Зеттер Ким : другие произведения.

Обратный отсчет до нулевого дня: Stuxnet и запуск первого в мире цифрового оружия,

Самиздат: [Регистрация] [Найти] [Рейтинги] [Обсуждения] [Новинки] [Обзоры] [Помощь|Техвопросы]
Ссылки:
Школа кожевенного мастерства: сумки, ремни своими руками
 Ваша оценка:

  
  
  ПРОЛОГ
  СЛУЧАЙ С ЦЕНТРИФУГАМИ
  
  В январе 2010 года официальные лица Международного агентства по атомной энергии (МАГАТЭ), органа Организации Объединенных Наций, ответственного за мониторинг ядерной программы Ирана, впервые начали замечать нечто необычное, происходящее на заводе по обогащению урана за пределами Натанза в центральной части Ирана.
  
  Внутри большого центрифужного цеха, расположенного подобно бункеру на глубине более пятидесяти футов под поверхностью пустыни, тысячи сверкающих алюминиевых центрифуг вращались со сверхзвуковой скоростью, обогащая газообразный гексафторид урана, как это было в течение почти двух лет. Но за последние недели рабочие на заводе убирали партии центрифуг и заменяли их новыми. И они делали это с поразительной скоростью.
  
  В Натанзе каждая центрифуга, известная как IR-1, рассчитана на срок службы около десяти лет. Но устройства хрупкие и легко ломаются. Даже при нормальных условиях Ирану приходится заменять до 10 процентов центрифуг каждый год из-за дефектов материалов, проблем с обслуживанием и несчастных случаев на производстве.
  
  В ноябре 2009 года в Иране было установлено около 8 700 центрифуг в Натанзе, поэтому было бы совершенно нормально видеть, как технические специалисты выводят из эксплуатации около 800 из них в течение года, поскольку устройства по той или иной причине вышли из строя. Но когда представители МАГАТЭ подсчитали количество центрифуг, вывезенных за несколько недель в декабре 2009 года и начале января, они поняли, что Иран использует их с необычной скоростью.
  
  Инспекторы Департамента гарантий МАГАТЭ посещали Натанз в среднем два раза в месяц — иногда по предварительной записи, иногда без предупреждения — для отслеживания деятельности Ирана по обогащению и прогресса.1 Каждый раз, когда работники завода выводили из эксплуатации поврежденные или иным образом непригодные центрифуги, они должны были выстраивать их в контрольную зону сразу за дверью центрифужных помещений, пока инспекторы МАГАТЭ не прибудут с очередным визитом, чтобы осмотреть их. Инспекторы проверяли каждую центрифугу с помощью портативного гамма-спектрометра, чтобы убедиться, что в них нет контрабандного вывоза ядерного материала, затем одобряли демонтаж центрифуг, отмечая в отчетах, отправляемых обратно в штаб-квартиру МАГАТЭ в Вене, количество выведенных из эксплуатации центрифуг каждый раз.
  
  Цифровые камеры наблюдения МАГАТЭ, установленные за дверью каждой центрифужной камеры для наблюдения за деятельностью Ирана по обогащению, запечатлели техников, снующих в белых халатах, синих пластиковых ботинках на ногах, когда они один за другим вытаскивали блестящие цилиндры, каждый около шести футов в длину и около полуметра в диаметре. Рабочие, по соглашению с МАГАТЭ, должны были держать хрупкие устройства в руках, завернутыми в пластиковые рукава или в открытых коробках, чтобы камеры могли зафиксировать каждый предмет по мере его удаления из помещения.
  
  Камеры наблюдения, которые не были допущены в помещения центрифуги, сохранили изображения для последующего просмотра. Каждый раз, когда инспекторы посещали Натанз, они изучали записанные изображения, чтобы убедиться, что Иран не убрал дополнительные центрифуги или не сделал ничего другого запрещенного во время их отсутствия.2 Но по прошествии недель, когда инспекторы отправили свои отчеты обратно в Вену, тамошние чиновники поняли, что количество демонтируемых центрифуг намного превысило норму.3
  
  Официально МАГАТЭ не скажет, сколько центрифуг Иран заменил за этот период. Но новостные сообщения, цитирующие европейских “дипломатов”, ставят цифру от 900 до 1000. Бывший высокопоставленный чиновник МАГАТЭ, однако, считает, что фактическое число было намного выше. “По моим обоснованным предположениям, было повреждено 2000 человек”, - говорит Олли Хейнонен, который был заместителем директора Отдела гарантий, пока не ушел в отставку в октябре 2010 года.
  
  Каким бы ни было число, было ясно, что с устройствами что-то не так. К сожалению, Иран не был обязан сообщать инспекторам, почему они заменили их, и, официально, инспекторы МАГАТЭ не имели права спрашивать. Мандат агентства заключался в том, чтобы следить за тем, что происходит с ураном на заводе по обогащению, а не отслеживать вышедшее из строя оборудование.
  
  Чего инспекторы не знали, так это того, что ответ на их вопрос был прямо у них под носом, похороненный в битах и памяти компьютеров в промышленной диспетчерской Натанца. Несколькими месяцами ранее, в июне 2009 года, кто-то незаметно запустил разрушительную цифровую боеголовку в компьютеры в Иране, где она бесшумно проникла в критически важные системы в Натанзе, и все это с единственной целью — саботировать иранскую программу обогащения урана и помешать президенту Махмуду Ахмадинежаду создать ядерную бомбу.
  
  Ответ был там, в Натанзе, но пройдет почти год, прежде чем инспекторы получат его, и даже тогда он придет только после того, как более дюжины экспертов по компьютерной безопасности по всему миру потратили месяцы на разбор того, что в конечном итоге станет известно как один из самых сложных вирусов, когда-либо обнаруженных - программное обеспечение, настолько уникальное, что войдет в историю как первое в мире цифровое оружие и первый выстрел из лука, возвещающий эпоху цифровой войны.
  
  
  
  1 С этого периода увеличилось количество инспекционных визитов в Натанз. Начиная с 2010 года, инспекции увеличились до одного раза в неделю, а после нового соглашения с Ираном в конце 2013 года инспекторы теперь находятся на месте в Натанзе каждый день.
  
  2 Инспекторам МАГАТЭ не разрешается удалять записанные изображения из Натанза, и они могут просматривать их только на месте, где они хранятся.
  
  3 Инспекторы, посещающие Натанз и другие ядерные объекты по всему миру, регулярно сменяются, поэтому одни и те же инспекторы МАГАТЭ посещают их не каждый раз. Вот почему большое количество выведенных из эксплуатации центрифуг не было замечено до тех пор, пока в Вену не поступило несколько сообщений об изменении цифр, которые были просмотрены в совокупности аналитиками и официальными лицами.
  
  OceanofPDF.com
  
  ГЛАВА 1
  РАННЕЕ ПРЕДУПРЕЖДЕНИЕ
  
  Сергей Уласен - не тот человек, которого вы ожидаете увидеть в центре международного инцидента. У тридцатиоднолетнего белоруса коротко подстриженные светлые волосы, худощавое мальчишеское телосложение, открытое лицо и приветливые манеры человека, который идет по жизни, привлекая мало врагов и еще меньше противоречий. Одно из его любимых занятий - провести выходные в загородном доме своей бабушки под Минском, где он отдыхает от будничных стрессов, вдали от сотовых телефонов и Интернета. Но в июне 2010 года Уласен столкнулся с чем-то необычным, что вскоре привело его в центр внимания международного сообщества и в мир нового стресса.1
  
  Был теплый день четверга, и Уласен, возглавлявший антивирусное подразделение небольшой белорусской фирмы по компьютерной безопасности Virus-BlokAda, сидел со своим коллегой Олегом Купреевым в их лаборатории в центре Минска в унылом здании советской эпохи примерно в квартале от реки Свислочь. Они методично просматривали подозрительные компьютерные файлы, которые они недавно обнаружили на машине в Иране, когда что-то поразительное выпрыгнуло на Купреева. Он откинулся на спинку стула и подозвал Уласена, чтобы тот взглянул. Уласен прокрутил код один раз, затем еще раз, чтобы убедиться, что он видит то, что, как ему казалось, он видит. Крошечный вздох вырвался из его горла. Код, который они проверяли последние несколько дней, то, что они до сих пор считали умеренно интересным, но, тем не менее, заурядным вирусом, только что показал себя как работа тихого и дьявольского гения.
  
  Он не только использовал умелый руткит, чтобы замаскироваться и стать невидимым для антивирусных систем, он использовал хитрый эксплойт нулевого дня для распространения с компьютера на компьютер — эксплойт, который атаковал функцию, столь фундаментальную для операционной системы Windows, что подвергал риску заражения миллионы компьютеров.
  
  Эксплойты - это код атаки, который хакеры используют для установки вирусов и других вредоносных инструментов на компьютеры. Они используют уязвимости в системе безопасности в таких браузерах, как Internet Explorer, или приложениях, таких как Adobe PDF Reader, чтобы внедрить в систему вирус или троянского коня, подобно взломщику, использующему лом, чтобы взломать окно и проникнуть в дом. Если жертва посещает вредоносный веб-сайт, на котором скрывается эксплойт, или нажимает на вредоносное вложение электронной почты, содержащее эксплойт, эксплойт использует дыру в безопасности программного обеспечения, чтобы сбросить вредоносный файл в свою систему. Когда производители программного обеспечения узнают о таких дырах в своих продуктах, они обычно выпускают “заплатки”, чтобы закрыть их и изолировать злоумышленников, в то время как антивирусные фирмы, такие как Ulasen's, добавляют подписи к своим сканерам для обнаружения любых эксплойтов, которые пытаются атаковать уязвимости.
  
  Эксплойты нулевого дня, однако, не являются обычными эксплойтами, а являются самым ценным достоянием хакерского мира, потому что они атакуют дыры, которые все еще неизвестны производителю программного обеспечения и поставщикам антивирусов, что означает, что пока нет антивирусных сигнатур для обнаружения эксплойтов и нет доступных патчей для исправления дыр, которые они атакуют.
  
  Но эксплойты нулевого дня редко встречаются в дикой природе. Хакерам требуется время и навыки, чтобы обнаружить новые бреши и написать работоспособные эксплойты для их атаки, поэтому подавляющее большинство хакеров просто полагаются на старые уязвимости и эксплойты для распространения своего вредоносного ПО, рассчитывая на тот факт, что большинство пользователей компьютеров не часто исправляют свои компьютеры или устанавливают современное антивирусное программное обеспечение, и что поставщикам могут потребоваться недели или месяцы, чтобы произвести исправление для известной бреши. Хотя каждый год фиксируется более 12 миллионов вирусов и других вредоносных файлов , среди них обнаруживается только около дюжины нулевых дней. Однако здесь злоумышленники использовали чрезвычайно ценный эксплойт нулевого дня и умелый руткит для вируса, который, насколько могли судить Уласен и Купреев, пока был обнаружен только на компьютерах в Иране. Что-то не сходится.
  
  ТАИНСТВЕННЫЕ ФАЙЛЫ привлекли их внимание неделей ранее, когда реселлер программного обеспечения безопасности VirusBlokAda в Иране сообщил о постоянной проблеме с компьютером клиента в этой стране. Компьютер попал в цикл перезагрузки, неоднократно выходил из строя и перезагружался, игнорируя усилия технических специалистов по его контролю.2 Команда технической поддержки VirusBlokAda провела удаленное сканирование системы из Минска в поисках вредоносного ПО, которое могло пропустить их антивирусное программное обеспечение, но ничего не обнаружила. Именно тогда они позвонили в Уласен.
  
  Уласен был нанят антивирусной фирмой еще во время учебы в колледже. Его наняли программистом, но штат VirusBlokAda был настолько мал, а навыки Уласена настолько велики, что через три года, в возрасте двадцати шести лет, он оказался во главе команды, которая разрабатывала и поддерживала его антивирусный движок. Он также время от времени работал с исследовательской группой, которая разбирала вредоносные угрозы. Это была его любимая часть работы, хотя ему редко приходилось это делать. Поэтому, когда команда технической поддержки попросила его разобраться в их загадке из Ирана, он был рад помочь.3
  
  Уласен предположил, что проблема, должно быть, в неправильной конфигурации программного обеспечения или несовместимости между приложением, установленным на компьютере, и операционной системой. Но затем он узнал, что сбой произошел не на одной машине в Иране, а на нескольких машинах, включая те, которые администраторы стерли и восстановили с помощью новой установки операционной системы. Поэтому он подозревал, что виновником может быть червь, скрывающийся в сети жертвы, повторно заражающий очищенные машины при каждой их очистке. Он также подозревал, что руткит скрывал злоумышленника от их антивирусного движка. В прошлом Уласен писал инструменты для борьбы с руткитами для своей компании, поэтому он был уверен, что сможет выследить этот, если он там был.
  
  После получения разрешения подключиться к одной из машин в Иране и удаленно исследовать ее, Уласен и Купреев нацелились на шесть подозрительных файлов — два модуля и четыре других файла, которые, по их мнению, были источником проблемы.4 Затем с помощью нескольких коллег из их лаборатории они провели следующие несколько дней, урывками копаясь в файлах, время от времени изрыгая проклятия, пытаясь расшифровать то, что оказалось удивительно сложным кодом. Будучи сотрудниками небольшой фирмы, которая в основном разрабатывала антивирусные продукты для государственных заказчиков, они не привыкли решать такие сложные задачи: большую часть своих дней они проводили, предоставляя клиентам обычную техническую поддержку, а не анализируя вредоносные угрозы. Но, тем не менее, они продвигались вперед и в конечном итоге определили, что один из модулей, драйвер, на самом деле был руткитом “уровня ядра”, как и подозревал Уласен.5
  
  Руткиты бывают нескольких разновидностей, но наиболее трудными для обнаружения являются руткиты на уровне ядра, которые глубоко проникают в ядро компьютера, чтобы создать магазин на том же привилегированном уровне, где работают антивирусные сканеры. Если представить структуру компьютера как концентрические круги мишени лучника, ядро - это "яблочко", часть операционной системы, которая заставляет все работать. Большинство хакеров создают руткиты, которые работают на внешних уровнях компьютера — уровне пользователя, где запускаются приложения, — потому что это проще сделать. Но антивирусные сканеры могут их обнаружить — поэтому по-настоящему опытный хакер размещает свой руткит на уровне ядра компьютера, где он может подорвать работу сканера. Там он служит своего рода ведомым для вредоносных файлов, создавая помехи для сканеров, чтобы вредоносное ПО могло беспрепятственно выполнять свою грязную работу и не было обнаружено. Руткиты на уровне ядра не редкость, но для создания хорошо работающего руткита требуются сложные знания и умелый подход. И это сработало очень хорошо.6
  
  Купреев определил, что руткит был разработан для сокрытия четырех вредоносных программ.Файлы LNK — четыре других подозрительных файла, которые они обнаружили в системе в Иране. Вредоносная программа, по-видимому, использовала эксплойт, состоящий из этих вредоносных файлов, для распространения через зараженные флэш-накопители USB, и руткит предотвратил.Файлы LNK были обнаружены на флэш-накопителе. Именно тогда Купреев позвал Уласена посмотреть.
  
  Эксплойты, распространяющие вредоносное ПО через флэш-накопители USB, не так распространены, как те, которые распространяют их через Интернет через веб-сайты и вложения электронной почты, но и они не являются чем-то неслыханным. Однако все USB-эксплойты, которые два исследователя видели ранее, использовали функцию автозапуска операционной системы Windows, которая позволяла вредоносным программам на флэш-накопителе USB запускаться, как только диск был вставлен в компьютер. Но этот эксплойт был более умным.7
  
  Windows.Файлы LNK отвечают за отображение значков содержимого флэш-накопителя USB или другого портативного мультимедийного устройства, когда оно подключено к ПК. Вставьте флэш-накопитель USB в ПК, и проводник Windows или аналогичный инструмент автоматически просканирует его на .LNK files для отображения значка музыкального файла, документа Word или программы, хранящихся на флэш-накопителе.8 Но в этом случае злоумышленники внедрили эксплойт в специально созданный .Файл LNK, так что, как только проводник Windows отсканировал файл, он запустил эксплойт, который привел в действие, чтобы тайно поместить вредоносный груз USB на машину, подобно военно-транспортному самолету, сбрасывающему замаскированных десантников на вражескую территорию.
  
  The .Эксплойт LNK атаковал такую фундаментальную особенность системы Windows, что Уласен удивился, почему никто не подумал об этом раньше. Это было намного хуже, чем эксплойты автозапуска, потому что их можно было легко предотвратить, отключив функцию автозапуска на компьютерах — шаг, который многие сетевые администраторы принимают как само собой разумеющееся из-за известной угрозы безопасности автозапуска. Но нет способа легко отключить .Функция LNK не создает других проблем для пользователей.
  
  Уласен проверил реестр эксплойтов на предмет любых других, которые использовали файлы .LNK в прошлом, но ничего не нашел. Именно тогда он заподозрил, что перед ним нулевой день.
  
  Он взял флэш-накопитель USB, зараженный вредоносными файлами, и подключил его к тестовой машине под управлением Windows 7, новейшей версии операционной системы Microsoft. Машина была полностью исправлена со всеми последними обновлениями безопасности. Если .Microsoft уже знала об эксплойте LNK, исправления в системе предотвратили бы попадание вредоносных файлов на компьютер. Но если .Эксплойт LNK был нулевым днем, ничто не могло его остановить. Он подождал несколько минут, чтобы изучить компьютер, и, конечно же, вредоносные файлы были там.
  
  Он не мог в это поверить. VirusBlokAda, крошечная охранная фирма, о которой мало кто в мире когда-либо слышал, только что обнаружила этот редчайший трофей для охотника за вирусами. Но это был не просто эксплойт нулевого дня; это был тот, который работал против всех версий операционной системы Windows, выпущенных с Windows 2000: злоумышленники объединили четыре версии своего эксплойта вместе — в четырех разных.Файлы LNK — чтобы убедиться, что их атака сработала против каждой версии Windows, с которой она могла столкнуться.9
  
  Уласен попытался осмыслить количество машин, которые подвергались риску заражения из-за этого. Но затем его поразило нечто не менее тревожное. Вредоносный модуль драйвера и другой модуль драйвера, которые попали на целевые компьютеры в составе вредоносного груза, беспрепятственно установились на их тестовую машину без какого-либо предупреждения, появляющегося на экране, чтобы указать, что они это делают. В Windows 7 была функция безопасности, которая должна была сообщать пользователям, пытается установить себя на их компьютер неподписанный драйвер или драйвер, подписанный ненадежным сертификатом. Но эти два драйвера загрузились без проблем. Это было потому, что, как с тревогой понял Уласен, они были подписаны тем, что казалось законным цифровым сертификатом от компании под названием RealTek Semiconductor.10
  
  Цифровые сертификаты - это надежные документы безопасности, подобные цифровым паспортам, которые производители программного обеспечения используют для подписи своих программ, чтобы удостоверить их подлинность как законных продуктов своей компании. Microsoft подписывает свои программы и обновления программного обеспечения цифровой подписью, как и антивирусные фирмы. Компьютеры предполагают, что файл, подписанный законным цифровым сертификатом, заслуживает доверия. Но если злоумышленники украдут сертификат Microsoft и закрытый криптографический "ключ”, который Microsoft использует вместе с сертификатом для подписи своих файлов, они могут обмануть компьютер, заставив его думать, что их вредоносный код является кодом Microsoft.
  
  Злоумышленники и раньше использовали цифровые сертификаты для подписи вредоносных файлов. Но они использовали поддельные самоподписанные сертификаты, выдаваемые за законные, или получили настоящие сертификаты мошенническим путем, например, создав подставную компанию, чтобы обманом заставить центр сертификации выдать им сертификат на имя подставной компании.11 В обоих сценариях злоумышленники рисковали тем, что машины сочтут их сертификат подозрительным и отклонят их файл. В этом случае злоумышленники использовали действительный сертификат от RealTek — надежного производителя оборудования на Тайване — чтобы обмануть компьютеры, заставив их думать, что драйверы являются законными драйверами RealTek.
  
  Это была тактика, которую Уласен никогда раньше не видел, и она вызвала много вопросов о том, как злоумышленникам это удалось. Одна из возможностей заключалась в том, что они захватили компьютер разработчика программного обеспечения RealTek и использовали его машину и учетные данные, чтобы тайно подписать свой код.12
  
  Но также было возможно, что злоумышленники просто украли ключ подписи и сертификат, или cert. По соображениям безопасности интеллектуальные компании хранят свои сертификаты и ключи на автономных серверах или в аппаратных модулях безопасности, которые обеспечивают дополнительную защиту. Но не все сделали это, и были возможные подсказки, позволяющие предположить, что сертификат RealTek действительно был захвачен. Временная метка на сертификатах показала, что оба драйвера были подписаны 25 января 2010 года. Хотя один из драйверов был составлен годом ранее, 1 января 2009 года, другой был составлен всего за шесть минут до его подписания. Быстрое подписание указывало на то, что злоумышленники могли иметь в своем распоряжении ключ RealTek и сертификат.
  
  Последствия были тревожными. Использование законного цифрового сертификата для аутентификации вредоносных файлов подорвало надежность архитектуры подписи в компьютерном мире и поставило под сомнение законность любого файла, подписанного цифровыми сертификатами впоследствии. Это был только вопрос времени, когда другие злоумышленники скопировали тактику и начали красть сертификаты.13 Уласену нужно было сообщить об этом.
  
  Ответственное раскрытие информации требовало, чтобы исследователи, обнаруживающие уязвимости в программном обеспечении, уведомляли соответствующих поставщиков, прежде чем публиковать новости, чтобы дать поставщикам время залатать дыры, поэтому Уласен отправил электронные письма как RealTek, так и Microsoft, уведомив их о том, что обнаружила его команда.
  
  Но после того, как прошло две недели без ответа ни от одной из компаний, Уласен и Купреев решили, что не могут молчать.14 Остальная часть сообщества безопасности должна была знать о .Эксплойт LNK. Они уже добавили подписи к антивирусному движку VirusBlokAda для обнаружения вредоносных файлов и наблюдали, как заражения появляются на компьютерах по всему Ближнему Востоку и за его пределами. Червь / вирус был в бегах и быстро распространялся. Они должны были обнародовать эту новость.15
  
  Итак, 12 июля Уласен разместил краткое объявление о нулевом дне на веб-сайте своей компании и на онлайн-форуме по безопасности на английском языке, предупредив, что вот-вот разразится эпидемия инфекций.16 Он раскрыл несколько подробностей о дыре, которую он атаковал, чтобы не давать хакерам-подражателям информацию, которая помогла бы им ее использовать. Но участники форума быстро поняли последствия, отметив, что это может стать “смертельным для многих”.
  
  Три дня спустя технический журналист Брайан Кребс подхватил объявление и написал об этом сообщение в блоге, обобщив то немногое, что было известно об уязвимости и эксплойте в то время.17 Новость облетела сообщество безопасности, заставив всех приготовиться к волне атак, которые, как ожидается, будут вызваны червем и подражателями, использующими один и тот же эксплойт.18 Тем временем глава института в Германии, который исследовал и тестировал антивирусные продукты, выступил посредником между Уласеном и его контактами в Microsoft, что побудило компанию-разработчика программного обеспечения начать работу над исправлением.19 Но поскольку новости об уязвимости уже просочились, Microsoft решила немедленно сообщить пользователям о критическом недостатке, а также дать им несколько советов о том, как снизить риск заражения в то же время. Однако в отсутствие патча, который выйдет только через две недели, это было далеко не лекарство.20
  
  Индустрия компьютерной безопасности также приступила к действиям по борьбе с червем, у которого теперь было имя — “Stuxnet”, псевдоним, созданный Microsoft из букв в названии одного из файлов драйверов (mrxnet.sys ) и другая часть кода. По мере того, как охранные компании добавляли сигнатуры в свои движки для обнаружения червя и его эксплойтов, тысячи вредоносных файлов начали появляться на компьютерах зараженных клиентов.21
  
  Почти сразу же появился еще один сюрприз. 17 июля антивирусная фирма ESET из Словакии обнаружила еще один вредоносный драйвер, который, по-видимому, был связан со Stuxnet. Это оружие также было подписано цифровым сертификатом от тайваньской компании, хотя и не от RealTek. Вместо этого оно поступило от компании под названием JMicron Technology, производителя микросхем.
  
  Драйвер был обнаружен на компьютере сам по себе, без каких-либо других файлов Stuxnet, но все предположили, что он должен быть связан со Stuxnet, поскольку он имеет сходство с другими драйверами, найденными VirusBlokAda.22 Однако было кое-что примечательное в дате компиляции этого драйвера. Когда хакеры прогоняли свой исходный код через компилятор, чтобы перевести его в двоичный код, который могла прочитать машина, компилятор часто помещал временную метку в двоичный файл. Хотя злоумышленники могли манипулировать временной меткой, чтобы сбить исследователей с толку, этот оказался законным. В нем указывалось, что драйвер был скомпилирован 14 июля, через два дня после того, как VirusBlokAda опубликовала новости о Stuxnet. Неужели хакеры Stuxnet запустили драйвер в новой атаке, совершенно не обращая внимания на тот факт, что малоизвестная антивирусная фирма в Беларуси только что раскрыла их прикрытие? Или они знали, что их стелс-миссия вот-вот будет раскрыта, и стремились установить Stuxnet на большее количество компьютеров, прежде чем он будет заблокирован? Были признаки того, что злоумышленники пропустили несколько шагов при подписании драйвера сертификатом JMicron, что наводило на мысль, что они, возможно, действительно спешили вывести свой код атаки за дверь и на компьютеры.23 Однако было ясно одно: злоумышленникам понадобился этот новый сертификат для подписи своего драйвера, потому что срок действия сертификата RealTek истек месяцем ранее, 12 июня. Цифровые сертификаты имеют ограниченный срок службы, и как только срок действия RealTek истек, злоумышленники больше не могли использовать его для подписи новых файлов. Сертификат также был отозван центрами сертификации, как только Stuxnet был раскрыт, что означало, что компьютеры с Windows теперь будут отклонять или помечать любые файлы, которые уже были подписаны с ним.24
  
  Обнаружение второго сертификата привело к появлению новых предположений о том, как хакеры получили эти документы безопасности. Штаб-квартиры RealTek и JMicron находились всего в двух кварталах друг от друга в научно-промышленном парке Синьчжу в городе Синьчжу, Тайвань. Учитывая их географическую близость, некоторые предположили, что злоумышленники могли физически проникнуть в два офиса, чтобы украсть ключи цифровой подписи и сертификаты. Другие предположили, что Китайская Народная Республика стояла за атакой Stuxnet и взломала две тайваньские компании, чтобы получить их ключи цифровой подписи и сертификаты.
  
  Каким бы ни был сценарий, это означало, что злоумышленники, вероятно, имели в своем арсенале другие украденные цифровые сертификаты. И если они приложили столько усилий, чтобы убедиться, что их атака сработает, это, вероятно, означало, что в их распоряжении была серьезная цель и значительные средства. Многие в сообществе безопасности чувствовали себя очень неловко и озадаченно. “Мы редко видим такие профессиональные операции”, - отметил в Сети исследователь ESET Пьер-Марк Бюро.25
  
  Когда антивирусные фирмы изучали файлы Stuxnet, поступающие от клиентов, их ждал еще один сюрприз. Судя по датам в некоторых файлах, оказалось, что Stuxnet был запущен в дикой природе еще в июне 2009 года, что означало, что он скрывался на компьютерах по крайней мере год, прежде чем VirusBlokAda обнаружил его. Также оказалось, что злоумышленники начали свою атаку тремя разными волнами — в июне 2009 года и в марте и апреле 2010 года, слегка изменяя код в каждой из этих волн.
  
  Одна вещь, которая все еще оставалась загадкой, была намерением Stuxnet. Исследователи не смогли найти ни в одном из файлов никаких признаков того, что Stuxnet крал пароли банковских счетов или другие учетные данные, для чего было разработано множество других вредоносных программ. Они также не смогли найти признаков какого-либо другого очевидного мотива в коде. Так было до тех пор, пока исследователь из Германии не нашел одну возможную подсказку, указывающую на цель Stuxnet.
  
  “Привет, ребята”, - написал Фрэнк Болдевин на онлайн-форуме, где Уласен впервые опубликовал свое уведомление о Stuxnet, “кто-нибудь ... более подробно изучил вредоносное ПО?” Болдевин развернул первый слой покрытия на одном из файлов Stuxnet и обнаружил внутри необычные ссылки на программное обеспечение немецкой фирмы Siemens. Злоумышленники, по-видимому, искали компьютеры, на которых была установлена одна из двух фирменных программ Siemens — либо программное обеспечение Siemens SIMATIC Step 7, либо его программа SIMATIC WinCC. Обе программы являются частью промышленной системы управления (ICS), разработанной для работы с программируемыми логическими контроллерами (ПЛК) Siemens — небольшими компьютерами, обычно размером с тостер, которые используются на заводах по всему миру для управления такими вещами, как манипуляторы роботов и конвейерные ленты на сборочных линиях.
  
  Болдевин никогда раньше не видел вредоносного ПО, нацеленного на промышленную систему управления. Не было никакой очевидной финансовой выгоды от взлома заводского оборудования, такого как ПЛК, по крайней мере, не такой быстрой наличности, которую можно было бы получить, взломав банковские счета и системы кредитных карт. Для него это могло означать только одно. “Похоже, что эта вредоносная программа была создана для шпионажа”, - написал он.26 Злоумышленники, должно быть, хотели украсть заводской дизайн конкурента или чертежи его продукции.
  
  Это была оценка, которую многие в техническом сообществе были слишком рады принять. Оказалось, что Stuxnet нацелен только на системы с установленным программным обеспечением Siemens, что означало, что любой компьютер, не использующий программы Siemens, предположительно безопасен, и их владельцы могут расслабиться. Уласен обнаружил, что на системах в Иране, которые попали в цикл перезагрузки, не было установлено программное обеспечение Siemens, и, кроме системных сбоев, которые они испытали, оказалось, что Stuxnet не причинил им длительного вреда.
  
  Итак, примерно через неделю после того, как таинственный червь ненадолго обрел известность, оказалось, что Stuxnet находится на пути к длительной неизвестности. Microsoft все еще работала над исправлением дыры в системе безопасности.Эксплойт LNK был взломан, но, насколько было известно большинству компаний, занимающихся безопасностью, как только они добавили подписи к своим сканерам для обнаружения вредоносных файлов червя, Stuxnet больше не интересовался.
  
  На этом история первого в мире цифрового оружия вполне могла закончиться, за исключением того, что несколько исследователей в области безопасности были не совсем готовы отпустить ее.
  
  
  
  1 Уласен и его команда столкнулись с вредоносным ПО на неделе 24 июня 2010 года.
  
  2 Ulasen никогда не раскрывал имя реселлера, но ссылка на веб-сайте VirusBlokAda для его дистрибьютора в Иране указывает на vba32-ir.com сайт, принадлежащий Deep Golden Recovery Corporation, иранской фирме по восстановлению данных.
  
  3 Информация о столкновении VirusBlokAda с вредоносным ПО взята из интервью с Сергеем Уласеном и Олегом Купреевым, а также из учетной записи, опубликованной "Лабораторией Касперского" в 2011 году, после того как российская антивирусная фирма уволила Уласена из VirusBlokAda. Это интервью “Человек, который нашел Stuxnet — Сергей Уласен в центре внимания” было опубликовано 2 ноября 2011 года на eugene.kaspersky.com/2011/11/02/the-man-who-found-stuxnet-sergey-ulasen-in-the-spotlight.
  
  4 Модуль - это автономный компонент. Оно часто взаимозаменяемо и может использоваться с различными программами.
  
  5 Драйверы - это программные программы, которые используются в качестве интерфейсов между устройством и компьютером, чтобы заставить устройство работать с машиной. Например, требуется драйвер, позволяющий компьютеру взаимодействовать с подключенным к нему принтером или цифровой камерой — для разных операционных систем доступны разные драйверы, так что одно и то же устройство будет работать с любым компьютером. В этом случае драйверы на самом деле были руткитами, предназначенными для установки и сокрытия вредоносных файлов на компьютере.
  
  6 Проблема с перезагрузкой не возникла на других компьютерах, которые, как позже выяснилось, были заражены вредоносным ПО. Поэтому некоторые исследователи подозревают, что проблема могла заключаться в несовместимости одного из драйверов вредоносного ПО и антивирусного программного обеспечения VirusBlokAda. Вредоносная программа использовала драйвер для установки самой себя, и исследователи из Лаборатории Касперского в России подозревали, что когда драйвер внедрил основной файл вредоносной программы в память компьютеров в Иране, это привело к сбою некоторых компьютеров. Позже исследователи из "Лаборатории Касперского" попытались воспроизвести проблему, но получили противоречивые результаты — иногда машина выходила из строя, иногда нет. Ирония заключается в том, что злоумышленники приложили немало усилий для тестирования своего вредоносного ПО на антивирусных сканерах от Kaspersky, Symantec, McAfee и других, именно для того, чтобы убедиться, что их код не будет обнаружен сканерами или аварийными машинами. Но они, по-видимому, не протестировали его против программного обеспечения для сканирования VirusBlokAda. Так что, если сканер VBA был проблемой, это означало, что эта крошечная белорусская фирма уничтожила их не одним способом.
  
  7 Автозапуск - это удобная функция в Windows, которая позволяет программам на флэш-накопителе USB, CD-ROM или DVD автоматически запускаться при установке устройств в компьютер. Однако это известная угроза безопасности, поскольку любая вредоносная программа на устройстве также автоматически запустится.
  
  8 Если автозапуск отключен по соображениям безопасности, то вредоносный код на флэш-накопителе, который использует эту функцию, не сможет запускаться автоматически, а запустится только в том случае, если пользователи специально нажмут на файл, чтобы открыть его.
  
  9 Эксплойт работал против семи версий Windows: Windows 2000, WinXP, Windows 2003, Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2.
  
  10 В Windows Vista и Windows 7 драйвер, не подписанный доверенным цифровым сертификатом, который распознает Microsoft, будет иметь проблемы с установкой на компьютер. На 32-разрядных компьютерах с Windows, на которых установлена Vista или Windows 7, отобразится предупреждение, сообщающее пользователю, что файл не подписан или не подписан доверенным сертификатом, что вынуждает пользователя принять решение о том, разрешить ли его установку. На 64-разрядных компьютерах с Windows, использующих любую операционную систему, файл, не подписанный доверенным сертификатом, просто не будет установлен вообще. Вредоносная программа VirusBlokAda, обнаруженная только , работала на 32-разрядных компьютерах с Windows.
  
  11 Центры сертификации выдают сертификаты подписи, которые компании используют для подписи своего кода и веб-сайтов. Предполагается, что центры сертификации должны проверять, что организация, запрашивающая сертификат, имеет на это полномочия — например, чтобы помешать кому-либо, кроме Microsoft, получить сертификат подписи кода на имя Microsoft, и гарантировать, что если кто-то подает заявку на сертификат подписи для компании, которую они утверждают, что это их компания, это реальная компания, производящая реальный код. Однако некоторые центры сертификации не проводят должной проверки, и сертификаты иногда выдаются злоумышленникам. Есть также компании, которые за определенную плату будут использовать свой ключ и сертификат для подписи кода для других. Хакеры использовали эти компании в прошлом для подписи своих вредоносных программ.
  
  12 В сентябре 2012 года именно это произошло с Adobe. Софтверный гигант, распространяющий популярные программы Adobe Reader и Flash Player, объявил, что злоумышленники взломали его сервер подписи кода, чтобы подписать два вредоносных файла сертификатом Adobe. Компания Adobe хранила свои секретные ключи подписи в устройстве, называемом аппаратным модулем безопасности, которое должно было помешать злоумышленникам получить доступ к ключам для подписи своих вредоносных файлов. Но они скомпрометировали сервер сборки — сервер, используемый для разработки программного обеспечения, — который имел возможность взаимодействовать с системой подписи кода и заставлять ее подписывать свои файлы.
  
  13 По иронии судьбы, 12 июля 2010 года, в день, когда Уласен обнародовал новости о вредоносном ПО, исследователь финской охранной фирмы F-Secure опубликовал презентацию конференции о цифровых сертификатах, заявив, что на тот момент вредоносное ПО, использующее украденные сертификаты, еще не было обнаружено. Однако он отметил, что это неизбежно произойдет сейчас, когда новые версии Windows с подозрением относятся к неподписанным драйверам, подталкивая хакеров к краже законных сертификатов для подписи своих вредоносных программ. (См. Ярно Нимела, “Оно подписано, следовательно, оно чистое, верно?” представлен на конференции CARO в Хельсинки, Финляндия; доступен по f-secure.com/weblog/archives/Jarno_Niemela_its_signed.pdf.) Действительно, вскоре после того, как VirusBlokAda обнаружила сертификат RealTek, другие хакеры уже пытались использовать ту же тактику. В сентябре 2010 года антивирусные фирмы обнаружили Infostealer. Nimkey, троянский конь, специально разработанный для кражи сертификатов закрытых ключей с компьютеров. В течение следующих двух лет за этим последовал ряд вредоносных программ, подписанных сертификатами, по-видимому, украденными у различных надежных компаний.
  
  14 Уласен связался с Microsoft через общий адрес электронной почты, используемый для его службы безопасности. Но группа реагирования на безопасность Microsoft получает более 100 000 электронных писем в год, поэтому было понятно, что электронное письмо, отправленное на общий почтовый ящик из малоизвестной антивирусной фирмы в Беларуси, затерялось в очереди.
  
  15 Вредоносное ПО, как позже выяснили исследователи, представляло собой комбинацию червя и вируса. Часть червя позволяла ему распространяться автономно, без действий пользователя, но как только он попадал в систему, другие компоненты заражали файлы, подобно вирусу, и требовали действий пользователя для распространения.
  
  16 Уласен опубликовал свою заметку на сайте своей компании по адресу anti-virus.by/en/tempo/shtml и на форуме безопасности Вилдерса в wilderssecurity.com/showthread.php?p=1712146.
  
  17 Кребс, бывший репортер Washington Post, руководит KrebsonSecurity.com блог, посвященный компьютерной безопасности и киберпреступности. Он опубликовал свой пост 15 июля 2010 года на krebsonsecurity.com/2010/07/experts-warn-of-new-windows-shortcut-flaw.
  
  18 Ленни Зельцер, “Упреждая серьезную проблему из-за .Уязвимость LNK—превращение Infocon в желтый”, опубликованный 19 июля 2010 года на isc.sans.edu/diary.html?storyid=9190.
  
  19 Андреас Маркс, глава AV-TEST.org в Германии выступил посредником при внедрении через свои прямые контакты в Microsoft.
  
  20 Рекомендации Microsoft появляются на technet.microsoft.com/en-us/security/advisory/2286198.
  
  21 Большинство антивирусных компаний имеют автоматизированные системы отчетности, которые уведомляют их об обнаружении вредоносного файла на компьютере клиента, если клиент выбрал эту функцию. В большинстве случаев все, что отправляется компании, — это “хэш” файла - криптографическое представление содержимого файла, состоящего из строки букв и цифр, полученных в результате запуска файла с помощью алгоритма — без указания того, кто является жертвой, кроме IP-адреса отправителя. Но в других случаях компании могут получить весь вредоносный файл самостоятельно, если жертва решит отправить его или антивирусная фирма определит по IP-адресу, кто является жертвой, и запросит копию файла.
  
  22 Исследователи предположили, что драйвер, возможно, использовался с новой версией Stuxnet, которую злоумышленники выпустили после настройки кода, чтобы предотвратить его обнаружение антивирусными сигнатурами. Более поздняя версия Stuxnet никогда не обнаруживалась, но смотрите сноска 41 для дальнейшего обсуждения более поздней версии Stuxnet.
  
  23 Смотрите статью Костина Г. Райу и Алекса Гостева “История украденных сертификатов”, опубликованную в SecureView за 2 квартал 2011 года, ежеквартальном информационном бюллетене "Лаборатории Касперского". Ошибки появляются в блоке цифровой подписи на сертификате, где компания предоставляет информацию о себе. В этом случае злоумышленники неправильно ввели URL для JMicron, так что он возвращал ошибку “сервер не найден”, если кто-то пытался посетить веб-сайт. Они также не смогли заполнить несколько полей для названия компании, владения авторскими правами и других данных. В восьми полях вместо информации появились слова “измени меня”.
  
  24 Сертификат RealTek действовал с 15 марта 2007 года по 12 июня 2010 года. Сертификат JMicron был действителен до 26 июля 2012 года, но как только он был отозван центрами сертификации, злоумышленники больше не могли его использовать.
  
  25 Пьер-Марк Бюро, “Двоичные файлы, подписанные Win32 / Stuxnet”, опубликованные 9 августа 2010 года на blog.eset.com/2010/07/19/win32stuxnet-signed-binaries.
  
  26 Болдевин опубликовал свою заметку на wilderssecurity.com/showthread.php?p=1712146.
  
  OceanofPDF.com
  
  ГЛАВА 2
  500 КИЛОБАЙТ ТАЙНЫ
  
  За шесть лет, что Лиам О'Мерчу занимался анализом вирусов и червей, он никогда не видел ничего подобного коду, на который он смотрел сейчас. Он использовал методы, которые намного превосходили все, что он когда-либо видел у других вредоносных программ. Это было совсем не то, чего он ожидал, когда сел за свой компьютер в офисе Symantec в Южной Калифорнии и открыл файлы Stuxnet, которые прибыли ночью от его коллег из Европы.
  
  Была пятница, 16 июля, на следующий день после того, как новости о Stuxnet распространились в техническом сообществе, и О'Мерчу был в разгаре того, что, как он думал, будет обычной и поверхностной проверкой кода. Тридцатитрехлетний ирландец был менеджером по операциям группы реагирования на безопасность в офисе Symantec в Калвер-Сити, и в его обязанности входило просматривать новые вредоносные программы, которые поступали, чтобы определить, заслуживают ли они более пристального внимания.
  
  Аналитики в офисе компании в Дублине, Ирландия, получили файлы Stuxnet поздно вечером, но у них было всего пару часов с кодом, прежде чем пришло время передать его команде О'Мерчу в Калифорнии, которая только просыпалась. Группа Symantec по анализу угроз разбросана по нескольким континентам, так что в любое время, когда появляется важная угроза, кто-то где-то бодрствует, чтобы отреагировать на нее. Затем, когда солнце садится в одном офисе и встает в другом, работники в одном часовом поясе передают свои заметки, как борцы в команде тегов, тем, кто находится в следующей зоне.
  
  Не все вредоносные программы получают такое освещение в новостях. Из более чем 1 миллиона вредоносных файлов, которые Symantec и другие охранные фирмы обнаруживают каждый месяц, большинство являются копиями известных инструментов, которые хакеры просто настраивают, чтобы изменить свои отпечатки пальцев и попытаться обойти антивирусные сканеры. Эти стандартные угрозы передаются по каналам с помощью алгоритмов, которые просматривают код в поисках сигнатур или поведения, соответствующего известному вредоносному ПО. Код исключается из очереди, и исследователи могут проверять его вручную только в том случае, если алгоритмы находят что-то, с чем они не могут примириться. Вредоносное ПО, содержащее или подозреваемое в том, что оно содержит эксплойт нулевого дня, всегда проверяется вручную, и это единственная причина, по которой Stuxnet попал на стол О'Мурчу.
  
  О'Мерчу - заядлый сноубордист с лирическим акцентом и коротко подстриженными каштановыми волосами, зачесанными вертикально спереди, как у маленького хаф-пайпа. Недавно переведенный в Соединенные Штаты из Дублина, он работал в калифорнийском офисе Symantec всего за два года до того, как Stuxnet нанесла удар, но он работал в компании с 2004 года. Он возглавлял команду высококвалифицированных аналитиков вредоносных программ и инженеров обратного анализа, которые были вовлечены в постоянную борьбу с натиском цифровых угроз, каждая из которых часто была более продвинутой, чем предыдущая. Однако ни одно из них не подготовило его к тому, что он обнаружил в Stuxnet.
  
