Какво се крие зад най-сложното кибероръжие в историята?

По силата на Договора за неразпространение на ядрени оръжия, влязъл в сила на 5 март 1970 г., пет страни са официално признати за ядрени сили – САЩ, Русия (наследник на подписалия договора СССР), Великобритания, Франция и Китай. Това са и страните членки на Съвета за сигурност на ООН. Още три държави – Индия, Пакистан и КНДР, са извършвали успешни опити с ядрено оръжие. В наши дни е широко разпространено схващането, че и Израел разполага с такъв тип оръжия, макар страната никога да не го признава официално.

Борбата за ядрени технологии

Една друга държава от Близкия изток – Иран, започва да разработва своята ядрена програма през 50-те години на миналия век с помощта на Съединените щати. Участието на Америка и западноевропейските държави в проекта на практика приключва след Иранската революция от 1979 г., свалила от власт последния ирански шах. Иранските власти обаче решават, че това не трябва да слага прът в колелата на ядреното развитие на страната. В края на 80-те и началото на 90-те години са постигнати споразумения за сътрудничество в тази област с Франция и Аржентина. Още по-сериозна е помощта на Русия, която създава съвместна научноизследователска организация с Иран и предоставя на своя близкоизточен партньор ядрени специалисти и техническа информация. В този период Съединените щати активно се опитват да попречат на трансфера на ядрени технологии дори за мирни цели към Иран, като убеждават потенциалните доставчици да се въздържат от такива действия. Американците обаче пропускат тайния трансфер на чертежи за ядрено оръжие и оборудване от Пакистан за Иран в средата на 80-те.

Иранска програма за разработване на ядрени оръжия

От началото на новия век започват да се появяват все повече разкрития, че Ислямската република провежда тайни действия по обогатяване на уран, и това засилва опасенията, че крайният резултат от тези усилия няма да се използва за мирни цели. През 2007 г. в официални документи на Разузнавателната общност на САЩ се казва, че предполагаемата иранска програма за разработване на ядрени оръжия е прекратена четири години по-рано. Приблизително до същите изводи стига и Международната агенция за атомна енергия, като в нейния доклад от 2011 г. се прави уточнението, че проучванията с цел създаване на иранска ядрена бомба може и да са продължили в по-малък мащаб и след 2003 г. Според Гари Сеймор, координатор на Белия дом за контрола над въоръженията и оръжията за масово унищожение по време на първия президентски мандат на Обама, към 2006 г. иранците са решили, че САЩ са твърде заети с Ирак и Афганистан и затова подновяват програмата си за обогатяване на уран. От тогава, та чак до сключването на иранската ядрена сделка през 2015 г. по темата е изписано много, но така и никога не е доказано Иран да е притежавал ядрени оръжия. Рискът това да стане реалност обаче кара определени страни да вземат контрамерки.

Покушението на иранските ядрени учени

Така между 2010 и 2012 г. четирима ирански ядрени учени са убити при атентати, а пети е ранен при покушение над него. Иранското правителство обвинява Израел и индиректно САЩ в съучастие в атентатите. През 2011 и 2012 г. органите на реда в Иран арестуват голям брой граждани на страната по обвинение, че са извършили покушенията по поръчка на израелската разузнавателна служба Мосад. Според някои сведения западни разузнавателни служби и американски официални лица са потвърдили израелската връзка. Самият Израел нито признава, нито отрича участието си в убийствата на учените, но министърът на отбраната генерал Моше Ялон заявява: „Ще действаме по всякакъв начин и не сме склонни да толерираме въоръжен с ядрено оръжие Иран. Предпочитаме това да бъде извършено посредством санкции, но в края на краищата Израел трябва да е способен да се защитава”.

Раждането на мощния компютърен червей

През 2010 г. на сцената излиза вероятно един друг от тези „всякакви начини”. Иранската ядрена инфраструктура е атакувана от нов, изключително мощен и опасен компютърен вирус от типа компютърен червей, наречен „Стъкснет”. Докато обаче това бъде осъзнато от световната антивирусна общност и подробностите станат публично достояние, ще мине доста време. Време на задълбочени анализи и разследване като от детективски роман.

