Летом 2010 года перейден некий важный рубеж в сфере кибербезопасности. Произошла кибератака на промышленные системы ядерных объектов в Иране. Кем? Не вполне ясно. Как? Тут эксперты более-менее разобрались. Атаке подверглись системы Supervisory Control And Data Acquisition, что переводится как «Диспетчерское Управление и Сбор Данных». В России более привычно звучит АСУ ТП (Автоматизированная Система Управления Технологическими Процессами).
Эти системы контролируют процессы на производстве, на нефтяных вышках, на атомных электростанциях, газопроводах и т.д. До недавнего времени считалось, что киберпреступность пытается обмануть, шантажировать, взломать или обворовать пользователей интернета. Однако, криминальная мысль не стоит на месте. Теперь под удар хакеров может попасть промышленность. Именно на нее и нацелилась свежая вредоносная программа, получившая имя Stuxnet.
Вполне возможно, что это совсем не первая кибератака. По интернету и СМИ гуляет такая байка. Якобы, когда в 80-х годах СССР просил США продать программное обеспечение для управления системами газопроводов, то получил отказ. Надо ли говорить, как неприятно было его услышать руководству государства, сидящего на «нефтегазовой игле».
Тогда в Советском Союзе было принято решение тайно заполучить необходимые программы. Об этих планах коммунистической державы стало известно в ЦРУ. Вот они то и подготовили копию управляющей программы, содержащую вредоносный код. Ее после некой «шпионской истории» дали выкрасть (или купить в обход санкций, различные источники тут расходятся) и она оказалась на компьютерах управляющих советским газопроводом Уренгой Сургут — Челябинск.
В начале, все работало нормально. Через какое-то время случилась катастрофа. Обслуживающий персонал, запуская системный тест, сам того не подозревая, инициировал работу ЦРУ-шного вредоносного трояна. Он постепенно повышал давление в трубах до недопустимых значений. В результате в 1982 году американские разведывательные спутники зарегистрировали взрыв мощностью около трех килотонн в Сибири. Это и была, якобы, первая промышленная хакерская атака.
Достоверность байки можно ставить под вопрос. Тут, скорее всего, что-то не так. В июне 1989 года действительно произошел сильный взрыв и пожар на газопроводе в Башкирии. В тот момент вблизи трубы проходили два пассажирских поезда. Число жертв составило более 400 человек. Но это был 1989 год, а в истории с трояном обычно указывается 1982. Может быть, это была уже другая программа и другой троян? К тому же, в те годы существовали достаточно жёсткие ограничения, введенные КГБ в отношении использования зарубежных программных и аппаратных элементов.
Разбором и переписыванием программ занимался ряд специальных научных «почтовых ящиков». Потом, куда можно вставить «логическую бомбу». В операционную систему, что ли? Писались управляющие программы в самых различных НИИ под конкретную задачу. Да и сама операционная система там не особенно была нужна. Управляющие программы «клепали» зачастую на ассемблере, а они загружались при включении машины и все. Бедному вирусу там просто было не за что «уцепиться».
Хотя, как знать… Использование чужой аппаратной базы ставит под угрозу любые объекты, несмотря на самые сложные проверки. Этот риск представляет сейчас потенциальную опасность и для России. При построении любой системы автоматизации производства присутствует эта опасность.
Парадоксально, но чем проще информационная система, тем меньше в ней возможных проблем и уязвимостей. В России сегодня в большинстве случаев используются древние методы защиты — отключение сети объекта от Интернета, отключение портов ввода-вывода и прочие старые как мир способы. Различные объекты у нас аттестованы по различным классам защищенности. В зависимости от этого применяются только разрешенные программные и аппаратные средства. До недавнего времени такие методы более-менее работали в большинстве стран мира.
Именно, до недавнего времени. Первой ласточкой грядущих кибервойн стала успешная кибератака вируса Stuxnet на иранскую фабрику по обогащению урана в Натанзе. Атака видимо достигла целей. Многое здесь пока не ясно, но известно, что Голамреза Агазаде, глава Иранской организации по атомной энергии ушел в отставку при достаточно загадочных обстоятельствах. Министр разведки и контрразведки Ирана Хейдар Мослехи летом 2010 года заявлял по государственному иранскому телевидению, что задержаны шпионы, которые пытались саботировать ядерные программы Ирана через Интернет.
Основная интрига тут в том, мог ли Stuxnet нанести реальный вред Бушерской АЭС? Трудно сказать. Заявление министра атомной промышленности Ирана Али Акбар Салехи, что запуск Бушерской АЭС в Иране отложен из-за небольшой течи в охлаждающем пруду, а совсем не из-за с кибератаки, очень смахивают на хорошую мину при плохой игре. Туда же можно отнести и слова управляющего АЭС Махмуда Джафари о том, что вирус не нанес ущерба системам предприятия и что команда специалистов начала работу по его удалению.