  О'Мурчу ожидал, что их проверка кода будет просто рутинной, просто чтобы подтвердить наличие эксплойта нулевого дня, который Уласен и Купреев уже обнаружили. Поэтому он передал код младшему инженеру, думая, что это будет хорошей возможностью обучить его в нулевые дни, и сам проверил код только для того, чтобы поддержать своего коллегу и убедиться, что он ничего не пропустил. Но как только он открыл файлы, сразу стало ясно, что с кодом происходит что-то странное.
  
  Основной файл Stuxnet был невероятно большим — 500 килобайт, в отличие от 10-15 КБ, которые они обычно видели. Даже Conficker, чудовищный червь, заразивший более 6 миллионов компьютеров за предыдущие два года, имел размер всего 35 килобайт. Любое вредоносное ПО большего размера, чем это, обычно просто содержало файл изображения, занимающий много места, что объясняло его раздувание, например, поддельную страницу онлайн-банкинга, которая появлялась в браузере зараженных компьютеров, чтобы обманом заставить жертв отказаться от своих банковских учетных данных. Но в Stuxnet не было файла изображения, и никакого постороннего жира тоже. И, когда О'Мерчу начал разбирать файлы на части, он понял, что код также был намного сложнее, чем он или кто-либо другой ранее полагал.
  
  Когда вы видели столько вредоносных программ, сколько есть у O'Murchu, вы можете взглянуть на вирус или троянского коня и сразу понять, что он делает — это регистратор нажатий клавиш, который записывает все, что вводит жертва; это банковский троянец, который крадет учетные данные для входа в онлайн-банкинг. Счета. Также легко увидеть, был ли фрагмент кода небрежно скомпонован или искусно обработан с осторожностью. Stuxnet, очевидно, был последним. Казалось, что это плотный и хорошо организованный набор данных и команд, который содержал огромное количество функциональных возможностей. Что это были за функции, все еще оставалось загадкой, но интерес О'Мерчу был немедленно вызван.
  
  ПЕРВОЕ СТОЛКНОВЕНИЕ О'Мерчу с вредоносным ПО произошло в 1996 году, когда он изучал информатику в Университетском колледже Дублина, и сокурсник запустил самодельный вирус, который заразил все машины в школьных компьютерных классах. В Мартовские иды вирус захватил контроль над терминалами и заблокировал всех. Пользователи могли войти в систему только после ответа на серию из десяти вопросов, которые появлялись на экранах. Большинство были раздражены прерыванием, но О'Мерчу просто хотел заполучить копию вируса, чтобы разобрать его. Деконструировать вещи было частью его ДНК. Выросший в сельской местности за пределами маленького городка Ати в графстве Килдэр, он был из тех детей, которых меньше интересовали игры с игрушечными машинками, чем их разборка, чтобы посмотреть, как они работают.
  
  О'Мурчу не собирался становиться борцом с вирусами. Он начал свою карьеру в колледже, послушно посещая курсы физики и химии для получения ученой степени, которую он планировал получить, но затем записался на курс информатики и стал одержимым. Он быстро сменил химическую лабораторию на компьютерную. Хакерство было растущей проблемой в университете, но О'Мерчу никогда не рассматривал компьютерную безопасность в качестве возможного пути карьеры, пока злоумышленники не начали взламывать серверы, принадлежащие школьному компьютерному клубу, и команде студентов было поручено исправить серверы, чтобы выгнать их. О'Мерчу был очарован игрой в кошки-мышки, которая последовала за этим, поскольку он наблюдал, как злоумышленники неоднократно переигрывали защитников, чтобы вернуться.
  
  Этот урок преодоления цифровых барьеров пригодился ему, когда он с группой друзей поехал в Соединенные Штаты после окончания колледжа и ненадолго получил работу по тестированию интернет-киосков для стартапа в Сан-Диего. Их наняли, чтобы посмотреть, смогут ли они обойти платную сеть киоска, чтобы украсть доступ в Интернет. Но вместо того, чтобы получить обычных пользователей компьютеров, как компания думала, что получит, она непреднамеренно наняла команду опытных хакеров. После того, как на складе, где собирались системы, было установлено полдюжины киосков, О'Мерчу и его друзьям было приказано заняться ими. Предполагалось, что они будут тестировать систему всего две недели, прежде чем компания планирует отправить киоски клиентам, но О'Мерчу и его друзья продолжали находить новые способы взлома платного доступа. Прошло два месяца, а они все еще находили дыры, компания отменила тестирование и просто отправила киоски.
  
  О'Мерчу провел следующие пару лет, путешествуя по миру и катаясь на сноуборде со смутным желанием заняться безопасностью, но без какого-либо плана для этого. Затем, в 2002 году, он получил работу в компании Brightmail по борьбе со спамом в Дублине. Он воспользовался им только для того, чтобы заработать денег на свои путешествия, но когда Symantec купила фирму в 2004 году, он увидел в этом шанс сделать рывок в сфере безопасности. Во время экскурсии по офису Symantec в Дублине, проведенной для сотрудников Brightmail, О'Мерчу едва мог сдержать свое нетерпение, когда ему показали различные отделы. Все, что он хотел увидеть, это исследовательскую группу по вирусам, к которой он надеялся присоединиться. Но когда он, наконец, встретил Эрика Чиена, американца, который руководил командой, его мечта о приеме на работу была разрушена. О'Мерчу думал, что у Symantec есть сотни аналитиков, размещенных по всему миру, и поэтому будет легко получить работу. Но Чиен сказал ему, что в команде работает всего полдюжины человек, и все они работали годами. “На самом деле никто не уходит”, - сказал Чиен. “Каждый любит свою работу”.
  
  О'Мурчу не испугался. Он самостоятельно освоил инструменты, которые аналитики использовали для расшифровки вредоносного кода и написания подписей, и когда несколько месяцев спустя на сцену вырвался взрыв шпионского и рекламного ПО, он был готов, когда Symantec понадобилось расширить свою команду. Следующие четыре года он работал в офисе Symantec в Дублине, где компания по-прежнему поддерживает свою крупнейшую исследовательскую группу, до перевода в Калвер-Сити в 2008 году.
  
  На протяжении многих лет О'Мерчу и команда Symantec работали над рядом громких и сложных угроз. Но ни один из них не был таким увлекательным или сложным, каким оказался Stuxnet.
  
  КОГДА О'Мурчу ИЗУЧИЛ основной файл Stuxnet, он сразу же наткнулся на несколько уровней шифрования, маскирующих многие его части и внутреннее ядро. К счастью, первый слой был простым “упаковщиком”, который легко взломать.
  
  Упаковщики - это цифровые инструменты, которые сжимают и искажают код, чтобы антивирусным системам было немного сложнее обнаружить сигнатуры внутри, а судебным экспертам - быстро определить, что делает код. Вредоносное ПО, запускаемое через упаковщик, при каждой упаковке изменяется немного по-разному на его поверхности, поэтому один и тот же код, запускаемый через упаковщик тысячу раз, создаст тысячу разных версий кода, хотя под слоем упаковщика все они будут одинаковыми по своей сути. Антивирусные системы могут определить, когда был запущен вредоносный файл известный упаковщик, который затем может распаковывать его на лету, чтобы искать подписи под ним. Чтобы помешать этому, умные злоумышленники разрабатывают пользовательские упаковщики, которые нелегко распознать или удалить. Но создатели Stuxnet не потрудились сделать это. Вместо этого они использовали готовое упаковочное устройство под названием UPX — сокращение от “Ultimate Packer для исполняемых файлов”, — которое было легко идентифицировать и устранить. Учитывая сложный характер остальной части угрозы — эксплойта нулевого дня и украденных цифровых сертификатов — это казалось странным выбором для создателей Stuxnet. Итак, О'Мерчу предположил, что их основной причиной использования упаковщика, должно быть, было простое сжатие файлов и уменьшение площади Stuxnet. После распаковки размер основного модуля увеличился до 1,18 мегабайта.
  
  Теперь, когда упаковщик был снят, О'Мерчу смог легко определить струны Siemens, которые видел Фрэнк Болдевин. Но что более важно, он также обнаружил зашифрованный блок кода, который оказался основным источником Stuxnet — большим .Файл DLL (библиотека динамических ссылок), который содержал около трех десятков других .DLL и компонентов внутри, все они были завернуты в слои шифрования, как русские матрешки. Он также обнаружил массивный конфигурационный файл, содержащий меню из более чем четырехсот настроек, которые злоумышленники могли настроить, чтобы изменить все от URL-адреса командно-контрольных серверов, с которыми Stuxnet связался, до количества машин, которые Stuxnet заразит через USB-накопитель, прежде чем USB-эксплойт отключится.1 Любопытно, что О'Мерчу также обнаружил в файле дату прекращения заражения — 24 июня 2012 года. Каждый раз, когда Stuxnet сталкивался с новой машиной, он проверял календарь компьютера, прошла ли июньская дата. Если бы это было так, Stuxnet остановил бы и не заразил его. Любая полезная нагрузка, уже установленная на других машинах, будет продолжать работать, но Stuxnet не заразит новые машины. Дата остановки была установлена на три года после того, как Stuxnet заразил свои первые машины в Иране, и предположительно была датой, к которой злоумышленники рассчитывали достичь своей цели.2
  
  Однако больше всего О'Мерчу бросился в глаза сложный способ, которым Stuxnet скрывал свои файлы на зараженных машинах и перехватывал обычные функции для выполнения своих гнусных дел. О'Мерчу потребовался почти день, чтобы проработать детали, и когда он наконец это сделал, он был поражен.
  
  Обычно код для выполнения обычных задач на компьютере с Windows, таких как открытие и чтение файла или сохранение его содержимого на диск, хранится в .DLL в операционной системе. Когда операционной системе или другому приложению необходимо выполнить одну из этих задач, они вызывают соответствующий код из .DLL — как посетитель библиотеки, просматривающий книгу — и запускает ее в памяти машины. Обычные хакеры попытались бы сохранить код для своих вредоносных действий в Windows.Библиотеки DLL тоже есть, но антивирусные сканеры могут обнаружить код в библиотеке, которого там быть не должно, поэтому Stuxnet поместил свой вредоносный код в память компьютера, где антивирусные программы с меньшей вероятностью его обнаружат. Само по себе это не было чем-то примечательным, поскольку многие умные хакеры хранили свой вредоносный код в памяти. Но способ, которым Stuxnet получил свой код для запуска, был.
  
  Обычно вредоносному коду, который скрывается в памяти, все равно нужно будет попросить систему загрузить дополнительный код из файлов, которые она хранит на диске компьютера. Но антивирусные системы также заметят это поведение, поэтому Stuxnet сделал это лучше. Stuxnet хранил весь код, необходимый для работы внутри себя, в виде виртуальных файлов со специально созданными именами. Обычно это не сработает, потому что, когда Stuxnet попытается вызвать этот код, операционная система не распознает имена или будет искать файлы со странными именами на диске и не сможет их найти. Но Stuxnet “подключил” или перепрограммировал часть Windows API - интерфейса между операционной системой и программами, которые выполняются поверх нее, — так что в любое время, когда он вызывал эти файлы со странными именами, операционная система просто переходила к Stuxnet, находящемуся в памяти, чтобы получить код вместо этого. Если антивирусное ядро с подозрением относилось к файлам в памяти и пыталось их проверить, Stuxnet также был готов к этому. Поскольку он контролировал части Windows API, отвечающие за отображение атрибутов файлов, он просто обманул сканер, заставив его думать, что файлы пусты, по сути говоря, “Здесь нечего смотреть, двигайтесь дальше”.3
  
  Но это был не конец. Обычная вредоносная программа выполняет свой код простым способом, просто вызывая код и запуская его. Но для Stuxnet это было слишком просто. Вместо этого Stuxnet был построен как машина Руба Голдберга, так что вместо прямого вызова и выполнения своего кода он поместил код в другой блок кода, который уже выполнялся в процессе на машине, затем взял код, который выполнялся в этом процессе, и вставил его в блок кода, выполняемый в другом процессе, чтобы еще больше скрыть его.
  
  О'Мерчу был поражен объемом работы, которую злоумышленники вложили в свое ограбление. Даже самые сложные угрозы, с которыми он сталкивался за последние годы, не доходили до такой степени. Среднестатистический автор вредоносных программ сделал лишь минимум из того, что ему нужно было сделать, чтобы его атака сработала и избежать обнаружения; мало что можно было получить, вкладывая много времени в код, который был предназначен только для быстрого взлома паролей или других данных. Даже продвинутые инструменты шпионажа, которые, казалось, поступали из Китая, не беспокоили тех трюков, которые он видел в Stuxnet. Красные флажки появлялись по всему коду, а О'Мерчу изучил только первые 5 КБ из 1 МБ угрозы.
  
  Было ясно, что это не стандартная атака, и ее нужно было изучить более внимательно. Но размер и сложность кода означали, что потребуется команда людей, чтобы перепроектировать и расшифровать его. Итак, в голове О'Мерчу возник вопрос: должны ли они вообще беспокоиться об этом? Никто не обвинил бы Symantec, если бы исследователи отказались от кода и перешли к другим вещам. В конце концов, основной задачей любой антивирусной фирмы было остановить заражение до того, как оно началось, или избавить зараженные системы от вредоносного ПО, которое уже было на них. То, что вредоносный код делал с компьютерами, как только оказывался на них, было вторичным.
  
  Но даже если их основная работа остановилась в момент обнаружения, любой клиент, зараженный Stuxnet, все равно захочет знать, что вредоносное ПО сделало с их системой, даже если Symantec уже обнаружила и удалила свои вредоносные файлы. Были ли украдены учетные данные или важные документы? Изменены или удалены важные данные? О'Мурчу посчитал своим долгом выяснить это.
  
  Но это была не единственная причина, по которой он хотел продолжить копаться в коде. Правда заключалась в том, что Stuxnet понравился ему, потому что это был огромный выброс адреналина от головоломки — вирус, слишком сложный, чтобы быть просто инструментом для шпионажа, и слишком изощренный, чтобы быть работой простых киберпреступников. Ему просто нужно было это выяснить.
  
  
  ПО МЕРЕ приближения КОНЦА этого первого дня О'Мурчу напечатал свои заметки с описанием того, что он обнаружил на данный момент, и отправил их команде Symantec в Токио, сожалея, что у него не было больше времени, чтобы провести с кодом.
  
  Часть выходных токийская команда работала над составлением карт компонентов Stuxnet и высокоуровневым анализом кода, чтобы каждый мог разобраться, с чем он имеет дело. Вернувшись в Калифорнию, где О'Мерчу жил со своей британской подругой недалеко от пляжа в Марина-дель-Рей, он попытался выбросить код из головы, но не смог. Воспоминания о сложном способе взлома системы вторглись в его разум, пока он не начал сомневаться, был ли он прав в том, что видел. Чтобы заглушить свои сомнения, он вернулся в офис, чтобы еще раз просмотреть код, пока не убедится, что он был правильным.
  
  К тому времени, когда наступило утро понедельника, ему не терпелось добраться до офиса, чтобы встретиться со своим коллегой Эриком Чиеном и сообщить о том, что он обнаружил. Как и О'Мерчу, Чиен перевелся из дублинского офиса Symantec в Калвер-Сити и теперь был техническим директором группы реагирования на безопасность компании. Чиен решил, что им следует позвонить Николасу Фаллиеру, молодому старшему инженеру-программисту и аналитику в парижском офисе Symantec, который был мастером по расшифровке сложного кода. Они втроем разработали план по реализации проекта.
  
  Stuxnet был таким большим, с таким количеством различных частей, но очевидным местом для начала были серверы командования и контроля. Итак, пока Фаллиер знакомился с частями Stuxnet, которые О'Мерчу уже видел, Чиен и О'Мерчу сосредоточились на серверах.
  
  Каждый раз, когда Stuxnet заражал систему, он “звонил домой” на один из двух интернет-доменов, выдавая себя за футбольного фаната sites-mypremierfutbol.com и todaysfutbol.com . Доменные имена, зарегистрированные кем-то, кто использовал поддельные имена и мошеннические кредитные карты, указывали на серверы в Дании и Малайзии, которые служили командными пунктами для атаки. Каждый раз, когда Stuxnet заражал компьютер, он связывался с серверами, чтобы объявить о своем захвате и сообщить разведданные о последней жертве. Сообщение было зашифровано, чтобы никто не смог случайно прочитать его, но шифрование, которое использовали злоумышленники, было на удивление слабым и его легко взломать. Как только Чиен и О'Мурчу разблокировали его, они смогли увидеть, что Stuxnet сообщает злоумышленникам имена компьютеров и доменов машины, а также внутренний IP-адрес, версию Windows, на которой она была запущена, и установлено ли на ней целевое программное обеспечение Siemens.4
  
  Предположительно, каждая часть данных помогла злоумышленникам определить, приближается ли Stuxnet к своей цели. Это было важно, потому что они, по сути, летели вслепую в своей атаке. После запуска самораспространяющийся червь, подобный Stuxnet, живет своей собственной жизнью, и злоумышленники не имели бы реального контроля над тем, куда перемещается их вредоносный код. Данные, возвращающиеся на серверы, помогли бы им в некоторой степени отследить его путь, когда он полз по сетям в поисках своей добычи.
  
  Но из всей информации, которую Stuxnet сообщал своим хозяевам, данные Siemens были самыми важными, потому что, как вскоре узнают исследователи, если Stuxnet оказывался в системе, на которой не было установлено программное обеспечение Siemens, он просто отключался. Он по-прежнему искал другие машины для заражения, но не запускал свою полезную нагрузку ни на одной машине, на которой не было установлено программное обеспечение Siemens. Любая система без программного обеспечения была просто средством для достижения цели Stuxnet.5
  
  О'Мурчу связался с поставщиками услуг DNS (domain name system) для двух доменов командования и контроля и попросил их остановить трафик, идущий злоумышленникам, и перенаправить его на sinkhole — компьютер, предназначенный для приема враждебного трафика, — который вместо этого контролировался Symantec. Поставщики DNS - это регулировщики интернет-трафика, которые следят за тем, чтобы электронная почта и браузеры доходили до адресатов, так что в любое время кто-то вводит “nytimes.com ” зайдя в свой браузер или перейдя по ссылке на веб-сайт, они попадут на нужный IP-адрес.6 Перенаправив трафик в свою воронку, исследователи теперь могли собирать данные в режиме реального времени, которые Stuxnet, как хороший солдат, должен был сообщать атакующим. К утру вторника, 20 июля, поток трафика приближался к их провалу.
  
  По мере поступления звонков с каждой зараженной машины О'Мурчу и Чиен сопоставляли домены и страны, из которых поступали сообщения, и изучали данные, отправленные Stuxnet, в поисках общих характеристик, включая количество жертв, использующих программное обеспечение Siemens. К концу недели более 38 000 зараженных машин из десятков стран связались с воронкой, и со скоростью 9 000 новых случаев заражения в день это число быстро росло. В конечном итоге они будут отслеживать более 100 000 случаев заражения в более чем 100 странах.7 Stuxnet продолжал распространяться, несмотря на подписи, распространяемые антивирусными фирмами, чтобы остановить его, указывающие на то, что у многих жертв не было установлено новейшее антивирусное программное обеспечение. Среди зараженных машин, обращающихся к их провалу, было случайное попадание от антивирусной фирмы — признак того, что исследователи из некоторых конкурирующих фирм все еще запускали Stuxnet на своих испытательных стендах.
  
  Когда О'Мурчу и Чиен нанесли на карту географическое расположение каждой инфекции, начала вырисовываться необычная картина. Из первоначальных 38 000 машин, которые они отслеживали, более 22 000 базировались в Иране. Индонезия была на втором месте с примерно 6700 машинами, за ней следовала Индия с 3700 заражениями. В Соединенных Штатах было зарегистрировано менее 400 случаев заражения, а в других странах показатели оттуда резко упали. Только на небольшом количестве всех зараженных машин было установлено программное обеспечение Siemens, и большинство из них также находились в Иране — 217, в отличие от всего лишь 16 машин в Соединенных Штатах.8
  
  Цифры заражения сильно отличались от предыдущих моделей вспышек во всем мире, в которых Иран никогда не занимал высоких мест, если вообще занимал, в статистике заражения. Даже во время вспышек, которые начались на Ближнем Востоке или в Центральной Азии, Иран никогда не занимал высоких позиций в чартах. Казалось очевидным, что они смотрели на целенаправленную атаку, нацеленную на Исламскую Республику. Но если злоумышленников в первую очередь интересовали станки Siemens, установленные в Иране, то Stuxnet распространился далеко за пределы своей цели. И почему оно распространилось дальше в Индии и Индонезии, чем в Соединенных Штатах и Европе? Что общего у этих трех стран, из-за чего инфекции сконцентрировались там? Учитывая время и деньги, которые, очевидно, были потрачены на создание кода, они знали, что перед ними не кто-то, кто хотел украсть фармацевтические рецепты или секреты производства автомобильного завода, как предположил Болдевин. Злоумышленники должны были стремиться украсть разведданные о критически важных системах, возможно, имеющих стратегическое политическое значение для региона. Программное обеспечение Siemens, которое искал Stuxnet, использовалось не только на промышленных предприятиях, но и в системах критической инфраструктуры. Чиен быстро поискал в Google по Ирану и Индии, чтобы узнать, что общего у этих двух стран, и нашел недавние истории о трубопроводе природного газа, который строился для соединения двух стран. Так называемый трубопровод мира включал в себя трубопровод протяженностью 1700 миль, идущий от иранского газового месторождения Южный Парс на юге страны через Пакистан в Индию, план, против которого Соединенные Штаты решительно выступали. За эти годы проект пережил ряд взлетов и падений из-за меняющихся геополитических ветров и проблем с финансированием, из-за чего Индия вышла из него в 2009 году под давлением Соединенных Штатов. Но в мае 2010 года, всего за два месяца до открытия Stuxnet, Индия присоединилась к проекту. Также в этом месяце Иран должен был начать проектирование и строительство последней части трубопровода, которая будет проложена внутри его границ.
  
  Но было и кое-что еще, доминирующее в заголовках об Иране — его быстро расширяющаяся ядерная программа. Иран собирался открыть ядерный реактор в Бушере, на юге страны, который был источником большой напряженности в отношениях с Израилем и Западом в течение ряда лет. Но еще более спорным, чем реактор, был завод по обогащению урана в местечке под названием Натанз, который был построен для снабжения реактора ядерным топливом. ООН проголосовала за санкции против Ирана из-за завода, и также были разговоры о возможном авиаударе по заводу.
  
  Начала вырисовываться тревожная геополитическая картина. Сложный характер вредоносного кода, а также украденные сертификаты и место Ирана в центре вспышки наводили на мысль, что Stuxnet может быть результатом тайной правительственной шпионской миссии, хотя и явно вышедшей из—под контроля. Учитывая, что целью, по-видимому, было что-то в Иране, список вероятных подозреваемых был небольшим — Израиль, Китай, Россия или Соединенные Штаты.
  
  Цзянь сделал паузу, чтобы обдумать последствия. Если Stuxnet был результатом правительственной шпионской миссии, в частности шпионской миссии США, это сделало их провал довольно дерзким. Перехватив данные, которые злоумышленники ожидали получить с зараженных компьютеров в Иране, они, возможно, оказались в центре международного инцидента, а также, возможно, помогли саботировать секретную операцию. Потенциальные последствия были пугающими.
  
  Но Чиен не мог сейчас зацикливаться на этом. Задача Symantec заключалась не в том, чтобы помогать защищать тайные правительственные операции, независимо от того, какая страна может за ними стоять. Их задачей было защищать машины клиентов. Не имело значения, кто запустил код или на что он был нацелен; пока это затрагивало клиентов Symantec, вредоносный код должен был быть остановлен.
  
  Хотя машины в Иране, где у Symantec не было клиентов, казались основной целью вредоносного ПО, Stuxnet заразил тысячи компьютеров и в других странах и все еще был на свободе, продолжая распространяться. И исследователи все еще не знали, для чего предназначена его вредоносная полезная нагрузка и содержит ли она какие-либо ошибки, которые могут повлиять на нецелевые машины.
  
  Они также не могли исключить возможность того, что Иран на самом деле был источником атаки, а не ее целью. Возможно, иранские инженеры писали Stuxnet для нацеливания на машины в Соединенных Штатах и потеряли контроль над ним в лаборатории, что помогло бы объяснить все инфекции в Иране. Если это сейчас распространится на критически важные системы в Соединенных Штатах — электростанцию или систему управления плотиной или железной дорогой — что произойдет тогда?
  
  Чиен и О'Мурчу решили, что им нужно продолжать.
  
  Какими бы ни были политические последствия их решения, их рассмотрение придется отложить на другой день.
  
  
  
  1 The .Эксплойт LNK на флэш-накопителях USB был настроен на распространение Stuxnet только на три новых компьютера, прежде чем он завершит работу и удалит файлы с флэш-накопителя USB.
  
  2 Судебно-медицинские доказательства, обнаруженные в проверенных Symantec версиях Stuxnet, показали, что первое заражение в Иране произошло 23 июня 2009 года.
  
  3 Николас Фаллиер, Лиам О'Мерчу и Эрик Чиен, “Досье W32.Stuxnet” (отчет, февраль 2011), 13-15, доступно по адресу symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf. В обширном досье Symantec подробно описываются технические характеристики Stuxnet и то, для чего предназначена каждая функция в коде.
  
  4 Доменное имя компьютера и внешний IP—адрес - внешний адрес компьютеров, подключенных к Интернету, — могут раскрывать название организации или компании, которой принадлежит зараженный компьютер, на основе того, кому принадлежит блок IP-адресов, в который попадает адрес компьютера. Это может помочь злоумышленникам определить, насколько быстро и далеко распространяется Stuxnet. Эта информация также подсказала бы злоумышленникам, когда Stuxnet сбился с пути, поскольку начал появляться в географических регионах, удаленных от его цели. С другой стороны, внутренние IP-адреса - это адреса, которые компании назначают внутренние компьютеры для их отображения и маршрутизации трафика между ними. Эти IP-адреса могут быть полезны, если злоумышленники владели картой внутренней сети зараженной компании или организации, возможно, украденной с компьютера системного администратора, на которой был указан внутренний IP-адрес, назначенный каждой машине в сети. Если бы это было так, злоумышленники могли бы отслеживать путь Stuxnet, когда он скользил внутри сети, заражая компьютер за компьютером, отчитываясь перед серверами командования и управления каждый раз, когда он заражал тот, который был подключен к Интернету. Что касается названия компьютера, оно могло бы помочь злоумышленникам определить, какому сотруднику или рабочей группе внутри организации принадлежали зараженные машины. Одна машина, например, называлась GORJI-259E4B69A, другая - PEYMAN-PC. Но многие зараженные системы имели одно и то же общее название: “ПК АДМИНИСТРАТОРА”, "ПК ПОЛЬЗОВАТЕЛЯ” или “домашний ноутбук”, что затрудняло их различие.
  
  5 Алекс Гостев, главный эксперт по вредоносным программам "Лаборатории Касперского" в России, обнаружил, что Stuxnet отправил на командные серверы файл с именем Oem6c.pnf, в котором указывалось не только, какая программа Siemens была установлена на компьютере (программное обеспечение Siemens Step 7 или программа WinCC, которую операторы используют для мониторинга состояния своих ПЛК), но и список любых файлов проекта Step 7 на компьютере и строка пути, указывающая, где на компьютере были расположены файлы. Файлы проекта Step 7 содержат команды программирования для ПЛК. Гостев подозревает, что всякий раз, когда злоумышленники находили файлы проекта на компьютере, они могли отправлять на компьютер отдельный инструмент для кражи файлов и проверки их на наличие конфигурационных данных, чтобы определить, нашел ли Stuxnet системы, которые он искал.
  
  6 Поставщики DNS уже четко распределили трафик на два домена, так что он никуда не уходил, когда Symantec обратилась к ним. Они направили трафик на IP-адрес 127.0.01, который обычно используется для возврата трафика на компьютер отправителя.
  
  7 Цифра в 100 000 - это число, которое Symantec отслеживала в течение первых шести месяцев после обнаружения Stuxnet. Но, по данным "Лаборатории Касперского", общее количество заражений, основанное на цифрах, собранных другими антивирусными компаниями по мере добавления обнаружения в свои инструменты, в конечном итоге превысило 300 000.
  
  8 На слушаниях в Сенате США в ноябре 2010 года Дин Тернер, директор глобальной разведывательной сети Symantec, заявил, что число уникальных случаев заражения в Соединенных Штатах к тому времени достигло 1600. Из них на 50 машинах было установлено программное обеспечение Siemens WinCC.
  
  OceanofPDF.com
  
  ГЛАВА 3
  НАТАНЗ
  
  В то время как Чиен и О'Мурчу обдумывали свою новую роль в международной политике, за тысячи миль отсюда, в Иране, технические специалисты в Натанзе все еще боролись за проблемы со своими центрифугами. Хотя около 1000 устройств были заменены месяцами ранее, каскады работали только на 45-66% мощности, получая гораздо меньше уранового газа, чем они были способны обогащать. Инспекторам МАГАТЭ было неясно, были ли проблемы вызваны естественными проблемами роста, которые возникают при доведении нового завода до зрелости — Натанз начал обогащать уран в 2007 году, но технические специалисты все еще устанавливали новые каскады и устраняли неполадки, — или в этом было что-то зловещее. Последнее не стало бы неожиданностью. Натанз был в центре пристального международного внимания, и не было секретом, что многие были готовы на все, чтобы его закрыть. Фактически, они пытались сделать это почти десять лет.
  
  ДРЕВНИЙ ГОРОД Натанз расположен примерно в двухстах милях к югу от Тегерана и является домом для святилища суфийского шейха тринадцатого века Абд Аль-Самада Исфахани, образца ранней персидской архитектуры с элегантными терракотовыми кирпичами и кобальтовыми плитками с замысловатым рисунком. Несмотря на то, что он расположен на краю пустыни Дашт-и-Кавир в тени гор Каркас, этот город-сад на возвышенности отличается бодрящим горным климатом и изобилует природными источниками. Он давно известен своими плодородными садами в целом и сочными грушами в частности. Но 14 августа 2002 года он стал известен чем-то другим. В этот день Национальный совет сопротивления Ирана (NCRI), коалиция иранских оппозиционных групп в изгнании, созвал пресс-конференцию в отеле Willard InterContinental в Вашингтоне, округ Колумбия, в двух кварталах от Белого дома, чтобы объявить, что Иран строит незаконный ядерный объект недалеко от Натанза.
  
  Около двух десятков репортеров и представителей неправительственных организаций, аналитических центров и групп наблюдения за Ираном вошли в комнату Taft на втором этаже отеля, чтобы услышать, что скажет группа. Среди них была двадцатидевятилетняя блондинка по имени Кори Хиндерштейн, которая работала в Институте науки и международной безопасности (ISIS), некоммерческой группе по нераспространению ядерного оружия, которая отслеживала ядерную деятельность в Иране и в других местах.
  
  Когда гости расселись, а оператор C-SPAN занял позицию в задней части зала, Алиреза Джафарзаде, представитель группы, не теряя времени, перешел к сути. “Хотя на первый взгляд основная ядерная деятельность [Ирана] вращается вокруг [атомной станции] в Бушере ...”, - сказал он в ряд микрофонов, “на самом деле многие секретные ядерные программы осуществляются без какого-либо ведома [Международного агентства по атомной энергии].… Сегодня я собираюсь раскрыть вам два сверхсекретных сайта иранского режима, которые им удалось сохранить в секрете до сегодняшнего дня ”.1
  
  Хиндерштейн и другие переключились на внимание.
  
  Иранский ядерный энергетический реактор в Бушере, древнем прибрежном городе с видом на Персидский залив, постоянно строился в течение тридцати лет. Это был один из трех объектов, которые Иран определил как ядерные объекты в соответствии со своим соглашением о гарантиях с МАГАТЭ, агентством ООН, которое отслеживает ядерную деятельность по всему миру, чтобы убедиться, что такие страны, как Иран, не используют гражданские ядерные объекты для тайного производства ядерного оружия.
  
  В течение многих лет Иран настаивал на том, что его программа в Бушере, которая, как ожидалось, начнет действовать в 2005 году, носит исключительно мирный характер.2 Но уже давно ходили слухи о секретных ядерных объектах в Иране, включая секретный завод по обогащению урана, который может быть использован для создания материала для ядерного оружия. В 2001 году американские и иностранные правительственные источники сообщили коллегам Хиндерштейна в ИГИЛ, что секретные ядерные объекты действительно существуют в Иране, но не предоставили никаких подробностей, которые помогли бы им в расследовании. Теперь казалось, что разношерстная группа диссидентов Джафарзаде может наконец предложить доказательства, которые искали ИГИЛ и другие.
  
  Джафарзаде с густыми темными усами, покрывающими его верхнюю губу, раскрыл названия двух ядерных объектов, оба из которых находились далеко к северу от Бушера. Одним из них был завод по производству тяжелой воды, который строился на берегу реки Кара-Чай недалеко от Арака. “Любой, у кого есть какие-либо ядерные планы в отношении ядерного оружия, определенно хотел бы иметь проекты с тяжелой водой”, - сказал он.3
  
  Другим был завод по производству ядерного топлива, строящийся рядом со старым шоссе, которое связывало город Натанз с городом Кашан. Это была совместная операция Организации по атомной энергии Ирана (ОАЭИ) и ее Высшего совета национальной безопасности. Однако, чтобы скрыть истинное назначение завода, были созданы подставные компании для тайной закупки материалов и технологий для него. Одной из таких компаний была компания под названием Kala Electric (также известная как Kalaye Electric Company), которая позже вошла в Stuxnet как одна из компаний, предположительно зараженных цифровым оружием.4
  
  Строительство комплекса в Натанзе, который, по словам Джафарзаде, занимает 100 000 квадратных метров земли и уже обошелся в 300 миллионов долларов, началось в 2000 году и, как ожидается, будет завершено через три месяца, после чего рабочие начнут устанавливать оборудование. Прикрытием для завода было то, что это был проект по уничтожению пустыни. Но если это было правдой, то это был чрезвычайно важный проект по уничтожению пустыни, потому что бывший премьер-министр Ирана посетил это место ранее в том месяце в качестве представителя Высшего совета национальной безопасности, и глава ОАЭИ ежемесячно посещал близлежащий Кашан, просто чтобы следить за проектом. Рабочим на заводе также не разрешили обсуждать проект с местными чиновниками. По словам Джафарзаде, недавно между AEOI и офисом губернатора Кашана фактически разгорелся серьезный спор, потому что AEOI не стал обсуждать информацию о сайте с офисом. И когда заместитель генерал-губернатора провинции попытался посетить строительную площадку в Натанзе, ему отказали.
  
  Пока Джафарзаде рассказывала подробности о сайте и указывала на доски объявлений в передней части зала, показывающие сеть подставных компаний и частных лиц, которые руководили проектом, Хиндерштейн что-то быстро записывала в своем блокноте. С указанием общего местоположения объектов, а также названий и адресов подставных компаний, это стало первым убедительным доказательством, полученным ИГИЛ о незаконной ядерной программе Ирана, которое могло быть независимо проверено.
  
  Время откровений не было упущено Хиндерштейном. Иран подписал Договор о нераспространении ядерного оружия, и в соответствии с его соглашением о гарантиях с МАГАТЭ он был обязан сообщать о существовании любого нового ядерного объекта за 180 дней до доставки ядерного материала на объект, чтобы инспекторы могли начать его мониторинг. Если до завершения строительства завода в Натанзе действительно оставалось девяносто дней, то группа Джафарзаде обнаружила его как раз вовремя, чтобы инспекторы МАГАТЭ потребовали доступа к нему до его открытия.
  
  Все это вызвало очевидные вопросы о том, как NCRI получил в свои руки сверхсекретные разведданные, которые, казалось, годами ускользали от ведущих мировых шпионских агентств. Джафарзаде настаивал на том, что его группа получила информацию от людей внутри Ирана, которые были непосредственно связаны с программой, а также благодаря обширным исследованиям его группы. Но более вероятно, что оно поступило от американских или израильских спецслужб.5 У Израиля была история утечки разведданных через посредников, чтобы повлиять на общественное мнение, не запятнав разведданные своей собственной политической программой. Израиль, естественно, был страной, которой больше всего следовало опасаться ядерного Ирана, но у него были очевидные проблемы с честностью, когда дело доходило до разоблачения ядерной деятельности других стран, поскольку он долгое время поддерживал свою собственную тайную программу создания ядерного оружия, которую он никогда публично не признавал.6 По этой и другим причинам он проводил свои политические махинации за кулисами, передавая разведданные западным правительствам, МАГАТЭ и группам, подобным Джафарзаде.
  
  Если информация действительно поступила из Соединенных Штатов или Израиля, группа Джафарзаде была странным выбором для ее утечки. NCRI была политическим подразделением Моджахедин-и-Хальк, или МЕК, иранской оппозиционной группы, некогда известной своей антиизраильской и антиамериканской позицией. Его обвинили в убийстве шести американцев в Иране в 1970-х годах, а также во взрыве бомб в Иране в 1981 году, в результате которого погибло более 70 человек, включая президента и премьер-министра Ирана. Группа была в списке террористических организаций Государственного департамента США с 1997 года, но с тех пор пыталась восстановить свой имидж, чтобы выйти из списка. Помощь в раскрытии секретных ядерных объектов в Иране, несомненно, заслужила бы поддержку ИТ в Конгрессе для достижения этой цели.7
  
  В прошлом NCRI делал провокационные заявления о ядерной программе Ирана, но некоторые из них оказались ложными. Также были вопросы о точности этой новой информации. Джафарзаде определил объект в Натанзе как завод по производству топлива, но это не имело смысла для Хиндерштейн и ее коллег из ИГИЛ. Иран уже планировал построить завод по производству топлива недалеко от Натанза, поэтому казалось нелогичным строить второй завод так близко. Тем не менее, на данный момент они были готовы принять откровения как правду. Однако, чтобы помочь проверить их, Хиндерштейн решила поискать спутниковые снимки, чтобы посмотреть, сможет ли она обнаружить доказательства конструкции, которые соответствовали описанию Джафарзаде.
  
  Хиндерштейн проработала в ИГИЛ шесть лет — она пришла на работу сразу после колледжа - и со временем стала ее постоянным экспертом по спутниковым снимкам, новому инструменту, который только недавно стал доступен для групп, подобных ее. В течение десятилетий спутниковые снимки, особенно изображения с высоким разрешением, были исключительной прерогативой правительств и разведывательных агентств. Единственный раз, когда кто-либо еще мог видеть снимки из космоса, это если правительственное агентство или исследовательский институт решали опубликовать их, что случалось редко. Изображения стали доступны для широкой публики только в середине 1990-х годов, но они были не очень четкими. Только несколько лет спустя стали доступны изображения с разрешением 1,6 метра — разрешением, при котором вы действительно могли четко видеть детали.
  
  ИГИЛ была одной из первых неправительственных организаций, которая инвестировала в дорогостоящее программное обеспечение, необходимое для анализа изображений, рано осознав важную роль, которую они могут сыграть в работе по нераспространению. Первый опыт анализа спутниковых снимков Хиндерштейн получил в 1998 году, после того как Пакистан провел шесть подземных ядерных испытаний в ответ на подземные атомные взрывы, произведенные Индией. Работая с экспертом по спутниковым снимкам, она научилась распознавать пиксельные объекты на изображениях и интерпретировать тени и градации, чтобы расшифровать глубину двумерных изображений.
  
  Примерно через два месяца после пресс-конференции, вооружившись подробностями от Джафарзаде и обширными дополнительными исследованиями, Хиндерштейн вошел в свою учетную запись в Digital Globe, одном из двух коммерческих поставщиков спутниковых изображений в Соединенных Штатах, чтобы просмотреть архив в поисках доступных изображений.8 Сегодня спутники отображают почти каждую часть Земли, причем большинство снимков доступно любому через Google Планета Земля. Но в 2002 году единственным способом найти изображения в архиве Digital Globe было, если кто—то уже заказал компании сфотографировать сайт, или если Digital Globe по собственной инициативе сделала снимки местности, например, Ниагарского водопада или Большого каньона - изображения, которые, как знала компания, будут хорошо продаваться. Заказ изображения, которого не было в архиве, стоил около 10 000 долларов, но как только изображение появилось, оно стало доступным для других, чтобы купить за треть цены.
  
  Интерфейс Digital Globe, который использовал Хиндерштейн, выглядел как Карты Google, с маленькими серыми прямоугольниками, которые появлялись на экране везде, где были доступны спутниковые снимки. Но при нажатии на серую рамку отображалось только изображение для просмотра — приблизительное изображение с разрешением 16 метров, что означало, что каждый пиксель показывал 16 метров земли. Чтобы увидеть больше деталей, вам нужно было купить 1,6-метровую версию.
  
  Хиндерштейн не могла поверить в свою удачу, когда обнаружила изображения Арака и Натанза, доступные в архиве. Джафарзаде не предоставил точных координат ни для одного из двух объектов, поэтому Хиндерштейну пришлось сначала найти Арак на цифровой карте мира, а затем медленно удаляться от города, ведя поиск по концентрическим кругам, пока не появилось серое поле. Когда она нажала на изображение, стало ясно, что это завод по производству тяжелой воды, как описал Джафарзаде. ИГИЛ обнаружило такой завод в Пакистане пару лет назад, и площадка возле Арака выглядела очень похожей.
  
  Однако, когда она искала в районе Натанза, она нашла два возможных места посреди пустыни, где были доступны изображения. На каждом из сайтов появилось три серых прямоугольника, уложенных друг на друга, что указывает на то, что для обоих сайтов доступно несколько изображений. Это было так, как будто кто-то оставил гигантскую стрелу, направляющую ее к ним. Даты на изображениях указывали на то, что все они были сделаны 16 и 26 сентября — через несколько недель после пресс-конференции Джафарзаде. Было ясно, что кто-то другой искал ту же информацию, которую искала она. Хиндерштейн подозревал, что это МАГАТЭ. В прошлом году МАГАТЭ создало собственную лабораторию по анализу спутниковых снимков, и для агентства имело бы смысл заказать снимки после разоблачений Джафарзаде.9
  
  Хиндерштейн нажал на серые прямоугольники на одном из сайтов и быстро исключил его как ядерный объект. Это было далеко от 100 000 квадратных метров, описанных Джафарзаде, и больше походило на установку для очистки воды или сточных вод, чем на что-либо, связанное с ядерным топливом. Другой сайт, однако, был более подозрительным. Он был намного больше первого и демонстрировал очевидные признаки масштабных продолжающихся раскопок. Несмотря на размытое 16-метровое изображение, Хиндерштейн смог разглядеть то, что выглядело как совокупность зданий и больших насыпей взбитой земли внутри двух слоев защитных ограждений. Она также отметила единственную дорогу, ведущую к месту, предполагая, что доступ к этому району ограничен.
  
  После того, как она купила и загрузила 1,6-метровое изображение в их инструмент просмотра, она увидела множество труб, проложенных на земле, а также большие кучи гравия для замешивания бетона. Также была дорожная развязка, которая уже была частично заасфальтирована. Но когда она более внимательно изучила изображение, она заметила кое-что странное. Джафарзаде сказал, что объект был заводом по производству топлива, но производство топлива было очень промышленным процессом и, как правило, включало наземные объекты с большими дымовыми трубами. Однако на стройплощадке в Натанзе не было дымовых труб, и более того, глубоко под землей строились три больших здания, соединявших их туннелем. Здания находились на завершающей стадии строительства. Она также смогла разглядеть то, что казалось серией кругов по периметру площадки, предполагающих будущее расположение зенитных орудий.
  