„Стъкснет” се „появява” за първи път в Беларус. Открит е от програмиста Сергей Уласен, по това време работещ за малката местна антивирусна компания „ВирусБлокАда”. Всичко започва, когато един негов клиент от Иран съобщава, че компютрите в местна мрежа получават т.нар. Син екран на смъртта (жаргонно наименование на съобщението за критична грешка, обикновено появяващо се на син фон) и впоследствие се рестартират. За щастие иранецът е не просто опитен експерт по компютърна сигурност, но и личен приятел на Сергей и двамата започват интензивна кореспонденция. Събитията се развиват в една слънчева (в Иран) събота, която е работен ден в близкоизточната държава. В същото време в облачната Беларус Сергей е на сватбата на приятел на 400 километра от Минск. Всички останали гости на радостното събитие, разбира се, празнуват, танцуват и се напиват безпаметно, докато Уласен е залепен за телефона си и се опитва да помогне на човека близо до Техеран. Беларуският купон бързо се премества в близката гора, а покрай Сергей постоянно преминават издокарани момичета, които се чудят защо този младеж говори някакви неразбираеми неща на странен език сред дърветата по време на сватба. Постепенно Уласен и колегите му установяват, че драйвърите на безпрецедентния в действията си „Стъкснет” са подписани с оригинални дигитални сертификати (тези сертификати по принцип гарантират на потребителя, че може да има доверие на файла) от уважавани компании като „Майкрософт” и тайванската „Риълтек” и по този начин вирусът успява да проникне в операционната система Windows. Когато обаче беларусите се опитват да известят „Майкрософт” за проблема, първоначално не срещат никакъв отговор. Все пак става дума за малка фирма на другия край на света, опитваща се да се свърже с гигант в информационните технологии. Подобна е и реакцията на иранските власти, които изграждат истинска стена между себе си и „ВирусБлокАда”, държат се сякаш атаката никога не се е случвала и такъв вирус не съществува, докато той подкопава ядрения им капацитет. Дори иранският приятел на Сергей, който помага за откриването на „Стъкснет”, моли името му никога да не бъде споменавано в доклади и отказва да коментира каквото и да било по темата.

Тогава Сергей решава да разпространи публично новината за открития вирус. Описва го в съобщение в популярен форум, посветен на киберсигурността, за да могат колегите му по света да знаят с какво си имат работа. Така скоро вирусът получава и името, с което става известен. Негови „кръстници” са хората от американската софтуерна компания „Симантек”, които комбинират две ключови думи, открити в кода на вируса – stub и mrxnet, и така се получава STUXnet.

Тук е мястото за една скоба – през последните десетилетия пейзажът в света на зловредния софтуер се променя драстично. „Преди 20 години антивирусните компании „ловуваха” компютърните вируси, защото те не бяха толкова много. Имахме, да речем, няколко десетки на месец. Сега събираме милиони уникални атаки всеки месец”, разказва Евгений Касперски, съосновател и собственик на най-голямата европейска компания за киберзащита и антивирусен софтуер – руската „Лаборатория Касперски”. Неговият служител Виталий Камлук допълва: „Забелязваме, че има три различни групи автори на кибератаки. Първите са традиционните киберпрестъпници. Те се интересуват само от незаконна печалба – бързи и мръсни пари. Активистите, или „хактивиститe”, хакват за забавление или за да прокарат някакво политическо послание. А третата група са държавите. Те се интересуват от висококачествени разузнавателни данни или дейности, свързани със саботаж”. Един ден вратата на кабинета на Касперски е отворена от един от неговите инженери, който му съобщава: „Знаеш, че винаги очакваме нещо наистина лошо. Е, случи се”.