Видимо у этого вируса была другая цель. Задержка ввода в эксплуатацию Бушерской АЭС – побочный результат для злоумышленников. В печать просачивается информация о том, что в Иране в 2010 году число работоспособных газовых центрифуг сократилось на 1 тысячу, а их производственная эффективность упала до 20%. Эти сверхзвуковые центрифуги, являются заключительным звеном сложного технологического процесса по получению обогащенного урана столь необходимого, для реализации ядерных амбиций Ирана.
Как позже выяснилось, Stuxnet создавался именно для целевого поражения. Это сегодня самая высококлассная вредоносная программа для кибервойны. Его особенность в том, что он использует как минимум четыре новые, ранее никем не замеченные бреши в действующих версиях операционной системы Windows. Вирус Stuxnet пока выводит из строя только самую распространенную в мире систему автоматизированного управления технологическими процессами, которая является разработкой концерна Siemens. Троян Stuxnet внедряется в программу управления технологическим оборудованием и делает свое «черное дело». По мнению экспертов, это первый в своем роде червь, предназначенный для целевой атаки на объекты инфраструктуры.
Сообщается, что Stuxnet, даже инфицировав компьютерную сеть, в подавляющем большинстве случаев сохраняет пассивность и не причиняет вреда. Видимо, существующие сейчас его версии имеют очень узкую «специализацию». Они нацелены не на любое, а на вполне конкретное производство или технологию. Возможно, что червь изначально был «предназначен» для иранской атомной программы и нанес ей существенный урон, сорвав весьма сложный с технологической точки зрения процесс обогащения урана.
Как же вирус попал в компьютеры отключенные от интернета? Компания Siemens Systems признала, что вина за атаку вируса Stuxnet на компьютеры иранского ядерного реактора лежит на ее сотрудниках. Впрочем, последние, скорее всего, внедряли червя «неумышленно». Специалисты Siemens успокаивают — вирус не так опасен, как кажется. Тем не менее, по мнению некоторых экспертов, вирус Stuxnet «первое кибернетическое супероружие», способное проникать в компьютеры и тогда управление промышленными центрами и системами жизнеобеспечения передаются в руки злоумышленников.
Непосредственно заражение иранской компьютерной сети произошло через инфицированные «флэшки», которые были подброшены сотрудникам, имеющим доступ к компьютерным системам. К слову сказать, такой способ внедрения вируса используется не впервые. Что-то подобное ранее сделали израильтяне в Ливане и «китайские товарищи» в США. В случае с вирусом Stuxnet в Иране лишь удивляет разрешение на использование USB-flash накопителей на таких важных объектах.
РЕКЛАМНЫЙ БЛОК
[ Хотите знать больше о частной разведке? Регистрируйтесь и общайтесь на интернет-форуме it2b-forum.ru ]Не удивительно, что ареал распространения вируса не ограничился Ираном. В печати сообщается, что впервые Stuxnet сначала был обнаружен одной белорусской компанией, работающей в области компьютерной безопасности. В августе 2010 года Microsoft объявил, что червем поражено более 45 тыс. компьютеров по всему миру. Понятно, что наибольшее распространение он приобрел именно в Иране, где мутировав инфицировал более 30 тыс. компьютеров. По опубликованным данным на конец сентября, 52,2% всех случаев заражения Stuxnet пришлось на Иран; 17,4% — на Индонезию; 11,3% — на Индию и лишь 2,1% случаев — на Россию.
Для России проблемы со Stuxnet, только начинаются. Вирус уже пришел к нам и распространяется гораздо быстрее, чем он распространялся, скажем, в Индии или Индонезии. Главная опасность для России, то, что операционные системы от Microsoft используются в самых различных организациях. В том числе в сетях, которые обрабатывают достаточно критичную информацию. Несмотря на дополнительные исследования и сертификации программных платформ Microsoft со стороны государства, уязвимостей в них меньше от этого не становится.
Не лучше ситуация в Китае. Как полагают местные борцы с вредоносными кодами, он вполне может похищать секретную информацию, особенно касающуюся промышленных предприятий, и пересылать ее «обратно на сервер в США». Китайские эксперты подозревают, что пока известны не все функции вируса. По их мнению, он может и банально воровать информацию, и даже передавать контроль над киберсистемой предприятия удаленным операторам – хакерам. В целях борьбы с вирусом китайцы выложили в открытый доступ антивирус, полностью нейтрализующий опасную программу.
