Основные элементы общепринятой истории о вирусе Stuxnet, который был разработан спецслужбами США и Израиля и три года назад повредил иранский ядерный объект по обогащению урана в Натанзе, - либо неправда, либо не отражают полной картины, утверждает в статье для Foreign Policy Ральф Ленгнер, один из руководителей консалтинговой фирмы Langner Group, работающей в области кибербезопасности.
"На самом деле Stuxnet - не одно оружие, а два", - цитирует автора InoPressa.ru. По большей части внимание приковано к относительно мелкой и простой подпрограмме Stuxnet, которая меняет скорость уранообогатительной центрифуги. "Но вторая и "забытая" подпрограмма - на порядок сложнее и незаметнее. Тот, кто разбирается в безопасности промышленных контрольных систем, сочтет ее кошмаром. И, как ни странно, эта более изощренная атака была нанесена первой. Более простая, более привычная подпрограмма появилась всего несколько лет спустя - и была обнаружена сравнительно быстро", - говорится в статье.
Ленгнер сообщает, что последние три года анализировал не только коды программы, но и объект атаки - уранообогатительный комбинат - и процессы его работы. "Я обнаружил, что полная картина, включающая первый и менее известный вариант Stuxnet, приглашает к пересмотру самой атаки. Оказывается, атака была гораздо опаснее, чем кибероружие, представление о котором укоренилось в массовом сознании", - говорится в статье.
Старший брат управлял давлением
По словам Ленгнера, в 2007 году неизвестный передал на антивирусный сайт VirusTotal образчик некого кода. Спустя 5 лет было обнаружено, что это "первый вариант Stuxnet - по крайней мере, первый из известных нам", - пишет автор. Но, если бы не вторая, упрощенная версия, первоначальный Stuxnet, возможно, так и остался бы незамеченным. "Сегодня мы знаем, что код содержал оружие для сильных помех системе, разработанной для защиты центрифуг на уранообогатительном комбинате в Натанзе", - говорится в статье.
При второй, более известной атаке, Stuxnet пытался ускорить вращение роторов в центрифугах, чтобы они сломались. "Первоначальное" оружие применило другую тактику. Оно пыталось вызвать слишком сильное давление на центрифуги в Натанзе, саботируя каскадную систему", - пишет автор.
Компьютер, зараженный первым вариантом Stuxnet, отрывается от физической реальности и "видит" только то, что ему внушает червь.
Первым делом этот вариант Stuxnet заметает следы: записывает показания датчиков в течение 21 секунды. "Затем, пока длится атака, он проигрывает эти 21 секунду снова и снова, в виде закольцованного ролика. В машинном зале кажется, что все нормально, - как людям-операторам, так и подпрограммам, которые должны подавать аварийные сигналы", - разъясняет специалист.
После этого Stuxnet начинает строить козни. Он закрывает изоляционные клапаны на первых двух и последних двух стадиях обогащения урана. Давление растет и в конечном итоге может повлечь за собой переход гексафторида урана в твердое состояние, что непоправимо испортит центрифуги. Впрочем, автор считает, что при атаках на объект в Натанзе старались избежать повальных разрушений, чтобы вторжение осталось незамеченным.
"Неизвестно, каковы были бы результаты атаки через рост давления. В любом случае, в 2009-м атакующие решили попробовать что-нибудь другое", - пишет автор.
Младший брат управлял скоростью
По словам Ленгнера, новый вариант Stuxnet чрезвычайно отличался от старого: более простой и не столь малозаметный, он атаковал другую систему - ту, которая управляет скоростью роторов в центрифугах.
Распространялся он тоже по-другому. Первую версию должен был целенаправленно распространять агент атакующих - например, на флешке с зараженным файлом конфигурации контроллеров Siemens.
Новая версия воспроизводила себя сама, распространяясь по доверенным сетям и USB-флешкам по самым разным компьютерам, а не только по тем, где был установлен софт Siemens с конфигурацией контроллеров. Можно предположить, что атакующие утратили возможность доставить вредоносную программу в пункт назначения, напрямую заражая системы авторизованных сотрудников, либо что система моторов центрифуг была установлена и конфигурирована другими сторонами, к которым был невозможен прямой доступ.
Новый вариант Stuxnet гораздо проще опознавался как вредоносная программа. Атаковал он так, что на комбинате должны были почуять неладное просто по шуму центрифуг. Значит, создатели второго варианта смирились с риском, что атака будет замечена.
Как младший Stuxnet "сбежал" из Ирана
По легендам, летом 2010 года Stuxnet "ускользнул" с комбината в Натанзе. Автор в это не верит: "Stuxnet распространялся лишь с компьютера на компьютер, которые были подключены к одной локальной сети или обменивались файлами через USB-флешки".
У автора своя версия: "Скорее всего, подрядчики, работавшие в Натанзе, пришли со своими лэптопами, зараженными Stuxnet, к своим второстепенным клиентам и подключили лэптопы к "локальным" сетям клиентов". Так червь в итоге распространился в другие страны и на другие континенты.
Обнаружение Stuxnet показало миру, на что способно кибероружие в руках сверхдержавы. "Оно также спасло Америку от унижения. Если бы другая страна - возможно, даже враждебная - первой продемонстрировала мастерство в виртуальной сфере, это был бы форменный новый "момент спутника" в истории США", - пишет автор.
Хотя Stuxnet явно был создан неким государством, не исключено, что будущие атаки с использованием подобных вредоносных программ станут наноситься "частными" игроками" по гражданской инфраструктуре, предупреждает Ленгнер.