  Снимки были сделаны как раз вовремя, чтобы запечатлеть иранских рабочих, все еще находящихся в процессе покрытия крыш подземных зданий несколькими чередующимися слоями земли и цемента. Несколько недель спустя, и они были бы полностью скрыты сверху, не выдавая никаких явных признаков их существования. Кто-то тщательно спланировал вылазку из Натанза как раз в нужный момент, чтобы захватить доказательства.
  
  Каждое из двух подземных зданий было размером с полдюжины футбольных полей и было усилено бетонными стенами толщиной от шести до восьми футов. Иранцы, очевидно, укрепляли их против возможного воздушного удара. Туннель, ведущий вниз к зданиям, также был построен в форме буквы U вместо прямой линии — обычная тактика для предотвращения попадания ракет, отправленных в устье туннеля, в цель на другом конце.
  
  Хиндерштейн показала изображения своему боссу Дэвиду Олбрайту, физику и бывшему инспектору по вооружениям в Ираке, который основал ИГИЛ. Теперь они были уверены, что это не завод по производству топлива. У Ирана не было бы причин строить такой завод под землей, поскольку там было бы мало интереса бомбить его. Они рассудили, что единственным логическим выводом, который объяснил бы подземное строительство и очевидные планы зенитных орудий, было то, что это был неуловимый завод по обогащению урана, который они искали.
  
  В Вене был тихий день, когда новости с пресс-конференции Джафарзаде дошли до Олли Хейнонена в штаб-квартире МАГАТЭ с видом на реку Дунай. В августе большая часть Европы была в отпуске, и Вена не стала исключением. Начальник Хейнонена, д-р Мохаммед Эль-Барадеи, генеральный директор МАГАТЭ, находился в отпуске в Египте, и большая часть других сотрудников организации также отсутствовала в городе. Итак, Хейнонен, финн лет пятидесяти с небольшим, в очках в проволочной оправе и с мальчишеской копной рыжевато-каштановых волос, был один в своем кабинете, когда читал новости. Хейнонен был главой отдела B Департамента гарантий МАГАТЭ, и у него было всего три месяца, прежде чем он был принят в портфель МАГАТЭ по Ирану после того, как в течение нескольких лет был главным инспектором агентства по Северной Корее и другим частям Азии. Для него это было возвращением на знакомую территорию, поскольку он ранее управлял портфелем МАГАТЭ по Ирану с 1992 по 1995 год. Персидский ковер, отмечающий тот период, все еще украшал пол его офиса.
  
  Ветеран-ядерный инспектор Хейнонен пришел в МАГАТЭ в 1983 году из центра ядерных исследований в Финляндии. Имея докторскую степень по радиохимии в Университете Хельсинки, он обладал более высоким уровнем предметных знаний, чем первые поколения инспекторов МАГАТЭ, которые, как правило, имели небольшую научную подготовку. У него также была репутация спокойного доверия и непоколебимой решимости, которые давали понять странам, которые он инспектировал, что у него мало терпения для двуличия.
  
  Когда он ознакомился с новостями от Джафарзаде, он был поражен уровнем детализации, который в них раскрывался. Хейнонен некоторое время ждал подобной информации. Как и его коллеги из ИГИЛ, он сразу заподозрил, что объект в Натанзе был вовсе не заводом по производству топлива, а заводом по обогащению урана. Двумя годами ранее правительственные источники сообщили МАГАТЭ, что Иран в 1980-х годах пытался тайно закупать в Европе комплектующие для производства центрифуг для обогащения урана.10 Основываясь на этом, Хейнонен подозревал, что у Ирана есть незаконный завод по производству центрифуг, спрятанный где-то в пределах его границ, но он никогда не знал его местоположения, а МАГАТЭ не могло противостоять иранцам, не раскрыв источник разведданных. МАГАТЭ также опасалось действовать на основе информации, полученной из правительственных источников, с тех пор как разведывательное агентство сообщило МАГАТЭ в 1992 году, что Иран тайно закупает запрещенное ядерное оборудование, но не предоставило никаких подробностей. Когда МАГАТЭ обратилось к Ирану с претензиями, официальные лица опровергли обвинения и пригласили инспекторов посетить их ядерные объекты, чтобы убедиться в этом лично. Но инспекторы не нашли ничего, подтверждающего претензии, и в конечном итоге поставили Иран в неловкое положение.11
  
  Однако на этот раз откровения были иными. Они были публично раскрыты, поэтому Хейнонену не нужно было скрывать источник информации, и они включали точные и конкретные детали, называя реальные объекты и местоположения. Это означало, что МАГАТЭ могло независимо проверить их существование и потребовать, чтобы Иран открыл их для инспекции.12
  
  Хейнонен поднял телефонную трубку и позвонил своему боссу в Египет, который согласился с тем, что он должен немедленно отправить письмо Али Ахбару Салехи, послу Ирана в МАГАТЭ, требуя объяснений о том, что Иран делал в Натанзе. Салехи был возмущен обвинительным тоном письма, заявив, что МАГАТЭ не имеет права допрашивать Иран о непроверенных заявлениях, особенно тех, которые исходят от известной террористической группы. Голам Реза Агазаде, вице-президент Ирана и глава его Организации по атомной энергии, заявил МАГАТЭ, что Иран не скрывал Натанз, а просто планировал сообщить МАГАТЭ о его существовании позднее.13 Если МАГАТЭ проявит терпение, все скоро станет известно, сказал он. На данный момент он сказал бы только, что Иран планирует построить несколько атомных электростанций в течение следующих двадцати лет и нуждается в ядерном топливе для их эксплуатации. Он не сказал, был ли Натанз заводом по обогащению урана, который строился для производства такого топлива, но, похоже, это подразумевалось.
  
  МАГАТЭ настаивало на том, чтобы Иран немедленно открыл Натанз для своих инспекторов, и после недолгих колебаний иранские официальные лица неохотно согласились на дату в октябре. Но как раз в тот момент, когда МАГАТЭ готовилось к поездке, Иран отменил визит, заявив, что дата не подойдет. Второй визит был запланирован на декабрь, но его тоже отменили. Хейнонен подозревал, что Иран пытается выиграть время, чтобы вывезти инкриминирующие улики из Натанза.
  
  Когда основатель ИГИЛ Дэвид Олбрайт узнал, что Иран тянет время, он решил передать спутниковые снимки средствам массовой информации, чтобы заставить Иран открыть Натанз для инспекторов. Одно дело, когда Иран дал отпор заявлениям оппозиционной группы с политической повесткой дня. Еще одна реакция на яркие изображения секретных сайтов, транслируемых по всему миру на CNN. Итак, 12 декабря CNN опубликовал статью вместе со спутниковыми снимками, предоставленными ИГИЛ, в которой говорилось, что Иран, как полагают, строит секретный завод по обогащению в Натанзе, который может быть использован для производства расщепляющегося материала для ядерного оружия. Посол Ирана в Организации Объединенных Наций отрицал, что у Ирана есть программа создания ядерного оружия, и сказал CNN, что “любые спутниковые фотографии любого объекта, которые у вас могут быть”, предназначены для мирной ядерной энергетической программы, а не для программы создания оружия.14
  
  Однако изображения возымели желаемый эффект: после публикации материала CNN иранские официальные лица назначили дату проверки на февраль.
  
  ХОТЯ объект в НАТАНЗЕ был новым, ядерная деятельность Ирана фактически началась более сорока лет назад. Они уходили корнями в режим бывшего шаха Мохаммеда Резы Пехлеви в то время, когда Соединенные Штаты и другие западные страны полностью поддерживали ядерные устремления Ирана.
  
  Иран начал свою публичную и одобренную ядерную программу в 1957 году, более чем через десять лет после того, как Соединенные Штаты взорвали первые атомные бомбы над Японией. Это было в то время, когда другие страны стремились присоединиться к эксклюзивному ядерному клубу, основанному Соединенными Штатами. В попытке перенаправить ядерные амбиции этих стран администрация Эйзенхауэра продвигала то, что она назвала программой "Атомы для мира", в соответствии с которой странам будет оказываться помощь в разработке ядерных технологий, если они будут использовать их только в мирных целях. В рамках программы Иран подписал соглашение с Соединенными Штатами о получении помощи в строительстве легководного исследовательского ядерного реактора в Тегеранском университете. Соединенные Штаты также согласились поставлять обогащенный уран для его заправки.15
  
  Но, несмотря на усилия США по ограничению разработки ядерного оружия, четыре другие страны пробились в элитный ядерный клуб после войны — Советский Союз, Великобритания, Франция и Китай. Чтобы обуздать безумие распространения, в 1960-х годах был разработан Договор о нераспространении ядерного оружия, чтобы помешать большему числу стран последовать его примеру и работать над сокращением вооружений, которыми уже обладали ядерные державы.16
  
  В соответствии с договором, который разделил мир на обладающих ядерным оружием и неимущих, странам, не обладающим ядерным оружием, будет оказана помощь в разработке гражданских ядерных программ, если они согласятся отказаться от создания ядерного оружия и аналогичным образом согласятся на регулярные инспекции МАГАТЭ для обеспечения того, чтобы материалы и оборудование, предназначенные для гражданских программ, не использовались для разработки ядерного оружия. Проблема с этим соглашением, однако, заключалась в том, что многие компоненты и установки для гражданских ядерных программ были двойного назначения и могли также использоваться для программы создания ядерного оружия, что затрудняло контроль за операциями страны. Как однажды сказал шведский нобелевский лауреат по физике Ханнес Альфвен, “Атомы для мира и атомы для войны - сиамские близнецы”.
  
  Иран был одной из первых стран, подписавших договор в 1968 году, а к 1974 году он создал свою собственную организацию по атомной энергии и разработал грандиозную схему строительства двадцати ядерных реакторов при поддержке Германии, Соединенных Штатов и Франции, которые все выиграли от продажи оборудования режиму шаха. Первые два реактора должны были быть построены в Бушере. В 1975 году немецкие инженеры совместно с дочерней компанией Siemens Kraftwerk Union приступили к реализации строительного проекта стоимостью 4,3 миллиарда долларов, который планировалось завершить в 1981 году.17
  
  В то время были опасения, что конечной целью Ирана может стать ядерное оружие. Сам шах в какой-то момент намекнул, что его ядерные цели носят не только мирный характер, заявив в интервью, что Иран получит ядерное оружие “без сомнения ... раньше, чем можно было бы подумать”, если условия на Ближнем Востоке сделают это необходимым.18 Но лидеры США не беспокоились, потому что они считали шаха другом и, похоже, не могли представить день, когда он или его режим не будут у власти.19
  
  Однако этот день наступил довольно быстро, когда в 1979 году вспыхнула Исламская революция, как раз когда один из реакторных корпусов в Бушере близился к завершению. Революционеры, которые свергли шаха и захватили власть вместе с аятоллой Рухоллой Хомейни, ограниченно смотрели на реакторы behemoth, возводимые в Бушере, считая их символом союза шаха с Западом. Соединенные Штаты, встревоженные нестабильной политической ситуацией, прекратили поддержку проекта, и правительство Германии в конечном итоге вынудило Kraftwerk Union разорвать контракт на Бушер.20
  
  Последующая ирано-иракская война не была благосклонна к заброшенным реакторам. На протяжении восьмилетней войны, которая продолжалась с 1980 по 1988 год, Ирак бомбил две башни более полудюжины раз, оставляя их в руинах.21 Во время войны командующий Революционной гвардией Ирана призвал аятоллу Хомейни запустить программу создания ядерного оружия, чтобы противостоять Ираку и его западным союзникам. Но Хомейни отказался, считая, что ядерное оружие является проклятием ислама и нарушением его основных моральных принципов. Однако он, по-видимому, изменил свое мнение после того, как Саддам Хусейн применил химическое оружие против иранских военнослужащих и гражданских лиц, убив около 25 000 человек и ранив более 100 000 других. Возмущенный пассивной реакцией ООН и встревоженный слухами о том, что Ирак стремится создать собственное ядерное оружие, Хомейни решил возобновить ядерную программу Ирана. Это включало разработку программы обогащения урана.22
  
  Для запуска программы Иран обратился за помощью к пакистанскому металлургу по имени Абдул Кадир Хан. Хан сыграл важную роль в оказании помощи Пакистану в создании его программы создания ядерного оружия в середине 1970-х годов, используя технологию центрифуг, которую он украл из Европы. Хан работал в голландской компании, которая проводила исследования и разработки центрифуг для Urenco, консорциума, созданного Германией, Великобританией и Нидерландами для разработки центрифуг для атомных электростанций в Европе. В рамках своей работы Хан имел доступ к чувствительным конструкциям центрифуг , которые он скопировал и увез обратно в Пакистан. Он также скрылся со списками поставщиков, многие из которых были готовы тайно продать Пакистану запчасти и материалы для изготовления центрифуг для его программы.
  
  Центрифуги представляют собой металлические цилиндры с роторами внутри, которые могут вращаться со скоростью, превышающей 100 000 оборотов в минуту, для обогащения газообразного гексафторида урана, получаемого из урановой руды, найденной в земле и морской воде. Газообразный гексафторид подается по трубопроводам в “каскады” центрифуг — группы центрифуг, соединенных трубами и клапанами. И когда роторы внутри них вращаются, центробежная сила отделяет немного более легкие изотопы U-235 в газе — расщепляющиеся изотопы, необходимые для атомной энергии, — от более тяжелых изотопов U-238, что можно сравнить с обработкой золота.23 Газ, содержащий более тяжелые изотопы, выталкивается к внешней стене, в то время как газ, содержащий более легкие изотопы, собирается ближе к центру. Спирали, намотанные снаружи центрифуги и заполненные нагретой водой, создают переменную температуру, которая приводит газ в вертикальное движение, образуя овальный рисунок вдоль стенки центрифуги, для дальнейшего разделения изотопов. Черпаки перенаправляют газ, содержащий концентрацию более легких изотопов, в другие центрифуги на “более высокой” ступени каскада, где происходит дальнейшее разделение, в то время как более тяжелый газ, обедненный уран, отводится в второй комплект центрифуг на нижней ступени каскада для дальнейшего разделения. Когда из этого газа выделяются дополнительные изотопы U-235, он поступает обратно на более высокие ступени для рекомбинации с другими изотопами U-235, в то время как обедненный газ отправляется в “отходы”, то есть в хвост каскада, где он выбрасывается. Этот процесс повторяется до тех пор, пока не будет достигнут газ, содержащий желаемую концентрацию изотопов U-235.24
  
  В 1987 году, после того, как Иран возобновил свою ядерную программу, тамошние чиновники связались с немецким инженером, ставшим торговцем на черном рынке, который был ключевым поставщиком оборудования для незаконной ядерной программы Пакистана. Он помог организовать секретную встречу в Дубае между иранскими официальными лицами и другими членами сети поставок Khan. В обмен на 10 миллионов долларов иранцы ушли с двумя большими чемоданами и двумя портфелями, наполненными всем необходимым для запуска программы обогащения урана - техническими проектами для изготовления центрифуг, парой разобранных прототипов центрифуг и чертежом макета небольшой центрифужной установки с шестью каскадами.25 Очевидно, в качестве бонуса маркетологи добавили пятнадцатистраничный документ, описывающий, как превратить обогащенный уран в металлический уран и отлить его в “полусферы”, основной компонент ядерных бомб.26 Позже Хан сказал пакистанскому телевидению, что он помог Ирану развивать свою ядерную программу, потому что он думал, что если и Пакистан, и Иран станут ядерными державами, они “нейтрализуют власть Израиля” в регионе.27
  
  Полученные иранцами разобранные центрифуги были основаны на одной из конструкций, которые Хан украл у Urenco. В Пакистане центрифуга была известна как P-1, но в Иране она стала известна как IR-1. Первоначально Ирану не хватало денег, чтобы что-либо сделать с разработками, но в 1988 году, после окончания ирано-иракской войны и высвобождения ресурсов, страна начала вкладывать деньги в программу обогащения, закупая высокопрочный алюминий и другие материалы для строительства собственных центрифуг и тайно импортируя почти две тонны природного урана, включая газообразный гексафторид урана, из Китая.28
  
  Позже Хан тайно передал Ирану компоненты для пятисот центрифуг P-1, а также инструкции по созданию программы обеспечения качества для изготовления и тестирования центрифуг. Последнее было крайне необходимо, потому что у Ирана возникли проблемы с центрифугами, которые он создал на основе пакистанских прототипов. Иногда они выходили из-под контроля и разбивались; в других случаях они вообще не работали.29 К 1994 году Ирану удалось успешно запустить только одну центрифугу на “почти полной скорости”.30
  
  В результате иранцы обвинили Хана в продаже им товарной накладной. Итак, в 1996 году он передал чертежи пакистанской центрифуги P-2, более совершенной центрифуги, основанной на другой конструкции, украденной у Urenco.31 P-2 был намного эффективнее, чем IR-1, и мог обогащать примерно в два с половиной раза больше урана за тот же промежуток времени. В нем также использовался ротор, изготовленный из стареющей стали — более упругого материала, чем подверженные поломке алюминиевые роторы в IR-1.
  
  В то время как Иран был занят разработкой своей секретной программы по обогащению урана, его публичная ядерная программа продолжалась параллельно. В 1995 году страна подписала с Россией контракт на 800 миллионов долларов на возобновление строительства реактора в Бушере. Две страны также обсуждали строительство завода по обогащению урана для производства топлива для реактора, но администрация Клинтона вмешалась и убедила Россию отказаться от него. Итак, Иран просто построил секретный завод по обогащению самостоятельно.32
  
  Примерно в это же время Европа начала ужесточать контроль за экспортом оборудования и компонентов двойного назначения. Однако контроль не сдержал Иран; они просто заставили его тайную программу уйти в подполье. Чтобы защитить исследовательские и производственные объекты от обнаружения, чиновники начали распространять разработку среди различных объектов по всей стране, некоторые из них находятся на охраняемых военных территориях, другие скрыты на виду в непритязательных офисах и складах. В рамках этих усилий компания перенесла производство центрифуг из Тегеранского центра ядерных исследований, где они были запущены, на заводы, которые когда-то принадлежали Kalaye Electric Company, бывшему часовому заводу в промышленной части Тегерана, который Организация по атомной энергии приобрела в качестве подставного предприятия. Это была та же компания, которую Джафарзаде позже упомянул на своей пресс-конференции в 2002 году.
  
  Примерно в 1999 году Иран провел свои первые успешные испытания по обогащению на заводе в Калайе, используя небольшие каскады центрифуг и некоторое количество газа с гексафторидом урана, закупленного в Китае.33 Это был крупный прорыв, раз и навсегда доказавший жизнеспособность программы, на разработку которой ушло десятилетие. Чиновники из Организации по атомной энергии Ирана в этот момент пошли полным ходом, приказав рабочим начать крупномасштабное производство 10 000 центрифуг для обширного завода по обогащению, который они планировали построить в Натанзе. В то же время они начали наращивать усилия по закупкам деталей и материалов в Европе и других местах.34 Где-то в 2000 году рабочие начали строительство комплекса в Натанзе, и Иран был на пути к превращению в ядерную державу.
  
  
  
  1 Выступление Алирезы Джафарзаде доступно в библиотеке C-SPAN по адресу: c-spanvideo.org/program/172005-1. Неофициальная стенограмма его комментариев также доступна на: iranwatch.org/privateviews/NCRI/perspex-ncri-topsecretprojects-081402.htm.
  
  2 Хотя специалисты по нераспространению ядерного оружия не были слишком обеспокоены тем, что плутоний из легководного реактора в Бушере использовался для создания ядерного оружия, поскольку материал не был идеальным для этой цели, были и другие опасения, связанные с реактором. Заместитель помощника министра обороны Маршалл Биллингсли заявил Сенату 29 июля 2002 года, что существуют опасения, что Бушер был “предлогом для создания инфраструктуры, призванной помочь Тегерану приобрести атомное оружие”, что означает, что материалы, приобретенные для Бушера, могут быть использованы для секретной ядерной деятельности вместо этого.
  
  3 Тяжелая вода - это вода с высоким содержанием изотопа водорода дейтерия. Тяжелая вода находит применение в качестве хладагента и замедлителя на электростанциях и в исследовательских реакторах для производства медицинских изотопов. Но отработанное топливо с таких заводов содержит плутоний и другие материалы, которые при переработке могут быть использованы для создания ядерного оружия. Тяжеловодные реакторы являются лучшим источником плутония, чем легководные реакторы, такие как Бушер.
  
  4 Для получения дополнительной информации смотрите эта страница.
  
  5 Джафарзаде сказал, что NCRI получил разведданные за несколько дней до пресс-конференции и что они поступили от членов сопротивления внутри Ирана. “Это люди, которые были непосредственно связаны или вовлечены в это, [и] имели прямой доступ к информации об этих видах деятельности”, - сказал он журналистам в зале. “Конечно, это люди, которые имеют доступ к этой информации внутри режима”. На вопрос, поделилась ли его группа разведданными с властями США, Джафарзаде тщательно проанализировал его слова. Данные “были провоцированы …, - начал говорить он, “ были доступны соответствующим властям в этой стране. Я еще не знаю об их реакции ”. Два года спустя директор ЦРУ Джордж Тенет сказал об этих и других разоблачениях NCRI: “Я хочу заверить вас, что недавние признания Ирана об их ядерных программах подтверждают наши оценки разведки. Абсолютно неверно говорить, что мы были ‘удивлены’ сообщениями иранской оппозиции в прошлом году ”. Он выступал в Джорджтаунском университете 5 февраля 2004 года. Стенограмма его выступления доступна на: https://www.cia.gov/news-information/speeches-testimony/2004/tenet_georgetownspeech_02052004.html.
  
  6 Израиль тайно вступил в ряды ядерных держав в 1967 году.
  
  7 Лоббистская кампания NCRI сработала. С помощью и поддержкой ряда законодателей США, а также бывших руководителей ФБР и ЦРУ, название группы было исключено из списка террористических в 2012 году. Сторонники назвали группу верным союзником Соединенных Штатов и указали на ее роль в раскрытии секретной ядерной программы Ирана в качестве одной из причин для исключения ее из списка.
  
  8 Другой компанией была GeoEye.
  
  9 Источник в МАГАТЭ подтвердил мне, что агентство действительно заказало изображения.
  
  10 Дэвид Олбрайт, Торгуя опасностью: как секретная ядерная торговля вооружает врагов Америки (Нью-Йорк: Свободная пресса, 2010), 187.
  
  11 Авторское интервью с Хейноненом в июне 2011 года.
  
  12 Есть разные сообщения о том, что МАГАТЭ было известно, когда. По словам Марка Хиббса, бывшего ведущего журналиста по ядерным вопросам, а ныне политического аналитика, примерно за два месяца до пресс-конференции NCRI Соединенные Штаты передали МАГАТЭ координаты подозрительных объектов в Иране, которые Соединенные Штаты отслеживали, по крайней мере, с начала 2002 года (Хиббс, “В октябре США проинформировали группу поставщиков о подозрительном иранском заводе по обогащению”, Ядерное топливо, 23 декабря 2001 года). Дэвид Олбрайт из ИГИЛ говорит, однако, что, хотя американские источники предоставили МАГАТЭ координаты объектов, они не сказали, что объект в Натанзе был заводом по обогащению урана. Мохаммед Эль-Барадеи в своей книге Эпоха обмана признает, что в середине 2002 года МАГАТЭ получило информацию об объекте в Натанзе, но не говорит, знало ли МАГАТЭ, что это завод по обогащению урана.
  
  13 Иранские официальные лица позже скажут, что единственная причина, по которой они скрывали свою деятельность в Натанзе, заключалась в том, что Запад пытался помешать их усилиям по созданию гражданской ядерной программы.
  
  14 Расшифровка материала CNN доступна по адресу http://transcripts.cnn.com/TRANSCRIPTS/0212/13/lol.07.html.
  
  15 Цифровой архив национальной безопасности, “США поставляли ядерный материал Ирану”, 29 января 1980 года, доступен по адресу nsarchive.chadwyck.com (требуется регистрация). См. также Дитер Беднарц и Эрих Фоллат, “Угроза по соседству: посещение ядерной лаборатории Ахмадинежада”, Spiegel Online, 24 июня 2011 г., доступно по адресу spiegel.de/international/world/the-threat-next-door-a-visit-to-ahmadinejad-s-nuclear-laboratory-a-770272.html.
  
  16 Энн Хессинг Кан, “Детерминанты ядерного варианта: случай Ирана”, в Распространении ядерного оружия в странах, близких к ядерным, ред. Онкар Марвей и Энн Шульц (Cambridge: Ballinger Publishing Co., 1975), 186.
  
  17 Али Ваез, “В ожидании Бушера”, Foreign Policy, 11 сентября 2011 года.
  
  18 Джон К. Кули, “Больше пальцев на ядерном спусковом крючке?” Christian Science Monitor, 25 июня 1974 года. Иранские официальные лица позже отрицали, что он сделал это заявление.
  
  19 Фактически, Иран обсуждал планы с Израилем по адаптации ракет класса "земля-земля" для оснащения их ядерными боеголовками. См. Пол Мишо, “Иран выбрал атомную бомбу при шахе: бывший чиновник”, Dawn, 23 сентября 2003 года. Кроме того, по словам Акбара Этемада, главы иранской организации по атомной энергии при шахе, ему было поручено создать специальную команду для отслеживания последних ядерных исследований, чтобы Иран был готов создать бомбу, если и когда это будет необходимо. Он раскрыл информацию во время интервью с Le Figaro в 2003 году, по словам Элейн Сциолино, “Мировые ядерные амбиции не новы для Ирана”, New York Times, 22 июня 2003 года.
  
  20 Джон Геддес, “Немецкий концерн прекращает контракт”, New York Times, 3 августа 1979 года. См. также Джудит Перера, “Ядерные установки пускают корни в пустыне”, New Scientist, 23 августа 1979 года.
  
  21 Ваэз, “В ожидании Бушера”.
  
  22 Институт науки и международной безопасности, “Выдержки из внутреннего документа МАГАТЭ о предполагаемом создании ядерного оружия в Иране”, 2 октября 2009 года. Отчет ISIS основан на внутреннем документе МАГАТЭ под названием “Возможные военные аспекты ядерной программы Ирана”, доступном по адресу isisnucleariran.org/assets/pdf/IAEA_info_3October2009.pdf.
  
  23 У изотопа U-235 на три нейтрона меньше, чем у U-238, что делает его легче.
  
  24 Чарльз Д. Фергюсон, Ядерная энергия: что нужно знать каждому (Нью-Йорк: Издательство Оксфордского университета, 2011).
  
  25 Деннис Франц и Кэтрин Коллинз, ядерный джихадист: правдивая история человека, который продал самые опасные секреты в мире (Нью-Йорк: Свободная пресса, 2007), 156. Эти предметы были перечислены в полученном МАГАТЭ рукописном документе, который был описан в Совете управляющих МАГАТЭ, “Генеральный директор, осуществление Соглашения о гарантиях ДНЯО в Исламской Республике Иран, GOV/2005/67” (доклад, 2 сентября 2005 года), 5.
  
  26 В ноябре 2007 года, согласно Совету управляющих МАГАТЭ, Иран передал МАГАТЭ копию пятнадцатистраничного документа “Осуществление Соглашения о гарантиях в рамках ДНЯО и соответствующих положений резолюций 1737 (2006) и 1747 (2007) Совета Безопасности в Исламской Республике Иран” (доклад, 22 февраля 2008 года) 4. Иран утверждал, что он не запрашивал документ, но получил его без запроса от торговцев на черном рынке.
  
  27 Эрих Фоллат и Хольгер Старк, “Рождение бомбы: история ядерных амбиций Ирана”, Der Spiegel, 17 июня 2010 года.
  
  28 Совет управляющих МАГАТЭ, “Осуществление Соглашения о гарантиях в рамках ДНЯО в Исламской Республике Иран” (доклад, 10 ноября 2003 года), 5.
  
  29 В 1992 году бывший глава иранской организации по атомной энергии Масуд Нараги покинул Иран и предоставил ЦРУ некоторую информацию об иранской программе. Нараги помогал вести переговоры о заключении сделки в 1987 году между Ираном и А. К. Ханом по получению первых центрифуг для иранской программы обогащения. Например, он сообщил ЦРУ, что у иранских исследователей возникли проблемы с центрифугами IR-1, которые они пытались построить по проекту Хана. См. Франц и Коллинз, Ядерный джихадист, 202. См. также Олбрайт, Опасность вразнос, 76-81.
  
  30 Ядерный джихадист, 213.
  
  31 Совет управляющих МАГАТЭ, “Генеральный директор, осуществление Соглашения о гарантиях в рамках ДНЯО” (доклад от 2 сентября 2005 года), 5.
  
  32 Считается, что проекты для отдельного завода по переработке урана в Исфахане — для переработки измельченной урановой руды в газ - возможно, поступили из Китая. В 1997 году администрация Клинтона объявила, что приостановила сделку, заключенную Китаем, по продаже Ирану конверсионного завода, но Иран все равно получил чертежи завода от китайцев. См. Джон Помфрет, “США могут сертифицировать Китай по ограничению ядерного экспорта”, Washington Post, 18 сентября 1997.
  
  33 Иран публиковал подробности своей ядерной истории по частям в течение ряда лет, и они передавались в отчетах МАГАТЭ по мере их получения АГЕНТСТВОМ, начиная с 2004 года. Однако подробности из Ирана не всегда совпадали с информацией, которую МАГАТЭ и журналисты получали из других источников.
  
  34 Олбрайт, Торгующая опасностью, 185.
  
  OceanofPDF.com
  
  ГЛАВА 4
  STUXNET РАЗОБРАН
  
  В первые дни после появления новостей о Stuxnet около дюжины исследователей Symantec на трех континентах были вовлечены в первоначальный анализ кода компании. Но очень быстро это число сократилось всего до трех — Чиен, О'Мурчу и Фаллиер, — поскольку другие аналитики отошли, чтобы сосредоточиться на новых угрозах, которые надвигались. Сейчас, почти через неделю после разоблачения Stuxnet, три аналитика все еще разбирали “ракетную” часть атаки и даже еще не начали изучать полезную нагрузку.
  
  Как и обычное оружие, большинство цифровых вооружений состоит из двух частей — ракеты или системы доставки, отвечающей за распространение вредоносной полезной нагрузки и установку ее на компьютеры, и самой полезной нагрузки, которая выполняет фактическую атаку, такую как кража данных или другие действия с зараженными машинами. В этом случае полезной нагрузкой был вредоносный код, предназначенный для программного обеспечения Siemens и ПЛК.
  
  Поскольку еще предстояло проделать так много работы над Stuxnet, перед Чиеном стояла задача убедить своих менеджеров в том, что ему и его команде следует продолжать копаться в коде, хотя это уже стало вчерашней новостью. Каждую среду он проводил видеоконференцию с менеджерами по борьбе с угрозами компании по всему миру, чтобы проанализировать все основные инфекции, которые они расследовали в то время, и обсудить стратегию. В первую среду после разоблачения Stuxnet загадочная атака была на первом месте в их повестке дня.
  
  Офисы Symantec в Калвер-Сити занимают большое и просторное здание на территории бизнес-кампуса площадью девять акров, усеянного пальмами и пустынными кустарниками. Современное пятиэтажное здание резко контрастирует с тесным офисом VirusBlokAda коммунистической эпохи, с просторным атриумом с высокими потолками и большими полами из цементной плитки, которые звенят, как полое стекло, когда посетители ходят по ним, благодаря туннелям, под которыми расположены системы электропитания и вентиляции здания. Офисный комплекс Symantec имеет сертификат LEED–gold за экологически чистую архитектуру, с отражающей солнечные лучи крышей, защищающей от безжалостного солнца Южной Калифорнии, и стеклянным фасадом, предназначенным для того, чтобы у каждого жильца был вид или, по крайней мере, то, что считается таковым в этом скучном районе торговых центров и автострад рядом с аэропортом Лос-Анджелеса.
  
  Зал видеоконференций представлял собой небольшое помещение без окон, расположенное в забытом районе третьего этажа здания, куда можно было попасть окольным путем из лаборатории вредоносных программ. Внутри зала три больших видеоэкрана, установленных на уровне глаз на стене перед рядом столов, создавали впечатление, что виртуальные посетители сидят прямо напротив Цзяня.
  
  Чиен изложил своим менеджерам краткое изложение первых выводов О'Мурчу — аномально большой размер кода, сложный метод загрузки и сокрытия файлов и таинственная полезная нагрузка, которая, казалось, предназначалась только для ПЛК Siemens. Он также раскрыл причудливую географическую схему распространения данных о заражении, попадающих в их воронку. Возможные политические последствия атаки, однако, остались невысказанными.
  
  “Мы хотим, чтобы Нико занимался этим полный рабочий день”, - сказал затем Чиен своим менеджерам, имея в виду Falliere во Франции. “И я думаю, что нам с Лиамом также следует продолжить работу над этим”. Однако была одна загвоздка. Он понятия не имел, сколько времени им потребуется, чтобы закончить анализ кода.
  
  Обычно исследовательские группы компании анализировали около двадцати вредоносных файлов в день, поэтому посвящать трех ведущих аналитиков одной угрозе на неопределенный срок не имело никакого делового смысла. До этого они делали это только один раз, с червем Conficker в 2008 году. Но Conficker был изменяющим форму червем, который заразил миллионы машин по всему миру и оставил после себя множество все еще оставшихся без ответа вопросов, в том числе о том, почему червь был создан в первую очередь.1 Stuxnet, напротив, заразил лишь часть номеров Conficker и нацелился на еще меньшее подмножество — ПЛК Siemens. Тем не менее, что-то в таинственном коде требовало дальнейшего расследования, и менеджеры Chien согласились, что им пока не следует отказываться от него. “Но держите нас в курсе того, что вы найдете”, - сказали они, не имея ни малейшего представления о том, что на их еженедельных собраниях разговоры о Stuxnet будут доминировать в течение нескольких месяцев.
  
  Чиен и его коллеги воспользовались возможностью погрузиться в код, восприняв его как личную одержимость. Но как только они начали операцию, они поняли, что направляются на неизведанную территорию с небольшой помощью, чтобы направлять их.
  
  SYMANTEC - крупная международная корпорация, но Чиен и О'Мерчу работали в небольшом офисе-спутнике, занимаясь этим в основном самостоятельно, с небольшим участием. Они работали в лаборатории Symantec по анализу угроз в Калвер-Сити, кибер-эквиваленте лаборатории биологической защиты, где исследователи могли запускать вредоносный код в “красной” сети — изолированной системе, подключенной к бизнес-сети Symantec, — чтобы наблюдать за его враждебным поведением в контролируемой среде. Чтобы попасть в лабораторию на первом этаже, рабочие прошли через несколько комплектов дверей безопасности, на каждой из которых действовали все более строгие правила. Последний шлюз не допускал всех, кроме горстки работников, и физически изолировал сеть Red от компьютеров, подключенных к внешнему Интернету. Здесь были запрещены портативные носители информации — не разрешались DVD, CD-ROM или USB флэш—накопители - чтобы работники не могли бездумно вставить один из них в зараженную машину и непреднамеренно вынести его из лаборатории с установленным на нем вредоносным образцом.
  
  Термин “лаборатория анализа угроз” вызывает в воображении стерильную мастерскую с учеными в белых халатах, склонившимися над микроскопами и чашками Петри. Но лаборатория Symantec была всего лишь невзрачным офисным помещением, заполненным в основном пустыми кабинками и горсткой работников, которые весь день пристально смотрели в свои мониторы, в основном в тишине, выполняя методичную и, казалось бы, утомительную работу. На стенах не было картин; никаких нерф-пушек или других дурацких офисных игр, в которые работники иногда играют, чтобы выпустить пар; никаких растений, поддельных или иных, чтобы придать помещению домашний уют. Единственной зеленью стала стена из окон, выходящих на травянистый, покрытый деревьями холм — такие, которые изготавливают бизнес-парки, чтобы имитировать природу для работающих взаперти.
  
  В кабинете О'Мерчу не было ничего личного, если не считать единственного панорамного снимка Большого Каньона, залитого розовыми и лиловыми оттенками заката, который напоминал о поездке, которую он совершил со своим отцом в прошлом году. На его столе стояли два исследовательских компьютера, подключенных к сети Red, а третий, для чтения электронной почты и веб-серфинга, состоял только из периферийных устройств — клавиатуры, монитора и мыши, — подключенных с помощью извилистых кабелей к жесткому диску, спрятанному за пределами лаборатории в серверном шкафу, надежно изолированном от враждебной сети.
  
  Кабинет Чиена, у которого была одна стена с кабинкой О'Мерчу, был лишь немного более личным, со странным ассортиментом художественных открыток и пиратских флагов рядом с эмалированной табличкой на двери с надписью CHIEN LUNATIQUE— каламбур на его имя. В вольном переводе с французского это означало “Берегись собаки”, но Чиен предпочел более буквальный перевод “Бешеная собака”.
  
  Чиену было тридцать девять лет, но выглядел он на десять лет моложе. Высокий, долговязый, в очках в проволочной оправе, он обладал широкой, обаятельной улыбкой с глубокими ямочками на щеках, которые глубоко проваливались в его щеки, когда он смеялся, и он говорил быстрыми очередями, когда его волновала тема, которую он обсуждал. Цзянь сделал долгую и успешную карьеру в сфере безопасности, но в высококонкурентной сфере, где профессионалы часто рекламировали свои навыки и опыт, чтобы выделиться среди конкурентов, он был противоположностью, скромным и сдержанным, предпочитая сосредоточиться на криминалистике, а не на flash.
  
  Из них троих он дольше всех проработал в Symantec. Это была его первая работа после окончания колледжа, но он попал в нее совершенно случайно. В начале 90-х в Калифорнийском университете в Лос-Анджелесе он изучал сочетание генетики, молекулярной биологии и электротехники и, как и О'Мерчу, был на пути к научной карьере. Но после окончания учебы в 1996 году он последовал за несколькими друзьями в Symantec, намереваясь остаться всего на пару лет, чтобы заработать деньги для аспирантуры. Но он так и не ушел.
  
  Кибербезопасность все еще была зарождающейся областью, и было легко получить работу без подготовки или опыта. В то время Цзянь ничего не знал о вирусах, но самостоятельно изучил ассемблер x86, язык программирования, на котором написано большинство вредоносных программ, и этого было достаточно. Лучшие аналитики в любом случае не были обученными компьютерными инженерами. Инженеры создавали вещи, но борцы с вирусами разрывали их на части. Несмотря на то, что компьютерная безопасность стала устоявшейся профессией, основанной на учебных курсах и сертификациях, Цзянь отдавал предпочтение кандидатам на работу, у которых не было опыта, но было неутолимое любопытство и непреодолимая потребность решать головоломки и разбирать вещи на части. Было легко научить кого-то кодировать сигнатуры вирусов, но вы не могли научить любопытству или привить кому-то страсть к знанию того, как все работает. У лучших исследователей была одержимость, которая заставляла их следить за фрагментом кода, пока он не выдавал свои секреты.
  
  Когда Чиен присоединился к Symantec, исследователи антивирусных программ были похожи на ремонтников Maytag из тех культовых рекламных роликов — у них было много простоев. Вирусы все еще были редкостью и, как правило, медленно распространялись через гибкие диски и “тапочную сеть”, переносимые с одного компьютера на другой вручную. Клиенты, которые думали, что они заражены вирусом, отправляли подозрительный файл на гибком диске в Symantec, где он мог пролежать в настольном лотке неделю или больше, прежде чем Чиен или кто-то из его коллег проходил мимо и забирал его. В большинстве случаев файлы оказывались доброкачественными. Но иногда они находили вредоносный экземпляр. Когда это произошло, они набросили несколько сигнатур, чтобы обнаружить это, затем перенесли их на другую дискету и отправили заказчику по почте вместе с инструкциями по обновлению своего антивирусного сканера.
  
  Однако прошло совсем немного времени, прежде чем появилось вредоносное ПО и ситуация изменилась. Внедрение Microsoft Windows 98 и Office, наряду с расширением Интернета и распространением электронной почты, породило быстро распространяющиеся вирусы и сетевых червей, которые за считанные минуты распространились на миллионы компьютеров. Вирус Мелиссы в 1999 году был одним из самых печально известных.2 Запущенный тридцатиоднолетним программистом из Нью-Джерси по имени Дэвид Смит, он был встроен в документ Word, который Смит разместил в группе новостей alt.sex.usenet. Смит хорошо знал свою целевую аудиторию — он соблазнил их открыть файл, заявив, что в нем содержатся имена пользователей и пароли для доступа к порносайтам. После открытия Melissa воспользовалась уязвимостью в макрофункции Microsoft Word и отправила себя по электронной почте первым пятидесяти контактам в адресной книге Outlook жертвы. В течение трех дней первый в мире вирус массовой рассылки распространился на более чем 100 000 компьютеров, впечатляющий рекорд для того времени, но странный по сегодняшним стандартам. В дополнение к распространению через Outlook, он вставил в документы на зараженных машинах ссылку на Scrabble для ботаников: “двадцать два, плюс оценка в три слова, плюс пятьдесят баллов за использование всех моих букв. Игра окончена. Я ухожу отсюда ”. Melissa была относительно безвредной, но она открыла путь другим быстро распространяющимся вирусам и червям, которые будут доминировать в заголовках в течение многих лет.3
  
  По мере расширения спектра угроз Symantec поняла, что необходимо быстрее останавливать заражения, прежде чем они начнут распространяться. Когда компания впервые занялась антивирусным бизнесом, считалось, что это подходящее время для реагирования, чтобы устранить угрозу — от обнаружения до доставки сигнатур — в течение недели. Но Symantec стремилась сократить этот период до менее чем дня. Для достижения этой цели компании понадобились аналитики в разных часовых поясах, чтобы обнаружить вирусы в дикой природе, когда они впервые появились, и передать подписи американским клиентам, прежде чем они проснутся и начнут нажимать на вредоносные вложения электронной почты.
  
  К тому времени Цзянь уже перевыполнил свой двухлетний план работы с Symantec. Он накопил достаточно денег на аспирантуру и планировал переехать в Колорадо, чтобы покататься на сноуборде и велосипеде, прежде чем подавать заявку на научные программы. Но Symantec сделала заманчивое предложение — должность в Нидерландах вместо этого. У компании был офис технической поддержки и продаж за пределами Амстердама, но ей также нужна была команда аналитиков вредоносных программ. Цзянь не мог сказать "нет". Он приземлился в Нидерландах за несколько дней до того, как вирус-червь Love Letter вывел Интернет из строя в мае 2000 года. Червь начался как проект озорного класса студента колледжа на Филиппинах, но затем быстро распространился на миллионы машин по всему миру. Это был идеальный тест для новой европейской группы быстрого реагирования Symantec, даже если эта команда состояла всего из одного человека. В течение рекордных двадцати минут Чиен проанализировал код и создал подписи для его обнаружения. (К сожалению, все достижения оказались напрасными, поскольку Love Letter поглощала такую большую пропускную способность Интернета, что клиенты не могли связаться с серверами Symantec для загрузки подписей.) Как только кризис миновал, Чиен нанял еще четырех исследователей для пополнения своей амстердамской команды, и все они были на месте, когда в следующем году появилась следующая большая угроза — червь Code Red.
  
  Он ненадолго переехал в Токио, чтобы открыть еще одно исследовательское бюро. Затем, в 2004 году, Symantec перенесла свою европейскую штаб-квартиру из Амстердама в Дублин, и Чиен последовал за ней. Вскоре после этого он пополнил исследовательскую группу более чем дюжиной новых сотрудников, включая О'Мурчу. В 2008 году он вернулся в Соединенные Штаты вместе со своей новой женой, француженкой, которая работала в нидерландском офисе Symantec. Позже к нему присоединился в Калифорнии О'Мурчу.
  