Вирусът, който заплашва света

Всъщност капацитетът на „Стъкснет” надхвърля и най-лошите очаквания на специалистите по света, които се занимават с анализирането му. Експертите първоначално са объркани, защото колкото повече проучват новия вирус, толкова по-странен изглежда той. Според директора по сигурността от „Симантек” Лиам О’Мърчу най-интересното нещо в заниманията на екипа му е детективската работа, при която се опитват да открият кой стои зад дадена киберзаплаха и каква е мотивацията му, за да го спрат навреме. В случая със „Стъкснет” О’Мърчу и колегата му Ерик Чин осъзнават, че трябва да извършат т.нар. „дълбок анализ” – да разнищят кода до последния байт, нула и единица и да разберат какво съдържа. За сравнение при обикновените заплахи този процес им отнема минути. А тук цял месец след началото на работата хората от „Симантек” тепърва започват да откриват т.нар. „полезен товар” – целта на вируса. Кодът на „Стъкснет” е близо 20 пъти по-голям от обикновения, но не съдържа почти никакви бъгове, което се случва изключително рядко. Всяка малка част от кода има предназначение и го изпълнява безупречно, за да осъществи атаката. Едно от нещата, които изненадват изследователите, е, че „Стъкснет” използва т.нар. уязвимост тип „нулев ден”. Това означава, че кодът позволява на вируса да се разпространява, без да се налага потребителят да прави каквото и да е, например да сваля и стартира файл.

Никой не подозира за съществуването на тази уязвимост освен извършителя на атаката, затова не е разработена защита срещу вируса. Това е особено ценно за хакерите, защото знаят, че ако използват тази уязвимост, могат да влязат, където си пожелаят. Този тип кодове се продават на черния пазар за стотици хиляди долари. За цялата година специалистите от „Симантек” са ставали свидетели на използване на уязвимост „нулев ден” едва 12 пъти, а само в „Стъкснет” въпросният код присъства четири пъти. Нищо подобно не е виждано преди или след появата на страховитото кибероръжие. Веднага става ясно, че тук не се касае за обикновени престъпници, а за нещо много по-сериозно. Извършителите не са и „хактивисти”. Тогава кой остава?

Най-мащабният, сложен и скъп компютърен вирус в света

Експертите по сигурността, които изучават „Стъкснет”, са категорични, че създаването му изисква обединяването на ресурсите на цели държави. Подготвянето на червея е отнело години и може би е започнало още през 2005 г. Специалистите смятат, че процесът по разработването на този вирус е бил най-мащабният, сложен и скъп в историята на зловредния софтуер. На мисълта за държавно участие в разработването на червея навеждат и вече споменатите откраднати електронни сертификати, открити от Уласен и колегите му. Тези сертификати се пазят много, много зорко, зад много врати, които трябва да бъдат отворени от много хора. Лицата с достъп до сертификатите трябва да предоставят биометрични данни и пароли, преди да могат да влязат. Въпреки че сертификатите са електронни, не си представяйте, че просто си седят в някой компютър, свързан с интернет. Очевидно е, че за кражбата им са били необходими професионално подготвени шпиони или подкупени вътрешни лица.

Целенасочената атака на „Стъкснет”

Антивирусните експерти по света продължават да „ровичкат” из кода и стигат до нова следа. Забелязват, че вирусът прави нещо, свързано със софтуер или може би хардуер на компанията „Сименс”. Нямат обаче никаква идея защо на червея му е притрябвало да го прави, тъй като никога преди не са виждали нещо подобно. Германският изследовател Ралф Лангнер пръв установява, че „Стъкснет” атакува целенасочено един конкретен вид устройства, т.нар. програмируеми логически контролери (ПЛК) на „Сименс”. Те представляват много малки индустриални компютри, свързани с физическо оборудване като помпи, клапани, двигатели. ПЛК изпълнява дигитална програма, която включва и изключва двигателя или задава скоростта му. Малките устройства контролират електроцентрали, електрически мрежи, производствени процеси в заводи, поточни линии и роботизирани машини. ПЛК на практика управляват т.нар. критична инфраструктура – транспорт, телекомуникации, финансови услуги, здравеопазване. Това означава, че целта на „Стъкснет” е да атакува някаква много важна част от света, в който живеем. По един зловещ начин вирус, който би трябвало да съществува само в компютърното пространство, поврежда реално скъпоструващо физическо оборудване и го кара да се самоунищожи. Теоретично червеят би могъл да доведе до инцидент с човешки жертви, нещо, което до този момент е съществувало само във въображението на сценаристите от Холивуд и на което самите компютърни специалисти са се подигравали.

Смъртоносна компютърна инфекция

Вирусът дори заразява лабораторията, в която работи Лангнер, но действията му там отново са много изненадващи. Изглежда, че преглежда наличните в системата контролери, но ако те не отговарят на много специфични условия, не предприема атака. Става ясно, че червеят търси конкретна цел. Експертите вече знаят, че това е най-сложният зловреден софтуер, разработван някога, затова са озадачени – някой полага толкова усилия, за да удари само една специфична мишена?! Е, значи мишената наистина си заслужава.

