стать информационное воздействие, информационные атаки, информационные войны. Причем влиять безнаказанно и без учета мнения мирового сообщества. 

В последнее время в прессе изредка появлялась информация о компьютерных атаках на ядерные объекты Исламской Республики Иран, в частности, на завод по обогащению урана в Натанзе и АЭС «Бушер». Специалистами из разных стран были обнаружены применяемые вредоносные компьютерные программы, называемые в СМИ вирусами: Stuxnet, Duqu, Flame, Wiper и другие. Каково же реальное влияние этих и подобных компьютерных атак на развитие ядерной программы Ирана и другие проблемы Ближнего Востока? 

НАПРАВЛЕНИЕ КОМПЬЮТЕРНЫХ АТАК – ИРАН 

Впервые предположения, что некий вирус целенаправленно атаковал предприятие по обогащению урана, расположенное в иранском городе Натанзе, появились в СМИ летом 2010 года. Чем это объяснялось? 

По данным МАГАТЭ, в ноябре 2009 года на предприятии в Натанзе функционировали 3936 центрифуг. А в мае того же года уран подавался на 4920 центрифуг. Значит, с мая по ноябрь количество работающих центрифуг уменьшилось на 20%. Исследователи Института проблем науки и международной безопасности (ISIS) предположили, что это связано с некими поломками. На это указывал и тот факт, что центрифуги прекратили работу лишь в одном модуле, хотя продолжили ее в другом. 

Смог ли этот так называемый вирус, а точнее, вредоносная компьютерная программа (ВП) с названием Stuxnet навредить предприятию в Натанзе и остановить переработку и обогащение урана? По некоторым прогнозам СМИ, ВП Stuxnet должна была отбросить ядерную программу Ирана на несколько лет назад. Немецкий эксперт по киберзащите промышленных систем Ральф Лангер пришел к выводу: «Чтобы заставить свои системы снова работать, им (иранцам) придется избавиться от вируса. Это займет время, и, возможно, им придется заменить оборудование, заново построить центрифуги в Натанзе и, вероятно, закупить новую турбину в Бушере». Бывший директор службы внешней разведки Израиля генерал-майор Меир Даган отметил превосходство компьютерной атаки в Натанзе по сравнению с противобункерной бомбардировкой: «Stuxnet отбросила ядерную программу Ирана на четыре года назад, а после бомбардировки он восстановился бы за три года». 

Но Иран справился. В настоящее время, по мнению европейских и американских экспертов, ни один компьютер этой программой не заражен. 

Логично также предположить, что если бы Stuxnet нанесла предприятию в Натанзе существенный ущерб, то обогащение урана замедлилось бы. Однако отчеты МАГАТЭ говорят об обратном: в период 2007–2013 годов количество урана, обогащенного в Натанзе, равномерно росло. Более того, обогащение до 20% началось как раз в тот период, когда часть центрифуг была выведена из строя. 

После раскрытия информации о ВП Stuxnet Ральф Лангнер предположил, что «компьютерный червь» мог быть направлен и против АЭС в Бушере. Он провел собственное исследование кода программы и, так же, как впоследствии и эксперты компании Symantec, заявил, что Stuxnet является инструментом для вредительства на промышленных объектах. Он также обратил внимание на фотографию UPI, сделанную на АЭС в феврале 2009 года, на которой было видно, что на станции используется система SCADA (Supervisory Controland Data Acquisition) с просроченной лицензией. При этом в Siemens заявляют, что компания не поставляла программное обеспечение в Иран. К тому моменту уже было известно, что Stuxnet предназначена для атаки на системы SCADA, поэтому Лангнер был уверен, что ВП целила именно в бушерскую АЭС. 

Другой специалист по киберзащите систем управления Дейл Питерсон согласился с этим и отметил заинтересованность Израиля в прекращении или приостановке иранской ядерной программы, а также высокий уровень подготовки израильских специалистов. Он же обратил внимание на то, что в коде Stuxnet есть интересные косвенные указания, в том числе на одну из книг Ветхого Завета – Книгу Эсфири. В коде драйверов руткита содержится авторское название этого проекта: Myrtus (мирт) звучит на иврите, как Хадасса, и это иудейское имя Эсфири, ветхозаветной героини, спасительницы еврейского народа в Персии, могила которой находится на территории современного Ирана. 