  Теперь в Калвер-Сити они вдвоем с Фалльером столкнулись с непростой задачей по деконструкции Stuxnet.
  
  ПЕРВОЕ ПРЕПЯТСТВИЕ, с которым столкнулись исследователи, произошло, когда они попытались расшифровать весь код Stuxnet. Как О'Мерчу уже обнаружил, ядро Stuxnet было большим .Файл DLL, который был размещен на компьютерах. Это было упаковано с десятками небольших DLL-файлов и компонентов внутри него, все они были завернуты в слои шифрования, которые нужно было взломать и удалить, прежде чем они смогли расшифровать код. К счастью, ключи для их разблокировки были в самом коде; каждый раз, когда Stuxnet попадал на компьютер с Windows, он использовал ключи для расшифровки и извлечения каждого из них .DLL и компонент по мере необходимости, в зависимости от условий, которые он обнаружил на компьютере. По крайней мере, так это должно было работать. Некоторые ключи не были активированы на их тестовой машине — последние ключи были необходимы для разблокировки полезной нагрузки.
  
  О'Мерчу покопался в коде, пытаясь найти причину, и именно тогда он обнаружил ссылки на конкретные марки ПЛК Siemens. Stuxnet не просто охотился за системами с установленным программным обеспечением Siemens Step 7 или WinCC; они также должны были использовать определенную линейку ПЛК Siemens - программируемые логические контроллеры S7-315 и S7-417 компании. Только эта комбинация программного и аппаратного обеспечения активировала ключи Stuxnet для разблокировки и высвобождения полезной нагрузки.
  
  Единственная проблема заключалась в том, что у Чиена и О'Мерчу не было ни программного обеспечения Siemens, ни ПЛК. Без них им пришлось использовать отладчик, чтобы тыкать в код, чтобы найти ключи и вручную разблокировать полезную нагрузку.
  
  Отладочная программа, основа для реверсивных инженеров, позволяет им шаг за шагом проходить через код - как камера с остановкой движения, — чтобы изолировать каждую функцию и документировать ее активность. Используя это, они выделили каждый раздел кода, который содержал команды для расшифровки вредоносного ПО, и следовали командам, чтобы найти ключи. Но найти ключи было только половиной дела. Как только у них были все ключи, они должны были найти алгоритм шифрования, который открывал бы каждый ключ. Потребовалось несколько дней раскопок, но когда они разблокировали все части, они наконец смогли увидеть каждый шаг, который Stuxnet предпринял на начальных стадиях заражения.4
  
  Одним из первых действий Stuxnet было определение того, был ли компьютер 32-разрядным или 64-разрядным компьютером с Windows; Stuxnet работал только с 32-разрядными компьютерами с Windows. Он также определил, была ли машина уже заражена Stuxnet. Если бы это было так, Stuxnet убедился, что резидентное вредоносное ПО обновлено, и просто заменил все старые файлы на новейшие. Но если Stuxnet оказывался на новой машине, он начинал сложный танец заражения, быстро проходя последовательность шагов, чтобы оценить ландшафт машины и определить наилучший способ действий.
  
  Во время этого процесса один из его руткитов быстро занял позицию на компьютере, чтобы отключить систему от файлов Stuxnet на флэш-накопителе USB. Он сделал это, подключив систему таким образом, чтобы имена файлов не могли быть видны вирусными сканерами — эквивалент скрытия их в тени сканера. Если сканер пытался прочитать содержимое флэш-накопителя, руткит перехватывал команды и отправлял обратно измененный список, который не включал файлы Stuxnet. Но некоторые сканеры нельзя было обойти таким образом. Stuxnet знал, какие сканеры представляют проблему, и соответствующим образом модифицировал свои методы, если обнаруживал один из них на компьютере. Если Stuxnet определял, что он вообще не может обойти сканер, он останавливал заражение и отключался.
  
  Но если Stuxnet решал продолжить, то активировался второй драйвер. У этого было две задачи — первая состояла в том, чтобы заразить любой USB-накопитель, который был вставлен в машину, что он будет делать только в течение двадцати одного дня после того, как Stuxnet заразит машину.5 Вторая, и самая важная, задача заключалась в расшифровке и загрузке большого .DLL и ее различные компоненты в память машины с использованием новых методов, которые были задокументированы О'Мерчу. Сначала он развернул и распаковал .DLL для выпуска меньших .DLL внутри, затем он загрузил их в память. Поскольку файлы запускались в памяти, при каждой перезагрузке компьютера файлы стирались, поэтому драйверу также приходилось перезагружать их в памяти после каждой перезагрузки.
  
  Когда-то большое.Библиотека DLL и ее содержимое были распакованы и загружены в память, Stuxnet искал новые машины для заражения и звонил домой на серверы командования и управления, чтобы сообщить о своем новом завоевании — но если он не найдет программное обеспечение Siemens Step 7 или WinCC, установленное на машине, Stuxnet отключится на машине, как только эти шаги будут выполнены.
  
  Итак, теперь исследователи Symantec знали, как Stuxnet распространял и загружал свои файлы, но они все еще не знали, зачем он был создан или для чего он был разработан. Ответы на эти вопросы все еще были скрыты в его полезной нагрузке.
  
  Размышляя о том, что они обнаружили к настоящему времени в ракетной части кода, О'Мерчу не мог не восхититься искусной работой рук, которую злоумышленники применили в своей атаке, — умными способами, с которыми они решали проблемы, с которыми ожидали столкнуться, и многочисленными сценариями, которые им пришлось протестировать, прежде чем выпустить свой код. Не все функции Stuxnet были впечатляющими сами по себе, но в целом атака представляла собой огромную угрозу.
  
  Помимо сложных способов, которыми Stuxnet загружал свои файлы и обходил программное обеспечение безопасности, он использовал обширный контрольный список, чтобы убедиться, что все условия на компьютере были идеальными, прежде чем запускать его полезную нагрузку. Он также тщательно отслеживал все ресурсы, которые он использовал на машине, и следил за тем, чтобы освободить каждый из них, как только в них больше не было необходимости, чтобы уменьшить количество вычислительной мощности, потребляемой Stuxnet на машине — если Stuxnet использовал слишком много энергии, это приводило к замедлению работы машины и обнаружению. Он также перезаписал многие временные файлы, которые он создал на компьютере, когда они больше не были нужны. Все программы создают временные файлы, но большинство из них не утруждают себя их удалением, поскольку они просто будут перезаписаны временными файлами, созданными другими приложениями. Однако злоумышленники не хотели, чтобы файлы Stuxnet надолго оставались в системе, поскольку это повышало риск того, что их увидят.
  
  Но, несмотря на все дополнительные усилия, которые злоумышленники вложили в свой код, было несколько частей, которые казались странно недоработанными. О'Мурчу был не единственным, кто так думал. По мере того, как исследователи Symantec публиковали свои выводы о Stuxnet в течение нескольких недель, представители сообщества безопасности начали ворчать в Интернете по поводу многочисленных недостатков кода, настаивая на том, что его авторы далеко не были элитными хакерами, какими их представляли первоначальные отчеты. Некоторые говорили, что их техническое мастерство было непоследовательным, и они допустили ряд ошибок, которые позволили следователям легче увидеть, что они пытались сделать.
  
  Stuxnet, например, было бы гораздо сложнее расшифровать, если бы злоумышленники использовали лучшую маскировку, чтобы помешать судебным инструментам исследователей, таким как более сложные методы шифрования, которые не позволили бы никому, кроме целевых машин, разблокировать полезную нагрузку или даже определить, что Stuxnet нацелен на программное обеспечение Siemens Step 7 и ПЛК. Stuxnet также использовала слабое шифрование и стандартный протокол для связи со своими серверами командования и контроля вместо специально написанных, что затруднило бы исследователям поиск своего убежища и считывание трафика вредоносного ПО.
  
  Комментарии криптографа Нейта Лоусона сочились презрением, когда он написал в блоге, что авторы Stuxnet “должны быть смущены их любительским подходом к сокрытию полезной нагрузки” и использованием устаревших методов, которые преступные хакеры давно превзошли. “Я действительно надеюсь, что это не было написано США, - написал он, - потому что мне хотелось бы думать, что наши элитные разработчики кибероружия, по крайней мере, знают, что делали болгарские подростки в начале 90-х”.6 Сочетание современной тактики и методов хакера 101 сделало Stuxnet похожим на “лоскутное одеяло Франкенштейна” из отработанных методов, говорили другие, а не на радикальный проект skunkworks элитного разведывательного агентства.7
  
  Но у О'Мерчу был другой взгляд на несоответствия Stuxnet. Он полагал, что злоумышленники намеренно использовали слабое шифрование и стандартный протокол для связи с серверами, потому что они хотели, чтобы данные, передаваемые между зараженными машинами и серверами, напоминали обычную связь, не привлекая необычного внимания. И поскольку связь с серверами была минимальной — вредоносная программа передавала только ограниченную информацию о каждой зараженной машине — злоумышленникам не требовалось более совершенное шифрование, чтобы скрыть это. Что касается лучшей защиты полезной нагрузки, возможно, были ограничения, которые не позволили им использовать более сложные методы, такие как шифрование с помощью ключа, полученного из обширных и точных конфигурационных данных на целевых машинах, чтобы только эти машины могли ее разблокировать.8 Целевые машины, например, могли иметь разную конфигурацию, что затрудняло использование единого ключа шифрования полезной нагрузки, или, возможно, были опасения, что конфигурация на машинах может измениться, что сделает такой ключ бесполезным и предотвратит запуск полезной нагрузки.
  
  Недостатки Stuxnet, возможно, также были следствием нехватки времени — возможно, что-то заставило злоумышленников запустить свой код в спешке, в результате чего работа в последнюю минуту показалась критикам неаккуратной или дилетантской.
  
  Но было и другое возможное объяснение пестроты методов, использованных при угрозе — Stuxnet, вероятно, был создан разными командами программистов с разными навыками и талантами. Модульный характер вредоносной программы означал, что разработкой могли заниматься разные команды, которые работали над различными частями одновременно или в разное время. По оценкам О'Мерчу, для кодирования всего Stuxnet потребовалось по меньшей мере три команды — элитная, высококвалифицированная команда Tiger, которая работала с полезной нагрузкой, предназначенной для программного обеспечения Siemens и ПЛК; команда второго уровня, ответственная за механизмы распространения и установки, которые также разблокировали полезную нагрузку; и третья команда, наименее квалифицированная из группы, которая настраивала серверы командования и управления и обрабатывала шифрование и протокол для связи Stuxnet. Возможно, разделение обязанностей было настолько четко определено, а команды настолько разделены, что они никогда не взаимодействовали.
  
  Но хотя каждая из команд обладала разным уровнем мастерства и опыта, все они были, по крайней мере, одинаковы в одном — ни одна из них не оставила никаких подсказок в коде, которые можно было бы легко использовать для их отслеживания. Или так казалось.
  
  АТРИБУЦИЯ ЯВЛЯЕТСЯ постоянной проблемой, когда речь заходит о судебных расследованиях хакерских атак. Компьютерные атаки могут быть запущены из любой точки мира и перенаправлены через множество захваченных компьютеров или прокси-серверов, чтобы скрыть доказательства их источника. Если хакер не проявляет небрежности в сокрытии своих следов, разоблачить преступника с помощью одних только цифровых улик зачастую невозможно.
  
  Но иногда авторы вредоносных программ намеренно или нет оставляют в своем коде небольшие подсказки, которые могут рассказать историю о том, кто они и откуда пришли, если не идентифицировать их напрямую. Необычные аномалии или следы, оставленные, казалось бы, не связанными вирусами или троянскими конями, часто помогают судебным следователям связать семейства вредоносных программ воедино и даже проследить их до общего автора, подобно тому, как способ действия серийного убийцы связывает его с цепочкой преступлений.
  
  Код Stuxnet был более стерильным, чем вредоносная программа, которую обычно видели Чиен и О'Мурчу. Но две вещи в этом действительно выделялись.
  
  Однажды Чиен просматривал записи, сделанные ими во время первоначального заражения Stuxnet, когда его внимание привлекло нечто интересное — маркер заражения, который не позволил Stuxnet установить себя на определенные машины. Каждый раз, когда Stuxnet сталкивался с потенциальной новой жертвой, прежде чем начать процесс расшифровки и распаковки своих файлов, он проверял реестр Windows на компьютере на наличие “волшебной строки”, состоящей из буквы и цифр —0x19790509. Если бы он нашел строку, Stuxnet вышел из машины и не заразил бы ее.
  
  Цзянь уже видел подобные “значения прививки” раньше. Хакеры помещали их в раздел реестра своих собственных компьютеров, чтобы после запуска атакующего кода в тестовой среде или в дикой природе он не вернулся, чтобы укусить их, заразив их собственную машину или любые другие компьютеры, которые они хотели защитить. Значения прививки могут быть любыми по выбору хакера. В общем, это были просто случайные цепочки чисел. Но это, похоже, была дата — 9 мая 1979 года — с годом, указанным первым, за которым следуют месяц и день, обычный формат программирования Unix для дат. Другие числовые строки, которые появились в Stuxnet и которые, как исследователи знали наверняка, были датами, были записаны в том же формате.
  
  Чиен быстро поискал в Google в течение дня, о котором идет речь, и был лишь наполовину удивлен, когда один из результатов выявил связь между Израилем и Ираном. 1979 год был днем, когда известный иранский еврейский бизнесмен по имени Хабиб Эльганиан был расстрелян в Тегеране вскоре после того, как новое правительство захватило власть после Исламской революции. Эльганян был богатым филантропом и уважаемым лидером еврейской общины Ирана, пока его не обвинили в шпионаже в пользу Израиля и не убили. Его смерть стала поворотным моментом в отношения между еврейской общиной и иранским государством. В течение почти сорока лет, пока Мохаммад Реза Шах Пехлеви находился у власти, иранские евреи поддерживали довольно дружественные отношения со своими мусульманскими соседями, как и исламская нация с государством Израиль. Но казнь Эльганиана, всего через три месяца после того, как революция свергла шаха, стала моментом “Хрустальной ночи” для многих персидских евреев, дав понять, что жизнь при новом режиме будет совсем другой. Это событие вызвало массовый исход евреев из Ирана в Израиль и помогло разжечь вражду между двумя нациями, которая сохраняется и по сей день.
  
  Была ли майская дата в Stuxnet посланием Израиля Ирану “Помни Аламо” — чем-то вроде посланий, которые американские солдаты иногда нацарапывали на бомбах, сброшенных на вражескую территорию? Или это была попытка неизраильских субъектов обвинить еврейское государство в нападении, чтобы сбить следователей со следа? Или это был просто случай, когда у Цзяня разыгралось воображение и он увидел символы там, где их не было? Все, что Чиен мог делать, это догадываться.
  
  Но затем команда Symantec обнаружила еще один лакомый кусочек, который также имел возможную связь с Израилем, хотя для установления связи потребовалось больше акробатических прыжков. В этом случае использовались слова “мирт” и “гуава”, которые появились в пути к файлу, оставленному злоумышленниками в одном из файлов драйвера. Пути к файлам показывают папку и подпапки, в которых файл или документ хранится на компьютере. Путь к файлу документа под названием “мое резюме”, хранящегося в папке документов компьютера на диске C:, будет выглядеть следующим образом this-c:\documents\myresume.doc . Иногда, когда программисты запускают исходный код через компилятор — инструмент, который переводит понятный человеку язык программирования в машиночитаемый двоичный код, — путь к файлу, указывающий, где программист хранил код на своем компьютере, помещается в скомпилированный двоичный файл. Большинство разработчиков вредоносных программ настраивают свои компиляторы так, чтобы исключить путь к файлу, но злоумышленники Stuxnet этого не сделали, случайно или нет. Путь проявился как b:\myrtus\src\objfre_w2k_x86\i386\guava .pdb в файле драйвера, указывающий, что драйвер был частью проекта, который программист назвал “guava", который хранился на его компьютере в каталоге с именем “myrtus”. Миртус - это род семейства растений, в которое входит несколько видов гуавы. Был ли программист ботаником, подумал Чиен? Или это означало что-то другое?
  
  Чиен продолжил поиск информации о Мирте и обнаружил косвенную связь с другим выдающимся событием в еврейской истории, когда царица Эстер помогла спасти евреев древней Персии от резни в четвертом веке до нашей эры. Согласно истории, Эстер была еврейкой, которая была замужем за персидским царем Ахашером, хотя царь не знал, что она еврейка. Когда она узнала о заговоре, вынашиваемом премьер-министром короля Аманом с целью убить всех евреев в Персидской империи с одобрения короля, она пошла к королю и раскрыла свою личность, умоляя короля спасти ее и ее народ. Затем король казнил Амана и позволил евреям в своей империи сражаться со всеми врагами, которых Аман собрал для их уничтожения, что привело к победе евреев и гибели 75 000 их врагов. Праздник Пурим, ежегодно отмечаемый еврейскими общинами по всему миру, посвящен этому избавлению персидских евреев от неминуемой смерти.
  
  На первый взгляд, история, казалось, не имела никакого отношения к Stuxnet вообще. За исключением того, что Чиен нашел возможную связь в еврейском имени Эстер. До того, как сменить имя и стать королевой Персии, Эстер была известна под именем Хадасса. Хадасса на иврите означает мирт или myrtus.
  
  В свете текущих событий было нетрудно провести параллели между древней и современной Персией. В 2005 году в новостных сообщениях утверждалось, что президент Ирана Махмуд Ахмадинежад призвал стереть Израиль с лица земли. Хотя последующие сообщения показали, что его слова были неправильно переведены, не было секретом, что Ахмадинежад хотел, чтобы современное еврейское государство исчезло, точно так же, как Аман хотел, чтобы его еврейские современники исчезли столетия назад.9 И 13 февраля 2010 года, примерно в то же время, когда создатели Stuxnet готовили новую версию своей атаки для запуска против машин в Иране, Рав Овадия Йосеф, влиятельный бывший главный раввин Израиля и политический деятель, провел прямую линию между древней Персией и современным Ираном в проповеди, которую он произнес перед Пуримом. Ахмадинежад, по его словам, был “Аманом нашего поколения”.
  
  “Сегодня у нас в Персии появился новый Аман, который угрожает нам своим ядерным оружием”, - сказал Йосеф. Но, как и Аман и его приспешники до этого, сказал он, Ахмадинежад и его сторонники обнаружат, что их луки уничтожены, а мечи повернуты против них, чтобы “поразить их собственные сердца”.10
  
  Однако ничто из этого не было доказательством того, что “мирт” в драйвере Stuxnet был ссылкой на Книгу Есфирь. Особенно если читать по-другому, как некоторые позже предположили, myrtus можно было легко интерпретировать как “мои RTU” - или “мои удаленные терминальные устройства”. RTU, как и ПЛК, являются промышленными компонентами управления, используемыми для управления и мониторинга оборудования и процессов. Учитывая, что Stuxnet был нацелен на ПЛК Siemens, казалось вполне возможным, что в этом и заключался его реальный смысл.11 Но кто может сказать наверняка?
  
  Исследователи Symantec были осторожны, чтобы не делать никаких выводов из полученных данных. Вместо этого в сообщении в блоге, написанном Чиеном и его коллегой, они просто сказали: “Пусть начнутся спекуляции”.12
  
  
  
  1 Несмотря на то, что Conficker распространялся так быстро и так успешно, он так ничего и не сделал с большинством зараженных им машин, оставив вечную загадку о мотивах его создания и использования. Некоторые думали, что злоумышленники пытались создать гигантскую ботнет-сеть зараженных машин для распространения спама или проведения атак типа "отказ в обслуживании" (DoS) на веб-сайты — более поздний вариант Conficker использовался, чтобы напугать некоторых пользователей загрузкой вредоносной антивирусной программы. Другие опасались, что в зараженных системах может быть установлена “логическая бомба”, которая приведет к повреждению данных самоуничтожение в будущем. Но когда ни один из этих сценариев не реализовался, некоторые подумали, что Conficker, возможно, был запущен в качестве теста, чтобы посмотреть, как отреагируют правительства и индустрия безопасности. Код атаки со временем трансформировался и использовал сложные методы, чтобы оставаться на несколько шагов впереди исследователей, чтобы помешать им полностью уничтожить червя, что заставило некоторых поверить, что злоумышленники тестировали защиту. После обнаружения Stuxnet Джон Бумгарнер, технический директор американского подразделения по борьбе с киберпреступлениями, консалтинговой фирмы, работающей в основном с государственными клиентами, заявил Conficker и Stuxnet были созданы одними и теми же злоумышленниками, и этот Conficker использовался как “дымовая завеса” и “дверной кикер”, чтобы получить Stuxnet на машины в Иране. В качестве доказательства он привел время проведения двух атак и тот факт, что Stuxnet использовал одну из тех же уязвимостей, которые Conficker использовал для распространения. Но Symantec и другие исследователи, которые исследовали Stuxnet и Conficker, говорят, что не нашли ничего, подтверждающего утверждение Бумгарнера. Более того, первая версия Conficker избежала заражения каких-либо компьютеров в Украине, что позволяет предположить, что это могло быть страной ее происхождения.
  
  2 Однако Melissa не была первой результативной атакой. Эта честь принадлежит червю Морриса, самораспространяющейся программе, созданной двадцатитрехлетним аспирантом по информатике Робертом Моррисом-младшим, который был сыном специалиста по компьютерной безопасности АНБ. Хотя многие методы Stuxnet были полностью современными и уникальными, своими корнями он обязан червю Морриса и разделяет с ним некоторые характеристики. Моррис запустил своего червя в 1988 году в ARPAnet, коммуникационной сети, созданной Агентством перспективных исследовательских проектов Министерства обороны в конце 1960-е годы, которые были предшественниками Интернета. Как и Stuxnet, червь делал ряд вещей, чтобы скрыть себя, например, помещал свои файлы в память и удалял свои части, когда в них больше не было необходимости, чтобы уменьшить свое присутствие на компьютере. Но, как и у Stuxnet, у червя Морриса было несколько недостатков, из-за которых он бесконтрольно распространился на 60 000 машин и был обнаружен. Всякий раз, когда червь сталкивался с машиной, которая уже была заражена, он должен был остановить заражение и двигаться дальше. Но поскольку Моррис был обеспокоен тем, что администраторы убьют его червя, программируя машины на скажите, что они были заражены, хотя это было не так, он все равно заставил червя заразить каждую седьмую машину, с которой он столкнулся. Однако он забыл принять во внимание взаимосвязанность ARPAnet, и червь совершал повторные обходы одних и тех же машин, повторно заражая некоторые из них сотни раз, пока они не рухнули под весом нескольких версий червя, запущенных на них одновременно. Машины в Университете Пенсильвании, например, были атакованы 210 раз за двенадцать часов. Выключение или перезагрузка компьютера уничтожили червя, но только временно. Пока машина была подключена к сети, она повторно заражалась другими машинами.
  
  3 Самовоспроизводящиеся черви — исключение составляют Conficker и Stuxnet — встречаются гораздо реже, чем когда-либо, в значительной степени уступив место фишинговым атакам, когда вредоносное ПО доставляется через вложения электронной почты или через ссылки на вредоносные веб-сайты, встроенные в электронную почту.
  
  4 Как только вирусологи извлекают ключи и сопоставляют их с алгоритмами, они также пишут программу-дешифратор, чтобы они могли быстро расшифровывать другие блоки кода, которые используют тот же алгоритм. Например, когда они получают новые версии Stuxnet или даже другие вредоносные программы, которые могут быть написаны теми же авторами и использовать те же алгоритмы, им не нужно повторять этот утомительный процесс отладки всего кода для поиска ключей; они могут просто запустить на нем свой дешифратор.
  
  5 В некоторых версиях Stuxnet злоумышленники увеличили период времени до девяноста дней.
  
  6 Нейт Лоусон, “Stuxnet смущает, а не удивляет”, 17 января 2011 года, доступно по адресу rdist.root.org/2011/01/17/stuxnet-is-embarrassing-not-amazing/#comment-6451.
  
  7 Джеймс П. Фарвелл и Рафал Рогозински, “Stuxnet и будущее кибервойны”, Выживание 53, № 1 (2011): 25.
  
  8 Один из способов сделать это, как указывает Нейт Лоусон в своем блоге, заключается в том, чтобы взять подробные данные конфигурации на целевой машине и использовать их для получения криптографического хэша для ключа, который разблокирует полезную нагрузку. Ключ бесполезен, если вредоносная программа не столкнется с машиной с точной конфигурацией или кто-то не сможет принудительно использовать ключ, воспроизводя все известные комбинации конфигурационных данных, пока не будет достигнута правильная. Но последнему можно помешать, извлекая хэш из обширного набора конфигурационных данных, что делает это невозможным. Stuxnet создал недорогую версию техники, описанной Лоусоном. Он использовал базовые конфигурационные данные об оборудовании, которое он искал, чтобы активировать ключ для разблокировки своей полезной нагрузки, но сам ключ не был получен из конфигурационных данных и был независим от них. Таким образом, как только исследователи обнаружили ключ, они могли просто разблокировать полезную нагрузку с помощью ключа без необходимости знать фактическую конфигурацию. Однако позже исследователи из "Лаборатории Касперского" столкнулись с вредоносным ПО, которое использовало более сложную технику для блокировки своей полезной нагрузки. В результате эта полезная нагрузка так и не была расшифрована. Смотрите эта страница.
  
  9 Профессор Мичиганского университета Хуан Коул и другие отметили, что в персидском языке нет такой идиомы, как “стереть с лица земли”, и что на самом деле Ахмадинежад сказал, что он надеется, что еврейские / сионистские оккупационные силы Иерусалима потерпят крах и будут стерты со страниц истории.
  
  10 “Раввин Йосеф: Ахмадинежад - новый Аман”, Israel National News, 14 февраля 2010, доступно по адресу israelnationalnews.com/News/Flash.aspx/180521#.UONaAhimWCU.
  
  11 Джон Бумгарнер, технический директор американского подразделения по борьбе с киберпреступлениями, поддерживает эту интерпретацию, а также говорит, что “guava” в пути к файлу драйвера, вероятно, относится к проточному цитометру, изготовленному калифорнийской фирмой Guava Technologies. Проточные цитометры - это устройства, используемые для подсчета и исследования микроскопических частиц и используемые, среди прочего, для измерения изотопов урана. Бумгарнер считает, что они, возможно, использовались в Натанзе, чтобы помочь ученым измерить уровни обогащения газообразного гексафторида урана, поскольку изотопы U-238 отделяются от изотопов U-235, которые необходимы для ядерные реакторы и бомбы. Guava Technologies производит проточный цитометр под названием Guava EasyCyte Plus, который может быть интегрирован с ПЛК для предоставления операторам данных об уровне изотопов в уране в режиме реального времени. Проточные цитометры являются контролируемым продуктом и должны быть зарегистрированы в соответствии с Законом о реформе торговых санкций и расширении экспорта 2000 года перед продажей Ирану. См. Джон Бумгарнер, “Вирус библейских искажений”, 6 декабря 2013 г., доступен по адресу darkreading.com/attacks-breaches/a-virus-of-biblical-distortions/d/d-id/1141007 ?.
  
  12 Патрик Фитцджеральд и Эрик Чиен, “Хакеры, стоящие за Stuxnet”, Symantec, 21 июля 2010 г., доступно по адресу symantec.com/connect/blogs/hackers-behind-stuxnet.
  
  OceanofPDF.com
  
  ГЛАВА 5
  ВЕСНА ДЛЯ АХМАДИНЕЖАДА
  
  Караван черных бронированных седанов Mercedes выехал из Тегерана, направляясь на юг к Натанзу со скоростью девяносто миль в час. Отдельно в трех автомобилях сидели Олли Хейнонен; его начальник, директор МАГАТЭ Мохаммед Эль-Барадеи; и третий коллега из агентства. Было морозное зимнее утро в конце февраля 2003 года, через шесть месяцев после того, как группа Алирезы Джафарзаде сорвала крышку с секретного завода в Натанзе, и инспекторы, наконец, впервые увидели объект. Рядом с Эль-Барадеи ехал элегантный мужчина профессорского вида с седыми волосами и коротко подстриженной бородкой цвета соли с перцем: Голам Реза Агазаде, который был вице-президентом Ирана и президентом его Организации по атомной энергии.
  
  Двумя неделями ранее президент Ирана Сайид Мохаммад Хатами, наконец, признал, что Иран строит завод по обогащению урана в Натанзе, подтвердив то, что ИГИЛ и другие подозревали об этом объекте с самого начала. Иран фактически разрабатывал ряд установок для каждой стадии цикла производства топлива, сказал президент в своей речи, и Натанз был лишь одним из них. Но он настаивал на том, что ядерные устремления Ирана были исключительно мирными.1 Если у вас есть вера, логика и все преимущества, которыми обладает такая великая нация, как Иран, вам не нужно оружие массового уничтожения, сказал он. Однако он не сказал, почему, если Ирану нечего скрывать, он закапывает завод в Натанзе глубоко под землей. Если ничего незаконного не происходило, зачем было прятать его под слоями цемента и грязи? И зачем вообще обогащать уран, если топливо для ядерных реакторов Ирана можно закупать в других странах, как это сделали большинство стран с ядерными реакторами и как Иран уже сделал по контракту с Россией? Эти и другие вопросы не давали покоя должностным лицам МАГАТЭ, когда они направлялись в Натанз.
  
  МАГАТЭ прошло долгий путь с момента своего открытия в 1957 году, когда оно было создано для содействия мирному развитию ядерной технологии. Другая его роль в качестве ядерного сторожевого пса - гарантировать, что страны не будут тайно применять эту технологию для разработки оружия — должна была быть второстепенной. Но за пять десятилетий, прошедших с момента создания агентства, последняя задача постепенно стала для него наиболее важной, поскольку один ядерный кризис возникал за другим. К сожалению, способности агентства выполнять эту роль часто препятствовали его ограниченные полномочия по расследованию или наказанию стран, которые нарушили свои соглашения о гарантиях.
  
  Поскольку у агентства не было разведывательного подразделения, способного самостоятельно расследовать подозрительную деятельность, ему приходилось полагаться на разведданные от тридцати пяти государств-членов, входящих в его состав, таких как Соединенные Штаты, что делало его уязвимым для манипуляций со стороны этих стран, или на любую информацию, которую инспекторы могли почерпнуть из своих посещений ядерных объектов. Но поскольку инспекторы по большей части посещали только те объекты, которые были в объявленном страной списке ядерных объектов, это оставляло государствам-изгоям свободу вести незаконную деятельность на необъявленных объектах. Даже имея доказательства того, что страна нарушает свое соглашение о гарантиях, МАГАТЭ мало что могло сделать для обеспечения соблюдения. Все, что он мог сделать, это направить страну-нарушителя в Совет Безопасности ООН, который затем мог проголосовать за введение санкций.2
  
  Эти недостатки стали очевидны в 1991 году после окончания первой войны в Персидском заливе, когда инспекторы прибыли в послевоенный Ирак для разбора завалов и обнаружили, что Саддам Хусейн разработал передовую программу создания ядерного оружия у них под носом. До войны МАГАТЭ подтвердило, что сотрудничество Хусейна с агентством было “образцовым”.3 Итак, инспекторы были потрясены, обнаружив после войны, что их полностью обманули. По некоторым оценкам, Ирак был всего в одном году от того, чтобы иметь достаточно расщепляющегося материала для производства ядерной бомбы, и в двух-трех годах от того, чтобы иметь полномасштабный ядерный арсенал.4 Еще более шокирующим было осознание того, что незаконная деятельность велась в помещениях и зданиях по соседству с объявленными объектами, которые инспекторы обследовали, но по правилам не могли проверять спонтанно.5
  
  Взбешенное двуличием Ирака, МАГАТЭ разработало так называемый Дополнительный протокол для расширения соглашения о гарантиях, которое подписали страны. Это увеличило количество видов деятельности, о которых они должны были сообщать МАГАТЭ, а также предоставило агентству возможность задавать больше наводящих вопросов, запрашивать доступ к записям о закупках оборудования и материалов и более легко инспектировать места, где, как подозревалось, имела место незаконная деятельность. Была только одна загвоздка. Протокол применялся только к странам, которые его ратифицировали, и в 2003 году, когда инспекторы посетили Натанз, Иран не был одним из них. В результате инспекторы были ограничены в требованиях, которые они могли предъявить Ирану.6
  
  ТРЕХЧАСОВАЯ ПОЕЗДКА из Тегерана в Натанз привела инспекторов к месту назначения в середине утра того февральского дня. По пути они миновали озеро Хоз-э-Солтан слева от себя, соленое озеро, которое летом испарялось, а зимой было по колено в солоноватой воде, и город Кум справа от них, центр шиитской учености и один из самых священных городов ислама.
  
  Как только они проехали Кум, их встретила бесконечная панорама песка и шоссе на протяжении 60 миль, пока они не достигли города Кашан. Еще через двенадцать миль после этого, в дикой местности, состоящей из различных оттенков коричневого и бежевого, на горизонте появилась группа зданий, словно выросших из земли пустыни.
  
  Когда они добрались до Натанза, Хейнонен был поражен, увидев, что строительство в огромном комплексе продвинулось гораздо дальше, чем он ожидал. В дополнение к подземным залам уже был возведен лабиринт зданий на поверхности, в том числе группа из пяти сборных конструкций с алюминиевой обшивкой, которые расходятся друг от друга веером, как балки несвязанного креста. Кроме того, была возведена большая электрическая подстанция для питания зданий и центрифуг. Одно из пяти зданий оказалось экспериментальным заводом по обогащению топлива, исследовательским центром, где технические специалисты могли протестировать новые модели центрифуг и каскадов, прежде чем устанавливать их в подземных производственных цехах. Ожидается, что после установки в цехах центрифуги будут вращаться годами подряд, поэтому пилотная установка имела решающее значение для предварительной проверки того, что технология и процесс обогащения работают.
  
  Хотя подземные залы все еще были далеки от ввода в эксплуатацию, у технических специалистов уже было около 160 центрифуг, вращающихся на экспериментальной установке, и компоненты для сотен других центрифуг ожидали сборки там.7 Пилотный завод должен был начать работу в июне, до этого оставалось еще четыре месяца, но Иран ожидал, что к концу года на нем будет установлено 1000 центрифуг, а первая партия низкообогащенного урана будет произведена в течение шести месяцев после этого.
  
  Когда Агазаде водил их по заводу, он изо всех сил настаивал на том, что в Натанз еще не был доставлен гексафторид урана, и также не проводились испытания по обогащению с использованием газа. Тестирование, по его словам, проводилось только с использованием компьютерного моделирования. Это было важное различие, поскольку обогащение урана без уведомления МАГАТЭ нарушило бы соглашение о гарантиях Ирана. Но Хейнонен не купился на эту историю. Идея о том, что Иран потратил 300 миллионов долларов на строительство завода по обогащению урана без предварительного тестирования каскадов с реальным газом, чтобы убедиться, что процесс обогащения работает, раздвигала границы веры.
  
  Затем инспекторы были доставлены с экспериментальной установки в демонстрационный зал, где иранцы тщательно разложили, как для высококлассного научного проекта, все отдельные компоненты центрифуги IR-1, а также пару полностью собранных. Агазаде сообщил инспекторам, что Иран изготовил IR-1 по собственной конструкции. Но когда Хейнонен подошел поближе, он заметил, что они напоминают дизайн Urenco раннего поколения, который консорциум создал в Европе годами ранее. Он еще не знал, что Иран на самом деле приобрел украденный дизайн у А. Вопрос: Кхан, но он уже с подозрением относился к байкам, которые плел Агазаде.
  
  После того, как они закончили осмотр выставочного зала, инспекторов повели по U-образному туннелю, который Кори Хиндерштейн заметил на спутниковых снимках, чтобы осмотреть два похожих на пещеры зала, расположенных на глубине семидесяти пяти футов под землей. Иран не планировал начинать заполнять залы центрифугами до 2005 года, но на площади 32 000 квадратных метров каждый они должны были вместить около 47 000 центрифуг после заполнения.8 Однако на данный момент это были пустые гильзы.
  
  На протяжении всего визита взаимодействие между инспекторами и иранскими официальными лицами было сердечным. Но ситуация стала напряженной, когда караван вернулся в Тегеран во второй половине дня, и Хейнонен попросил своих хозяев показать ему их секретный склад урана. Агазаде был озадачен вопросом и сослался на невежество. Однако Хейнонен был вооружен разведданными из западных правительственных источников о том, что в 1991 году Иран тайно импортировал уран из Китая, включая гексафторид урана.9 Он размахивал письмом от китайских официальных лиц, подтверждающим сделку. Когда иранцы позже произвели уран, заявив, что забыли, что он у них был, Хейнонен и его коллеги заметили, что контейнеры были легче, чем ожидалось, и что, по-видимому, отсутствовала часть газообразного гексафторида урана. Иранцы сказали, что оно, должно быть, испарилось из-за протечек в контейнерах, но Хейнонен подозревал, что оно использовалось для тайного тестирования центрифуг.
  
  Именно тогда Хейнонен настоял на том, чтобы также посетить фабрику электрических часов Kalaye. На своей пресс-конференции в августе NCRI определил Kala Electric, немного отличающуюся по написанию, как одну из подставных компаний, которые Иран использовал для своей секретной ядерной программы. NCRI не сказал, какую роль компания сыграла в программе, но незадолго до того, как инспекторы МАГАТЭ прибыли в Иран, чтобы посетить Натанз, NCRI удобно объявил, что объекты Kalaye использовались для исследования и разработки центрифуг. Это, плюс нераскрытый уран, дали Хейнонену боеприпасы, в которых он нуждался, чтобы настоять на посещении завода в последнюю минуту.
  
  Иранцы неохотно показали им офисное здание Kalaye, в основном пустое, но настаивали, что не смогли найти ключи, чтобы открыть саму фабрику. Инспекторы должны были покинуть Иран на следующий день, поэтому они получили обещание осмотреть завод во время своего следующего визита. К сожалению, к тому времени, когда они вернулись в Иран более месяца спустя, у иранцев было достаточно времени, чтобы сделать генеральную уборку. Инспекторы заметили явные признаки свежевыкрашенных стен в одном из заводских корпусов, а также замененных дверей и недавно заделанной плитки на полу. Подозревая, что иранцы что-то скрывают, инспекторы попросили собрать образцы окружающей среды в здании для проверки на наличие следов обогащенного урана.10 Отбор проб окружающей среды был тем, что МАГАТЭ добавило в свой репертуар после того, как ему не удалось обнаружить незаконную ядерную программу Ирака. Инспекторы использовали специальные ватные диски и тампоны для сбора пыли со стен и поверхностей, которые можно было протестировать для обнаружения частиц урана размером с пикограмму, определения типа присутствующего урана и даже определения того, был ли он обогащен и до какого уровня.11 Но иранцы отказались позволить им собрать какие-либо образцы.
  
  Несколько месяцев спустя, когда им разрешили собрать образцы на заводе, а также с экспериментальной установки по обогащению в Натанзе, они обнаружили частицы низко- и высокообогащенного урана, которых не было в списке объявленных материалов Ирана.12 Столкнувшись с доказательствами этого обмана, официальные лица, наконец, признали, что они обогащали урановый газ в Калайе, что является нарушением соглашения о гарантиях Ирана с МАГАТЭ. Но они сказали, что газ был обогащен только для тестирования центрифуг и был обогащен только до 1,2 процента. Однако это не соответствовало собранным МАГАТЭ частицам с обогащением от 36 до 70 процентов.13
  
  Уран в его естественном состоянии содержит менее 1 процента U-235, изотопа, необходимого для реакторов и бомб. Большинству ядерных реакторов требуется обогащение урана всего до 3-5 процентов. Высокообогащенный уран обогащается до 20 процентов или более. Хотя 20-процентное обогащение может использоваться для сырых ядерных устройств, в дополнение к некоторым типам ядерных реакторов оружейный уран обогащается до 90 процентов или выше.
  
  Иранские официальные лица настаивали на том, что высокообогащенные частицы, должно быть, образовались из остатков, оставшихся внутри использованных центрифуг, которые приобрел Иран, — признание того, что конструкция центрифуги не была иранской, как они заявляли ранее, и что какая-то другая страна помогала Ирану создавать свою программу. Внезапно беспокойство по поводу ядерной программы усилилось.
  
  Образцы окружающей среды не были доказательством того, что Иран работал над тайной программой создания ядерного оружия, но они свидетельствовали о том, что инспекторам предстоит большая работа, чтобы попытаться раскрыть масштабы ядерной программы Ирана. Они также свидетельствовали о том, что ничему из того, что говорили иранские официальные лица, нельзя доверять. Это было началом долгого и изнурительного танца, который будет занимать МАГАТЭ до конца десятилетия, пока инспекторы пытались собрать воедино историю ядерных амбиций Ирана и оценить его потенциал создания ядерного оружия.
  
  Как раз в тот момент, когда МАГАТЭ начало этот танец, NCRI объявил в мае 2003 года, что у него есть доказательства наличия дополнительных секретных ядерных объектов в Иране, в том числе одного в деревне под названием Лашкар Абад. Иран признал, что у него есть экспериментальная установка для проведения экспериментов по лазерному обогащению — другого метода обогащения урана.14 А пару месяцев спустя NCRI объявила о существовании еще двух ядерных объектов, в том числе одного в складском районе за пределами Тегерана, который был окружен автомобильными свалками, чтобы замаскировать его. NCRI сказал, что это был секретный экспериментальный завод по обогащению, который Иран создал после февральского визита МАГАТЭ в Натанз, чтобы технические специалисты могли проводить эксперименты по обогащению в тайне, вдали от любопытных глаз инспекторов.15
  
  С таким количеством публичных разоблачений, быстро сменяющих друг друга, было ясно, что кто-то пытался поддерживать огонь под иранскими официальными лицами. Но разоблачения также заставили инспекторов МАГАТЭ быть занятыми, поскольку теперь им нужно было добавить больше объектов в свой список объектов для мониторинга. В дополнение к Бушеру и двум реакторным установкам, уже включенным в список, МАГАТЭ добавило экспериментальные и коммерческие установки по обогащению в Натанзе, реактор планируется в Араке, и завод по переработке урана в Исфахане, примерно в ста милях к юго-западу от Натанза, где Иран планировал перерабатывать уран в газ для обогащения в Натанзе.
  
  В то время как поднимались ВОПРОСЫ О его ядерной программе, Иран демонстративно продвигал свои планы по обогащению урана. В июне рабочие в Натанзе начали подавать первую партию газообразного гексафторида урана в десять центрифуг на экспериментальной установке, что вызвало еще больше тревог. Министры иностранных дел стран ЕС3 — Франции, Германии и Великобритании — призвали Иран приостановить свою деятельность по обогащению до тех пор, пока МАГАТЭ не сможет узнать больше о его ядерной программе. Последовал раунд переговоров, и в октябре Иран согласился временно приостановить свою деятельность по обогащению. Он также согласился представить подробную историю своей ядерной программы, чтобы устранить “любые неясности и сомнения в ее исключительно мирном характере”.16 Иран в определенной степени придерживался последнего соглашения, но когда официальные лица представили МАГАТЭ свою подробную историю, признав, что программа центрифуг разрабатывалась в течение восемнадцати лет, они опустили ряд важных деталей.17 МАГАТЭ знало об этом только потому, что, хотя агентство пыталось получить информацию от иранских официальных лиц, оно также начало узнавать больше о секретной ядерной программе от ЦРУ.
  