Разпространяване на „заразата“

Инфектирането със „Стъкснет” започва да се разпространява по целия свят – САЩ, Австралия, цяла Европа. Постепенно обаче прави впечатление, че най-заразената страна е Иран. Това също се случва за първи път. Компютърните експерти започват да следят геополитическите новини в региона и веднага забелязват, че по същото време са взривени много газопроводи, минаващи през Иран. Експлозиите нямат официално обяснение. Разбира се, няма как да останат незабелязани и убийствата на ирански ядрени учени.

През ноември 2010 г. холандски експерт по системи за промишлен контрол се свързва със „Симантек” и обяснява, че всички ПЛК имат уникален идентификационен номер, указващ производителя и модела на устройството. О’Мърчу и Чин откриват два такива номера в кода на „Стъкснет” и разбират, че те принадлежат на устройства, наречени честотни преобразуватели, разработени от два производителя, единият от които е в Иран. Вече няма никакво съмнение, че инсталацията, която е атакувана от вируса, би трябвало да се намира в близкоизточната страна и е оборудвана от ирански производители. А въпросните два честотни преобразувателя се използват в ядрената промишленост. Изводът е ясен – на прицел е иранска ядрена инсталация.

Кой стои зад раждането на „Стъкснет”?

А от там пътят до отговора кой би имал интерес от съсипването й не е особено дълъг. Не са много държавите, които биха имали такава мотивация. А сред тях се открояват САЩ и Израел. Ралф Лангнер пръв публично изказва предположение, че вирусът е с израелски произход и че е насочен към иранските ядрени обекти. По-късно обаче Лангнер заявява в един свой TED Talk: „Мнението ми е, че Мосад е замесен, но водещата сила не е Израел. Водещата сила зад „Стъкснет” е киберсуперсилата – има само една такава и тя е САЩ”.

Към 2007-2008 г. американската администрация е в много затруднена позиция по отношение на Иранската ядрена програма. Президентът Буш сам признава, че дори не е можел публично да заяви, че иранците разработват ядрени оръжия заради скандала с измислените оръжия за масово унищожение в Ирак. Военната интервенция е немислима. Държавният секретар Кондолиза Райс дори съветва Буш: „Знаете ли, г-н президент, мисля, че вече никога не трябва да нападате ислямска страна, дори да имате пълните основания за това”. Американското правителство не може да си позволи и да разреши на Израел да проведе въздушни удари по иранските ядрени мощности, защото смята, че целта на такива атаки няма да е толкова унищожаването на ядрения потенциал на Иран, колкото въвличането на САЩ във война с ислямската държава. Опасенията на израелците са разбираеми с оглед на близостта им до Иран. САЩ и Израел обаче се обединяват в мнението си, че Иран не трябва да разполага с ядрено оръжие. Затова започват съвместно да обмислят алтернативни начини за справяне със заплахата.

По следите на вируса

Важна роля в разследването на произхода на вируса има журналистът Дейвид Сангър, кореспондент по национална сигурност на вестник „Ню Йорк Таймс”. Първоначално той се обръща за коментар по случая към официалните правителствени говорители, но те не могат да дадат никаква информация, дори не защото не искат, а просто защото не са запознати с кибероперацията. Колкото повече обаче Сангър рови, толкова повече хора открива, които са участвали или поне са били свидетели на някаква част от нея. На журналиста се налага да говори с други американци, с израелци и европейци, защото това е първият, най-голям и най-сложен пример за една или повече държави, използващи кибероръжие за атака към друга страна. Именно Сангър разказва как един ден група американски военни и хора от разузнавателни служби отиват при президента Буш и казват: „Сър, имаме идея. Много е рискована, може да не проработи, но представлява следното…”.

Към момента на атаката на „Стъкснет” в иранските подземни заводи за обогатяване на уран функционират поне 7000 (според други оценки 10 или повече хиляди) от т.нар. центрофуги за отделяне на ядрен материал, благодарение на които се извършва обогатителният процес. Най-много са центрофугите в съоръжението в градчето Натанц, разположено насред пустинята. Комплексът е защитен от многобройни артилерийски установки и въздушна отбрана.