ВЕРСИИ О ПРОИСХОЖДЕНИИ ЗАРАЖЕНИЙ 

Кроме ВП Stuxnet в период с 2010 по 2012 год специалистами из разных стран были обнаружены и другие вредоносные программы для кибервоздействия на ядерные объекты Ирана: ВП Duqu, Wiper и Flame. Их объединяет ряд технических параметров, высокая сложность кода, а также цели, для которых они, по всей видимости, были созданы. Специалисты отмечают, что функционал данных ВП отличается от привычного в сфере киберпреступности. Так, глава ЛК Евгений Касперский сравнил этот факт с открытием «ящика Пандоры» и заявил, что ВП Stuxnet «была создана не для хищения денежных средств и индивидуальных данных пользователя, не для рассылки спама, а в целях вредительства на предприятиях и выведения из строя индустриальных систем». Подобные системы широко используются в нефтепроводах, электростанциях, крупных коммуникационных системах, аэропортах, судах, и даже на глобальных военных установках. 

Существуют различные версии о происхождении этих ВП. Но многие из них сходятся на высокой вероятности того, что за их созданием стоит одна группа людей либо сотрудничающие команды. 

Практически сразу после обнаружения Stuxnet сотрудники ЛК пришли к выводу, что программа создана при поддержке государственных структур. Анализ работы ВП с учетом многослойности нападения и легальности сертификатов доступа доказал, что Stuxnet была создана командой чрезвычайно квалифицированных профессионалов с обширными ресурсами и серьезной финансовой поддержкой. ВП была нацелена на промышленные объекты, что позволило говорить о ней не просто как о примере киберпреступности, а как о кибероружии, кибертерроризме или кибервойне. 

В 2011 году в СМИ названы и конкретные государства-заказчики: приводились основания, по которым за кибератакой на ядерные объекты Ирана стоят Израиль и США. В январе американская газета New York Times опубликовала, что в Израиле, в пустыне Негев, где предположительно находится исследовательский ядерный центр, была построена точная копия обогатительного завода в Натанзе для испытаний кибероружия, а именно – «червя» Stuxnet. В работах принимали участие не только израильские, но и американские специалисты. Примечательно, что одним из авторов статьи выступил шеф Вашингтонского бюро газеты Дэвид Сангер. 

В июне 2012 года в свет вышла его книга «Конфронтация и сокрытие: тайные войны Обамы и удивительное использование американской мощи», в которой он раскрывает существование программы «Олимпийские игры», начатой в США во время президентства Буша-младшего. В 2006 году, когда Иран возобновил обогащение урана в Натанзе, по поручению Буша-младшего военно-политическое руководство страны разработало план действий в отношении иранской ядерной проблемы. В процессе работы зампредседателя Объединенного комитета начальников штабов США, генерал Картрайт предложил план кибератаки на иранские промышленные системы. А сам президент уточнил цель: ядерный объект в Натанзе. При этом содействие в разработке вредоносного программного обеспечения якобы оказывало «Подразделение 8200» военной разведки Израиля. Атаки проводились приблизительно с 2008 года, однако иранские инженеры тогда не могли понять, что поломки центрифуг связаны именно с кибервоздействием. 

Подозрения в том, что именно Израиль может начать кибервойну против Ирана, появлялись и до того, как была открыта ВП Stuxnet. В 2009 году специалист некоммерческого исследовательского института США Cyber Consequences Unit Скотт Борг заявил, что на чувствительных к вмешательству иранских предприятиях – таких, как завод по обогащению урана, – может быть применена какая-либо вредоносная программа. А после раскрытия существования Stuxnet он предположил, что именно Израиль мог быть ее создателем. 