  Несколькими годами ранее ЦРУ проникло в сеть ядерных поставок А. К. Хана, заручившись поддержкой нескольких его ключевых европейских поставщиков и превратив их в "кротов". От них ЦРУ узнало, что Хан продал проекты пакистанской центрифуги P-1 — дизайн, украденный у Urenco — Ирану, а также продал прототипы своей более совершенной центрифуги P-2 в Ливию. Если Хан продал конструкцию P-2 Ливии, рассуждал Хейнонен, он, должно быть, передал ее и Ирану. Иран не упомянул усовершенствованную центрифугу в своем подробном история, но если у него действительно были центрифуги, то, возможно, программа Ирана по обогащению урана продвинулась намного дальше, чем подозревал Хейнонен. МАГАТЭ заставило Иран признаться в том, производил ли он центрифуги P-2, и официальные лица признали, что они действительно получили проект центрифуги P-2 в 1996 году. По словам официальных лиц, рабочие пытались разработать центрифуги на основе проекта примерно в 2002 году, но вскоре после этого отказались от проекта, столкнувшись с проблемами при изготовлении роторов центрифуг. Иранские официальные лица настаивали перед МАГАТЭ, что они не пытались скрыть свою работу над С-2, а просто планировали раскрыть ее позже.
  
  Ситуация ухудшилась в течение следующих нескольких месяцев после того, как возникли вопросы о еще одном секретном объекте в Иране, на этот раз о здании Центра физических исследований в Тегеране.18 Однако к тому времени, когда инспекторы получили доступ к участку, чтобы осмотреть его, здание было снесено, а верхний слой почвы вывезен на грузовиках, что помешало попыткам собрать образцы окружающей среды для тестирования.19 В апреле того же года Иран объявил о планах начать проведение испытаний в Исфахане для превращения измельченной урановой руды, или желтого кека, в газообразный гексафторид урана. ЕС3 посчитал это нарушением соглашения о временной приостановке Ирана, поскольку переработка руды в газ предшествовала обогащению урана, но решил не настаивать на этом вопросе, опасаясь, что Иран вообще отменит и без того деликатное соглашение о приостановке.
  
  Затем, в мае того же года, МАГАТЭ неожиданно получило в дар большой тайник с документами таинственного происхождения, что еще больше усилило обеспокоенность по поводу ядерной программы Ирана.
  
  Это началось, когда Хейнонену позвонила женщина с американским акцентом, которая сказала, что ее зовут Джеки. Он подозревал, что она из ЦРУ, но спрашивать не стал. Она знала подробности о его расследовании ядерной программы Ирана и сказала, что у нее есть информация, которая могла бы заинтересовать его. Хейнонен опасался, что ЦРУ манипулирует им, но согласился встретиться с ней в "Старбаксе".20
  
  Когда он пришел в кофейню, молодая азиатка ждала, чтобы поговорить с ним. Она сказала ему, что организует ему встречу с двумя "кротами" ЦРУ, которые были внутри сети ядерных поставок Хана и которые могли бы проинформировать его о сделках Хана с Ираном. Она также сказала, что у нее есть документы о ядерной программе Ирана, которые она хотела бы ему показать. Документы пришли от бизнесмена из Тегерана, который работал на правительство в сталелитейной и бетонной промышленности — деятельность, которая привела его в Натанз и Исфахан и позволила ему связаться с людьми, стоящими за иранской ядерная программа. Каким-то образом он получил доступ к большому тайнику с особо секретными документами о ядерной программе и передавал их разведывательному управлению Германии, BND. “Дельфин”, как окрестили его в BND, планировал использовать документы в качестве билета на убежище на Западе для него и его семьи. Но прежде чем он смог осуществить свой план, агенты иранской разведки арестовали его. Однако его жене и детям удалось бежать через границу в Турцию, прихватив с собой документы.
  
  Когда Хейнонен прочитал документы, он не мог поверить своим глазам. Dolphin's cache в очень сжатой форме изложил серию проектов, которые предположительно составляли секретную программу ядерного оружия Ирана. Они включали амбициозные планы страны по производству собственного ядерного топлива путем добычи урановой руды на руднике на юге Ирана, последующей переработки ее для получения уранового концентрата (или “желтого кека”) и, наконец, превращения желтого кека в тетрафторид урана и газообразный гексафторид урана. Тетрафторид урана может быть использован для производства металлического урана, который может использоваться не только для изготовления оружия, но и для бомб.21
  
  Ничто из этого само по себе не было свидетельством программы создания ядерного оружия. Но самыми тревожными документами в хранилище Dolphin были те, в которых описывались высокоточные испытания для детонации высоковзрывчатых материалов. Также были представлены эскизы и инструкции по созданию спускаемого аппарата для иранского парка ракет "Шахаб-3", который будет содержать тяжелый круглый объект, подозрительно похожий на ядерную боеголовку, а также трехминутное видео, демонстрирующее имитацию взрыва боеголовки на высоте 1 970 футов под дрянной саундтрек Вангелиса из "Огненных колесниц".22 Детонация на такой большой высоте не имела смысла для выпуска химического или биологического оружия, рассуждал Хейнонен, поэтому разрабатываемая боеголовка должна быть предназначена для ядерного оружия.23
  
  Были ли документы подлинными? Хейнонен не мог быть уверен, но они подтвердили другую информацию, которую МАГАТЭ получало от государств-членов о деятельности Ирана. Если он был прав в своей интерпретации документов, то они были самым убедительным доказательством того, что Иран действительно работал над программой создания ядерного оружия.
  
  Позже МАГАТЭ столкнулось с иранскими официальными лицами по поводу документов и потребовало объяснений, но официальные лица заявили, что документы, описывающие испытания взрывчатых веществ, были так же применимы к обычным боеголовкам, как и к ядерным, и отрицали, что проект по тетрафториду вообще существовал. Они обвинили МАГАТЭ в фабрикации документов с целью введения санкций против Ирана и создания аргумента в оправдание авиаудара США и Израиля по Натанзу.24
  
  Как раз тогда, когда казалось, что напряженность вокруг его ядерной программы не может усугубиться, Иран в конце 2004 года снова согласился приостановить свои планы по переработке урана в Исфахане, а также все другие виды деятельности по обогащению и взять на себя обязательства по официальным переговорам о своей ядерной программе. Однако соглашение о приостановке действовало недолго. В июне 2005 года Махмуд Ахмадинежад, мэр Тегерана, был избран президентом Ирана, и правительственная поддержка приостановки и переговоров начала ослабевать. Ядерная программа Ирана становилась предметом национальной гордости, и сторонники жесткой линии в правительстве начали рассматривать приостановку и переговоры как слабую капитуляцию перед Западом. Что бы они ни делали, чтобы умиротворить Запад, этого никогда не будет достаточно, говорили они, потому что реальной целью Израиля и Соединенных Штатов было свержение иранского режима.
  
  По мере того, как война в Ираке затягивалась и Соединенные Штаты теряли там преимущество, иранские лидеры становились смелее в своем неповиновении. В августе 2005 года, всего через два месяца после избрания Ахмадинежада, международные переговоры по программе зашли в тупик, и Иран объявил, что отменяет соглашение о приостановке.25 Иран, не теряя времени, снял пломбы, которые МАГАТЭ наложило на оборудование на заводе в Исфахане во время приостановки, и приступил к осуществлению своих планов по преобразованию оксида урана в газообразный гексафторид урана. Ситуация становилась все хуже в декабре, когда Ахмадинежад вызвал бурю негодования, заявив в публичной речи, что Холокост был мифом.26
  
  Ситуация выходила из-под контроля. Соседи Ирана на Ближнем Востоке были настолько напуганы растущей напряженностью между Ираном и Израилем, что министерство здравоохранения Кувейта решило установить пятнадцать систем обнаружения радиации по всей стране и на пограничных участках, чтобы обеспечить раннее предупреждение о любой ядерной активности в регионе.27 Однако попытки оценить, насколько Иран был близок к созданию бомбы, оказались тщетными. Никто не имел четкого представления о его секретной программе. Но Ирану на самом деле не нужно было создавать ядерное оружие, чтобы представлять угрозу. Все, что ему нужно было сделать, это освоить процесс обогащения и произвести достаточно низкообогащенного урана, чтобы сделать бомбу, если он захочет. Достигнув этой точки прорыва, Иран может оставаться на этом пороге бесконечно долго — все время правдиво утверждая, что у него нет ядерного оружия — до того дня, когда он решит преобразовать обогащенный уран в оружейный материал и создать бомбу. Оценки того, сколько времени потребуется Ирану, чтобы достичь точки прорыва, различались. Оценка Национальной разведки США за 2005 год пришла к выводу, что у Ирана было от шести до десяти лет с момента получения достаточного количества материала для производства бомбы. Но Израиль был менее оптимистичен. Официальные лица там подсчитали, что прошло около пяти лет.28
  
  Обогащение урана является одним из самых сложных процессов для освоения при создании ядерного оружия. Это деликатное предприятие в лучших обстоятельствах, сопряженное с методом проб и ошибок, и у Ирана было мало опыта в этом. Добавьте к этому трудности, связанные с производством работоспособных центрифуг, и легко понять, почему иранской программе потребовалось так много времени, чтобы достичь той точки, которую она достигла. Действительно, оказалось, что у технических специалистов в Натанзе все еще были проблемы с их центрифугами, как сообщил Соединенным Штатам в начале 2006 года Ариэль Левит, заместитель генерального директора Израильской комиссии по атомной энергии. Позже выяснилось, что некоторые проблемы были вызваны саботажем компонентов, которые Иран получил из Турции.29
  
  Несмотря на препятствия, в начале 2006 года Иран возобновил обогащение на экспериментальном заводе в Натанзе. Этот шаг побудил израильских чиновников пересмотреть свою предыдущую оценку, заявив теперь, что Иран находится всего в двух-четырех годах от создания ядерного оружия.30 Они предупредили Соединенные Штаты, что Ирану нельзя позволить освоить процесс обогащения, иначе это будет “началом конца”. Как только это произойдет, Иран сможет обогащать уран на секретных объектах в любой точке страны.31 Центрифужные установки, в отличие от других частей топливного цикла, не требовали специального оборудования для работы. Итак, как только технические специалисты разобрались со всеми тонкостями процесса, они могли спрятать каскады центрифуг где угодно — даже в переоборудованных офисных зданиях. “Мы знаем, что Иран прямо сейчас перемещает элементы своей программы”, - предупредил американских чиновников Гидеон Франк, генеральный директор Израильской комиссии по атомной энергии в начале 2006 года.32 Заводы, способные производить детали для центрифуг, уже были “повсюду”, сказал он, а другие части ядерной программы размещались внутри сильно укрепленных военных объектов, где инспекторы МАГАТЭ не смогли бы их осмотреть, и были изолированы под землей, где воздушные удары, вероятно, не будут эффективными.
  
  Затем, в мае, иранские официальные лица объявили, что техническим специалистам экспериментальной обогатительной фабрики в Натанзе удалось обогатить свою первую партию урана до 3,5 процентов, используя полный каскад из 164 центрифуг. За этим последовало другое объявление о том, что технические специалисты, наконец, начнут устанавливать первую из 3000 центрифуг в одном из больших подземных залов. Казалось, что Иран наконец преодолел свои трудности, и что ничто, кроме воздушного удара, не могло остановить его сейчас.
  
  Обеспокоенное тем, что его способность контролировать ядерную программу Ирана быстро снижается, МАГАТЭ объявило Иран в несоблюдении своего соглашения о гарантиях после многих лет призывов к этому со стороны Соединенных Штатов. В июле 2006 года Совет Безопасности ООН принял резолюцию, требующую, чтобы Иран приостановил обогащение до конца августа или столкнулся с санкциями. Ахмадинежад отказался. “Те, кто думают, что могут использовать язык угроз и силы против Ирана, ошибаются”, - сказал он. “Если они не осознают этого сейчас, однажды они узнают это на собственном горьком опыте”.33
  
  Западные спецслужбы внезапно заметили всплеск иранских усилий по тайному приобретению компонентов для центрифуг в Европе и других местах, используя сеть иностранных и отечественных подставных компаний.34 Они “пытались купить как сумасшедшие”, - вспоминает Дэвид Олбрайт из ISIS. Они искали клапаны, трубы и вакуумное оборудование, а также компоненты, которые можно было бы использовать для разработки ракет.35
  
  Начали циркулировать слухи о планах авиаудара, но в частном порядке госсекретарь Кондолиза Райс сказала Эль-Барадею из МАГАТЭ, что она не думала, что до этого дойдет. Иран, по ее словам, наверняка “прогнется”. Но Иран не сдавался.
  
  В конце 2006 года, не имея иного выбора, кроме как выполнить свою угрозу, Совет Безопасности ООН принял резолюцию о применении санкций против Ирана, запрещающую поставки материалов и технологий, которые могут быть использованы для разработки ядерного оружия. Несколько месяцев спустя он проголосовал за дополнительные санкции по замораживанию активов частных лиц и организаций, которые, как считается, причастны к ядерной программе.36 Тем не менее, Иран оставался непоколебимым.
  
  В феврале 2007 года иранские официальные лица объявили МАГАТЭ, что технические специалисты в Натанзе уже начали устанавливать первые центрифуги в одном из подземных залов. Ирану потребовалось более десяти лет, чтобы достичь этой точки, но он, наконец, преодолел все препятствия — технологические и созданные человеком, — которые стояли на его пути. Поскольку остановить их было уже нечем, к концу месяца технические специалисты установили два каскада в одном из подземных залов, а еще два находились на завершающей стадии монтажа. Они также перенесли девять тонн газообразного гексафторида урана в зал, чтобы начать обогащение.37
  
  К июню 2007 года в Натанзе было установлено 1400 центрифуг для обогащения урана. Все центрифуги были IR-1, но технические специалисты также начали производство центрифуг IR-2, более совершенных центрифуг, основанных на пакистанской конструкции P-2. Иран возобновил производство IR-2 после первоначальной неудачи с производством роторов для центрифуг.38 Иран также разрабатывал еще более совершенные центрифуги IR-4.39
  
  Напряженность между Соединенными Штатами и Израилем усилилась. Израиль обвинил Соединенные Штаты в том, что они тянут время в отношении иранской программы и слишком доверяют санкциям и дипломатическим усилиям. Премьер-министр Израиля Эхуд Ольмерт предупредил в публичном обращении, что если иранская программа не будет остановлена, Израиль будет действовать самостоятельно. “Любой, кто угрожает нам, кто угрожает нашему существованию, должен знать, что у нас есть решимость и возможность защитить себя”, - сказал он. “Мы имеем право на полную свободу действий, чтобы действовать в защиту наших жизненно важных интересов. Мы без колебаний воспользуемся им ”.40
  
  Но в декабре 2007 года произошло нечто, что изменило не только дипломатические усилия США, но и планы нападения Израиля. В том месяце была опубликована оценка Национальной разведки США (NIE) с поразительным выводом о ядерной программе Ирана. В нем с “высокой степенью уверенности” говорилось, что у Ирана когда-то была программа создания ядерного оружия, но он остановил программу осенью 2003 года, после вторжения США в Ирак. Это наводило на мысль, что Иран “менее решительно настроен на разработку ядерного оружия”, чем считалось ранее. NIES, координируемые офисом директора национальной разведки, основаны на информации, полученной от американской и иностранной разведок. Но это, казалось, противоречило тому, что адм. Майкл Макконнелл, директор национальной разведки, заявил комитету Сената всего за несколько месяцев до этого. “Мы считаем, что Тегеран стремится разработать ядерное оружие и проявляет больший интерес к затягиванию переговоров, а не к достижению приемлемого дипломатического решения”, - заявил он Комитету Сената по вооруженным силам в феврале прошлого года.41
  
  Хотя в отчете NIE также отмечалось, что Иран может отменить решение о прекращении своей оружейной программы в любой момент, и в его засекреченной версии обсуждались доказательства, которые не попали в публичную версию — что у Ирана все еще может быть более десятка других скрытых ядерных объектов, занимающихся незаконным обогащением и разработкой оружия, — отчет угрожал ослабить аргументы в пользу санкций против Ирана и военных действий.42 Министр обороны США Роберт Гейтс, который выступал против авиаудара, тем не менее поставил под сомнение выводы доклада. Во время слушаний в Конгрессе, посвященных обсуждению этого, он предупредил, что Иран занимается подозрительной закупочной деятельностью, которая предполагает, что его ядерные планы были гораздо более организованными и направленными, чем предполагала NIE. Гейтс был не единственным, кто не согласился с выводом NIE. В частном порядке немецкие официальные лица сообщили Соединенным Штатам, что их собственная разведка показала, что у Ирана все еще есть программа создания оружия, а израильские официальные лица также заявили, что у них есть информация, указывающая на то, что хотя Иран прекратил свою программу создания оружия в 2003 году, он возобновил ее в 2005 году.43
  
  На закате 2007 года Иран установил 3000 центрифуг в Натанзе и планировал удвоить это число в следующем году. Эксперты подсчитали, что 3000 центрифуг P-1 сами по себе уже могли бы произвести достаточно низкообогащенного урана для бомбы менее чем за год, если Иран решит продолжить его обогащение.44
  
  Казалось, что никто ничего не мог сделать, чтобы остановить программу обогащения, не рискуя войной.
  
  Или было?
  
  В то время как напряженность вокруг программы обогащения приближалась к критической точке, тайно приводился в действие альтернативный план. Пока иранские технические специалисты поздравляли себя с прогрессом, которого они достигли в Натанзе, и готовились к расширению операции, цифровое оружие было незаметно запущено на компьютерах завода с четкой миссией, заложенной в его коде. Под прицелом сотен быстро вращающихся центрифуг высокоточное оружие незаметно и решительно направилось прямо к своей цели.
  
  
  
  1 Хатами выступал в Тегеране 9 февраля 2003 года во время встречи между Министерством науки, исследований и технологий и ректорами университетов. Части его выступления были опубликованы на: iranwatch.org/library/government/iran/iran-irna-khatami-right-all-nations-nuclear-energy-2-9-03.
  
  2 Тридцать пять стран-членов Совета управляющих МАГАТЭ могут проголосовать за то, чтобы начать расследование или направить страну в Совет Безопасности ООН для введения санкций.
  
  3 До войны заместитель директора МАГАТЭ, отвечающий за соблюдение требований, сказал Леонарду Вайсу, руководителю аппарата Сенатского комитета по правительственным делам, что сотрудничество Ирака с МАГАТЭ не только является образцовым, но и что МАГАТЭ ни от кого не получало намеков на то, что Ирак совершает что-либо предосудительное. См. Леонард Вайс, “Ужесточите борьбу с ядерными мошенниками”, Бюллетень ученых-атомщиков 47 (май 1991): 11.
  
  4 Дэвид Олбрайт и Марк Хиббс, “Иракские ядерные прятки”, Бюллетень ученых-атомщиков 47 (сентябрь 1991): 27.
  
  5 Дуглас Франц и Кэтрин Коллинз, ядерный джихадист: правдивая история человека, который продал самые опасные секреты в мире (Нью-Йорк: Свободная пресса, 2007), 188.
  
  6 В 2004 году Иран согласился подписать Дополнительный протокол, но не ратифицировал его. Позже, в 2006 году, после того, как МАГАТЭ передало Иран в Совет Безопасности ООН за несоблюдение его соглашения о гарантиях, Иран ответил, объявив, что больше не будет придерживаться Протокола.
  
  7 Дэвид Олбрайт, Торгуя опасностью: как секретная ядерная торговля вооружает врагов Америки (Нью-Йорк: Свободная пресса, 2010), 192.
  
  8 Дэвид Олбрайт и Кори Хиндерштейн, “Иранский завод по обогащению урана на газовой центрифуге в Натанзе: по коммерческим спутниковым снимкам”, ISIS, 14 марта 2003 г., доступно по адресу isis-online.org/publications/iran/natanz03_02.html. См. также Совет управляющих МАГАТЭ, “Осуществление Соглашения о гарантиях в рамках ДНЯО в Исламской Республике Иран” (доклад, 6 июня 2003 года), 6.
  
  9 Рассматриваемый уран включал гексафторид урана, тетрафторид урана и оксид урана.
  
  10 На спутниковых снимках США были запечатлены грузовики, посещающие это место, что позволяет предположить, что Иран вывез доказательства до прибытия инспекторов. См. Франц и Коллинз, Ядерный джихадист, 293.
  
  11 МАГАТЭ, “Инструменты для ядерной инспекции”, двухстраничная брошюра, опубликованная Отделом общественной информации агентства, в которой описывается процесс отбора проб окружающей среды. Доступно на iaea.org/Publications/Factsheets/English/inspectors.pdf.
  
  12 Совет управляющих МАГАТЭ, “Осуществление Соглашения о гарантиях в рамках ДНЯО в Исламской Республике Иран” (доклад, 10 ноября 2003 года), 6-7.
  
  13 Шарон Скуассони, “Ядерная программа Ирана: последние события” (Отчет CRS для Конгресса, 23 ноября 2005 г.), 3.
  
  14 Институт науки и международной безопасности ведет всеобъемлющую страницу, на которой подробно описывается деятельность Ирана по лазерному обогащению. Оно доступно на isisnucleariran.org/sites/by-type/category/laser-enrichment.
  
  15 Информация взята из стенограммы заявления, сделанного представителем NCRI Алирезой Джафарзаде. “Иран-ядерный: новые ядерные объекты иранского режима”, доступно на ncr-iran.org/en/news/nuclear/568-iran-nuclear-iranian-regimes-new-nuclear-sites.
  
  16 Реза Агазаде, вице-президент Ирана, в письме в МАГАТЭ от 21 октября 2003 года, цитируемом в Совете управляющих МАГАТЭ, “Осуществление соглашения о гарантиях в рамках ДНЯО в Исламской Республике Иран” (доклад, 10 ноября 2003 года), 4.
  
  17 Там же, 8.
  
  18 NCRI раскрыл сайт в 2003 году, но тогда заявил, что он использовался для программы создания биологического оружия. Однако информация, полученная МАГАТЭ, ИГИЛ и другими в 2004 году, указывала на то, что оно использовалось для ядерной деятельности, что побудило МАГАТЭ запросить инспекцию.
  
  19 Иран утверждал, что сайт был снесен в декабре 2003 года из-за земельного спора между Министерством обороны и городом Тегераном. Сайт был снесен, чтобы вернуть землю городу. Смотрите ISIS, “Центр физических исследований и параллельная военная ядерная программа Ирана”, 23 февраля 2012 г., доступно на isis-online.org/uploads/isis-reports/documents/PHRC_report_23February2012.pdf.
  
  20 Информация о встрече и документах взята из интервью автора с Хейноненом, декабрь 2011. См. также Кэтрин Коллинз и Дуглас Франц, Fallout: правдивая история секретной войны ЦРУ с незаконным оборотом ядерного оружия (Нью-Йорк: Свободная пресса, 2011), 112; и Эрих Фоллат и Хольгер Старк, “Рождение бомбы: история ядерных амбиций Ирана”, Der Spiegel, 17 июня 2010.
  
  21 Ядерное оружие создается путем придания металлическому урану формы двух полушарий и встраивания их во взрывное устройство, оснащенное детонаторами. Детонаторы настроены так, чтобы взрываться равномерно и одновременно, чтобы две сферы сильно врезались друг в друга и вызвали цепную реакцию.
  
  22 Иран разработал ракету, дальность действия которой составляла 900 миль, в 1998 году и провел успешные испытания в мае 2002 года. Иран также разрабатывал ракету с дальностью действия 1200 миль.
  
  23 Фоллат и Старк, “Рождение бомбы”.
  
  24 Эль-Барадеи выступил против обнародования документов, поскольку МАГАТЭ не смогло проверить их подлинность, а воспоминания об использовании Соединенными Штатами дискредитированных документов для поддержки вторжения в Ирак были все еще свежи в его памяти. Однако в последующие годы МАГАТЭ неоднократно оказывало давление на Иран, требуя предоставить информацию о программах, описанных в документах, но в некоторых случаях ответов не последовало или в других случаях была предоставлена неполная информация. Часть информации, содержащейся в документах, позже попала к ИГИЛ. См. Дэвид Олбрайт, Жаклин Шир и Пол Браннан, “Доклад МАГАТЭ о гарантиях в отношении Ирана от 26 мая 2008 года: улучшение работы центрифуг и отсутствие сотрудничества по вопросам создания оружия”, 29 мая 2008 года, доступен по адресу isis-online.org/uploads/isis-reports/documents/ISIS_Iran_IAEA_Report_29May2008.pdf.
  
  25 Мохаммед Эль-Барадеи дает хорошее закулисное описание переговоров в своих мемуарах и объясняет, почему Иран чувствовал себя обманутым ими и оправданным в отказе от них. Эпоха обмана: ядерная дипломатия в коварные времена (Нью-Йорк: Metropolitan Books, 2011), 141-47.
  
  26 Карл Вик, “Президент Ирана называет Холокост ”мифом" в последнем нападении на евреев", Washington Post, Foreign Service, 15 декабря 2005.
  
  27 “06Kuwait71, общенациональная система радиационного мониторинга Кувейта”, телеграмма Государственного департамента США из посольства США в Кувейте в Государственный департамент в Вашингтоне, округ Колумбия, январь 2006 года. Опубликовано WikiLeaks на wikileaks.org/cable/2006/01/06KUWAIT71.html.
  
  28 Оценка исходит от Ариэля (Эли) Левита, заместителя генерального директора Израильской комиссии по атомной энергии, в телеграмме Государственного департамента США из посольства Тель-Авива в сентябре 2005 года, опубликованной WikiLeaks в wikileaks.org/cable/2005/09/05TELAVIV5705.html.
  
  29 “06 февраля 293 года, Иран: встреча конгрессмена Аккермана 5 января”, телеграмма Государственного департамента США из посольства США в Тель-Авиве, январь 2006 года. Опубликовано WikiLeaks на wikileaks.org/cable/2006/01/06TELAVIV293.html. Смотрите эта страница в этой книге для объяснения проблем.
  
  30 В частном порядке Израиль и Россия сообщили Соединенным Штатам, что, по их мнению, Иран действительно может справиться со своими трудностями с обогащением в течение шести месяцев. См. “06Cairo601, Иран; Брифинг по центрифуге для МИД Египта”, телеграмма Государственного департамента США, февраль 2006, опубликованная WikiLeaks на wikileaks.org/cable/2006/02/06CAIRO601.html.
  
  31 “06TelAviv688, Иран-МАГАТЭ: Израильская комиссия по атомной энергии”, телеграмма Государственного департамента США, февраль 2006, опубликованная WikiLeaks на wikileaks.org/cable/2006/02/06TELAVIV688.html.
  
  32 Там же.
  
  33 “Иран бросает вызов ядерному сроку”, BBC News, 1 августа 2006 года, доступно по адресу news.bbc.co.uk/2/hi/5236010.stm.
  
  34 “07Berlins1450, заместитель министра финансов Леви обсуждает следующее”, телеграмма Государственного департамента США из посольства в Берлине, июль 2007, опубликованная WikiLeaks на wikileaks.org/cable/2007/07/07BERLIN1450.html. В телеграмме упоминается, что для закупок было создано по меньшей мере тридцать иранских подставных компаний. Также согласно авторскому интервью с Дэвидом Олбрайтом в январе 2012 года.
  
  35 Олбрайт, Торгующий опасностью, 200-1.
  
  36 Совет Безопасности ООН применил экономические санкции против Ирана в декабре 2006 года, а в марте 2007 года единогласно проголосовал за замораживание финансовых активов двадцати восьми иранцев, связанных с его ядерными и военными программами.
  
  37 Как раз в тот момент, когда отношения с Ираном были наиболее напряженными, Северная Корея испытала ядерное устройство. Ухудшающаяся ядерная ситуация на нескольких фронтах побудила Бюллетень ученых-атомщиков 17 января 2007 года перевести минутную стрелку своих знаменитых часов судного дня на две минуты ближе к полуночи. Вместо семи минут до конца света теперь было установлено пять.
  
  38 Из-за экспортного контроля и других трудностей с производством роторов из стареющей стали, как того требовала конструкция центрифуги, Иран отказался от производства IR-2 в 2002 году. Но иранские ученые модифицировали конструкцию, заменив ее ротором из углеродного волокна, и через некоторое время после 2004 года возобновили производство.
  
  39 Коллинз и Франц, Fallout, 259.
  
  40 “Выступление премьер-министра Эхуда Ольмерта на конференции 2007 года в Герцлии”, 24 января 2007 года. Перевод доступен на pmo.gov.il/English/MediaCenter/Speeches/Pages/speechher240107.aspx.
  
  41 “Макконнелл опасается ядерного оружия Ирана к 2015 году”, Washington Times, 27 февраля 2007.
  
  42 New York Times писала: “Редко, если вообще когда-либо, один отчет разведки так полностью, так внезапно и так удивительно менял внешнеполитические дебаты”. В нем отмечалось, что отчет “безусловно, ослабит международную поддержку ужесточения санкций против Ирана ... и это снова поднимет вопросы о целостности американских разведывательных агентств, находящихся в осаде”. Стивен Ли Майерс, “Оценка внешнеполитических дебатов об Иране”, New York Times, 4 декабря 2007 года.
  
  43 Заместитель советника по национальной безопасности Германии Рольф Никель сказал официальным лицам США в начале 2008 года, что отчет NIE усложнил попытки убедить немецкую общественность и немецкие компании в том, что санкции против Ирана оправданы. Телеграмма Госдепартамента США, февраль 2008, опубликованная WikiLeaks на wikileaks.org/cable/2008/02/08BERLIN180.html. Смотрите также wikileaks.org/cable/2007/12/07BERLIN2157.html. Что касается комментариев Израиля, согласно телеграмме Госдепартамента США, опубликованной WikiLeaks в мае 2009 года, начальник разведки ЦАХАЛА генерал-майор Дж. Амос Ядлин сделал комментарии конгрессмену Роберту Векслеру. Смотрите wikileaks.cabledrum.net/cable/2009/05/09TELAVIV. У NIE были и другие последствия. Немецко-иранский торговец по имени Мохсен Ванаки предстал перед судом в Германии за контрабанду оборудования двойного назначения в Иран. В июне 2008 года ему было предъявлено обвинение в соответствии с Законом о контроле за военным оружием и внешней торговлей. Но он заявил в свою защиту, что не мог поставлять оборудование для программы создания ядерного оружия в Иране, потому что разведка заявила, что у Ирана такой программы нет. Все обвинения против него были сняты, в значительной степени из-за отчета NIE за 2007 год. Однако прокуроры подали апелляцию, и в 2009 году снятие обвинений было отменено, а позже он был осужден, в значительной степени на основании разведданных BND о подозрительных закупках, совершенных организациями, связанными с вооруженными силами Ирана.
  
  44 Международный институт стратегических исследований, Программы стратегических вооружений Ирана: Оценка сети (Лондон: Routledge, 2005), 33.
  
  OceanofPDF.com
  
  ГЛАВА 6
  КОПАЕМ ДЛЯ НУЛЕВЫХ ДНЕЙ
  
  Был вечер пятницы в конце августа, и Лиам О'Мерчу праздновал свой тридцать третий день рождения в шикарном лаундже на крыше в Венеции, штат Калифорния. Он арендовал часть открытого U-образного бара на крыше отеля Erwin с видом на Тихий океан и потягивал пиво и коктейли со своей девушкой, сестрой и шурин, приехавшие из Ирландии, и дюжиной хороших друзей. Это было в Южной Калифорнии, съемочная группа реалити-шоу снимала пару, сидящую неподалеку, проходящую через неловкие движения “частного” свидания.
  
  Группа О'Мерчу провела в баре уже три часа, когда около девяти вечера появился Эрик Чиен, хотя его мысли были не о вечеринке. Ему не терпелось показать своему другу и коллеге электронное письмо, которое ранее в тот день появилось в списке безопасности. Но он не хотел поднимать эту тему, потому что знал, что как только О'Мерчу увидит это, он не сможет выбросить это из головы. “Я покажу вам одну вещь”, - сказал Чиен О'Мурчу. “Но тогда мы не будем говорить об этом остаток ночи, хорошо?” О'Мурчу согласился.
  
  Чиен достал свой BlackBerry и открыл электронное письмо — записку от исследователя из другой антивирусной фирмы, намекающую на то, что в Stuxnet могут быть спрятаны дополнительные эксплойты нулевого дня. О'Мурчу посмотрел на Чиена. Они неделями работали над Stuxnet, пытаясь реконструировать его компоненты, и увидели несколько подсказок, которые предполагали, что в нем может быть встроен еще один нулевой день, но у них не было времени заняться ими. Подсказки были в ракетной части кода, ответственной за распространение Stuxnet, но они были сосредоточены на полезной нагрузке, части кода, которая повлияла на программное обеспечение Siemens и ПЛК.
  
  Адрес электронной почты расплывчаты в деталях, и это не было ясно из сообщения, будет ли другой исследователь на самом деле найдено больше нулевого дня в Стакснет или просто видели, те же ключи, которые они видели. В любом случае, дух соперничества у О'Мерчу был разожжен. “Вот и все”, - сказал он Чиену. “Я больше не буду пить сегодня вечером”. На следующее утро, в субботу, О'Мерчу вернулся в офис, копаясь в Stuxnet.
  
  Офис был пуст, поэтому О'Мерчу остался работать, не отвлекаясь. Команда Symantec уже нанесла на карту большую часть ракетной части Stuxnet, прежде чем перейти к полезной нагрузке, так что теперь оставалось только тщательно изучить код в поисках признаков эксплойта. Это было не так просто, как казалось. Эксплойты нулевого дня - это не то, что можно обнаружить, просто открыв вредоносный файл и просмотрев код. Нужно было отслеживать каждую ссылку кода на операционную систему или другие программные приложения на компьютере, чтобы обнаружить любые подозрительные способы взаимодействия с ними. Заставляло ли это приложение делать то, чего оно не должно? Преодоление барьеров безопасности или обход системных привилегий? Часть ракеты, подвергнутая обратному проектированию, состояла из тысяч строк кода, каждая из которых должна была быть проверена на предмет подозрительного поведения.
  
  Структура Stuxnet не была линейной, поэтому пытаться отслеживать, что он делает, было вдвойне сложно. Команды перескакивали с одного на другое, и О'Мурчу приходилось следить за их движением на каждом шагу.
  
  Однако примерно через час он был почти уверен, что обнаружил второй эксплойт. Он поискал в архиве какие-либо признаки того, что уязвимость, на которую он напал, использовалась ранее, но ничего не нашел. Затем он протестировал эксплойт на компьютере с установленным новейшим программным обеспечением Windows, чтобы убедиться, что он не ошибся. Конечно же, Stuxnet использовал уязвимость нулевого дня в файле клавиатуры Windows, чтобы получить повышенные привилегии на компьютере.
  
  Уязвимости нулевого дня были ценным товаром, и использовать две из них одновременно в одной атаке и рисковать тем, что их обе будут обнаружены, казалось странной тратой ресурсов, подумал О'Мерчу. Но он не остановился, чтобы обдумать это. Он просто задокументировал свои выводы и вернулся к коду.
  
  Несколько часов спустя ему показалось, что он обнаружил еще один эксплойт — признаки того, что Stuxnet использовал уязвимость в функции диспетчера очереди печати Windows для распространения между машинами, которые совместно использовали принтер. Он снова протестировал его на компьютере и поискал в архиве какие-либо доказательства того, что им пользовались раньше, но ничего не нашел. Чувство, от которого неделями ранее у него волосы вставали дыбом, начало возвращаться. Он задокументировал свои выводы и вернулся к коду, чтобы продолжить поиск.
  
  К середине дня, когда Чиен зашел в офис, чтобы проверить его, у О'Мерчу были затуманенные глаза, и ему нужен был перерыв. Он передал свои выводы Чиену, который продолжал работать над кодом до вечера. Они еще немного поработали над этим в воскресенье, и к концу выходных они обнаружили удивительные три эксплойта нулевого дня. Эти, плюс .Уже обнаруженный эксплойт LNK совершил четыре эксплойта нулевого дня за одну атаку.1
  
  Это было безумие, подумали они. Один нулевой день был достаточно плохим. Второе было излишним. Но четыре? Кто это сделал? И почему? В тот момент вы просто прожигали ценные нулевые дни. Первоклассная ошибка нулевого дня и эксплойт могут быть проданы за 50 000 долларов или больше на криминальном черном рынке, даже вдвое дороже на закрытом сером рынке, который продавал эксплойты нулевого дня правительственным кибер-армиям и шпионам. Либо в распоряжении злоумышленников был неограниченный запас нулевых дней, и им было все равно, потеряют ли они горстку или больше, либо они были действительно в отчаянии и имели действительно вескую причину загрузить свое вредоносное ПО с возможностью распространения, чтобы убедиться, что оно достигло своей цели. Чиен и О'Мурчу подозревали, что оба варианта могут быть правдой.
  
  Чиен связался с Microsoft, чтобы сообщить о новых обнаруженных ими эксплойтах нулевого дня, но обнаружил, что "Лаборатория Касперского" в России уже опередила их. Сразу после появления новостей о Stuxnet Касперский собрал команду из десяти аналитиков для изучения ракетной части кода, и в течение нескольких дней они обнаружили второй эксплойт нулевого дня, за которым неделю спустя последовали третий и четвертый. В то время они сообщили об уязвимостях в Microsoft, которая теперь работала над исправлениями, чтобы исправить их, но не могла обнародовать новости в соответствии с правилами ответственного раскрытия информации, пока Microsoft не исправит программные дыры.2
  
  Четыре подвига нулевого дня в Stuxnet были замечательными, но это был не конец истории. Во время марафона выходных дней Чиена и О'Мурчу с кодом они также обнаружили четыре дополнительных способа распространения Stuxnet без использования уязвимостей нулевого дня, в общей сложности восемь различных методов распространения. Код атаки имел виртуальный швейцарский армейский нож с инструментами для проникновения в систему и распространения.
  
  Наиболее важные из них включали заражение файлов проекта Step 7, которые программисты использовали для программирования ПЛК, и захват имени пользователя (winccconnect) и пароля (2WSXcder), которые Siemens жестко запрограммировал в своем программном обеспечении Step 7.3 Система Step 7 использовала имя и пароль для получения автоматического доступа к внутренней базе данных, в которую был введен код для заражения компьютера, на котором хранилась база данных. База данных - это общая система, которую могут использовать все программисты, работающие над проектом Step 7. Затем Stuxnet заражал компьютер любого программиста, который обращался к базе данных. Оба этих метода заражения увеличили вероятность того, что Stuxnet попадет на ПЛК в следующий раз, когда программист подключит к нему свой ноутбук или флэш-накопитель USB, чтобы запрограммировать его. Злоумышленники использовали уязвимость в малоизвестной функции системы Step 7 для заражения файлов проекта Step 7, что указывает на то, что они обладали глубокими знаниями системы, которыми обладали немногие другие, — еще один признак обширного мастерства, использованного при атаке.4
  
  В дополнение к этим механизмам распространения, Stuxnet имел одноранговый компонент, который позволял ему обновлять старые версии себя, когда были выпущены новые. Это позволило им обновлять Stuxnet удаленно на машинах, которые не были напрямую подключены к Интернету, но были подключены к другим машинам в локальной сети. Чтобы распространить обновление, Stuxnet установил файлообменный сервер и клиент на каждой зараженной машине, и машины, которые были в одной локальной сети, могли затем связаться друг с другом, чтобы сравнить заметки о версии Stuxnet, которую они несли; если у одной машины была более новая версия, она обновила бы другие. Чтобы обновить все компьютеры в локальной сети, злоумышленникам нужно было бы только ввести обновление на одном из них, а остальные перехватили бы его.
  
  Из всех методов, которые Stuxnet использовал для распространения, было ясно, что злоумышленники были безжалостно настроены на распространение своего вредоносного ПО. Однако, в отличие от большинства вредоносных программ, которые использовали электронную почту или вредоносные веб-сайты для распространения на тысячи компьютеров одновременно, ни один из эксплойтов Stuxnet не использовал Интернет.5 Вместо этого они полагались на кого-то, кто переносил инфекцию с одной машины на другую через флэш-накопитель USB или, однажды попав на машину, через подключения к локальной сети. Исходя из этого, казалось, что злоумышленники нацеливались на системы, которые, как они знали, не были подключены к Интернету, и, учитывая беспрецедентное количество эксплойтов нулевого дня, которые они использовали для этого, они, должно быть, стремились к высокоценной цели с высоким уровнем безопасности.
  
  Но этот окольный способ достижения их цели был беспорядочным и неточным методом атаки. Это было немного похоже на заражение одной из жен Усамы бен Ладена смертельным вирусом в надежде, что она передала бы его бывшему лидеру Аль-Каиды. Вирус должен был по пути заразить других и тем самым увеличить вероятность разоблачения заговора. И, в конце концов, это именно то, что произошло со Stuxnet. Это распространилось на такое количество вспомогательных машин, что было лишь вопросом времени, когда что-то пойдет не так, и это будет поймано.
  
  Просматривая длинный список методов и эксплойтов, использованных злоумышленниками, Чиен понял, что коллекция была далеко не произвольной. Каждый из них выполнил свою задачу и преодолел различные препятствия, необходимые атакующим для достижения своей цели. Это было так, как если бы кто—то составил список эксплойтов, необходимых для атаки — что-то для повышения привилегий, что-то для распространения внутри сети жертвы, что-то для передачи полезной нагрузки на ПЛК, - а затем дал кому-то задание купить или создать их. Это было еще одним свидетельством того, сколько планирования и организации было вложено в атаку.
  
  Однако из всех методов и эксплойтов, которые использовали хакеры, наиболее важными для атаки были .Эксплойт LNK и заражение файлов проекта Step 7, потому что именно они с наибольшей вероятностью могли привести Stuxnet к его конечной цели — ПЛК Siemens. Программисты ПЛК часто создавали свои команды на рабочих станциях, которые были подключены к Интернету, но не были подключены к производственной сети или к ПЛК на заводе. Чтобы передать команды на ПЛК, кто—то должен был передать их через ноутбук, подключенный непосредственно к ПЛК с помощью кабеля или перенести их на флэш-накопитель USB на программирующую машину, называемую Field PG -ноутбук Windows, используемый в промышленных установках управления. Field PG не подключен к Интернету, но подключен к производственной сети и ПЛК. Заражая файлы проекта Шага 7 и наделяя Stuxnet способностью преодолевать воздушный зазор в качестве безбилетника по USB, злоумышленники, по сути, превратили каждого инженера в потенциального носителя своего оружия.
  
  Как только Чиен и О'Мурчу задокументировали все эксплойты и уязвимости, которые Stuxnet использовал для распространения, они поняли, что в них есть что-то еще, что выделяет их. Некоторые из них действительно были замечены ранее. Хотя ВирусБлокАда считала, что .Уязвимость LNK никогда ранее не использовалась, Microsoft обнаружила, что другая атака использовала .Эксплойт LNK в ноябре 2008 года. Он использовался преступными хакерами для установки варианта троянца Zlob на компьютеры жертв.6 Хотя различные антивирусные сканеры поймали троянца в момент его использования, они не смогли обнаружить прилагаемый к нему эксплойт нулевого дня, оставив уязвимость открытой для атаки Stuxnet. Эксплойт очереди печати также ранее появлялся — в польском журнале по безопасности в апреле 2009 года. Журнал опубликовал статью об этой дыре вместе с исходным кодом эксплойта для ее атаки.7 Однако новости об уязвимости так и не дошли до Microsoft в то время, так что эта уязвимость также осталась не исправленной. Жестко закодированный пароль Siemens также был раскрыт ранее, когда кто-то опубликовал его онлайн на форуме пользователей Siemens в апреле 2008 года.8
  
  Чиен и О'Мерчу поинтересовались, просматривала ли команда кураторов хакерские форумы и сайты безопасности для сбора информации о дырах и эксплойтах, которые злоумышленники Stuxnet могли использовать в своих атаках, или они просто приобрели готовые эксплойты у брокеров.
  