Всяка една от хилядите центрофуги е деликатно произведение на изкуството. В нея се подава веществото уранов хексафлуорид, благодарение на което в края на веригата свързани центрофуги се получава обогатен уран. Въртенето на ротора на центрофугата разделя изотопите на урана. Скоростта на въртене е много висока, 300 м/сек, колкото е и скоростта на звука. В резултат възникват невероятни сили, под чието влияние роторът се усуква и в един момент изглежда като банан. Затова трябва да е идеално балансиран, защото всяко малко отклонение би довело до разпарчетосването му. И това не е единственият проблем. Роторът е направен от въглеродни нишки, а останалите части на центрофугата от метал. При нагряване въглеродните нишки се свиват, а металът се разширява, така че и по тази линия балансът трябва да е изключително точен. Центрофугите иранско производство са такъв източник на гордост за страната, че често са главен герой в пропагандните клипове, излъчвани по телевизията всеки април навръх Националния ядрен ден.

Ключови открития

В процеса на разследването си Франц Лангнер попада на снимки от 2008 г., на които се вижда как тогавашният ирански президент Махмуд Ахмадинежад разглежда лъскавите центрофуги. На една от снимките президентът се взира в компютърен екран, известен в бранша като SCADA екран. Системата SCADA е вид софтуер, работещ на компютър и позволяващ на операторите да контролират процеса. При внимателно вглеждане в екрана от снимките се вижда по-подробен изглед на конфигурацията – 6 групи, всяка с по 164 центрофуги. Тези числа съвпадат точно със записаното в кода на „Стъкснет”. Но да се върнем на произхода на вируса. Най-близко до истината за него сякаш стига Алекс Гибни, сценарист и режисьор на документалния филм за „Стъкснет” Zero Days. След безброй проведени разговори той успява да стигне до хора от тайните служби, които разказват зад камера подробности за създаването и прилагането на опасния вирус. Според техните признания това е била огромна международна операция, в която са участвали няколко държавни агенции. От американска страна това са ЦРУ, Агенцията за национална сигурност (АНС) и Киберкомандването на Съединените щати, отговорно за провеждането на военни операции в киберпространството. От Великобритания се използва сурова разузнавателна информация, предоставена от Щаба на правителствените комуникации, но главният партньор е Израел. Там Мосад е в ръководната роля, а техническата работа се извършва от Отдел 8200, част от военното разузнаване, една от чиито задачи е провеждането на кибервойна.

Кодово име „Олимпийски игри”

Атаката на съоръжението в Натанц е проведена под кодовото име „Олимпийски игри”. В процеса на подготовката й са извършени множество тестове за въздействието на вируса върху ПЛК. Използвани са центрофуги, които Либия е предала на САЩ по време на управлението на Буш и които са същият модел като иранските. Избрано е да бъде атакувана именно най-чувствителната част от центрофугата, нейният ротор. При тестовете роторите са напълно разбити. Парчетата са отнесени в Белия дом и показани на президента Буш. Впечатлен, той дава зелена светлина за операцията. Още преди вирусът да бъде пуснат, в кода му е заложена крайната дата, когато „Стъкснет” да престане да функционира. Тя е няколко дни преди инаугурацията на Обама. Новият президент обаче също одобрява операцията.

Първия път, когато кодът е имплантиран в Натанц, американците и израелците използват хора, за да свършат тази работа, тъй като компютърната мрежа на ядреното съоръжение не е свързана с интернет. Веднъж проникнал обаче, червеят действа самостоятелно. Това означава и че атаката не може да бъде отменена дистанционно. След пускането на вируса няма връщане назад.