За несколько лет до этого, в 2007 году, генерал-майор ВВС Израиля в запасе Бен-Исраэль заявлял, что у Израиля есть возможность отбросить иранскую ядерную программу назад, нанеся удары по нескольким ключевым ядерным объектам. Израиль был готов к решительным шагам, и атака могла произойти по уже опробованному сценарию – лишение страны возможности производства ЯО путем разрушения вызывающих сомнение промышленных объектов. Однако по известным причинам этого не произошло. Вероятно, впоследствии компьютерная атака была выбрана как достаточно эффективное средство, не требующее привлечения мирового сообщества и без опасности ответного удара. 

Напомним, что ранее Израиль уже предпринимал бомбардировки ядерных объектов в странах Ближнего Востока с целью предотвратить создание в них ЯО. В июне 1981 года атаке подвергся иракский ядерный реактор «Озирак-1». В сентябре 2007 года израильские ВВС нанесли удар по цели в сирийском городе Дейр-эз-Зор, где, по некоторым данным, строился ядерный объект Аль-Кибар. Через полтора месяца ISIS выпустил доклад, где предполагалось, что это был ядерный реактор. В июне 2008 года инспекторы МАГАТЭ нашли в почве в Аль-Кибар «существенное количество частиц урана», которые имели «антропогенный характер, то есть этот материал произведен в результате химической обработки». 

Еще факты. В феврале 2011 года на церемонии проводов уходящего со своего поста главы Армии обороны Израиля генерал-лейтенанта Габи Ашкенази был показан видеосюжет, в котором среди неоспоримых успехов генерала назывался и Stuxnet. А в декабре 2011 года в интервью журналу IEEE Spectrum известный американский ученый-программист Ларри Константин подтвердил, что основным подозреваемым в разработке Stuxnet считается Израиль. 

Если поверить, что именно Израиль запустил ВП Stuxnet в Натанзе, значит, Израиль в борьбе с распространением ЯО в регионе уже несколько лет успешно развивает стратегию применения не только вооруженных действий, но и виртуального нападения. То есть ядерной программе ИРИ, которую Израиль считает наибольшей угрозой на Ближнем Востоке, возможно, грозит война нового типа, к которой Иран пока не готов. Вероятно, если ИРИ не снимет подозрений в создании ЯО и не выполнит требований ООН и МАГАТЭ, Израиль может предпринять ряд кибератак и против завода в Натанзе, и против других объектов: заводу и строящемуся реактору в Араке, АЭС в Бушереи обогатительной установки «Фордо» (в сентябре 2012 года глава ОАЭИ Ферейдун Аббаси уже заявлял о взрывах линий электропередачи, снабжающих «Фордо» энергией). 

Показательна, кстати, реакция израильских СМИ на заявления президента Обамы от 31 августа 2013 года о его решении проконсультироваться с Конгрессом по поводу военных ударов по Сирии: «Согласно соцопросам, израильтяне рассматривают ситуацию в Сирии как репетицию иранского сценария. Так же, как в Сирии, Вашингтон установил определенные красные линии для Тегерана и пообещал Израилю, что не позволит Исламской Республике превратиться в ядерную державу. Многие израильтяне считают, что если сейчас США отступят и не станут предпринимать какие-то действия против Сирии, в случае с Ираном может произойти то же самое». 

Подобная информация говорит о следующем: Израиль имеет однозначные намерения в отношении ядерной программы Ирана и постоянно ищет новые способы максимально самостоятельно влиять на иранскую ядерную проблему. А в информационной сфере его возможности очень существенны. 