  Как ни странно, из всех эксплойтов, которые использовал Stuxnet, только эксплойт очереди печати появился в первой версии атаки, выпущенной в 2009 году. Остальные впервые проявились во время атаки в марте 2010 года, которая вышла из-под контроля.9 Версия Stuxnet 2009 года действительно распространялась через USB-накопители, но для этого она использовала хитрость, использующую функцию автозапуска Windows.10 Как отмечалось ранее, функция автозапуска может быть отключена, чтобы предотвратить вредоносное ПО. Поэтому, когда в марте 2010 года была выпущена следующая версия Stuxnet, злоумышленники заменили код функции автозапуска на .LNK эксплойт нулевого дня.
  
  Авторы также добавили еще одну важную функцию в версии Stuxnet 2010 года — сертификат RealTek, используемый для подписи драйверов.11
  
  При рассмотрении модификаций, внесенных злоумышленниками с 2009 по 2010 год, Чиену и О'Мурчу показалось, что атака была намеренно изменена, чтобы со временем стать более агрессивной, начиная с консервативных мер в 2009 году, а затем усиливая ее в 2010 году, добавив больше механизмов распространения — возможно, в отчаянной попытке быстрее достичь своей цели или достичь других машин, чем они поразили в своей первой атаке. The .Эксплойт LNK, использованный в 2010 году, например, был гораздо более эффективным механизмом распространения, чем эксплойт автозапуска, который они использовали в 2009 году.12 Но, хотя это увеличило вероятность того, что Stuxnet достигнет своей цели, это также увеличило риск того, что он распространится на другие машины. Действительно, благодаря этому и другим эксплойтам, добавленным в мартовскую версию 2010 года, вредоносная программа распространилась на более чем 100 000 компьютеров в Иране и за его пределами.13 Ни одно из этих побочных заражений не помогло злоумышленникам достичь своей цели; они только увеличили их шансы быть пойманными.14 Они должны были знать, на какой риск идут, увеличивая распространяющуюся мощь Stuxnet. Но, очевидно, это был риск, на который они были готовы пойти.
  
  На самом деле исследователям было легко отследить точные пути распространения Stuxnet. Внутри каждой копии Stuxnet исследователи обнаружили маленькую жемчужину, которая помогла им отследить путь, пройденный вредоносной программой в попытке достичь своей цели — небольшой файл журнала, содержащий данные о каждой зараженной машине. Когда червь пробирался по компьютерам в поисках своей цели, он регистрировал IP-адрес и доменное имя каждой из своих жертв, а также временную метку заражения на основе внутренних часов компьютера. Он сохранял данные размером около 100 байт в файле журнала, который увеличивался по мере того, как червь переходил с машины на машину. Таким образом, каждая копия Stuxnet, собранная с зараженных машин, содержала историю каждого компьютера, который она заразила до этого момента, оставляя след из цифровых крошек, которые Чиен и О'Мурчу могли проследить до первых жертв. Журнал был разработан, чтобы помочь злоумышленникам отследить путь, по которому прошел Stuxnet, но они, вероятно, не рассчитывали, что кто-то другой использует его для той же цели.15
  
  Чиен и О'Мурчу изучили 3280 копий Stuxnet, собранных с зараженных компьютеров различными антивирусными фирмами, и, основываясь на данных в файлах журналов, выяснилось, что злоумышленники начали наступление на группу из пяти компаний в Иране, вероятно, выбранных за их способность предоставлять Stuxnet шлюз для достижения своей цели. Каждая из компаний пострадала от одной или нескольких версий вредоносного ПО, запущенных в июне 2009 года, а также в марте и апреле 2010 года. Symantec насчитала 12 000 заражений на этих пяти объектах, и от этих первоначальных жертв Stuxnet затем распространился на более 100 000 компьютеров в более чем 100 странах.
  
  Symantec никогда публично не идентифицировала компании из-за своей политики не называть имена жертв и в общедоступных документах называет их только доменами A, B, C, D и E. Но имена жертв есть в файлах журнала, чтобы другие могли их увидеть. Это были Foolad Technique, Behpajooh, Kala, Neda Industrial Group и компания, указанная в файле только как CGJ, предположительно контролируемая Гостар Джахед. Считалось, что Kala относится к той же Kala Electric, или Kalaye Electric, которую иранская оппозиционная группа NCRI упомянула на своей пресс-конференции 2002 года в качестве подставной компании для иранской программы обогащения урана.
  
  Хотя некоторые компании подвергались атаке несколько раз, не всегда поражались одни и те же машины, что позволяет предположить, что злоумышленники, возможно, искали машины с лучшим расположением каждый раз, когда они начинали свою атаку, или те, которые предлагали разные маршруты к целям, чтобы увеличить вероятность успеха. Во всех трех атаках пострадала только одна из компаний, Behpajooh, что позволяет предположить, что она, возможно, обеспечила наилучший маршрут к целевым машинам. Однако эта компания также стала жертвой, которая нанесла наибольший сопутствующий ущерб. Это была единственная цель, пораженная во время атаки в марте 2010 года, которая вышла из-под контроля. Из 12 000 случаев заражения, произошедших в этих пяти компаниях, 69 процентов из них можно было отнести к этой единственной жертве.
  
  
  
  1 Четвертый обнаруженный ими эксплойт атаковал уязвимость в планировщике задач Windows. Это и эксплойты Windows Keyboard использовались для получения более высоких привилегий Stuxnet на компьютере. Если учетная запись пользователя на компьютере имела ограниченные привилегии, которые не позволяли Stuxnet устанавливать себя или выполнять какие-либо другие функции, два эксплойта повышали их до системного уровня или “административных” привилегий, которые давали Stuxnet разрешение делать то, что он хотел, без отображения каких-либо предупреждений или запроса одобрения фактического администратора.
  
  2 Microsoft и "Лаборатория Касперского" начали публиковать информацию о трех других уязвимостях нулевого дня в середине сентября.
  
  3 Жестко закодированный пароль - это пароль, который производитель программного обеспечения встраивает в свой код, чтобы система могла выполнять определенные действия автоматически, без необходимости ввода пароля пользователем. Часто пароли не могут быть изменены без создания проблем для системы. Но жестко закодированные пароли представляют угрозу безопасности, потому что это означает, что у каждой системы один и тот же пароль, и кто-то может узнать пароль, прочитав код.
  
  4 Чиен и О'Мурчу узнали о неясной природе уязвимости в системе Step 7 после консультаций с экспертами по системам управления, такими как Эрик Байрес из Tofino Security, который обладал глубокими знаниями программного обеспечения Siemens. Уязвимость заключалась в том, что файлы были разработаны таким образом, чтобы программисты могли добавлять в файл проекта Siemens нечто большее, чем просто данные. Это была не уязвимость как таковая, а особенность, поскольку Siemens намеренно включил ее в дизайн своих файлов. Но Stuxnet воспользовался этим, чтобы вставить свою библиотеку DLL в файлы. Однако одного этого было недостаточно, чтобы заставить Stuxnet заразить систему при открытии файла проекта. Stuxnet также пришлось изменить критические части файла проекта, включая данные конфигурации, чтобы убедиться, что .DLL загружалась на любой компьютер, открывший файл.
  
  5 Седьмой метод, который Stuxnet использовал для распространения, был через сетевые ресурсы — путем заражения ресурсов и файлов, которые были общими для нескольких компьютеров в локальной сети. Восьмой метод включал эксплойт, нацеленный на двухлетнюю уязвимость Windows, которую Microsoft уже исправила. Это была уязвимость, которую Conficker использовал ранее в ноябре 2008 года. Microsoft исправила уязвимость в октябре 2008 года после того, как хакеры в Китае первыми использовали ее для распространения троянского коня. Microsoft выпустила редкий внеполосный патч для дыры— внеполосные патчи - это те, которые выпускаются перед выпуском компанией регулярный график исправлений, когда дыра в безопасности была серьезной — после осознания, что дыру можно легко использовать для распространения червя. К сожалению, создатели Conficker тоже это поняли и не стали тратить время на распространение своего червя в следующем месяце. Несмотря на то, что к тому времени Microsoft выпустила патч, команда Conficker сделала ставку на тот факт, что многие пользователи компьютеров не следят за обновлениями. Они выиграли пари. Примерно треть компьютеров с Windows оставалась без обновления, и к апрелю 2009 года Conficker заразил миллионы из них. Когда Stuxnet был выпущен два месяца спустя, его злоумышленники сделали ту же ставку. Но Stuxnet использовал этот эксплойт только для распространения при определенных условиях; это не было основным методом распространения.
  
  6 Zlob генерировал всплывающие окна на зараженных компьютерах, которые выглядели как законные предупреждения Microsoft, предупреждая пользователей о том, что их компьютеры заражены, и призывая их щелкнуть ссылку для загрузки антивирусной программы. Однако загруженная антивирусная программа представляла собой вредоносный бэкдор, который позволял злоумышленнику выполнять различные действия на зараженных компьютерах. The .Эксплойт LNK был гениальной атакой, но она не принесла бы особой пользы банде Zlob и другим киберпреступникам, целью которых было заразить как можно больше машин за короткий промежуток времени. The .Эксплойт LNK распространял вредоносное ПО медленно, поскольку зависел от флэш-накопителя USB, переносимого вручную с компьютера на компьютер. Банде Zlob было выгоднее использовать эксплойт, который мог заразить тысячи машин через Интернет.
  
  7 Карстен Колер, “Распечатай свою оболочку”, Hakin9, 1 апреля 2009 г., доступно по адресу hakin9.org/print-your-shell.
  
  8 Пароль был опубликован в апреле 2008 года кем-то по имени “Кибер” после того, как другой пользователь пожаловался, что его система Siemens перестала работать после того, как он изменил жестко закодированный пароль по умолчанию. Он не мог вспомнить оригинальный пароль для его восстановления, поэтому “Кибер” разместил его в Интернете, чтобы помочь ему. Впоследствии пароли были удалены с форума Siemens после того, как кто-то отчитал Cyber за размещение их в Интернете. Но те же пароли были также размещены на русскоязычном форуме Siemens кем-то по имени “Кибер” и все еще находились там, когда был обнаружен Stuxnet, хотя страница, на которой они были размещены, с тех пор переместилась или была удалена. Англоязычный форум, на котором был опубликован пароль, доступен по адресу: automation.siemens.com/forum/guests/PostShow.aspx ?postID=16127&16127&Language=ru&pageIndex=3.
  
  9 Во всех трех версиях Stuxnet — в июне 2009 года и в марте и апреле 2010 года — единственной частью атаки, которая изменилась, была ракетная часть кода с механизмами распространения; полезная нагрузка, нацеленная на ПЛК, осталась прежней.
  
  10 Трюк с автозапуском не считается уязвимостью нулевого дня, поскольку это особенность системы Windows, которую злоумышленники просто сочли выгодной для распространения своего вредоносного ПО. Смотрите примечания 7 и 8 для предыдущего обсуждения автозапуска.
  
  11 Злоумышленникам пришлось добавить сертификат к версии Stuxnet 2010 года, потому что в конце 2009 года Microsoft выпустила новую версию своей операционной системы Windows 7, которая, как ранее отмечалось на эта страница, включал новую функцию безопасности, которая не позволяла устанавливать драйверы, если они не были подписаны цифровой подписью с действительным сертификатом.
  
  12 Как отмечалось ранее, многие компании отключают автозапуск, поскольку это представляет угрозу безопасности. The .Функцию LNK нельзя было отключить таким же образом, и поскольку уязвимость затронула все версии Windows, начиная с Windows 2000, это сделало больше компьютеров уязвимыми для нее.
  
  13 Есть предостережение относительно широкого распространения версии 2010 года по сравнению с версией 2009 года. Чиен и О'Мурчу изучили 3280 копий Stuxnet, собранных с зараженных компьютеров различными антивирусными фирмами. На июньскую версию Stuxnet 2009 года приходилось всего 2 процента из них; остальные были из версий марта и апреля 2010 года. Предполагается, что ограниченное количество найденных образцов 2009 года связано с тем, что эта версия распространилась меньше и заразила меньше машин за пределами Ирана. Но также могло случиться так, что версия 2009 года была заменена на компьютерах версией марта 2010 года, когда она была выпущена. Каждый раз, когда Stuxnet сталкивался с машиной, он проверял, была ли на машине уже старая версия его самого, и заменял ее новой версией. Это могло бы привести к уменьшению количества образцов 2009 года в дикой природе, которые исследователи могли бы найти. Однако столь же вероятно, что ограниченное количество копий 2009 года было вызвано ограниченными способами его распространения.
  
  14 Тот факт, что Stuxnet распространялся через флэш-накопители USB и локальные сети, а не через Интернет, должен был снизить вероятность его столь широкого распространения, но это произошло. Вероятно, это произошло потому, что некоторые из зараженных в Иране компаний имели филиалы за пределами Ирана или использовали подрядчиков, у которых были клиенты в других странах, и распространяли инфекцию каждый раз, когда они подключали зараженный ноутбук к сети другого клиента или использовали зараженный USB-накопитель на нескольких сайтах. После обнаружения Stuxnet исследователи Symantec просеяли свой архив в поисках любых копий Stuxnet , которые могли быть обнаружены и помечены как подозрительные их автоматизированной системой отчетности до того, как VirusBlokAda обнаружила их в июне 2010 года. Они обнаружили одну копию версии кода от марта 2010 года на компьютере клиента в Австралии, которая была отмечена их системой отчетности в том месяце, когда была выпущена эта версия Stuxnet. Это показало, как далеко продвинулось вредоносное ПО за короткое время и насколько неизбежным было то, что его в конечном итоге поймают.
  
  15 Злоумышленники могли получить журнал удаленно из зараженной системы, которая связывалась с их командными серверами.
  
  OceanofPDF.com
  
  ГЛАВА 7
  ВЫПЛАТЫ за НУЛЕВОЙ ДЕНЬ
  
  Эксплойты нулевого дня Stuxnet подняли множество тревожных вопросов о растущей роли правительств в тайной продаже и использовании таких эксплойтов — вопросов, которые еще предстоит рассмотреть Конгрессу или разрешить в ходе публичных дебатов, несмотря на свидетельства того, что практика создает опасные уязвимости для корпораций, критически важной инфраструктуры и отдельных пользователей компьютеров.
  
  Хотя рынок уязвимостей и эксплойтов нулевого дня существует уже более десяти лет, до недавнего времени он был довольно небольшим и скрывался в закрытом, подпольном мире хакеров и преступников. Однако за последние несколько лет он стал коммерческим и взорвался, поскольку число покупателей и продавцов резко возросло вместе с ценами, и некогда мутная торговля стала узаконенной с выходом на арену государственных долларов для создания нерегулируемого рынка кибероружия.
  
  Один из первых намеков на коммерциализацию zero days на свободном рынке появился в декабре 2005 года, когда продавец по имени “fearwall” разместил уязвимость нулевого дня для продажи на eBay и вызвал опасения, что законные исследователи безопасности и охотники за ошибками скоро пойдут по пути наемников и продадут свои навыки и товары по самой высокой цене вместо того, чтобы передавать информацию о дырах в программном обеспечении поставщикам для исправления. Прежде чем выставить свой нулевой день Windows Excel на аукцион, fearwall раскрыл информацию об уязвимости Microsoft, как и ожидалось от “ответственных” исследователей, но софтверный гигант уклонялся от ее исправления, и в то время у Microsoft не было программы вознаграждений, которая платила исследователям за ошибки, которые они раскрыли. Итак, fearwall решил предложить свою ошибку на открытом рынке, чтобы смутить софтверного гиганта и заставить его быстрее исправить дыру. Торги достигли всего 60 долларов, прежде чем eBay отозвал объявление. Но прерванная продажа была предзнаменованием грядущих событий.
  
  Сегодня рынков уязвимостей и эксплойтов нулевого дня великое множество — от программ вознаграждения за ошибки, предлагаемых самими производителями программного обеспечения и владельцами веб-сайтов, до процветающих подпольных черных рынков, которыми управляют хакеры-преступники, до подпольных серых рынков, которые удовлетворяют безграничный спрос правоохранительных органов и разведывательных агентств по всему миру.
  
  Бонусные программы белого рынка, предлагаемые Google, Microsoft и другими компаниями, теперь платят за информацию о дырах в безопасности в их программном обеспечении и сделали компании более отзывчивыми в их устранении. Сторонние охранные фирмы, такие как HP TippingPoint, также платят за нулевые дни, которые они используют для проверки безопасности сетей клиентов и защиты их от атак. TippingPoint конфиденциально раскрывает уязвимости поставщикам программного обеспечения, чтобы их можно было исправить, но на выпуск исправлений могут уйти недели или месяцы, и за это время TippingPoint получает преимущество перед конкурентами, поскольку может защитить клиентов от атак, о которых они еще не знают.
  
  Процветающий подпольный черный рынок, обслуживающий мошенников и корпоративных шпионов, продает не только уязвимости и эксплойты нулевого дня, но и полезную нагрузку для использования эксплойтов — троянских коней, шпионские наборы и другие вредоносные инструменты, предназначенные для кражи учетных данных онлайн-банка и секретов компании или накопления армий компьютеров-зомби для ботнета. Уязвимости, продаваемые на этом рынке, становятся известны общественности и поставщикам только после обнаружения атак, в которых они используются, что может занять годы, о чем свидетельствует время, которое потребовалось исследователям, чтобы обнаружить.LNK использует этот Stuxnet, а до него - троянец Zlob.
  
  Но подпольные криминальные продажи, какими бы тревожными они ни были, быстро затмеваются новейшим рынком уязвимостей и эксплойтов нулевого дня, который, по прогнозам критиков, вскоре окажет более серьезное влияние на безопасность, чем криминальный рынок. Это процветающий серый рынок торговцев цифровым оружием — оборонных подрядчиков и частных маркетологов, чьи государственные заказчики взвинтили цены на "нулевые дни" и отвлекли продавцов от программ вознаграждения поставщиков, где дыры будут исправлены, в руки людей, которые хотят только их эксплуатировать.
  
  Рынок “серый” только потому, что покупатели и продавцы считаются хорошими парнями, действующими в интересах общественной и национальной безопасности. Но инструмент национальной безопасности одного человека может стать инструментом угнетения другого, и нет никакой гарантии, что правительство, которое покупает zero days, не будет злоупотреблять ими для слежки за политическими оппонентами и активистами или передавать их другому правительству, которое это сделает. Даже если правительственное учреждение использует нулевой день для законных целей национальной безопасности, уязвимости, продаваемые на сером рынке, не раскрываются поставщикам для исправления, что оставляет любого, кто не знает о них, включая другие правительственные учреждения и владельцев критической инфраструктуры в собственной стране покупателя, открытыми для атаки, если иностранные противники или независимые хакеры обнаружат те же дыры в безопасности и воспользуются ими.
  
  Продажа эксплойтов является законной и в значительной степени нерегулируемой. Хотя экспортный контроль в Соединенных Штатах, который регулирует продажу обычного программного обеспечения, также запретил бы продажу эксплойтов в такие страны, как Иран и Северная Корея, эксплойты не сопровождаются уведомлением об авторских правах, указывающим их производителя или страну происхождения, поэтому любой, кто продает на этих рынках, вряд ли будет пойман.
  
  Цена zero days сильно варьируется в зависимости от редкости уязвимости — системы, которые сложнее взломать, дают меньше дыр, — а также от времени и сложности, связанных с поиском дыры и разработкой эксплойта для нее, повсеместностью программного обеспечения, которое оно использует, и эксклюзивностью продажи. Эксплойт, проданный исключительно одному клиенту, естественно, принесет больше, чем тот, который продается многим. Эксплойты, для которых требуется более одной уязвимости, чтобы предоставить злоумышленнику root-доступ к компьютеру, также требуют более высокой цены, как и те, которые обходят антивирус и другие средства защиты системы без каких-либо побочных эффектов, таких как сбой браузера или компьютера или иное оповещение владельца компьютера о том, что что-то не так.
  
  Эксплойт нулевого дня для Adobe Reader может стоить 5000 или 30 000 долларов, в то время как эксплойт для Mac OS может стоить 50 000 долларов. Но эксплойт для Flash или Windows может подскочить до 100 000 долларов или больше из-за повсеместного распространения программ на рынке. Эксплойт для iOS от Apple также может стоить 100 000 долларов, потому что iPhone сложнее взломать, чем конкурирующие мобильные телефоны. Браузерные эксплойты, атакующие Firefox, Internet Explorer и Chrome, могут продаваться по цене от 60 000 до более чем 200 000 долларов, в зависимости от их способности обходить средства защиты, которые поставщики установили в программное обеспечение.1
  
  Однако, какова бы ни была цена на сером рынке, в большинстве случаев она намного превосходит то, что продавец может получить от программ вознаграждений на белом рынке. Например, Mozilla Foundation платит всего 3000 долларов за ошибки, обнаруженные в ее браузере Firefox и почтовом клиенте Thunderbird, в то время как Microsoft, которую годами критиковали за отсутствие программы вознаграждения за ошибки, в 2013 году начала предлагать всего 11 000 долларов за ошибки, обнаруженные в предварительном выпуске ее нового браузера Internet Explorer 11. Однако компания также теперь предлагает 100 000 долларов за уязвимости, которые могут помочь злоумышленнику обойти средства защиты в своих программных продуктах, плюс дополнительные 50 000 долларов за решение для его исправления. Обычно Google платит всего 500-20 000 долларов за ошибки, обнаруженные в его браузере Chrome и веб-ресурсах, таких как Gmail и YouTube, хотя он заплатит 60 000 долларов за некоторые типы дыр, обнаруженных в Chrome во время ежегодного конкурса, который он спонсирует. Но, хотя некоторые поставщики пытаются конкурировать с черным рынком, в большинстве случаев они все еще не могут сравниться с ценой, которую некоторые правительства будут платить на сером рынке. А Apple и Adobe по-прежнему не предлагают никаких бонусных программ для оплаты ошибок в программном обеспечении, используемом миллионами людей.
  
  Серый рынок нулевых дней существует уже около десяти лет, но только недавно он появился в своей нынешней, надежной форме. В течение многих лет он работал нерегулярно, продажи происходили только в частном порядке между охранными фирмами, исследователями и их правительственными контактами. Если кто-то хотел продать эксплойт, но не имел контактов в правительстве, было трудно вынюхать покупателя.
  
  Например, начиная с 2006 года, одна охранная фирма продала несколько эксплойтов нулевого дня контакту в крупной оборонной фирме США, по словам бывшего сотрудника, который работал там. Нулевые дни, все браузерные эксплойты, нацеленные на дыры в безопасности в Safari, Firefox и Internet Explorer, продаются примерно за 100 000 долларов каждый. Охранная фирма получала авансом 50 000 долларов за каждую совершенную продажу и 10 000 долларов в месяц после этого, пока цена не была погашена — платежи распределялись, чтобы отбить у них охоту перепродавать эксплойты другим покупателям или раскрывать их поставщикам для исправления.
  
  Одним из первых, кто открыто признался в продаже эксплойтов правительству, является исследователь безопасности Чарли Миллер, бывший хакер АНБ, который был завербован шпионским агентством в 2000 году после получения степени доктора философии по математике в Университете Нотр-Дам. Миллер проработал в разведывательном управлении около пяти лет, сначала взламывая коды от его имени, прежде чем применить свои навыки для взлома компьютеров — проведения разведывательных сканирований для составления карт иностранных сетей и проведения “эксплуатации компьютерных сетей против иностранных целей”, согласно его резюме, одобренному АНБ. CNE на языке шпионов означает взлом систем и сетей для перекачки данных и разведданных. После ухода из АНБ Миллер получил известность в сообществе безопасности за поиск ошибок нулевого дня и создание эксплойтов, не все из которых он продавал правительству. Он был первым, с коллегой, кто взломал систему безопасности iPhone после его дебюта в 2007 году, и он четырехкратный победитель Pwn2Own, ежегодного конкурса хакеров, спонсируемого HP TippingPoint, который платит участникам за ошибки нулевого дня, обнаруженные в определенных программных целях.
  
  Но в 2006 году Миллер работал в небольшой охранной фирме, занимаясь поиском жучков на стороне, когда он продал эксплойт нулевого дня правительственному подрядчику США за 50 000 долларов. Он продал эксплойт кому-то, кого знал со времен работы в АНБ, но говорит, что понятия не имеет, куда он делся после продажи или как его использовали. В контрактах, которые он подписал для этого и других эксплойтов, которые он продал, никогда не оговаривалось, что покупатель может с ними сделать. “Я не знаю, сделал ли он с этим что-то хорошее или плохое; я знаю, что он работал на правительство США”, - говорит Миллер. “Они покупают интеллектуальную собственность, вы знаете? Они могут делать с ним все, что захотят ”.
  
  Миллер вызвал переполох в 2007 году, когда опубликовал статью о рынке нулевого дня и публично признал, что продавал эксплойты правительству.2 Он написал статью, потому что хотел, чтобы люди знали о существовании подобной практики, и помог другим исследователям разобраться в подводных камнях торговли, с которыми столкнулся сам. В то время продажа эксплойтов была маленьким грязным секретом индустрии безопасности. Исследователи время от времени обсуждали эту практику между собой, но никто не был готов говорить об этом открыто. Миллер вскоре понял почему. Коллеги из сообщества безопасности обвинили его в том, что он подвергает пользователей риску, а некоторые призвали отозвать его сертификат CISSP (certified information systems security professional) за нарушение этического кодекса отрасли. “Я говорил об этом … Меня за это избили. И я больше не говорю об этом ”, - говорит Миллер.3
  
  Но для него не имело смысла передавать баги поставщикам бесплатно — в то время существовала только пара программ вознаграждения поставщиков, и они мало платили за баги и эксплойты. Это было также время, когда поставщики с меньшей вероятностью благодарили исследователей за обнаружение дыры, чем угрожали им судебным иском или уголовным преследованием за то, что они исследовали их систему или программное обеспечение с целью ее обнаружения.
  
  Миллер отказался от торговли нулевым днем много лет назад — сейчас он работает в команде безопасности Twitter, — но он по-прежнему не видит ничего плохого в продаже zero days правительству и раздражается, когда люди говорят об этичности этого. “Никто не злится, что, вы знаете, компании продают правительству оружие и танки”, - говорит он, отмечая, что в то время как американские исследователи продают нулевые дни своему правительству, китайские и российские хакеры делают то же самое для своих правительств. По его словам, для Соединенных Штатов лучше заплатить большие деньги за эксплойты, чем позволить им попасть в руки врагов.
  
  “Я не думаю, что это потрясающе, что исследователи могут продавать эксплойты правительству, - сказал мне Миллер, - но я думаю, что люди должны ... знать, что это происходит. Я согласен с тем, что правительство делает это открыто.… Я не знаю, почему они просто не создадут общедоступную программу [и не скажут]: ‘найдите нулевой день, мы его купим ”.4
  
  Но за годы, прошедшие со времен Миллера в поисках эксплойтов, спрос на "серые" рынки на "нулевые дни" вырос как гриб, о чем свидетельствует тот факт, что эксплойты, на продажу которых раньше могли уйти месяцы, теперь продаются в течение нескольких дней или недель. Для удовлетворения спроса возникла растущая экосистема, населенная небольшими фирмами, основной деятельностью которых является поиск ошибок, а также крупными оборонными подрядчиками и кадровыми агентствами, которые теперь нанимают команды профессиональных хакеров, занимающихся созданием эксплойтов для правительств. Также появляется больше посредников, желающих продавать эксплойты независимым продавцам.
  
  Одним из таких посредников является южноафриканский исследователь в области безопасности, базирующийся в Таиланде, который известен в сообществе безопасности своим хакерским именем “Grugq”. Брокеры Grugq используют продажи между его друзьями-хакерами и правительственными контактами, получая 15-процентную комиссию за транзакцию. Он начал свой бизнес только в 2011 году, но к 2012 году продажи были настолько хорошими, что он сказал репортеру, что рассчитывает заработать 1 миллион долларов комиссионных. Опубликованная фотография его, сделанная в баре Бангкока, показала сумку с наличными у его ног, очевидно, оплата от одного из его продавцов, хотя позже он сказал, что фотография была просто шуткой.5
  
  Большинство эксплойтов, которые он продал, достались государственным покупателям в Соединенных Штатах и Европе, сказал он Forbes, потому что они были готовы платить больше, чем другие. Один эксплойт Apple iOS, который он продал правительственному подрядчику США, обошелся в 250 000 долларов, хотя позже он пришел к выводу, что запросил слишком мало, потому что покупатель был слишком доволен продажей. Он объяснил свой успех профессионализмом, который он вложил в маркетинг эксплойтов, и поддержкой, которую он оказывал своим клиентам. “По сути, вы продаете коммерческое программное обеспечение, как и все остальное”, - сказал он Forbes. “Его нужно отшлифовать и снабдить документацией”.
  
  Но по-настоящему крупная торговля эксплойтами в наши дни осуществляется не посредниками и отдельными продавцами, такими как Miller и Grugq, а охранными фирмами и оборонными подрядчиками, которые сделали разработку и продажу эксплойтов для правительства частью нового военно-промышленного комплекса.
  
  Хотя правительства все еще производят свои собственные эксплойты — для этого АНБ нанимает команды — они также передают их на аутсорсинг другим фирмам, потому что спрос на эксплойты вырос, как и стоимость их производства: два или три года назад одной уязвимости было достаточно, чтобы получить корневой доступ к компьютеру. Но сегодня может потребоваться несколько способов обхода мер безопасности для достижения тех же результатов.
  
  Большинство компаний, участвующих в торговле, скрывают свою работу в этой области не только потому, что она засекречена, но и потому, что они не хотят быть мишенью активистов, выступающих против этой работы, или противников, которые могут взломать их, чтобы украсть их эксплойты. Поскольку нулевые дни могут использоваться как для защиты системы, так и для атаки на нее, многие компании также скрывают свою наступательную деятельность под прикрытием оборонительных работ. Американские компании, такие как Endgame Systems, Harris, Raytheon, Northrop Grumman, SAIC, Booz Allen Hamilton и Lockheed Martin, в той или иной степени участвовали в игре exploit. Среди европейских компаний - бутик-фирмы ReVuln на Мальте, которая создает эксплойты для промышленных систем управления, и VUPEN во Франции, которая продает их правоохранительным органам и разведывательным агентствам. Hacking Team в Италии и Gamma Group в Великобритании продают инструменты наблюдения для правоохранительных органов и разведывательных агентств, которые используют эксплойты нулевого дня для установки.
  
  Работа Endgame Systems, фирмы из Джорджии, в течение многих лет держалась в секрете в сообществе безопасности, но не была широко известна за пределами сообщества до 2011 года, когда хакеры из Anonymous collective взломали серверы, принадлежащие другой фирме под названием HBGary Federal, и выложили в Интернет тысячи ее электронных писем, включая переписку с руководителями Endgame. В электронных письмах обсуждались эксплойты Endgame, а также ее усилия “сохранять очень низкий профиль” по совету своих правительственных клиентов. В электронных письмах, которые включали презентации PowerPoint для потенциальных клиентов Endgame, описывалась миссия компании по расширению “возможностей разведки и военных организаций Соединенных Штатов в области информационных операций”. Глава совета директоров Endgame также является исполнительным директором In-Q-Tel, венчурной фирмы ЦРУ.
  
  Публично Endgame предлагала услуги по защите клиентов от вирусов и ботнетов, в то время как в частном порядке продавала пакеты уязвимостей и эксплойтов, содержащие информацию, которая могла бы “привести к разведывательным действиям для усилий CNA”. CNA, или компьютерные сетевые атаки, на военном языке означает взлом, который манипулирует или уничтожает данные или системы, замедляет или останавливает работу систем. Компания начала свою деятельность в 2008 году, и перспективы ее бизнеса были настолько радужными, что два года спустя она привлекла венчурный капитал в размере 30 миллионов долларов, за которым последовали 23 миллиона долларов в следующем раунде. В 2011 году генеральный директор Endgame Кристофер Роуланд сообщил местной газете в Атланте, что выручка компании “более чем удваивается ежегодно”.6
  
  В украденных электронных письмах описывались три разных пакета, предлагаемых Endgame, под названием Maui, Cayman и Corsica. За 2,5 миллиона долларов в год пакет Maui предоставлял покупателям набор из двадцати пяти эксплойтов нулевого дня. Пакет Cayman стоимостью 1,5 миллиона долларов предоставил информацию о миллионах уязвимых компьютеров по всему миру, уже зараженных ботнет-червями, такими как Conficker и другими вредоносными программами. Образец карты в электронных письмах показал расположение уязвимых компьютеров в Российской Федерации и список зараженных систем в ключевых правительственных учреждениях и объекты критической инфраструктуры, которые включали IP-адрес каждой машины и операционную систему, которую она использовала. В списке были указаны 249 зараженных компьютеров в Центральном банке Российской Федерации и несколько машин в Министерстве финансов, Национальном резервном банке, Нововоронежской атомной электростанции и Ачинском нефтеперерабатывающем заводе. Endgame частично собирала данные, создавая воронки для связи с машинами, зараженными Conficker — когда вредоносная программа связывалась с воронкой, Endgame собирала разведданные о машине. Аналогичная карта для Венесуэлы показала расположение веб-серверов в этой стране и программного обеспечения, работающего на них. Веб-серверы, если они взломаны и плохо настроены, часто могут предоставить злоумышленникам доступ к внутренним системам и базам данных. Системы в списке включали серверы корпорации "Андина де Фоменто" — банка развития, который предоставляет финансирование восемнадцати странам—членам в Латинской Америке, Карибском бассейне и Европе, а также центральному бюджетному управлению Венесуэлы, Канцелярии президента, Министерству обороны и Министерству иностранных дел. После того, как он был взломан, Endgame начала сообщать журналистам в 2012 году, что она выходит из бизнеса эксплойтов, и в начале 2014 года сделала официальное объявление об этом.
  
  В то время как Endgame предприняла согласованные усилия, чтобы скрыть свой бизнес с использованием эксплойтов, одна компания, которая положительно отзывается о своей роли в торговле нулевым днем, - это VUPEN Security, базирующаяся в Монпелье, Франция. VUPEN позиционирует себя как специализированная охранная фирма, создающая и продающая эксплойты разведывательным агентствам и правоохранительным органам для наступательных операций по обеспечению кибербезопасности и законных миссий по перехвату. Первоначально запущенная в 2008 году для защиты правительственных клиентов от атак нулевого дня, компания начала создавать эксплойты для наступательных операций два года спустя. В 2011 году он заработал 1 доллар.2 миллиона выручки, почти 90 процентов из которых поступили от продаж за пределами Франции. В 2013 году компания объявила об открытии офиса в Соединенных Штатах.
  
  Основатель и генеральный директор VUPEN Чауки Бекрар - смелый и дерзкий тип, который любит раздражать критиков в Twitter, которые считают, что предоставление эксплойтов правительствам неэтично. Он также часто бросает вызов своим скрытным конкурентам, чтобы они рассказали правду об их собственной торговле нулевого дня. “Мы единственная компания в мире, которая четко заявляет, что мы делаем это”, - говорит он. “Есть некоторые компании в США или в Европе, например, которые делают это, но они делают это под прикрытием. Но мы решили сделать это четко, просто потому, что хотим быть предельно прозрачными ”.7
  
  В то время как Endgame и другие стараются не привлекать к себе внимания, Бекрар и его исследователи регулярно посещают конференции по безопасности, участвуя в таких конкурсах, как Pwn2Own, чтобы повысить авторитет компании. На конференции CanSecWest (ежегодная конференция по компьютерной безопасности в Канаде) в 2012 году, где проводится конкурс Pwn2Own, Бекрар и команда из четырех его исследователей заняли первое место в одинаковых черных толстовках с названием компании на спине.
  
  Но прозрачность VUPEN не заходит так далеко. Бекрар не будет обсуждать свое прошлое или отвечать на другие личные вопросы, вместо этого переключая внимание на свою компанию. “Я просто актер. Я хочу поговорить о фильме ”, - говорит он. Но когда речь заходит о компании, он в равной степени молчалив — он не скажет, сколько у него сотрудников, только то, что компания небольшая, или назовет их фамилии.
  
  Исследователи VUPEN посвящают все свое время поиску уязвимостей нулевого дня и разработке эксплойтов — как для уже известных уязвимостей, так и для нулевых дней. Бекрар не скажет, сколько эксплойтов они продали с тех пор, как начали эту часть своего бизнеса, но говорит, что они обнаруживают сотни нулевых дней в году. “У нас есть нулевые дни для всего”, - говорит он. “У нас есть почти все для каждой операционной системы, для каждого браузера, для каждого приложения, если хотите”.
  
  Неясно, насколько хвастовство Бекрара соответствует действительности, а насколько - стратегическому маркетингу, но в любом случае его тактика, похоже, работает. В 2012 году, через несколько месяцев после того, как его команда выиграла конкурс Pwn2Own, АНБ приобрело годичную подписку на сервис VUPEN “Бинарный анализ и эксплойты (BAE)”. Контракт, опубликованный по запросу public records, был сильно отредактирован и не раскрывал цену, уплаченную за подписку. Но бизнес-консалтинговая фирма, которая назвала VUPEN предпринимательской компанией года в 2011 году, указала, что подписка обходится примерно в 100 000 долларов в год. Согласно веб-сайту VUPEN, служба BAE предоставляет “высокотехничные отчеты по наиболее критичным и значительным уязвимостям, чтобы понять их первопричину, методы использования, меры по смягчению последствий и обнаружение атак как на основе эксплойтов, так и на основе уязвимостей”.8
  
  VUPEN также предлагает программу защиты от угроз, которая предоставляет подробное исследование эксклюзивных уязвимостей, обнаруженных ее исследователями, чтобы позволить клиентам “уменьшить их подверженность атакам нулевого дня”, согласно брошюре компании, которая просочилась в WikiLeaks.9 Обе эти программы описаны так, как будто они предназначены для того, чтобы помочь клиентам защититься от атак нулевого дня — эксплойты нулевого дня могут использоваться для проверки системы на ее уязвимость к атаке, — но информация, представленная в них, также может быть использована для агрессивной атаки на другие не исправленные системы. Пакет защиты от угроз компании даже предоставляет клиентам готовые эксплойты для атаки на обнаруженные уязвимости. И у VUPEN есть третий сервис для правоохранительных органов и разведывательных агентств, который явно предназначен исключительно для скрытого нападения на целевые машины с целью получения удаленного доступа к ним. “Правоохранительные органы нуждаются в самых передовых исследованиях ИТ-вторжений и самых надежных инструментах атаки, чтобы скрытно и удаленно получить доступ к компьютерным системам”, - цитируется Бекрар в брошюре. “Использование ранее неизвестных уязвимостей программного обеспечения и эксплойтов, которые обходят антивирусные продукты и современные средства защиты операционной системы ... может помочь следователям успешно решить эту задачу”.
  
  Программа вторжения распространяется только на полицию и разведывательные службы НАТО, ANZUS и АСЕАН, а также на страны—партнеры этих ассоциаций - то, что Бекрар описывает как “ограниченное число стран”.
  
  “Это очень чувствительно, поэтому мы хотим, чтобы число клиентов было небольшим”, - говорит он. Но в НАТО двадцать восемь стран-членов, включая Румынию и Турцию, и еще около сорока стран считаются ее партнерами, включая Израиль, Беларусь, Пакистан и Россию. Бекрар настаивает на том, что VUPEN не будет продавать их всем только потому, что они есть в списках.
  
  Компания продает эксплойты, которые атакуют все ведущие коммерческие продукты Microsoft, Apple, Adobe и других, а также нацелены на корпоративные базы данных и серверные системы, созданные такими компаниями, как Oracle. Но браузерные эксплойты - самый желанный предмет, и Бекрар говорит, что у них есть эксплойты для каждого бренда. Компания продает только эксплойты и то, что Бекрар называет промежуточными полезными нагрузками, которые позволяют клиенту проникнуть в сеть. Задача заказчика - вооружить эксплойт конечной полезной нагрузкой.
  
  После того, как Stuxnet был обнаружен, VUPEN также обратила свое внимание на промышленные системы управления, когда клиенты начали интересоваться эксплойтами для них. Подвиги Stuxnet, которые, по его словам, его команда проанализировала после разоблачения атаки, были достойны восхищения. “Сами уязвимости были действительно хороши, а эксплойт, позволяющий воспользоваться ими, был еще лучше”, - говорит он. “Их было не очень легко использовать.…” Но для серьезной разработки атак для промышленных систем управления требуется доступ к специальному оборудованию и средствам тестирования, и Бекрар говорит: “У нас нет таких вещей, и мы не хотим иметь такие вещи”.
  
  Подписчики их сервиса эксплойтов имеют доступ к порталу, где они могут приобрести меню существующих эксплойтов zero days или специальных эксплойтов для конкретной операционной системы или приложения. Согласно брошюре, стоимость эксплойтов оценивается на четырех уровнях. Подписчики приобретают определенное количество кредитов, которые могут быть использованы для покупки эксплойтов на сумму 1, 2, 3 или 4 кредита. Каждый эксплойт сопровождается описанием программного обеспечения, на которое он нацелен, и указанием того, насколько надежен эксплойт. Клиенты также могут получать оповещения в режиме реального времени в любое время, когда обнаруживается новая уязвимость и доступен эксплойт. VUPEN отслеживает объявления от Microsoft и других поставщиков, чтобы узнать, когда обнаружена или исправлена уязвимость, связанная с одной из их атак с использованием эксплойтов, и предупреждает клиентов о том, что ошибка и эксплойт были удалены — иногда с объявлением через Twitter.
  
  Бекрар говорит, что его компания не предлагает эксклюзивных эксплойтов, но продает одни и те же эксплойты нескольким покупателям. Однако чем чаще используется эксплойт, тем больше вероятность того, что он будет обнаружен, что сделало бы его менее привлекательным для такого агентства, как АНБ, где скрытность и секретность являются приоритетами. Бекрар настаивает на том, что VUPEN работает только с ограниченным числом правительств, и говорит, что клиенты не используют эксплойты “в массовых операциях”, поэтому “почти нет шансов”, что они будут широко распространены.
  
  Бекрар, как и Миллер, не испытывает симпатии к людям, которые критикуют продажу эксплойтов, и в прошлом говорил, что поставщики программного обеспечения создали этот государственный рынок эксплойтов, сначала отказавшись платить исследователям за обнаруженные ими уязвимости, а затем отказавшись платить большие деньги, не оставляя им выбора, кроме как обратиться к другим покупателям, готовым компенсировать им их работу. Он также настаивает, однако, что он не торгует эксплойтами за деньги. “Мы не бизнесмены, нас не волнуют продажи. Мы в основном заботимся о безопасности, об этике ”, - сказал он.
  
  На конкурсе Pwn2Own, когда Google предложила заплатить 60 000 долларов за эксплойт и информацию об уязвимости, которую команда VUPEN использовала против браузера Chrome от Google, Бекрар отказался передать информацию.10 Он пошутил, что мог бы рассмотреть это, если бы Google предложил 1 миллион долларов. Но позже в частном порядке он сказал, что даже за 1 миллион долларов не передаст эксплойт, предпочитая сохранить его для своих клиентов. На вопрос, есть ли у клиентов VUPEN такие деньги, чтобы заплатить за эксплойт, он рассмеялся и сказал: “Нет, нет, нет, нет. Никогда.… У них нет для этого бюджета”.
  
  Но он настаивал, что его причины для поставок правительствам лежат глубже, чем деньги: “Мы в основном работаем с правительствами, которые сталкиваются с проблемами национальной безопасности … мы помогаем им защищать свои демократии и защищать жизни.… Это как любой метод наблюдения. Правительство должно знать, готовится ли что-то плохое, и знать, что делают люди, для защиты национальной безопасности. Таким образом, есть много способов использовать эксплойты для национальной безопасности и спасения жизней ”.
  