Роторите на всички центрофуги са свързани с електродвигател, чиято скорост също се контролира от ПЛК. „Стъкснет” чака около 13 дни, преди да се задейства, защото това е времето, необходимо да бъде напълнена с уран една каскада центрофуги. Червеят първоначално кара „инфектираната” центрофуга да увеличи работната си скорост от обичайните 1064 херца (почти 64 000 об./мин) на 1410 херца (почти 85 000 об./мин) в продължение на 15 минути. Центрофугите влизат в т.нар. резонансна честота, при която металът вибрира неконтролируемо и накрая се пръска. 27 дни по-късно „Стъкснет” отново се „събужда”, но този път забавя центрофугата едва до 2 херца (120 об./мин) за цели 50 минути. Ефектът е като при въртящ се пумпал, който забавя скорост и започва да се клати. През това време вирусът изпраща на операторите нормални данни за работата на центрофугите, които е записал през 13-те „тихи” дни преди атаката. Служителите обаче чуват нетипичен шум и се усещат, че става нещо нередно. Затова буквално натискат голямото червено копче, което спира работата на центрофугите, но вирусът е подготвен и за това и не позволява командата да бъде изпълнена.

В Иран никой не разбира защо центрофугите гърмят. Немалко хора са уволнени, защото се смята, че са допуснали грешка в експлоатацията на оборудването или е налице производствен дефект. Американско-израелският успех е пълен. Обама обаче не споделя безграничния ентусиазъм на екипа. Той споделя със сътрудниците си, че когато историята с вируса се разчуе, китайците, руснаците или някой друг може да я използва като оправдание за нанасянето на подобен удар върху Съединените щати.

Компютърен вирус от ново поколение

През 2010 г. се взема решение за промяна на кода на вируса. Този път не може да се разчита на хора, затова трябва да бъде намерено дистанционно решение на задачата. Новата версия може да се разпространява безконтролно чрез мрежови устройства и дори USB флашки. И именно тази версия става толкова агресивна и „шумна”, че привлича вниманието на антивирусните спецове. В крайна сметка „Стъкснет” ще зарази много компютри по целия свят, но експертите на „Симантек” успяват да проследят кои са първите пет засегнати машини. И петте са на ирански компании извън Натанц, но доставящи материали и услуги на ядрения обект. Т.е. авторите на вируса са знаели, че техниците на тези пет компании в някакъв момент ще свържат своите компютри или флашки с мрежата на Натанц, и нарочно са ги заразили, за да може фирмите на свой ред да качат ъпгрейднатата версия на вируса в системата на ядрената инсталация. Тук не се касае за грешка, довела до „изтичането” на вируса извън централата и неговото разпространение по света. Всичко е било планирано. Американците от тайните служби твърдят пред режисьора Алекс Гибни, че промяната на кода е била дело на израелците, които дори не са предупредили за това партньорите си.

След като плъзва по света и е открит, вирусът, естествено, попада в ръцете и на руската Федерална служба за безопасност. Така руснаците наготово се сдобиват с „формулата” за създаването на опасния вирус. Нещо повече, самите жертви на атаката, иранците, също най-накрая разбират какво им се случва и разнищват кода на „Стъкснет”. В крайна сметка се оказва, че те едва ли не са на сметка от целия случай. Повредените около 2000 центрофуги лесно могат да бъдат подменени и впоследствие броят им дори е рязко увеличен, но в допълнение иранците вече разполагат и с ново кибероръжие. И много скоро отговорът им не закъснява. Те първо атакуват най-голямата нефтена компания в света „Сауди Арамко” и изтриват целия софтуер на 30 000 компютъра. Следваща мишена са американски банки. Милиони техни клиенти са лишени от възможността да използват онлайн банкиране.

И до днес информацията за вируса „Стъкснет” е засекретена и почти никой държавен служител не иска да говори по темата. Но не са само те. Вече няколко години по-късно самият Франц Лангнер например не желае нито да обясни какво го е насочило към САЩ и Израел като предполагаеми извършители на кибератаката, нито да коментира причините за мълчанието си. Никой не е направил и официално признание, че стои зад създаването на най-сложното кибероръжие в историята и провеждането на операцията по използването му. Бившият шеф на ЦРУ и АНС генерал Майкъл Хейдън коментира тази атмосфера на потайност така: „Дълго време се страхувах, че нямам право дори да произнеса фразата „атака по компютърна мрежа”. Тези неща са ужасно свръхзасекретени и това пречи на зрялата обществена дискусия за това какво ние като демокрация искаме нацията ни да прави в киберпространството. Бивш директор на ЦРУ и АНС казва, че тези неща са свръхзасекретени… Една от причините за това е, че тук става дума за особена оръжейна система, произлязла от шпионската общност, а тези хора имат навика да поддържат потайност”.