Кто же автор этой «вершины человеческой мысли»? Скорее всего, главным подозреваемым, в распространении «компьютерной заразы» сегодня может считаться израильский «Моссад». Эти подозрения имеют реальные основания. Израиль входит в число наиболее сильных и опытных игроков на виртуальном фронте. Он занимает шестое место по объему осуществляемых нападений на иностранные цели в киберпространстве. В середине 90-х при содействии США было создано, так называемое, подразделение ЦАХАЛа 8200 по отражению кибератак, ставшее ключевым инструментом разведки.
Это подразделение разместилась на одной из армейских баз в пустыне Негеве и служат там несколько тысяч человек. Израиль одним из первых внедрил практику вербовки хакеров на службу государственным интересам, под угрозой уголовной ответственности. Это дало ЦАХАЛу (армии обороны Израиля) возможность обеспечить стране ключевые преимущества в вопросах защиты объектов национальной инфраструктуры от кибератак и проведения ответных действий.
Разработка такой вредоносной программы как Stuxnet – весьма дорогостоящий проект. Только стоимость технической реализации может достигать суммы значительно превышающей 50000 евро. Истинные мотивы и цели ее создания известны только самим авторами этого зловеда. На «израильский след» указывают также ряд косвенных данных. Так, например, в компании Symantec обнаружили, что этот вирус устанавливает в реестре Windows ключ со значением 19790509. Именно 9 мая 1979 года в Иране был казнен бизнесмен, и, по совместительству лидер еврейской общины, Хабиб Элганян, обвиненный в шпионаже в пользу Израиля.
Существуют и иные, весьма причудливые конспирологические теории. Одна из них принадлежит немецкому эксперту по кибербезопасности Ральфу Лангнеру. Он связал обнаруженное в программном коде зловредного червя слово myrtus с ветхозаветной царицей Есфирью, еврейской женой персидского царя Артаксеркса, которая предотвратила готовящееся избиение евреев. Эта «великая» мысль пришла Лангеру в голову в результате достаточно сложной цепочки конспиралогических размышлений. Есфирь — персидское имя царицы, одной из жен Артаксеркса. По-еврейски ее звали Хадасса, что, в свою очередь, означает «мирт». По мнению Лангнера, эта деталь и свидетельствует о причастности к созданию червя израильских спецслужб. Тут совершенно не понятно, зачем авторам вируса было оставлять улики, пусть даже в такой извращенной форме.
У кого нет сомнений в авторстве этого Трояна Stuxnet, то это у самого Ирана. По словам официальных лиц этой страны, вредоносный червь, засланный врагами уже уничтожен, а агенты США и «сионистского режима», ответственные за это арестованы. Более того, командир корпуса стражей исламской революции генерал-майор Мохаммад Али Джафари заявил, что Иран считает себя в состоянии компьютерной войны.
Видимо, теперь Америке и Израилю надо готовиться к нашествию виртуальных гадов вроде тех, что описаны Булгаковым в «Роковых яйцах». Правда, способность Ирана ответить на киберудар киберударом вызывает сомнения. Скорее всего у иранцев просто отсутствуют необходимые технические возможности нанесения удара по хорошо защищенным компьютерным системам.
Появление Stuxnet вывело киберпреступность на новый уровень. Впервые некая группа хакеров разработала и использовала программу, которая может самостоятельно распространяться и проникать в компьютерные системы, связанные с объектами реального мира — фабриками, нефтеперерабатывающими заводами, атомными электростанциями. Он создан для установления контроля над соответствующим объектом и последующей атаки на него.
Некоторые эксперты полагают, что модель и схема применения червя Stuxnet годится и для ERP-систем. А это уже очень опасно! ERP-системы отвечают за планирование и управление бизнесом — деньгами, задачами, товарами и т.д. , и т.п. Тогда потенциальные злоумышленники могут вывести из строя управление большинством транснациональных корпораций. Чем не сценарий для голливудского боевика, фильма ужасов или фильма-катастрофы.
Настораживает информация о том, что якобы, китайским специалистам удалось выяснить, что компьютерный «червь» Stuxnet, попадая в новую систему, в дополнении ко всему, еще и крадет частную информацию и направляет ее на сервер, расположенный в Соединенных Штатах. Поэтому хакеры могут управлять станками и конвейерами предприятия, если их функционирование обеспечивается посредством компьютера, зараженного Stuxnet.
Многие опасаются, что его появление знаменует собой начало целой эпохи кибервойн, когда государства и даже террористы смогут использовать вредоносные коды в своих преступных целях. Вирус Stuxnet продолжает распространяться в киберпространстве, хотя говорят, что ему уже вынесен приговор. Датой его уничтожения, якобы, должно стать 24 июня 2012 года. А вдруг это связано с «концом света», который, по мнению некоторых мистиков — конспирологов, также «назначен» на 2012 год?
Источник: www.chelemendik.sk/_STUXNET____STUXNET__24_2012__315871899.html