  Но критики утверждают, что такие компании, как VUPEN, не имеют возможности узнать, чем закончатся их эксплойты или как они будут использоваться, например, для внутреннего шпионажа за невинными гражданами. Бекрар признает, что клиентское соглашение VUPEN явно не запрещает правительственному покупателю использовать эксплойты VUPEN для слежки за своими гражданами. “Но мы говорим, что эксплойты должны использоваться этичным образом”, - говорит он.
  
  Бекрар говорит, что они не могут изложить это более конкретно в контракте, потому что юридические соглашения должны быть общими, чтобы охватывать все возможные случаи неэтичного использования. “Для нас это ясно”, - сказал он. “Вы должны использовать эксплойты с соблюдением этики, международных правил и национальных законов, и вы не можете использовать эксплойты в массовых операциях”. Но этика, конечно, находится в сознании наблюдателя, и Бекрар признает, что у него нет возможности контролировать, как клиенты интерпретируют этические предписания. “Мой единственный способ контролировать это - контролировать, в какую страну я продаю. И мы продаем только демократическим странам ”.
  
  Кристофер Согоян из Американского союза защиты гражданских свобод является одним из самых больших критиков VUPEN. Он называет продавцов эксплойтов, таких как VUPEN, “современными торговцами смертью” и “ковбоями”, которые гоняются за государственными долларами, чтобы поставлять инструменты и пули, которые делают возможным репрессивное наблюдение и кибервойну, подвергая всех риску в процессе.11 Он признает, что правительства создали бы и использовали свои собственные нулевые дни, независимо от того, продавали их такие компании, как VUPEN, или нет, но говорит, что продавцы на свободном рынке являются “бомбой замедленного действия”, потому что нет контроля над их торговлей.
  
  “Как только один из этих оружейных "нулевых дней", проданных правительствам, будет получен "плохим парнем" и использован для атаки на критическую инфраструктуру США, дерьмо попадет в вентилятор”, - сказал Согоян аудитории компьютерных профессионалов на конференции в 2011 году. “Вопрос не в том, "если", а в том, когда.… Что, если низкооплачиваемый коррумпированный полицейский продаст копию одного из этих эксплойтов организованной преступности или террористам? Что, если Anonymous взломает сеть правоохранительных органов и украдет один из этих оружейных эксплойтов?”12
  
  В 2013 году были предприняты первые шаги, чтобы попытаться регулировать продажу zero days и другого кибероружия. Вассенаарские договоренности — организация по контролю над вооружениями, состоящая из сорока одной страны, включая Соединенные Штаты, Великобританию, Россию и Германию, — объявили, что впервые классифицируют программные и аппаратные продукты, которые могут использоваться для взлома и наблюдения и которые “могут нанести ущерб международной и региональной безопасности и стабильности”, как продукты двойного назначения. Обозначение двойного назначения используется для ограничения материалов и технологий (таких как стареющая сталь, используемая в центрифугах), которые могут использоваться как в военных целях, так и в мирных. Хотя заявления организации не имеют обязательной юридической силы, ожидается, что государства-члены будут выполнять требования к экспортным лицензиям в своих странах и сотрудничать друг с другом в контроле за продажами продуктов двойного назначения.13 В Германии, члене Вассенаара, уже действует закон, который фактически запрещает продажу эксплойтов, а также практику их бесплатной раздачи, что исследователи безопасности регулярно делают между собой для тестирования систем и повышения безопасности. В 2013 году законодатели в Соединенных Штатах совместно с Комитетом Сената по вооруженным силам представили законопроект, призывающий президента установить политику “контроля за распространением кибероружия посредством одностороннего и совместного экспортного контроля, деятельности правоохранительных органов, финансовых средств, дипломатического взаимодействия и таких других средства, которые Президент сочтет подходящими ”. Но неясно, как именно будет работать такой контроль, поскольку "нулевые дни" и другое цифровое оружие гораздо сложнее контролировать, чем обычное оружие, и такой контроль, требующий экспортных лицензий для продажи эксплойтов за рубежом и проверки покупателей, может увеличить стоимость для законных продавцов, но не все продавцы заинтересованы в законности.
  
  Кроме того, такого рода средства контроля предназначены для того, чтобы эксплойты не попадали в руки преступников и нечестных игроков, таких как террористы. Они вовсе не предназначены для ограничения использования их правительством в правоохранительных целях или в целях национальной безопасности. Процветающий серый рынок нулевых дней ясно показывает, что правоохранительные органы и шпионские агентства стремятся заполучить в свои руки эксплойты, подобные тем, которые использовал Stuxnet, и готовы щедро платить за эту привилегию. Этот бешеный спрос на нулевые дни, скорее всего, будет только расти, а вместе с ним и количество спонсируемых государством программ, которые их используют.
  
  
  
  1 См. Энди Гринберг, “Покупка в нулевые дни: прайс-лист на секретные программные эксплойты хакеров”, Forbes, 23 марта 2012. В последние годы стало сложнее находить уязвимости нулевого дня, поскольку производители некоторых наиболее целевых программ добавили функции, повышающие их безопасность. Например, Google и другие компании встроили в свои браузеры так называемые песочницы, которые возводят защитный барьер для удержания вредоносного кода и предотвращения его утечки из браузера в операционную систему или другие приложения на компьютере. В результате эксплойты, которые позволяют злоумышленнику избежать изолированной среды, являются ценными.
  
  2 Чарли Миллер, “Законный рынок уязвимостей: внутри секретного мира 0-дневных продаж эксплойтов”, Независимые эксперты по оценке безопасности, 6 мая 2007 г., доступно по адресу weis2007.econinfosec.org/papers/29.pdf.
  
  3 Авторское интервью с Чарли Миллером, сентябрь 2011.
  
  4 Там же.
  
  5 Гринберг, “Покупка нулевых дней: прайс-лист на секретные программные эксплойты хакеров”.
  
  6 Тоня Лэйман, “Быстро развивающаяся фирма Rouland's Tech Security”, Atlanta Business Chronicle, 11 июня 2011 года.
  
  7 Эта и все цитаты Бекрара в этой главе взяты из интервью автора в марте 2012 года, если не указано иное.
  
  8 Из пресс-релиза, озаглавленного “VUPEN получает награду ”Предпринимательская компания года" на рынке исследований уязвимостей", 1 июня 2006 года, доступно по адресу vupen.com/press/VUPEN_Company_of_the_year_2011.php.
  
  9 Брошюра доступна по адресу wikileaks.org/spyfiles/files/0/279_VUPEN-THREAD-EXPLOITS.pdf.
  
  10 VUPEN уже выиграл 60 000 долларов от HT Tipping Point за участие в конкурсе, но Google предлагал дополнительно 60 000 долларов за получение информации о дыре, чтобы ее исправить. Конкурс Pwn2Own обычно требует, чтобы участники передали эксплойт и информацию о дыре, чтобы ее можно было исправить, но не для эксплойтов, которые обходят "песочницу" безопасности браузера, что, по словам ВУПЕНА, сделал его эксплойт. Сотрудник Google обвинил VUPEN в надувательстве за счет пользователей. “Мы пытаемся получить информацию от кого-то, чтобы мы могли это исправить … [Без этой информации] речь идет уже не о защите пользователей, а о хвастовстве. Это хорошо для удовлетворения эго, но помимо этого это не делает Интернет безопаснее ”, - сказал мне сотрудник Google.
  
  11 Райан Нарейн, “Посредники 0-дневного эксплойта - ковбои, бомба замедленного действия”, ZDNet.com, 16 февраля 2012 г., доступно по адресу zdnet.com/blog/security/0-day-exploit-middlemen-are-cowboys-ticking-bomb/10294.
  
  12 Там же.
  
  13 “Вассенаарские договоренности о контроле за экспортом обычных вооружений и товаров и технологий двойного назначения”, Публичное заявление 2013 Пленарное заседание, доступно по адресу wassenaar.org/publicdocuments/2013/WA%20Plenary%20Public%20Statement%202013.pdf.
  
  OceanofPDF.com
  
  ГЛАВА 8
  ПОЛЕЗНАЯ НАГРУЗКА
  
  Нико Фаллиер склонился над своим столом на восьмом этаже сорокаэтажного Tour Egée, треугольного здания из стекла и бетона в деловом районе Ла Дефанс в Париже. Снаружи перед его окном возвышался мрачный лес офисных башен, заслоняя вид на голубей и летних туристов, неторопливо направляющихся к ступеням Большой арки. Но Фаллиер не был сосредоточен на виде. Он был сосредоточен на том, чтобы совершить свой первый набег на сложную полезную нагрузку Stuxnet.
  
  В начале августа 2010 года, всего через две недели после анализа Stuxnet командой Symantec, Чиен и О'Мурчу обнаружили беспрецедентное количество нулевых дней, которые скрывались в черве. В течение этих первых двух недель Фаллиер работал с О'Мурчу над анализом большого файла вредоносной программы Windows .DLL, но он знал, что настоящие секреты Stuxnet заключаются в его полезной нагрузке, и ему не терпелось добраться до них.
  
  Он только что вернулся с обеда с друзьями, когда начал копаться в файлах полезной нагрузки, отделяя каждый из них и пытаясь понять его формат и структуру. Он заметил, что одним из них был DLL-файл со знакомым именем. К этому моменту исследователи Symantec получили копии программного обеспечения Siemens Step 7, поэтому Фаллиер прокрутил программные файлы Step 7, установленные в его тестовой системе. Ему не потребовалось много времени, чтобы найти то, что он искал — файл Siemens Step 7 .DLL с тем же именем, что и файл Stuxnet. Хм, подумал он, это интересно.
  
  Он быстро определил, что всякий раз, когда Stuxnet оказывался на компьютере с установленным программным обеспечением Siemens Step 7 или WinCC, он распаковывал свой DLL-файл с соответствующим именем из более крупного файла Windows .DLL и расшифровывал его.
  
  Фаллиер использовал ключ, встроенный в вредоносное ПО, для расшифровки .DLL и обнаружил, что он содержит все те же функциональные возможности, что и законный Step 7 .DLL. Но он также содержал некоторый подозрительный код, который включал такие команды, как “запись” и “чтение”. Фаллиер видел достаточно вредоносных программ за свою карьеру, чтобы точно знать, на что он смотрит — Stuxnet Step 7 .DLL действовала как руткит, тихо скрываясь в системе, ожидая захвата или подключения этих функций в любое время, когда система пыталась прочитать или записать блоки кода на целевые ПЛК или из них. Подобно руткиту в ракетной части Stuxnet, этот подключал функцию чтения, чтобы скрыть то, что Sutxnet делал с ПЛК. Насколько он знал, это был первый случай, когда кто-либо создал руткит для промышленной системы управления. Это было еще одно первое в растущем списке первых Stuxnet.
  
  Фаллиер не мог сказать, является ли Stuxnet мошенником.DLL подключала функцию чтения, чтобы просто пассивно отслеживать ПЛК и собирать разведданные об их операциях, или если у нее были более зловещие цели. Но тот факт, что он также перехватывал функцию “записи”, предполагал, что это, вероятно, было последнее и пыталось остановить работу ПЛК или каким-то образом изменить их работу. Он взглянул на часы и отметил, что в Калифорнии было около пяти утра — слишком рано, чтобы звонить Чиену, — поэтому он решил продолжить копать.
  
  Он продолжал еще несколько часов, и когда у него были все необходимые кусочки головоломки, это было именно то, что он подозревал. Stuxnet действительно перехватывал команды, передаваемые из Siemens .DLL в ПЛК, и заменял их своими собственными. Он не мог точно сказать, что это было указание ПЛК делать — он не мог найти блоки кода, которые Stuxnet ввел в ПЛК, — но он был почти уверен, что это было нехорошо. В Калифорнии было уже девять утра, поэтому он поднял трубку и позвонил Чиену.
  
  Обычно они разговаривали раз в неделю, чтобы быстро обменяться новостями о том, над чем работал Фаллиер; разговоры были эффективными и по существу и длились не более нескольких минут. Но на этот раз Фаллиер подробно рассказал обо всем, что он обнаружил. Цзянь внимательно слушал, пораженный услышанным. Атака становилась все более и более сложной. За каждым углом, куда они поворачивали с Stuxnet, их ждал новый сюрприз.
  
  Чиен согласился с тем, что Фаллиер должен бросить все, чтобы найти блоки кода, которые Stuxnet ввел в ПЛК. Они также решили, что Falliere следует сделать краткое объявление в своем блоге о рутките PLC. Остальную информацию они пока будут держать в секрете, пока Фаллиер не сможет определить природу того, что Stuxnet вводит в ПЛК.
  
  В ту ночь в метро по дороге домой с работы Фальер был переполнен нервной энергией. В течение четырех лет он занимался расшифровкой вирусов и червей и за это время повидал так много вредоносных программ, что им было трудно больше радоваться. Но на этот раз все было по-другому. Атака на ПЛК была беспрецедентной и потенциально могла привести к появлению совершенно нового вида вредоносных атак.
  
  Несмотря на его волнение, он знал, что дорога впереди полна препятствий. Файл Siemens .DLL, который заменил Stuxnet, был огромным, а структура программного обеспечения Step 7 и управляемых им ПЛК была в значительной степени недокументированной. Фаллиер и Чиен были в полном неведении о том, как работает система, и технические проблемы расшифровки полезной нагрузки должны были быть огромными. Более того, не было никакой гарантии, что они даже взломают его. На тот момент было так много вещей, о которых Фаллиер не знал. Но одно он точно знал, так это то, что ему предстоит долгий и изнурительный путь.
  
  ФАЛЛЬЕРУ БЫЛО ДВАДЦАТЬ ВОСЕМЬ лет, у него была мрачная, галльская внешность человека, который, казалось, был бы больше дома, играя транс-музыку в подпольном парижском ночном клубе, чем изучая стопки распечатанного компьютерного кода во время поездок на работу в метро. На самом деле он был довольно застенчивым и сдержанным, и разбираться в сложном компьютерном коде на самом деле привлекало его гораздо больше, чем проводить потные ночи в шумном клубе.
  
  Фаллиер был мастером реверс-инжиниринга, который специализировался на глубоком анализе вредоносного кода. Реверс-инжиниринг - это своего рода темное искусство, которое включает в себя использование двоичного языка единиц и нулей, который может прочитать компьютер, и перевод его обратно на язык программирования, понятный людям. Это требует большого внимания и навыков, особенно с таким сложным кодом, как Stuxnet. Но Фаллиер не возражал. Чем сложнее код, тем больше удовлетворения было, когда он, наконец, взломал его.
  
  Впервые он оттачивал свои навыки подростком во Франции, взламывая файлы “crackme” — кодовые игры, которые программисты писали друг для друга, чтобы проверить свои навыки обратного проектирования. Программисты будут писать небольшие программы, покрытые зашифрованной оболочкой, а реверс-инженерам придется взломать ее и обойти другие средства защиты, чтобы обнаружить секретное сообщение, скрытое внутри, а затем отправить его обратно автору, чтобы доказать, что они его разгадали. Вирусы и черви были просто другим типом файлов crackme в некотором смысле, хотя некоторые из них были более сложными, чем другие. Единственная разница теперь заключалась в том, что Фаллиеру заплатили за их взлом.
  
  Фаллиер родился и вырос недалеко от Тулузы на юге Франции, где находится аэрокосмическая корпорация Airbus и центр спутниковых технологий. В регионе, где доминируют инженеры, авиационные и прочие, казалось естественным, что Фаллиер будет привлечен к технологиям. Но его раннее влияние на самом деле перешло к механике. Его отец был автомехаником, который владел и управлял собственным гаражом. Однако знакомство Фальера с компьютерами в средней школе привело его в другом направлении — к изучению компьютерных наук в Национальном институте прикладных наук во Франции. Распространение в 2001 году плодовитого червя Code Red, поразившего более 700 000 компьютеров, заставило его заинтересоваться компьютерной безопасностью. Еще в колледже он написал несколько статей по безопасности для небольшого французского технического журнала, а также статью для SecurityFocus, веб-сайта по безопасности, принадлежащего Symantec.1 В конце 2005 года, когда он проходил магистерскую программу по информатике, ему сказали, что ему нужна шестимесячная стажировка, чтобы завершить ее. Поэтому он связался со своими контактами в SecurityFocus, которые направили его в Цзянь. Время не могло быть более удачным. Symantec все еще находилась в разгаре процесса найма персонала в Дублине, и Чиен отчаянно нуждался в опытных реверс-инженерах. Он сказал Фалльеру, что вместо шестимесячной стажировки в Symantec он мог бы предложить ему работу на полный рабочий день. “Сколько вы хотите заработать?” он спросил Фаллиера.
  
  “Мне не нужны деньги”, - сказал ему Фаллиер. “Просто стажировка”.
  
  “Ты с ума сошел?” Ответил Цзянь. “Я пришлю вам предложение по электронной почте. Просто примите это ”.
  
  Несколько недель спустя Фаллиер обосновался в Дублине. Он довольно быстро приспособился к своей новой жизни, но после двух лет постоянных перелетов во Францию, чтобы повидаться со своей девушкой, он попросил перевести его в Париж, где у Symantec был офис продаж и маркетинга. Он оказался единственным техническим специалистом в офисе, что временами заставляло его чувствовать себя изолированным, но также помогало сосредоточиться на работе.
  
  Его рабочий стол в офисе, который он делил с двумя коллегами, представлял собой организованный беспорядок из технических документов и книг, разбросанных вокруг тестовой машины, которую он использовал для запуска вредоносных программ, и ноутбука с программным обеспечением-отладчиком, которое он использовал для анализа кода. Головоломка Рубика в форме цилиндра была единственной личной вещью на столе, которую он перебирал, как бусинки, всякий раз, когда сталкивался с громоздким фрагментом кода, который не поддавался взлому.
  
  Хотя Фаллиер был мастером реверс-инжиниринга, на самом деле он делал очень мало, когда появился Stuxnet. Со временем он фактически стал специалистом по инструментам Symantec, объединяя программы и инструменты, чтобы сделать расшифровку вредоносных программ более эффективной для других аналитиков. Со временем к нему подкралась работа. Он начал с настройки инструментов судебной экспертизы для себя, которые он нашел неуклюжими и неэффективными, затем начал делать это и для коллег, даже создавая новые инструменты после того, как они начали отправлять запросы. В конце концов, он тратил больше времени на инструменты, чем на расшифровку кода. Он реагировал на случайные угрозы вредоносного ПО только в том случае, если Чиен делал специальный запрос, что он и сделал в случае со Stuxnet.
  
  ФАЛЛИЕР НАЧАЛ СВОЙ анализ полезной нагрузки с изучения программного обеспечения Siemens Step 7. Программное обеспечение Step 7, на которое напал Stuxnet, было запатентованным приложением Siemens для программирования ПЛК линейки S7. Он работал поверх операционной системы Windows и позволял программистам писать и компилировать команды, или блоки кода, для ПЛК компании. Система не была полной без программы Simatic WinCC, инструмента визуализации, используемого для мониторинга ПЛК и процессов, которыми они управляют. ПЛК, подключенные к станциям мониторинга через производственную сеть предприятия, находились в состоянии постоянной связи с машинами, посылая частые отчеты о состоянии и обновления, чтобы дать операторам представление в режиме реального времени о любом оборудовании и операциях, которыми управляет ПЛК. Siemens .DLL занимал центральное место в программах Step 7 и WinCC, выступая в качестве посредника для создания команд для ПЛК или получения от них отчетов о состоянии. Вот где мошенник Stuxnet.Появилась DLL. Он сделал все по-настоящему.DLL была разработана для того, чтобы делать и многое другое.
  
  Чтобы понять, как работает двойник.DLL работала, Фаллиеру пришлось сначала понять, как работает система Step 7 и легитимна.Библиотека DLL работала. Он искал в Интернете экспертов, с которыми можно проконсультироваться, и даже подумывал обратиться за помощью к Siemens, но он не знал, кому там позвонить. Step 7 .DLL был всего лишь одним из множества .DLL, используемых программным обеспечением Siemens, и чтобы найти двух или трех программистов, которые знали код достаточно хорошо, чтобы помочь, потребовалось бы столько же времени, сколько потребовалось бы ему, чтобы разобраться в этом самостоятельно. И, в конце концов, можно было гордиться тем, что он сам взломал его.
  
  Чтобы обратить вспять .Файлы DLL — оригинал и двойник —Фаллиер открыл их в дизассемблере, инструменте, предназначенном для перевода двоичного кода на язык ассемблера, который был на шаг назад от двоичного. Дизассемблер позволил ему добавлять обозначения и комментарии к коду или переставлять разделы, чтобы их было легче читать. Он работал над небольшими фрагментами кода за раз, помечая каждый фрагмент описанием выполняемой им функции по ходу работы.
  
  Как обычно делали исследователи при изучении подобных сложных вредоносных программ, Фаллиер объединил статический анализ (просмотр кода на экране в дизассемблере / отладчике) с динамическим анализом (наблюдение за ним в действии в тестовой системе, использование отладчика для остановки и запуска действия, чтобы он мог сопоставить определенные части кода с эффектом, который он оказывал на тестовой машине). Процесс мог быть мучительно медленным при наилучших обстоятельствах, поскольку для этого требовалось переключаться между двумя машинами, но с Stuxnet это было еще сложнее из-за его размера и сложности.
  
  На документирование каждого действия ушло две недели .Потребовалась библиотека DLL, прежде чем Фаллиер наконец подтвердил то, что он подозревал с самого начала, что Stuxnet похищает Siemens .DLL и ставит на его место двойника, чтобы захватить систему. Он сделал это, изменив имя файла Siemens .DLL с s7otbxdx.DLL к s7otbxsx.DLL и установка rogue .DLL с именем оригинала на его месте, по сути, крадя его личность. Затем, когда система вызвала файл Siemens .DLL для выполнения какого-либо действия, вредоносный .Вместо этого ответил DLL.
  
  Однажды мошенник .DLL была на месте, и то, что она делала, было весьма примечательно.
  
  Всякий раз, когда инженер пытался отправить команды на ПЛК, Stuxnet следил за тем, чтобы вместо этого отправлялся и выполнялся его собственный вредоносный командный код. Но он не просто перезаписал исходные команды простым обменом. Stuxnet увеличил размер блока кода и вставил свой вредоносный код во внешний интерфейс. Затем, чтобы убедиться, что его вредоносные команды были активированы вместо законных, Stuxnet также подключил основной блок кода к ПЛК, который отвечал за чтение и выполнение команд. Потребовалось много знаний и навыков, чтобы внедрить код без проблем таким образом, не “замуровывая” ПЛК (то есть заставляя их заедать или становиться нефункциональными), но злоумышленники прекрасно справились с этим.
  
  Вторая часть атаки была еще более изобретательной. Прежде чем вредоносные команды Stuxnet начали действовать, вредоносная программа терпеливо сидела на ПЛК около двух недель, иногда дольше, записывая законные операции, когда контроллер отправлял отчеты о состоянии обратно на станции мониторинга. Затем, когда вредоносные команды Stuxnet вступили в действие, вредоносная программа воспроизвела записанные данные операторам, чтобы они не заметили ничего плохого на машинах — как в голливудском фильме об ограблении, где воры вставляют закольцованный видеоклип в каналы камер наблюдения . В то время как Stuxnet саботировал ПЛК, он также отключил автоматические цифровые сигналы тревоги, чтобы предотвратить срабатывание систем безопасности и остановку любого процесса, которым управлял ПЛК, если он почувствовал, что оборудование входит в опасную зону. Stuxnet сделал это, изменив блоки кода, известные как OB35, которые были частью системы безопасности ПЛК. Они использовались для мониторинга критических операций, таких как скорость турбины, которой управлял ПЛК. Блоки генерировались ПЛК каждые 100 миллисекунд, чтобы системы безопасности могли быстро включиться, если турбина выйдет из-под контроля или что-то еще пойдет не так, позволяя системе или оператору активировать аварийный выключатель и инициировать остановку. Но из-за того, что Stuxnet модифицировал данные, на которые опиралась система безопасности, система была слепа к опасным условиям и никогда не имела возможности действовать.2
  
  Однако атака на этом не остановилась. Если программисты замечали что-то неладное с турбиной или другим оборудованием, управляемым ПЛК, и пытались просмотреть командные блоки на ПЛК, чтобы увидеть, было ли оно неправильно запрограммировано, Stuxnet вмешивался и не давал им увидеть вредоносный код. Это делалось путем перехвата любых запросов на чтение блоков кода на ПЛК и предоставления вместо них исправленных версий, за вычетом вредоносных команд. Если инженер по устранению неполадок пытался перепрограммировать устройство, перезаписывая старые блоки кода на ПЛК новыми , Stuxnet вмешивался и заражал новый код своими вредоносными командами. Программист может сто раз перепрограммировать ПЛК, и Stuxnet каждый раз заменит чистый код на измененные команды.
  
  Фаллиер был ошеломлен сложностью атаки — и тем, что она подразумевала. Внезапно стало ясно, что Stuxnet не пытался выкачивать данные из ПЛК, чтобы следить за его операциями, как все первоначально думали. Тот факт, что он вводил команды в ПЛК и пытался скрыть, что он это делает, одновременно отключая сигналы тревоги, был доказательством того, что он был разработан не для шпионажа, а для саботажа.
  
  Но это также не было простой атакой типа "отказ в обслуживании". Злоумышленники не пытались саботировать ПЛК, отключая его — ПЛК оставался полностью функциональным на протяжении всей атаки - они пытались физически уничтожить любой процесс или устройство, которое находилось на другом конце ПЛК. Фаллиер впервые увидел, как цифровой код используется не для изменения или кражи данных, а для физического изменения или уничтожения чего-либо на другом конце этого.
  
  Это был сюжет прямо из голливудского блокбастера. Блокбастер Брюса Уиллиса, если быть точным. Тремя годами ранее Живи свободно или крепко умри представлял себе такой разрушительный сценарий, хотя и с типичной голливудской склонностью к бахвальству и творческой вольности. В фильме группа кибертеррористов, возглавляемая недовольным бывшим государственным служащим, запускает скоординированные кибератаки, чтобы нанести ущерб фондовому рынку, транспортным сетям и электросетям, и все это для того, чтобы отвлечь власти от их реальной цели — выкачивания миллионов долларов из государственной казны. Наступает хаос, сопровождаемый необходимыми взрывами крепких орешков.
  
  Но голливудские сценарии, подобные этому, профессионалы в области компьютерной безопасности долгое время отвергали как чистую фантазию. Хакер может отключить одну или две критически важные системы, но что-то взорвать? Это казалось невероятным. Даже большинство взрывов в Крепком орешке были вызваны скорее физическими атаками, чем кибератаками. Тем не менее, в Stuxnet были доказательства того, что такой сценарий может быть возможен. Это было намного больше, чем все, что Фаллиер видел раньше или ожидал найти в этом коде.
  
  Несмотря на весь свой размер и успех, Symantec в конечном итоге была просто занудной компанией, занимающейся защитой клиентов. В течение пятнадцати лет противниками, с которыми они сражались, были веселые хакеры и киберпреступники или, совсем недавно, шпионы национальных государств, охотящиеся за корпоративными и правительственными секретами. Все они были грозными противниками в разной степени, но ни один из них не стремился вызвать физическое разрушение. На протяжении многих лет вредоносное ПО претерпевало постепенную эволюцию. В первые дни мотивы авторов вредоносных программ оставались практически теми же. Хотя некоторые программы были более разрушительными, чем другие, основной целью вирусописателей в 1990-х годах было достижение славы, и типичная вирусная нагрузка включала в себя призывы к друзьям-бездельникам хакера. Все изменилось с появлением электронной коммерции, а хакерство превратилось в преступное предприятие. Цель состояла больше не в том, чтобы привлечь к себе внимание, а в том, чтобы оставаться незаметным в системе как можно дольше, чтобы украсть номера кредитных карт и учетные данные банковского счета. Совсем недавно хакерство превратилось в шпионскую игру с высокими ставками, в которой шпионы национальных государств проникали глубоко в сети, чтобы оставаться там месяцами или годами, тихо перекачивая национальные секреты и другие конфиденциальные данные.
  
  Но Stuxnet вышел далеко за рамки всего этого. Это была не эволюция вредоносного ПО, а революция. Все, что Фаллиер и его коллеги изучали раньше, даже самые большие угрозы, нацеленные на процессоры кредитных карт и секреты Министерства обороны, казались незначительными по сравнению с ними. Stuxnet отправил их на совершенно новое поле битвы, где ставки были намного выше, чем все, с чем они имели дело раньше.
  
  Долгое время ходили слухи, что нечто подобное могло происходить и раньше, но эта история никогда не подтверждалась. Согласно сюжету, в 1982 году ЦРУ вынашивало заговор с целью установки логической бомбы в программное обеспечение, управляющее российским газопроводом, с целью его саботажа. Когда код сработал, это привело к неисправности клапанов на трубопроводе. Результатом стал взрывной огненный шар, такой яростный и большой, что его увидели глаза орбитальных спутников.3
  
  Вернувшись в Калвер-Сити, Чиен задался вопросом, были ли в Иране необъяснимые взрывы, которые можно было бы приписать Stuxnet. Когда он просматривал новостные сообщения, он был поражен, обнаружив ряд из них, которые произошли в последние недели.4 В конце июля недалеко от турецкого города Догубаязит, в нескольких милях от иранской границы, взорвался трубопровод, по которому из Ирана в Турцию шел природный газ. Взрыв, выбивший окна в близлежащих зданиях, вызвал бушующее пламя, на тушение которого ушло несколько часов.5
  
  Еще один взрыв произошел за пределами иранского города Тебриз, где трубопровод длиной 1600 миль доставлял газ из Ирана в Анкару. Однако третий взрыв прогремел на государственном нефтехимическом заводе на острове Харг в Персидском заливе и унес жизни четырех человек.6 Несколько недель спустя на нефтехимическом заводе Pardis в Асалуйе произошел четвертый взрыв газа, в результате которого погибли пять человек и трое получили ранения.7 Это произошло всего через неделю после того, как президент Ирана Махмуд Ахмадинежад посетил завод.
  
  Не все взрывы остались необъяснимыми. Курдские повстанцы взяли на себя ответственность за пожары в Догубаязите и Тебризе, а иранское информационное агентство IRNA объяснило пожар на острове Харг повышением давления в центральном котле.8 Во взрыве в Пардисе обвинили утечку этана, которая загорелась после того, как рабочие начали сварку трубопровода. Но что, если один или несколько взрывов действительно были вызваны Stuxnet? Цзянь задумался.
  
  Это было намного больше, чем кто-либо из команды рассчитывал, когда они впервые начали разбирать Stuxnet неделями ранее. Если Stuxnet делал то, что думали Чиен и его коллеги, то это был первый задокументированный случай кибервойны.
  
  Чиен, О'Мурчу и Фаллиер созвонились по телефону, чтобы обсудить свои варианты. Они все еще не знали, что именно Stuxnet делает с ПЛК или даже личность его цели, но они знали, что должны раскрыть то, что они узнали о его полезной нагрузке на данный момент. Итак, 17 августа 2010 года они обнародовали новость о том, что Stuxnet был не инструментом шпионажа, как все думали, а цифровым оружием, предназначенным для саботажа. “Ранее мы сообщали, что Stuxnet может украсть код … а также скрывается с помощью классического руткита Windows”, - написал Фаллиер в своем типичном сдержанном тоне, “но к сожалению, он также может сделать гораздо больше ”.9
  
  Чтобы проиллюстрировать разрушительные возможности Stuxnet, они ссылались на атаку 1982 года на сибирский трубопровод. Их слова были тщательно проанализированы командой по связям с общественностью компании, но нельзя было отрицать шокирующую природу того, что они подразумевали. Как только сообщение стало общедоступным, они напряженно ждали ответа сообщества. Но вместо драматической реакции, которую они ожидали получить, все, что они получили взамен, было, по словам Чиена, “тишиной, как сверчки”.
  
  Цзянь был смущен отсутствием реакции. В конце концов, они говорили о цифровом коде, который был способен взрывать вещи. Они предполагали, по крайней мере, что, как только они опубликуют свои результаты, другие исследователи опубликуют свои собственные исследования в Stuxnet. Так работали исследования вредоносных программ — всякий раз, когда обнаруживался новый код атаки, команды конкурирующих исследователей из разных фирм одновременно работали над расшифровкой кода, и каждый из них стремился первым опубликовать свои результаты. Как только одна команда опубликовала, другие быстро взвесили свои выводы. Если несколько групп пришли к одинаковым результатам, дублирующая работа служила неофициальным процессом экспертной оценки для подтверждения всех их выводов. Тишина, которая встретила их сообщение о Stuxnet, была необычной и приводила в замешательство — Цзянь начал задаваться вопросом, были ли они единственной командой, изучающей полезную нагрузку, или кого-то еще это вообще волновало.
  
  На краткий миг он усомнился в их решении посвятить столько времени кодексу. Видели ли все остальные что-то, что заставило их отмахнуться от этого как от незначительного, что-то, что Чиен и его команда полностью упустили? Но затем он проанализировал все, что они обнаружили за последние несколько недель. Он пришел к выводу, что они никак не могли ошибиться в коде — ни в отношении важности Stuxnet, ни в его агрессивных намерениях.
  
  Что касается продолжения их исследований, больше не было сомнений в том, что они должны были настаивать. Во всяком случае, их работа над кодом казалась более срочной, чем раньше. Они только что объявили миру, что Stuxnet - это цифровое оружие, предназначенное для физического уничтожения. Но они все еще не определили цель вредоносного ПО. Сделав публичное заявление о разрушительной цели кода, они обеспокоились тем, что злоумышленники могут внезапно почувствовать давление, чтобы ускорить миссию и уничтожить свою цель. То есть, если они этого еще не сделали.
  
  И, по-видимому, они были не единственными, кого беспокоила возможность взрыва. Через пять дней после того, как они опубликовали свое объявление, постоянный поток трафика, все еще поступающий в их провал с зараженных Stuxnet машин в Иране, внезапно отключился. Казалось, что кто-то в Исламской Республике принял к сведению их новости. Чтобы помешать злоумышленникам или кому-либо еще получить удаленный доступ к зараженным машинам и нанести некоторый ущерб, кто-то в Иране, наконец, поумнел и отдал приказ разорвать все исходящие соединения с машин в этой стране к двум командно-контрольным доменам Stuxnet.
  
  
  
  1 Symantec приобрела SecurityFocus в 2002 году.
  
  2 В Stuxnet было очень мало причуд или чего-либо, что казалось излишним. Но в части кода, ответственной за перехват блоков OB35, злоумышленники поместили “волшебный маркер” (значение, помещенное в код, которое обозначает условие или запускает действие), который казался чем—то вроде внутренней шутки - 0xDEADF007. Маркером было шестнадцатеричное представление числа. Когда Stuxnet проверял условия в системе, которую он саботировал, чтобы определить, когда он должен начать отключать систему безопасности, был выпущен волшебный маркер, чтобы указать, когда условия были подходящими для отключения системы. Злоумышленники могли выбрать любое случайное число — 1234, — но выбрали то, которое при написании в шестнадцатеричном формате выдавало слово и цифры — DEADF007. Программисты нередко использовали причудливые значения в своем коде для написания слов в шестнадцатеричном формате. Например, первые четыре байта файлов классов Java преобразуются в “0xCAFEBABE” в шестнадцатеричном формате. 0xDEADBEEF - это еще одно шестнадцатеричное значение, которое на языке хакеров означает сбой программного обеспечения. Поэтому Чиен задался вопросом, может ли 0xDEADF007 в Stuxnet на самом деле означать “мертвый дурак” — уничижительный способ указать, когда система безопасности больше не функционирует, — или “мертвая нога.” Мертвая нога" - это выражение, используемое пилотами самолетов для обозначения отказа двигателя. “Мертвая нога, мертвый двигатель” - это принцип, помогающий пилотам быстро понять в стрессовой ситуации, что когда педаль нажата, это означает, что двигатель не работает — пилот, по сути, не контролирует двигатель. Аналогичным образом “DEADF007” в Stuxnet сигнализировал о том, что операторы в Иране потеряли контроль над своими ПЛК, в то время как Stuxnet саботировал их, не позволяя как системе безопасности инициировать собственное автоматическое отключение, так и операторам вмешаться для аварийного ручного отключения. Это заставило Чиена задуматься, был ли один или несколько авторов Stuxnet пилотами.
  
  3 Подробнее об истории предполагаемого саботажа на трубопроводе см. эта страница.
  
  4 Кон Кофлин, “Кто взрывает газопроводы Ирана?” The Telegraph, 18 августа 2010, доступно по адресу blogs.telegraph.co.uk/news/concoughlin/100050959/whos-blowing-up-irans-gas-pipelines.
  
  5 Агентство Франс Пресс, “Предполагаемые курдские повстанцы взрывают газопровод Иран–Турция”, 21 июля 2010 года, доступно по адресу institutkurde.org/en/info/latest/suspected-kurd-rebels-blow-up-iran-turkey-gas-pipeline-2372.html.
  
  6 “Взрыв на нефтехимическом заводе унес жизни 4 человек в Иране”, Associated Press, 25 июля 2010 г., доступно по адресу gainesville.com/article/20100725/news/100729673.
  
  7 “Взрыв на нефтехимическом комплексе в Асалуйе унес жизни 5 человек”, Информационное агентство Табнак, 4 августа 2010 г., доступно по адресу tabnak.ir/en/news/180.
  
  8 Иван Ватсо и Йесим Комерт, “Курдская повстанческая группировка берет на себя ответственность за взрыв газопровода”, CNNWorld, 21 июля 2010 года, доступно по адресу articles.cnn.com/2010-07-21/world/turkey.pipeline.blast_1_pkk-kurdistan-workers-party-ethnic-kurdish-minority?_s=PM:WORLD.
  
  9 Николас Фаллиер, “Stuxnet представляет первый известный руткит для промышленных систем управления”, блог Symantec, 6 августа 2010 г., доступен по адресу symantec.com/connect/blogs/stuxnet-introduces-first-known-rootkit-industrial-control-systems. Обратите внимание, что дата в сообщении в блоге - 6 августа, но это дата, когда сообщение было впервые опубликовано с новостями о рутките PLC. Они обновили его, когда добавили новость о том, что Stuxnet был настроен на саботаж.
  
  OceanofPDF.com
  
  ГЛАВА 9
  ПРОМЫШЛЕННЫЙ КОНТРОЛЬ ВЫШЕЛ ИЗ-ПОД КОНТРОЛЯ
  
  В пятидесяти милях от Айдахо-Фолс, штат Айдахо, в обширной пустынной прерии, принадлежащей Национальной лаборатории Министерства энергетики штата Айдахо, горстка инженеров дрожала от холода, расхаживая вокруг генератора размером с небольшой автобус, припаркованного на бетонной плите. Это было 4 марта 2007 года, и рабочие проводили заключительную проверку безопасности перед новаторским испытанием, которое они собирались провести.
  
  Примерно в миле от лаборатории, в центре для посетителей, группа чиновников из Вашингтона, округ Колумбия, а также руководители энергетической отрасли и NERC, Североамериканской корпорации электрической надежности, собрались в кинотеатре, грея руки над чашками дымящегося кофе, ожидая начала прямой трансляции демонстрации.
  
  В 2010 году, когда исследователи Symantec обнаружили, что Stuxnet был разработан для саботажа ПЛК Siemens, они полагали, что это был первый задокументированный случай, когда цифровой код использовался для физического уничтожения оборудования. Но тремя годами ранее на этой равнине штата Айдахо испытание генератора Aurora продемонстрировало жизнеспособность такой атаки.
  
  Было около половины двенадцатого утра того мартовского дня, когда рабочий в Айдахо-Фоллз получил сигнал запустить поток вредоносного кода против цели. Пока дизельный двигатель мощностью 5000 лошадиных сил генератора ревел из динамиков в небольшом зале лаборатории, зрители пристально смотрели на экран в поисках признаков воздействия кода. Сначала их не было. Но затем они услышали громкий щелчок, как будто тяжелая цепь ударила по металлическому барабану, и стальной бегемот коротко загремел, как будто его разбудили. Прошло несколько секунд, и они услышали другой щелчок — на этот раз генератор накренился и задрожал сильнее, как будто его тряхнули дефибриллятором. Болты и кусочки резиновой втулки вылетели из его недр в сторону камеры, заставив наблюдателей вздрогнуть. Прошло около пятнадцати секунд, прежде чем очередной громкий щелчок заставил машину снова дернуться. На этот раз, после того, как вибрации утихли, генератор выпустил облачко белого дыма. И вдруг, бам! машина снова вздрогнула, прежде чем остановиться окончательно. После длительной паузы, когда казалось, что зверь, возможно, пережил нападение, из его камер вырвался столб разъяренного черного дыма.
  
  С начала испытания прошло всего три минуты, но этого было достаточно, чтобы превратить колоссальную машину в тлеющее, безжизненное месиво из металла и дыма. Когда все это было сделано, в зале не было аплодисментов, только ошеломленная тишина. Чтобы раскачать часть оборудования размером с танк, должна была потребоваться исключительная сила. Однако все, что потребовалось в этом случае, - это двадцать одна строка вредоносного кода.
  
  Тест был тщательно спланирован и смоделирован в течение нескольких недель, но сила и жестокость атаки все равно застали инженеров врасплох — “момент невероятной яркости”, - сказал Майкл Ассанте, один из архитекторов теста.1 Одно дело было имитировать атаку на маленький мотор, установленный на столе, но совсем другое - наблюдать, как двадцатисемитонная машина подпрыгивает, как детская игрушка, и разлетается на части.
  
  Тест предоставил сертифицированное доказательство того, что диверсанту не нужен физический доступ для уничтожения критически важного оборудования на электростанции, но он может достичь того же результата удаленно, используя всего лишь фрагмент хорошо разработанного кода. Три года спустя, когда Stuxnet был обнаружен на машинах в Иране, никто из тех, кто работал над проектом Aurora, не был удивлен, что цифровая атака может привести к физическим разрушениям. Они были только удивлены, что потребовалось так много времени, чтобы такая атака проявилась.
  
  КОГДА исследователи SYMANTEC обнаружили в августе 2010 года, что Stuxnet был разработан для физического саботажа ПЛК Siemens, они были не единственными, кто понятия не имел, что такое ПЛК. Мало кто в мире когда-либо слышал об этих устройствах — и это несмотря на то, что ПЛК являются компонентами, которые регулируют некоторые из наиболее важных объектов и процессов в мире.
  
  ПЛК используются с различными автоматизированными системами управления, которые включают в себя более известную систему SCADA (диспетчерское управление и сбор данных), а также распределенные системы управления и другие, которые обеспечивают бесперебойную работу генераторов, турбин и котлов на электростанциях.2 Системы также управляют насосами, которые подают неочищенные сточные воды на очистные сооружения и предотвращают переполнение резервуаров для воды, а также открывают и закрывают клапаны в газопроводах, чтобы предотвратить повышение давления, которое может вызвать смертельные разрывы и взрывы, такие как тот, который убил восемь человек и разрушил тридцать восемь домов в Сан-Бруно, Калифорния, в 2010 году.
  
  Есть и менее очевидные, но не менее важные применения для систем управления. Они управляют роботами на автомобильных сборочных линиях и раздают и смешивают нужные порции ингредиентов на химических и фармацевтических заводах. Они используются производителями продуктов питания и напитков для установки и контроля температуры для безопасного приготовления и пастеризации продуктов, чтобы уничтожить смертельные бактерии. Они помогают поддерживать постоянную температуру в печах, где производятся стекло, стекловолокно и сталь, для обеспечения целостности небоскребов, автомобилей и самолетов. Они также контролируют светофоры, открывают и закрывают двери камер в федеральных тюрьмах строгого режима, а также поднимают и опускают мосты на автомагистралях и водных путях. И они помогают направлять пригородные и грузовые поезда и предотвращать их крушение. В меньших масштабах они контролируют лифты в высотных зданиях, отопление и кондиционирование воздуха в больницах, школах и офисах. Короче говоря, системы управления являются важнейшими компонентами, обеспечивающими надлежащее функционирование отраслей промышленности и инфраструктуры по всему миру. Они должны быть надежными и безопасными. И все же, как ясно показал Stuxnet, это совсем не так.
  