В контексте четкой связи сирийского и иранского сценариев в понимании Израиля не удивительно, что после «нерешительных действий» президента Обамы в отношении Сирии уже 3 сентября из центральной части Средиземного моря в направлении восточной части средиземноморского побережья были запущены баллистические ракеты, зафиксированные российскими СПРН. И, несмотря на заявления израильских и американских военных ведомств, что они «не осведомлены о том, что подобное действие имело место», организаторов этих запусков было нетрудно вычислить. Что и подтвердили последующие уже через несколько часов признания: «Как сообщили представители Министерства обороны Израиля, запуски ракет в Средиземноморье были военными испытаниями армий США и Израиля. Страны тестировали ракеты-цели Anchor, которые применяются в противоракетных системах». В этот же день премьер-министр Израиля Биньямин Нетаньяху предостерег вражеские государства от нападения на еврейское государство: «Я хочу заявить всем, кто хочет навредить нам: не советую вам этого делать». 

ТИПОЛОГИЯ «ВИРУСОВ» 

ВП Stuxnet в июне 2010 года обнаружил специалист из белорусской фирмы «Вирус Блок Ада» Сергей Уласень. Сообщения, впоследствии приведшие к открытию Stuxnet, поступили из Ирана. Уласень и его коллеги опубликовали подробное описание ВП, использовавшего электронные подписи компаний Microsoft и Realtek, на специализированных интернет-форумах. Первыми внимание на это обратили IT-журналист Кребс и специалист по компьютерной безопасности Болдуин, предположив, что программа Stuxnet имеет некую связь с системой контроля диспетчерского управления и сбора данных SCADA WinCC фирмы Siemens, и о том, что программа была написана для шпионажа. 

Анализ кода Stuxnet показал, что впервые его следы были зарегистрированы еще в 2005 году, а первые образцы поступили в базы данных антивирусных компаний в 2007 году. Заражение этой ВП прекратилось в июне 2009 года, а в июле 2010 года компания Symantec запустила систему мониторинга трафика вируса Stuxnet. Это позволило отследить число зараженных компьютеров в отдельных регионах. Статистика показала: больше всего заражений вирусом – почти 60% – произошло в Иране, где к сентябрю 2010 года пострадало более 60 тыс. компьютеров. Эксперты из Symantec выявили, что изначально ВП была направлена против пяти организаций, каждая из которых имеет представительство в Иране. 

Первое упоминание о ВП Duqu зарегистрировано 1 сентября 2011 года на сервисе Virustotal. В октябре Лаборатория криптографии и системной безопасности (CrySyS) Будапештского университета технологии и экономики выпустила 60-страничный анализ этой ВП. Одновременно анализом ее кода занималась ЛК, Symantec и другие специалисты по информационной безопасности. В CrySyS полагают, что создатели Duquимели доступ к исходному коду Stuxnet, а также отмечают похожую структуру и философию построения двух ВП. При этом программы были написаны на одной и той же платформе «Тильда», так как большинство ее файлов начинаются со значка тильды ~. Сотрудник ЛК Райан Нарейн отметил, что Duqu, вероятно, была создана для шпионажа за иранской ядерной программой. 

Большая часть зарегистрированных целенаправленных заражений компьютеров ВП Duqu произошла в Иране. Анализ деятельности организаций-жертв и характер информации, интересовавшей авторов Duqu, говорят о следующем: основной целью атакующих являлись любые данные о системах управления производством в различных отраслях промышленности ИРИ и о торговых отношениях ряда иранских организаций. 

Весной прошлого года в мировых СМИ появились сообщения о некой ВП, которая стерла данные с жестких дисков компьютеров в здании Министерства нефти ИРИ. Программу назвали Wiper. Ее массовая атака была зафиксирована 22 апреля 2012 года, после чего иранские власти приняли решение об отключении всех нефтебаз от Интернета. Нефтедобывающая индустрия не была затронута кибератакой, так как она остается преимущественно механической. 
В ходе анализа кода Wiper в ЛК пришли к выводам: именно она ответственна за удаление конфиденциальных данных с компьютеров правительства Ирана; ВП Wiper использует платформу «Тильда», как Stuxnet и Duqu; в ходе расследования инцидента с удалением данных была найдена еще одна ВП, получившая название Flame, причем специалисты отделяют ее от Wiper. 

Кроме того, в ЛК считают, что Wiper может быть связана с израильскими разработчиками: ВП создавала и удаляла ключ реестра, ссылавшийся на службу Rahdaud 64, а название модуля Rahdaud 64 образовано от имени великого библейского царя Давида – Daud и прилагательного Rah – в переводе с иврита «злой, плохой». 

Сообщения об обнаружении ВП Flame поступили из разных источников примерно в одно и то же время: 29–30 мая 2012 года. В ЛК считают Flame «самым изощренным кибероружием на сегодняшний день». Были отмечены детали сходства между Flame и ранее известными Stuxnet и Duqu – это география атак, узкая целевая направленность в сочетании с использованием специфических уязвимостей в программном обеспечении. Функционал Flame довольно разнообразен, однако сводится преимущественно к похищению данных, получению доступа к электронным письмам, документам, сообщениям, разговорам на территории секретных объектов. Ее распространение происходило в странах Ближнего Востока, причем наиболее активной атаке подвергся Иран – около 50% заражений. 

Проводя сравнительный анализ указанных ВП, в ЛК сравнивают Stuxnet с ракетой. Разгонный модуль – тело компьютерного «червя» – было использовано в Duqu, но «боеголовка» (в случае Stuxnet это блок, выводивший из строя центрифуги) не была установлена. В Symantec считают, что Duqu была заготовкой для осуществления атаки, схожей с действием Stuxnet. Общие черты между Duqu и Stuxnet проявились также в идентичной архитектуре платформы двух ВП, поэтому ЛК пришла к выводу, что Duqu и Stuxnet были параллельными проектами, которые поддерживала одна и та же команда разработчиков. 

Между Stuxnet и Flame, на первый взгляд, в программном коде не было связи, позволяющей предположить, что за созданием этих двух ВП стоят одни и те же люди. Тем не менее при более глубоком анализе экспертам ЛК удалось установить, что такая связь все же существует. В начале 2009 года платформа Flame уже существовала, и на ее основе был написан один из модулей Stuxnet, после этого, как предполагается, развитие Flame продолжалось независимо от Stuxnet. 

Таким образом, все упомянутые ВП связаны, а их разработчики, по всей видимости, сотрудничали. В то же время все ВП делятся по функционалу – шпионят за пользователем, стирают информацию с зараженного компьютера или выводят из строя промышленное оборудование. 

ПРОФИЛАКТИКА И ЛЕЧЕНИЕ 

Официальный Иран не сразу подтвердил заражение компьютеров внутри страны программой Stuxnet. Только спустя месяц, в сентябре 2010 года, глава Совета по информационной технологии Министерства промышленности ИРИ Лиайи сообщил о заражении около 30 тыс. компьютеров. Тогда же новостное агентство IRNA процитировало руководителя проекта Бушерской АЭС Джафари, заявившего, что Stuxnet поразила некоторые персональные компьютеры работников АЭС. Арабоязычный телеканал Al-Alam показал интервью с Джафари: «Вирус не причинил никакого вреда главным системам Бушерской АЭС. Все компьютерные программы на станции работают в штатном режиме». 

В начале октября 2010 года министр разведки и национальной безопасности ИРИ Мослехи объявил об аресте «нескольких» шпионов, следивших за ядерными объектами в Иране: «Враги разработали и запустили через Интернет компьютерных червей, которые могли бы подорвать ядерную программу Ирана». При этом сами объекты не назывались. В конце ноября того же года президент ИРИ Ахмадинежад признал, что предприятие по обогащению урана испытало кибератаку (предприятие не называлось, но вариантов немного: второй иранский обогатительный центр, расположенный вблизи города Кум, был готов к работе только в октябре 2012 года).  Нельзя исключать и версию, что власти ИРИ не проигнорировали полностью, а все же публично отреагировали на кибернападение, чтобы добиться смягчения позиции западной стороны в переговорах «шестерки» по ядерной программе Ирана. 

В декабре 2011 года заместитель начальника Генерального штаба Вооруженных сил Ирана Масуд Джазайери сообщил о создании штаба по ведению «мягкой войны» в ответ на то, что «враги превосходят себя, чтобы создать препятствия для успеха и прогресса Ирана в опыте ведения кибервойны». А в феврале 2012 года глава Организации пассивной обороны Ирана, генерал Джалали заявил о создании штаба по противодействию кибернетическим угрозам и о намерении в будущем организовать первую в истории Ирана киберармию. По данным израильских СМИ, на создание оборонительного киберпотенциала Иран намерен потратить 1 млрд. долл. При этом неофициальная «иранская киберармия», состоящая, по всей видимости, из так называемых хактивистов, существовала еще в 2009 году. В декабре 2009 года хакерам удалось взломать сервис микроблогов Twitter – в течение нескольких часов на главной странице сайта висело изображение зеленого флага с надписью на фарси о вмешательстве США в дела ИРИ и электронным почтовым адресом Iranian.Cyber.Army@gmail. com. Далее следовали и другие акции с указанием на «Иранскую киберармию». 

Летом 2012 года власти Ирана сообщили о планах создания собственного национального Интернета, в связи с чем от обычного Интернета начали отключать компьютеры в министерствах и на госпредприятиях. По словам министра информационных технологий и коммуникаций ИРИ Резы Тагипура, такая сеть поможет решить проблемы безопасности страны. По мнению представителей неправительственной организации Freedom House, это является следствием общей иранской политики ужесточения мер в отношении глобальной сети. Можно предположить, что описанные ВП, и прежде всего Wiper, уничтожившая данные с компьютеров иранского правительства, повлияли на эти шаги властей ИРИ. 

Говоря о политических последствиях, отметим, что на протяжении последних лет Иран неоднократно заявлял о возможности выхода из ДНЯО в случае, если на его ядерную программу будет оказываться давление извне. Так, в декабре 2012 года посол ИРИ в МАГАТЭ Али Асгар Солтание не исключил, что его страна выйдет из ДНЯО, если на ее ядерные объекты будет произведена какая-либо атака. Тем не менее после обнаружения ВП Stuxnet ни один официальный представитель не делал каких-либо заявлений относительно угрозы ядерной программе Ирана или выхода из ДНЯО. 

Нельзя исключать, что Тегеран не настаивал на нелегальности кибератаки еще и потому, что побоялся более агрессивной ответной реакции. Возможно также, что руководство ИРИ предполагало, что мировое сообщество не обратит внимания на их заявление, как, например, ранее не уделило внимания атаке хактивистов на правительственный сектор инфраструктуры Интернета в Эстонии, несмотря на официальное обращение властей этой страны. В то же время Иран мог скрыть реальный ущерб от ВП, чтобы создать собственную киберармию. Подтверждением данной гипотезы служит заявление генерала Джалали о создании соответствующего штаба. 

В любом случае логично предположить, что после серии серьезных кибератак, которые, по мнению специалистов, были спонсированы госструктурами заинтересованных стран, Ирану придется больше внимания уделять информационной безопасности на своих объектах и планам получения собственного кибероружия (напомним, что стремление Исламской Республики к обладанию ОМУ связывают, в частности, с тем, что в ходе ирано-иракской войны против Ирана было применено химоружие). С другой стороны, не исключено, что теперь ИРИ может выступить на международной арене за создание договорно-правовой базы по нераспространению кибероружия. Кроме того, Ирану, вероятно, станет сложнее скрывать текущую стадию своей ядерной программы. 

Стратегическое руководство ИРИ уже рассматривает и будет планировать в перспективе ответы на киберугрозы. И не исключено, что уже в среднесрочной перспективе сможет получить кибероружие, способное нанести существенный ущерб развитым странам. И в первую очередь такое оружие может быть направлено против Израиля и США.    

Наталия Ромашкина, Алена Махукова

Поделиться:

Ещё новости

Обнаружили ошибку? Пожалуйста, выделите её и нажмите Ctrl+Enter
Комментарии

Только зарегистрированные пользователи могут оставлять комментарий

Подписка

Подписывайтесь на наш Телеграм-канал для оперативного получения новостей.