  И теперь, когда этот код доступен в дикой природе для изучения и копирования любым, цифровое оружие может послужить основой для разработки других атак, нацеленных на уязвимые системы управления в Соединенных Штатах и в других местах — например, для манипулирования клапанами в газопроводе или для сброса сточных вод в водные пути, или, возможно, даже для выведения из строя генераторов на электростанции. Для проведения таких атак необязательно потребуются ресурсы богатой нации. Создатели Stuxnet уже провели большую часть основных исследований и разработок, чтобы если выявить уязвимости в этих системах, то для других злоумышленников, как государственных, так и негосударственных игроков, была снижена планка участия в игре. От анархических хакерских групп, таких как Anonymous и LulzSec, до вымогателей, желающих захватить контроль над электростанцией в заложники, до хакеров по найму, работающих на террористические группы, дверь теперь открыта для самых разных злоумышленников, которым никогда не придется выходить за пределы своих границ или даже своих спален, чтобы начать нападение. И хотя Stuxnet был хирургической атакой, нацеленной на конкретные машины , оставляя другие нетронутыми, не все атаки были бы настолько целенаправленными или квалифицированными, повышая вероятность нападений, которые создают широкомасштабные сбои или ущерб — намеренно или нет.
  
  Злоумышленникам также не нужно было бы разрабатывать такого сложного червя, как Stuxnet. Обычный заурядный вирус или червь также может иметь пагубные последствия.3 В 2003 году системы железнодорожной сигнализации на Восточном побережье отключились после того, как компьютеры, принадлежащие корпорации CSX во Флориде, были заражены вирусом Sobig. CSX управляет железнодорожными системами для пассажирских и грузовых поездов в двадцати трех штатах, и в результате отключения сигналов движение поездов между Пенсильванией и Южной Каролиной и на кольцевой автодороге округа Колумбия пришлось остановить.4 Аналогичным образом, червь Slammer вывел из строя систему мониторинга безопасности и сеть управления технологическими процессами на атомной электростанции Дэвис-Бесс в Огайо примерно на пять часов в том же году.5
  
  По шкале от одного до десяти, оценивающей готовность критически важной инфраструктуры США противостоять разрушительному кибератаке, один из которых наименее подготовлен, а десять - наиболее подготовлены, директор АНБ генерал Дж. Кит Александер сказал комитету Сената в 2013 году, что страна находится на уровне трех, отчасти из-за отсутствия безопасности с системами управления.6
  
  “Мы работаем над наступательными кибернетическими возможностями в Министерстве обороны более десяти лет”, - сказал Джим Льюис из Центра стратегических и международных исследований. “Но … Я думаю, что люди … просто не понимают, что за кулисами существует этот новый вид уязвимости, который действительно подвергает риску многие вещи ”.7
  
  По правде говоря, проблемы с системами управления не новы; Stuxnet просто впервые выставил их на всеобщее обозрение. Но некоторые эксперты по системам управления знали о них в течение многих лет.
  
  ПЛКS ВПЕРВЫЕ были разработаны в 1960-х годах, когда компьютерные хакеры и вирусы все еще были предметом научной фантастики.8 Они были разработаны для автомобильной промышленности, чтобы заменить проводные релейные логические системы, которые управляли сборочными линиями на заводских площадках. В случае с проводными релейными системами единственным способом произвести настройку линии было послать электрика для физической замены реле. ПЛК упростили обновление систем всего несколькими сотнями строк кода, хотя техническим специалистам по-прежнему приходилось обновлять системы лично, выезжая на полевые устройства для загрузки команд с кассеты.
  
  По мере роста использования цифровых систем управления в 90-х годах операторы оказывали давление на поставщиков, требуя предоставить им возможность удаленного входа в системы через модем удаленного доступа. Хакеров к тому времени стало легион, но операторы все еще не беспокоились о безопасности своих систем, потому что системы управления работали в автономных сетях, используя пользовательские протоколы для связи и имея проприетарное программное обеспечение, которое было несовместимо с другими программами и системами. Вы не могли просто подключить любой компьютер к системе управления и взаимодействовать с ним. И даже если бы у вас была система, которая могла бы разговаривать с машинами, вселенная людей, которые понимали, как работают системы управления, и имели возможность манипулировать ими, была небольшой.
  
  Однако все это начало меняться в конце 90-х годов. Конгресс принял законы об охране окружающей среды, требующие от компаний отслеживать и контролировать выбросы своих заводов, а Федеральная комиссия по регулированию энергетики начала требовать доступа к системам передачи электроэнергии для контроля за ее производством и распределением. Внезапно сотрудники по соблюдению требований и руководители корпораций потребовали доступа к данным и системам, которые ранее были доступны только операторам станций. Исчезли проприетарные операционные системы, с которыми никто не мог общаться или понимать, и появились системы управления, которые работали на коммерческих операционных системах, таких как Windows и Linux, облегчая другим компьютерам в корпоративной сети компании подключение и обмен данными с ними. Однако переход на Windows означал, что системы управления теперь были уязвимы для тех же вирусов и червей, которые поражали персональные КОМПЬЮТЕРЫ. И по мере того, как системы все чаще подключались к Интернету или модемам удаленного доступа, чтобы сделать их удаленными для операторов, они также становились все более уязвимыми для удаленных атак хакеров.
  
  В марте 1997 года хакер-подросток из Массачусетса, известный под именем “Джестер”, вкратце рассказал о том, что может произойти, когда он подключится к компьютерной системе Bell Atlantic через модем и выведет из строя системы, которые управляли телефонной и радиосвязью для диспетчерской вышки в аэропорту Вустера, а также телефонной связью для шестисот домов в соседнем городе. Связь для служб безопасности и пожарной охраны аэропорта была отключена на шесть часов, как и система, которую пилоты использовали для включения огней взлетно-посадочной полосы. Авиадиспетчерам пришлось использовать сотовые телефоны и радиоприемники на батарейках, чтобы направлять самолеты во время сбоя.9 Никаких происшествий не произошло, но диспетчер управления воздушным движением сказал CNN: “В тот день мы увернулись от пули”.10
  
  В том же году специально созванная комиссия Марша опубликовала доклад, в котором рассматривалась уязвимость критически важных инфраструктурных систем к атакам — как физическим, так и цифровым. Комиссии было поручено расследовать это дело после того, как Тимоти Маквей взорвал федеральное здание в Оклахома-Сити в 1995 году и при этом вывел из строя ряд ключевых центров обработки данных и связи. Члены комиссии предупредили о возрастающих опасностях, возникающих при подключении критически важных систем добычи нефти, газа и электричества к Интернету. “Способность причинять вред … растет с угрожающей скоростью; и у нас мало защиты от этого ”, - написали они. Правильные команды, отправленные по сети на управляющий компьютер электростанции, писали они, “могут быть такими же разрушительными, как рюкзак, набитый взрывчаткой.… Мы должны позаботиться о наших важнейших основах до того, как столкнемся с кризисом, а не после. Ожидание катастрофы оказалось бы столь же дорогостоящим, сколь и безответственным ”.11
  
  Во втором отчете, опубликованном в том же году Консультативным комитетом Белого дома по телекоммуникациям национальной безопасности, предупреждалось, что национальная энергосистема и питающие ее коммунальные службы были отмечены дырами в безопасности, что делало их уязвимыми для атак. “Электронный злоумышленник ... может подключиться к незащищенному порту и перевести прерыватель на более высокий уровень допуска, чем устройство, защищенное прерывателем, может выдержать”, - написали исследователи, предвосхищая испытание генератора Aurora за десять лет до того, как это произошло. “Делая это, можно было бы физически уничтожить определенное оборудование на подстанции”.12
  
  Несмотря на эти ранние предупреждения, пока не было никаких признаков того, что кто-либо был заинтересован в проведении подобных атак. Так продолжалось до 2000 года, когда бывший рабочий вывел из строя насосы на водоочистной станции в Австралии, что считается первым публично обнародованным случаем преднамеренного взлома системы управления.
  
  Графство МАРУЧИ На Солнечном побережье Квинсленда - это место, созданное для открыток, с пышным тропическим лесом, скалистым вулканическим пиком и лазурными прибрежными водами, окаймленными белыми песчаными пляжами. Но в начале 2000 года красота графства приняла уродливый оборот, когда в течение четырех месяцев хакер заставил более 750 000 галлонов неочищенных сточных вод вылиться из нескольких колодцев в общественные водные пути.
  
  Сначала это было просто небольшое количество сточных вод, вытекающих из колодца в отеле Hyatt Regency в лагуну на поле для гольфа PGA на пятизвездочном курорте. Но после того, как рабочие очистили его, колодец снова и снова переполнялся. Однако самые серьезные утечки произошли в Пасифик Парадайз, пригороде вдоль реки Маручи. Здесь несколько сотен тысяч галлонов сточных вод попали в приливный канал, поставив под угрозу здоровье детей, играющих на задних дворах, примыкающих к каналу, и в саму реку Маручи, где погибли рыбы и другие морские обитатели.
  
  Проблемы начались в канун Нового 1999 года, после того как в Maroochy Water Services была установлена новая цифровая система управления. Система управления очистными сооружениями поэтапно устанавливалась подрядной фирмой Hunter WaterTech и уже подходила к завершению, когда настройки насосных станций, отвечающих за подачу сточных вод на очистные сооружения, начали таинственным образом меняться. Насосы отключились бы или продолжали работать вопреки инструкциям оператора, а сеть двусторонней радиосвязи, используемая для передачи инструкций насосным станциям, была бы забита трафиком, не позволяя операторам поддерживать связь со станциями. Сигналы тревоги, которые должны были прозвучать, когда все пошло наперекосяк, не прозвучали.13
  
  Насосы управлялись двумя центральными компьютерами с использованием фирменного программного обеспечения Hunter WaterTech, которое связывалось с удаленным терминальным блоком на каждой насосной станции посредством двухсторонних радиосигналов. Сигналы передавались с компьютеров на RTU или между RTU через ретрансляционные станции в полевых условиях, которые работали на непубличных частотах. Только кто-то на центральных компьютерах или в пределах досягаемости станции-ретранслятора, используя запатентованное программное обеспечение Hunter WaterTech и надлежащие протоколы связи, мог отправлять команды на насосные станции. Компания Hunter WaterTech изначально подозревала, что за атаками стоит хакер извне, но у водного округа не было инструментов обнаружения вторжений или системы регистрации, чтобы обнаружить нарушение. Но даже после того, как они установили эти системы, они все еще не смогли обнаружить нарушение.
  
  Атаки продолжались неделями и достигли пика однажды ночью в марте, когда произошло более двух десятков инцидентов. Следователи наконец пришли к выводу, что это, должно быть, мошеннический инсайдер, отправляющий вредоносные команды в полевых условиях с помощью двухсторонних радиосигналов.14 Они нацелились на бывшего подрядчика по имени Витек Боден, сорокадевятилетнего инженера, который работал в Hunter WaterTech, пока его контракт не истек в декабре, примерно в то время, когда вышел из строя первый водяной насос. Впоследствии Боден искал работу на полный рабочий день в водном округе, но в январе ему отказали, что совпало с началом основной массы проблем.
  
  И действительно, когда полиция догнала Бодена однажды ночью в апреле после того, как системы сигнализации на четырех насосных станциях были отключены, они обнаружили в его машине ноутбук с установленным фирменным программным обеспечением Hunter WaterTech и двустороннюю рацию, настроенную на непубличную частоту, которую водный округ использовал для связи с насосными станциями. Они также обнаружили RTU, который Боден, по-видимому, использовал для отправки поддельных команд.15
  
  Дело Бодена стало первой кибератакой на критически важную инфраструктурную систему, которая получила огласку, но, скорее всего, это была не первая произошедшая атака. Другие, без сомнения, просто остались незамеченными или о них не сообщалось.16 После инцидента в Маручи работники других коммунальных служб заявили следователям, что они никогда бы не выдвинули против Бодена уголовные обвинения, как это сделал Маручи, чтобы сохранить дело в тайне.17
  
  Этот случай должен был стать тревожным звонком для операторов систем управления по всему миру, но многие отклонили его, потому что в нем участвовал внутренний злоумышленник, который обладал обширными знаниями о системе Maroochy Shire и доступом к специализированному оборудованию, необходимому для проведения атаки. Они утверждали, что ни один посторонний не смог бы сделать то, что сделал Боден, игнорируя ряд проблем безопасности в сети системы управления Maroochy, которые посторонние могли бы использовать для достижения аналогичных атак. Питер Кингсли, один из следователей по этому делу, позже предупредил участников на конференции по системам управления, что, хотя взлом Maroochy был внутренней работой, нарушения со стороны посторонних ни в коем случае не были невозможны. “Некоторые коммунальные службы считают, что они защищены, потому что сами не могут найти несанкционированный способ доступа к своим системам”, - сказал он. “Но хакеры не ограничивают себя обычными методами”.18
  
  Слова Кингсли казались странными в 2002 году, потому что все еще было мало признаков того, что посторонние были заинтересованы во взломе критически важных инфраструктурных систем. И в отсутствие какой-либо серьезной катастрофы безопасность систем управления просто не вызывала беспокойства.
  
  Примерно в это же время Джо Вайс стал проповедником безопасности систем управления.
  
  Вайс - худощавый и энергичный шестидесятичетырехлетний мужчина, который работает из своего дома в Купертино, штат Калифорния, в сердце Силиконовой долины, и привык думать о катастрофических сценариях. Он живет всего в пяти милях от печально известного калифорнийского разлома Сан-Андреас и семидесятилетней плотины Стивенс-Крик. Когда в 1989 году в Лома-Приета произошло землетрясение, в этом районе повалились дымоходы, уличные фонари и телефоны отключились на несколько дней, а ударные волны в бассейне близлежащего колледжа Динза выбросили игроков в поло из воды на тротуар, как выброшенных на берег тюленей.
  
  Вайс впервые узнал о проблемах безопасности с системами управления в 1999 году. Инженер-ядерщик по образованию, он работал в Научно-исследовательском институте электроэнергетики, когда возникла проблема с Y2K. Предупреждения об армагеддоне в прессе предсказывали катастрофические последствия, когда компьютерные часы пробили полночь в канун Нового года из-за ошибки программирования, которая не смогла предвидеть тысячелетний переход к тройным нулям 1 января 2000 года. Вайс начал задаваться вопросом: если такая незначительная вещь, как изменение даты, может угрожать остановкой систем управления, что могут сделать более серьезные проблемы? Что еще более важно, если Y2K может случайно вызвать огромные проблемы, что может сделать преднамеренная атака хакеров?
  
  Десятки конференций по безопасности, проводимых по всему миру каждый год, были посвящены общей компьютерной безопасности, но ни одна из них не касалась систем управления. Поэтому Вайс начал посещать их, чтобы узнать, какие рекомендации по безопасности следует принять сообществу систем управления. Но чем больше конференций он посещал, тем больше волновался. Когда сетевые администраторы заговорили об использовании шифрования и аутентификации для предотвращения несанкционированного доступа пользователей к своим системам, Вайс понял, что системы управления не имеют ни одной из стандартных защит, которые используются в обычных компьютерных сетях. Когда эксперты по безопасности спросили его, какую марку брандмауэра используют операторы систем управления на электростанциях или как часто они просматривают свои сетевые журналы на предмет наличия злоумышленников, Вайсу пришлось ответить: “У нас нет брандмауэров. Сетевых журналов тоже нет ”.19 И когда он начал спрашивать производителей систем управления о безопасности их продуктов, он получил в ответ непонимающие взгляды. Они сказали ему, что раньше никто никогда не спрашивал о безопасности.
  
  Затем два самолета нанесли удар по башням-близнецам в сентябре 2001 года, и вскоре после этого власти обнаружили подозрительные схемы поиска на правительственных веб-сайтах в Калифорнии. Поисковики, похоже, изучали цифровые системы, используемые для управления коммунальными службами и правительственными учреждениями в регионе Сан-Франциско. Активность, которая, как оказалось, исходила от IP-адресов в Саудовской Аравии, Индонезии и Пакистане, проявила особый интерес к системам экстренной телефонной связи, электростанциям и водопроводным станциям, а также газовым объектам.20 Другие поиски были сосредоточены на программировании элементов управления для систем диспетчеризации огня и трубопроводов.
  
  В следующем году американские войска в Кабуле захватили компьютер в офисе "Аль-Каиды" и обнаружили на нем модели плотины вместе с инженерным программным обеспечением, которое можно было использовать для имитации ее разрушения.21 В том же году ЦРУ опубликовало меморандум Разведывательного управления, в котором говорилось, что “Аль-Каида" проявляет ”гораздо больший интерес" к кибертерроризму, чем считалось ранее, и начала подумывать о найме хакеров.
  
  Появились признаки того, что другие тоже могут заинтересоваться критически важной инфраструктурой США.22 В 2001 году хакеры взломали серверы Калифорнийского независимого системного оператора, или Cal-ISO, некоммерческой корпорации, которая управляет системой передачи электроэнергии на большей части территории штата. Злоумышленники проникли через два незащищенных сервера и оставались незамеченными в течение двух недель, пока рабочие не заметили проблемы со своими машинами.23 Представители Cal-ISO настаивали на том, что нарушение не представляло угрозы для сети, но неназванные источники сообщили Los Angeles Times, что хакеры были пойманы в тот момент, когда они пытались получить доступ к “ключевым частям системы”, что позволило бы им вызвать серьезные сбои в электроснабжении. Один человек назвал это почти “катастрофическим нарушением”. Атака, по-видимому, исходила из Китая и произошла в разгар напряженного политического противостояния между Китаем и Соединенными Штатами после того, как американский самолет-разведчик столкнулся в воздухе с китайским истребителем над Южно-Китайским морем.
  
  В ответ на растущую обеспокоенность по поводу критической инфраструктуры и, в частности, безопасности электросетей страны, Министерство энергетики в 2003 году запустило Национальную программу тестирования SCADA в Национальной лаборатории штата Айдахо (INL). Целью было сотрудничество с производителями систем управления для оценки их оборудования на предмет уязвимостей в системе безопасности, и это была инициатива, которая в конечном итоге привела к тестированию генератора Aurora в 2007 году.24
  
  В Соединенных Штатах насчитывается 2800 электростанций и 300 000 объектов, производящих нефть и природный газ.25 Еще 170 000 объектов образуют систему общественного водоснабжения в Соединенных Штатах, которая включает водохранилища, плотины, колодцы, очистные сооружения, насосные станции и трубопроводы.26 Но 85 процентов этих и других критически важных объектов инфраструктуры находятся в руках частного сектора, а это означает, что за исключением нескольких отраслей, регулируемых правительством, таких как атомная энергетика, правительство мало что может сделать, чтобы заставить компании защищать свои системы. Правительство, однако, могло бы, по крайней мере, попытаться убедить производителей систем управления повысить безопасность своих продуктов. В рамках программы "испытательный стенд" правительство будет проводить тесты до тех пор, пока поставщики согласятся исправить любые обнаруженные ими уязвимости.27
  
  Примерно в то же время DHS также запустила программу оценки объектов с помощью своей промышленной системы управления Cyber Emergency Response Team (ICS-CERT) для оценки конфигурации безопасности критически важного инфраструктурного оборудования и сетей, уже установленных на объектах. В период с 2002 по 2009 год команда провела более 100 оценок объектов в различных отраслях промышленности — нефтяной и газовой, химической и водной — и обнаружила более 38 000 уязвимостей. К ним относились критически важные системы, доступные через Интернет, пароли поставщиков по умолчанию, которые операторы никогда не удосуживались менять или жестко закодированные пароли, которые нельзя было изменить, устаревшие исправления программного обеспечения и отсутствие стандартных средств защиты, таких как брандмауэры и системы обнаружения вторжений.
  
  Но, несмотря на все усилия исследователей, проводивших испытания и оценку объектов, они боролись с десятилетиями инертности отрасли — поставщикам требовались месяцы и годы, чтобы исправить уязвимости, обнаруженные правительственными исследователями в их системах, а владельцы критически важной инфраструктуры были готовы вносить лишь косметические изменения в свои системы и сети, сопротивляясь более масштабным изменениям.
  
  Вайс, который работал в качестве связующего звена с INL, помогая разрабатывать его программу тестирования, устал от бездействия и организовал конференцию для информирования операторов критической инфраструктуры об опасных проблемах безопасности в их системах. В 2004 году он прибегнул к тактике запугивания, продемонстрировав дистанционную атаку, чтобы показать им, что можно сделать. Роль хакера сыграл Джейсон Ларсен, исследователь из INL, который продемонстрировал атаку на подстанцию в Айдахо-Фоллс с компьютера в Национальной лаборатории Сандиа в Нью-Мексико. Используя недавно обнаруженную уязвимость в серверном программном обеспечении, Ларсен обошел несколько уровней брандмауэров, чтобы взломать ПЛК, управляющий подстанцией, и освободить свою полезную нагрузку в несколько этапов. Первый этап открыл и закрыл прерыватель. Второй этап открыл все выключатели сразу. Третий этап открыл все выключатели, но манипулировал данными, отправляемыми на экраны операторов, чтобы создать впечатление, что выключатели были закрыты.
  
  “Я называю это своей демонстрацией ‘мокрых штанов”, - говорит Вайс. “Это был феноменальный успех”.
  
  Несколько лет спустя Вайс выпустил еще одну демонстрацию, а затем еще одну, каждый раз привлекая разных экспертов по безопасности для демонстрации разных способов атаки. Единственная проблема заключалась в том, что они опережали свое время. Каждый раз, когда инженеры покидали его конференцию, воодушевленные идеями об улучшении безопасности своих сетей, они сталкивались с руководителями дома, которые отказывались от затрат на перестройку архитектуры и обеспечение безопасности систем. Зачем тратить деньги на безопасность, утверждали они, когда никто из их конкурентов этого не делал и никто на них не нападал?
  
  Но то, чего Вайс и испытательная лаборатория не смогли достичь за десятилетие, Stuxnet достигла за считанные месяцы. Цифровое оружие впервые привлекло внимание общественности к серьезным уязвимостям в национальных системах промышленного управления, и критически важное оборудование, которое так долго оставалось неясным и неизвестным для большей части мира, теперь привлекло внимание исследователей и хакеров, заставив поставщиков и владельцев критической инфраструктуры, наконец, обратить на это внимание.
  
  В августе 2010 года новость о том, что Stuxnet саботирует работу ПЛК Siemens, заинтересовала двадцатипятилетнего исследователя компьютерной безопасности из Остина, штат Техас, по имени Диллон Бересфорд. Бересфорд, как и большинство людей, никогда не слышал о ПЛК, и ему было любопытно увидеть, насколько они могут быть уязвимы. Поэтому он купил несколько ПЛК Siemens онлайн и провел два месяца, изучая и тестируя их в спальне своей маленькой квартиры. Потребовалось всего несколько недель, чтобы обнаружить множество уязвимостей, которые он мог использовать в атаке.
  
  Он обнаружил, например, что ни одно сообщение, которое проходило между машиной программиста и ПЛК, не было зашифровано, поэтому любой хакер, проникший в сеть, мог видеть и копировать команды, когда они передавались на ПЛК, а затем воспроизводить их на ПЛК для управления и остановки по желанию. Это было бы невозможно, если бы ПЛК не позволяли неавторизованным компьютерам отправлять им команды, но Бересфорд обнаружил, что ПЛК были разнородными компьютерами, которые могли бы общаться с любой машиной, говорящей на их языке протокола. Они также не требовали, чтобы отправляемые им команды были подписаны цифровой подписью с сертификатом, чтобы доказать, что они исходят из надежного источника.
  
  Несмотря на наличие пакета аутентификации, или своего рода пароля, который передавался между машиной Step 7 и ПЛК, Бересфорд смог расшифровать пароль менее чем за три часа. Он также обнаружил, что может просто перехватывать пакет аутентификации, когда он передается с машины Step 7 на ПЛК, и воспроизводить его таким же образом, как он воспроизводил команды, устраняя необходимость расшифровки пароля вообще. Получив контроль над ПЛК, он также мог выдать команду на изменение пароля для блокировки законных пользователей.28
  
  Бересфорд обнаружил и другие уязвимости, в том числе лазейку, которую программисты Siemens оставили в прошивке своих ПЛК. Прошивка — это базовое программное обеспечение, которое находится на аппаратных устройствах, чтобы заставить их работать. Поставщики часто устанавливают глобальные жестко закодированные пароли в своих системах для удаленного доступа к ним, чтобы обеспечить устранение неполадок для клиентов — например, функцию OnStar для систем управления. Но бэкдоры, которые позволяют поставщикам проникать внутрь, также позволяют злоумышленникам.29 Имя пользователя и пароль для открытия задней двери Siemens были одинаковыми для каждой системы — “basisk” — и были жестко запрограммированы в прошивке, чтобы любой, кто ее проверял, мог это увидеть. Используя этот черный ход, злоумышленник мог удалять файлы с ПЛК, перепрограммировать его или отдавать команды для саботажа любых операций, которыми управлял ПЛК.30
  
  Бересфорд сообщил о своих выводах в ICS-CERT, которая работала с Siemens над устранением уязвимостей. Но не все из них могли бы быть. Некоторые из них, такие как передача незашифрованных команд и отсутствие надежной аутентификации, были фундаментальными проблемами дизайна, а не ошибками программирования, которые потребовали от Siemens обновления встроенного программного обеспечения в своих системах, чтобы исправить их или, в некоторых случаях, перепроектировать их. И это были не просто проблемы для ПЛК Siemens; это были фундаментальные проблемы проектирования, с которыми сталкивались многие системы управления, наследие их доинтернетных времен, когда устройства создавались для изолированных сетей и не должны были противостоять атакам извне.
  
  Выводы Бересфорда опровергли давние утверждения поставщиков и владельцев критически важных инфраструктур о том, что их системы безопасны, поскольку атаковать их может только человек, обладающий обширными знаниями ПЛК и опытом работы с системами. Приобретя подержанное оборудование на сумму 20 000 долларов ОНЛАЙН и проработав два месяца в свободное время, Бересфорд обнаружил более дюжины уязвимостей и узнал достаточно о системах, чтобы скомпрометировать их.
  
  После выводов Бересфорда другие исследователи обнаружили дополнительные уязвимости в Siemens и других системах управления. Согласно базе данных уязвимостей системы управления, которой управляет Wurldtech Security, производитель систем для защиты критической инфраструктуры, с 2008 года в системах управления и протоколах системы управления было обнаружено около 1000 уязвимостей. Большинство из них просто позволили бы злоумышленнику помешать операторам контролировать свою систему, но многие из них также позволили бы злоумышленнику захватить систему.31
  
  В 2011 году охранная фирма, нанятая коммунальным предприятием Южной Калифорнии для оценки безопасности контроллеров на своих подстанциях, обнаружила множество уязвимостей, которые позволили бы злоумышленнику контролировать его оборудование. “Мы никогда раньше не смотрели на подобное устройство, и мы смогли найти это в первый день”, - сказал Курт Штаммбергер, вице-президент Mocana. “Это были большие, серьезные проблемы, и, честно говоря, о проблемах, о которых было известно как минимум полтора года, но утилита понятия не имела”.32
  
  Проблемы безопасности систем управления усугубляются тем фактом, что системы годами не заменяются и не исправляются на регулярной основе, как это делают обычные компьютеры. Срок службы стандартного настольного ПК составляет от трех до пяти лет, после чего компании переходят на новые модели. Но срок службы системы управления может составлять два десятилетия. И даже когда система заменяется, новые модели должны взаимодействовать с устаревшими системами, поэтому они часто содержат многие из тех же уязвимостей, что и старые.
  
  Что касается исправлений, некоторые системы управления работают на устаревших версиях Windows, которые больше не поддерживаются Microsoft, а это означает, что если в программном обеспечении будут обнаружены какие-либо новые уязвимости, они никогда не будут исправлены поставщиком. Но даже когда исправления доступны, исправления в системах управления выполняются редко, потому что операторы опасаются ошибочных исправлений, которые могут привести к сбою в их системах, и потому что они не могут легко вывести критически важные системы — и процессы, которые они контролируют — из строя на несколько часов, которые могут потребоваться для установки исправлений или выполнения другого обслуживания безопасности.33
  
  Все эти проблемы усугубляются растущей тенденцией среди поставщиков комплектовать системы безопасности своими системами управления. Системы безопасности раньше представляли собой встроенные аналоговые системы, настроенные отдельно от систем управления, чтобы любые проблемы с системой управления не мешали способности системы безопасности отключать оборудование в аварийной ситуации. Но многие производители теперь встраивают систему безопасности в свою систему управления, что упрощает отключение их обоих в ходе одной атаки.34
  
  Многие уязвимости в системах управления можно было бы устранить, если бы системы работали в автономных сетях с “воздушным зазором”, то есть никогда не подключались к Интернету или к другим системам, подключенным к Интернету. Но это не всегда так.
  
  В 2012 году исследователь из Великобритании обнаружил более 10 000 систем управления, которые были подключены к Интернету, включая системы, принадлежащие водоочистным и электростанциям, дамбам, мостам и железнодорожным станциям, используя специализированную поисковую систему под названием Shodan, которая может находить такие устройства, как VoIP-телефоны, SMARTTV и системы управления, подключенные к Интернету.35
  
  В 2011 году хакер по имени pr0f получил доступ к управлению водопроводной станцией в Южном Хьюстоне после того, как нашел городскую систему управления Siemens онлайн. Хотя система была защищена паролем, в ней использовался пароль из трех символов, который легко угадывался. “Мне жаль, что это не история о продвинутых постоянных угрозах и прочем, - сказал pr0f репортеру в то время, - но, честно говоря, большинство компромиссов, которые я видел, были результатом грубой глупости, а не невероятного технического мастерства со стороны злоумышленника”.36 Однажды в системе SCADA pr0f сделал скриншоты, показывающие расположение резервуаров для воды и цифровых элементов управления, хотя он не саботировал систему. “Мне не очень нравится бессмысленный вандализм. Это глупо”, - написал он в посте, который опубликовал в Интернете. “С другой стороны, то же самое происходит с подключением интерфейсов вашего оборудования SCADA к Интернету”.37
  
  Многие полевые устройства SCADA, если они не подключены напрямую к общедоступному Интернету, доступны через модем и защищены только паролями по умолчанию. Коммутаторы и выключатели для электросети, например, часто настраиваются таким образом с паролями по умолчанию, чтобы работники, которым потребуется доступ к ним в чрезвычайной ситуации, запомнили пароль. По той же причине системы управления, как правило, не предназначены для блокировки кого-либо после нескольких неудачных попыток ввода пароля — стандартная функция безопасности во многих ИТ-системах для предотвращения взлома пароль с несколькими догадками — потому что никто не хочет, чтобы система управления блокировала оператора, который несколько раз ошибочно вводит пароль в состоянии паники. В 2011 году испытательная группа, возглавляемая исследователем в области безопасности Марком Майффретом, проникла в систему удаленного доступа на водопроводном заводе в Южной Калифорнии и смогла получить контроль над оборудованием, используемым для добавления химикатов в питьевую воду. Они получили контроль над системой всего за день, и Мейффрет сказал, что потребовалось бы всего несколько дополнительных шагов, чтобы сбросить химикаты в воду, чтобы сделать ее потенциально непригодной для питья.38
  
  Удаленный доступ к критически важным системам из Интернета создает очевидные риски для безопасности. Но если Stuxnet что-то и доказал, так это то, что злоумышленнику не нужен удаленный доступ для атаки на систему — вместо этого автономный червь может быть доставлен через флэш-накопитель USB или через файлы проекта, которые инженеры используют для программирования ПЛК. В 2012 году канадская компания Telvent, производитель управляющего программного обеспечения, используемого в Smart grid, была взломана злоумышленниками, связанными с китайскими военными, которые получили доступ к файлам проекта системы SCADA, созданной компанией, — системы, установленной в нефте- и газопроводах в Соединенных Штатах, а также в системах водоснабжения. Telvent использовала файлы проекта для управления системами клиентов. Хотя компания никогда не указывала, изменяли ли злоумышленники файлы проекта, нарушение продемонстрировало, насколько легко злоумышленник может атаковать нефте- и газопроводы, заражая файлы проекта такой компании, как Telvent.39
  
  Однако прямые вторжения в компьютерные сети - не единственная проблема, когда речь заходит о критической инфраструктуре. Задокументированы случаи, когда электромагнитные импульсы создавали помехи системам SCADA и полевым устройствам. В ноябре 1999 года радиолокационная система с корабля ВМС США, проводившего учения в двадцати пяти милях от побережья Сан-Диего, прервала беспроводные сети систем SCADA в местных водопроводных и электрических сетях. Беспорядки помешали рабочим открывать и закрывать клапаны на трубопроводе, вынудив их направить технических специалистов в отдаленные места, чтобы вручную активировать клапаны и предотвратить переполнение резервуаров водой. Электромагнитные импульсные помехи (EMP) также были причиной взрыва газа, произошедшего недалеко от голландского военно-морского порта Ден-Хелдер в конце 80-х годов, когда военно-морская радиолокационная система заставила систему SCADA для трубопровода природного газа открывать и закрывать клапан.40
  
  НА ПРОТЯЖЕНИИ МНОГИХ ЛЕТ в многочисленных сценариях Конца света рассматривались возможные последствия массированной кибератаки.41 Но на сегодняшний день подобных атак не произошло, а непреднамеренных событий, связанных с системами управления, намного больше, чем преднамеренных.
  
  Но достаточно взглянуть на случайные промышленные катастрофы, чтобы увидеть масштабы ущерба, который может нанести кибератака, поскольку часто последствия промышленной аварии могут быть воспроизведены для преднамеренной атаки. Умный хакер мог бы просто изучить причины и последствия случайной катастрофы, о которой сообщалось в новостях, и использовать их для разработки атаки, которая привела бы к тем же разрушительным результатам.
  
  Кит Александер из АНБ привел катастрофическую аварию, произошедшую на Саяно-Шушенской ГЭС в южной Сибири, в качестве примера того, что может произойти в результате атаки.42 Тридцатилетняя плотина, шестая по величине в мире, имела высоту восемьсот футов и тянулась примерно на полмили через живописное ущелье на реке Енисей, прежде чем она рухнула в 2009 году, убив семьдесят пять человек.
  
  Сразу после полуночи 17 августа 940-тонная турбина на электростанции плотины подверглась внезапному скачку давления воды, который сбил ее с болтов и заставил взлететь в воздух. Когда водяной гейзер затопил машинное отделение из шахты, где находилась турбина, он нанес огромный ущерб более чем полудюжине других турбин, вызвав множественные взрывы и обрушив крышу.
  
  Катастрофа была частично связана с пожаром на Братской электростанции, расположенной примерно в пятистах милях от города, что привело к снижению выработки энергии в Братске. Это вынудило турбины на Саяно-Шушенской гэс увеличить нагрузку. Но срок службы одной из этих турбин уже подходил к концу, и она некоторое время опасно вибрировала, то включаясь, то выключаясь. Месяцами ранее была установлена новая система управления для стабилизации машины, но вибрации от дополнительной рабочей нагрузки оказались слишком сильными. Турбина срезала болты, удерживающие ее, и снялась с якоря. На снимках с камер наблюдения видно, как рабочие перебираются через оборудование, чтобы покинуть стройплощадку. Помимо убийства семидесяти пяти рабочих и затопления окрестностей, завод разлил 100 тонн нефти в реку Енисей и убил 4000 тонн форели на местных рыбных промыслах. Эксперты подсчитали, что ремонт займет четыре года и обойдется в 1,3 миллиарда долларов.43
  
  Взрыв трубопровода в июне 1999 года в штате Вашингтон также представил хакерам план действий. В этом случае трубопровод диаметром 16 дюймов, принадлежащий компании Olympic Pipe Line в Беллингеме, разорвался и вылил более 237 000 галлонов бензина в ручей в парке Уотком-Фолс. Газ лился из трубы в течение девяноста минут, прежде чем он воспламенился в огненный шар, который растянулся на 1,5 мили вниз по течению, убив двух десятилетних мальчиков и подростка и ранив еще восемь человек. Хотя катастрофе способствовали многочисленные проблемы, в том числе неправильно настроенные клапаны и экскаватор, который ослабил часть трубы, свою роль сыграла и не отвечающая система управления. “[I]если бы компьютеры системы SCADA продолжали реагировать на команды контроллеров Olympic, - обнаружили следователи, - контроллер, управляющий аварийным трубопроводом, вероятно, смог бы инициировать действия, которые предотвратили бы повышение давления, которое привело к разрыву трубопровода”.44
  
  Операторам потребовалось более часа, чтобы зарегистрировать утечку, и к тому времени жители уже звонили в 911, чтобы сообщить о сильном запахе нефти в ручье. Хотя утечка газа не была вызвана хакерами, следователи обнаружили ряд проблем с безопасностью в системе Olympic, которые сделали ее уязвимой для атак. Например, компания настроила удаленный доступ к своей системе управления SCADA, защищенный только именем пользователя и паролем, а ее бизнес-сети и сети SCADA были взаимосвязаны. Хотя они были соединены мостом, который обеспечивал некоторую защиту от случайного взломщика, в соединении отсутствовал надежный брандмауэр, а также защита от вирусов или мониторинг доступа, повышая вероятность того, что решительный злоумышленник может проникнуть в бизнес-сеть из Интернета, а затем перейти к критически важной сети SCADA.
  
  Взрыв трубопровода с природным газом в Сан-Бруно, Калифорния, в 2010 году был еще одним наихудшим сценарием, который послужил предостережением. Взрыв произошел после технического обслуживания блока бесперебойного питания, или ИБП, что привело к отключению электричества в системе SCADA. Регулирующий клапан на трубопроводе был запрограммирован на автоматическое открытие в случае отключения питания системы SCADA; в результате газ беспрепятственно поступал в трубопровод, вызывая повышение давления в стареющей конструкции, пока она не лопнула. Поскольку система SCADA отключилась, операторы не могли видеть, что происходит в конвейере.45
  
  Затем произошло обрушение дамбы в Миссури в декабре 2005 года. Катастрофа началась, когда датчики на стене плотины отсоединились от своих креплений и не смогли определить, когда резервуар плотины на 1,5 миллиарда галлонов был полон. Поскольку насосы продолжали подавать воду в резервуар, система “безотказного” отключения также не сработала.46 Переполнение началось около 5:10 утра, и в течение шести минут 60-футовая секция парапетной стены обвалилась. Более миллиарда галлонов воды хлынуло с горы Проффит, сметая камни и деревья в своих массивных объятиях, прежде чем попасть в Закрытый государственный парк Джонсона и смыть дом смотрителя парка, в котором все еще находится он сам и его семья, и оставить их в четверти мили от него.47 Никто серьезно не пострадал, но машины на близлежащем шоссе также были сметены потоком, а палаточный лагерь в парке был затоплен. К счастью, поскольку стояла зима, кемпинг был пуст.
  
  Железнодорожные аварии также предоставляют чертежи для цифровых атак. Системы, которые управляют пассажирскими поездами, сочетают в себе множество, часто взаимосвязанных компонентов, которые обеспечивают возможные пути атаки: системы контроля доступа, не допускающие пешеходов без билетов на станции, системы обработки кредитных карт, цифровые рекламные системы, управление освещением и телевизоры с замкнутым контуром, не говоря уже о более важных системах пожаротушения и экстренного реагирования, контроля переходов и сигналов, а также эксплуатации самих поездов. В прошлом эти системы были отдельными и не сообщались друг с другом, кроме как по проводам. Но сегодня системы становятся все более цифровыми и взаимосвязанными, включая системы, которые обмениваются данными с помощью радиосигналов и передают незашифрованные команды в открытом виде. Хотя железнодорожные системы имеют избыточность и безотказные механизмы для предотвращения несчастных случаев, когда многие системы взаимосвязаны, это создает возможность неправильных настроек, которые могут позволить кому-либо получить доступ к системам безопасности и подорвать их.
  
  22 июня 2009 года пассажирский поезд в системе метро Вашингтона столкнулся во второй половине дня в час пик с другим поездом, остановившимся на путях, в результате чего один из операторов и восемь пассажиров были убиты, а восемьдесят других получили ранения. Неисправные датчики на пути не смогли обнаружить присутствие остановленного поезда и сообщить об этом движущемуся поезду. Хотя последний поезд был оснащен датчиками предотвращения столкновений, которые должны были активировать тормоза, когда он находился в пределах 1200 футов от других вагонов, эта система также отказала, и по какой-то причине оператор никогда не применял ручные тормоза. Десятилетием ранее реле связи в той же системе метро несколько раз отправляли неверные инструкции поездам — однажды поезду было предписано двигаться со скоростью 45 миль в час по участку пути с ограничением скорости 15 миль в час.48
  
  Все эти инциденты были случайными, но в Польше в 2008 году четырнадцатилетний мальчик в Лодзе вызвал крушение нескольких поездов, когда он использовал инфракрасный порт модифицированного телевизионного пульта дистанционного управления, чтобы взломать систему железнодорожной сигнализации и переключить трамвайные пути. Четыре трамвая сошли с рельсов, двенадцать человек получили ранения.49
  
  
  ХОТЯ СУЩЕСТВУЕТ множество различных способов атаковать критически важную инфраструктуру, один из наиболее эффективных - это атаковать энергосистему, поскольку электричество лежит в основе всей критически важной инфраструктуры. Отключите питание на длительный период, и список критически важных служб и объектов, затронутых, будет длинным — пригородные поезда и светофоры; банки и фондовые биржи; школы и военные объекты; холодильники, контролирующие температуру продуктов питания и запасов крови; респираторы, кардиомониторы и другое жизненно важное оборудование в больницах; огни взлетно-посадочной полосы и системы управления воздушным движением в аэропортах. На некоторых критически важных объектах могут сработать аварийные генераторы, но генераторы не являются жизнеспособным решением при длительном отключении, а в случае атомных электростанций переключение на генераторную мощность запускает автоматическое постепенное отключение станции в соответствии с правилами.
  
  Один из способов нацелиться на электроэнергию - это заняться интеллектуальными счетчиками, которые энергокомпании тысячами устанавливают в домах и на предприятиях США, отчасти благодаря правительственной программе "умных сетей" стоимостью 3 миллиарда долларов, которая ускорила внедрение интеллектуальных счетчиков без предварительного обеспечения безопасности технологии.
  
  Одна из основных проблем, обнаруженных исследователями безопасности в системе, заключается в том, что интеллектуальные счетчики имеют функцию удаленного отключения, которая позволяет коммунальным компаниям инициировать или отключать питание в здании без необходимости посылать специалиста. Но, используя эту функцию, злоумышленник может захватить контроль над счетчиками, чтобы отключить питание тысяч клиентов способом, который будет нелегко восстановить. В 2009 году исследователь по имени Майк Дэвис разработал червя, который делал именно это.
  
  Дэвис был нанят коммунальным предприятием на северо-западе Тихого океана для проверки безопасности интеллектуальных счетчиков, которые компания планировала предоставить клиентам. Как и в случае с ПЛК Siemens, которые исследовал Бересфорд, Дэвис обнаружил, что интеллектуальные счетчики были разнородными и могли взаимодействовать с любыми другими интеллектуальными счетчиками поблизости, если они использовали тот же протокол связи. Они даже будут принимать обновления прошивки от других счетчиков. Все, что требовалось злоумышленнику для обновления встроенного программного обеспечения на счетчике, - это сетевой ключ шифрования. Но поскольку все счетчики, которые компания планировала установить, имели один и тот же сетевой ключ, встроенный в их прошивку, злоумышленнику нужно было скомпрометировать только один счетчик, чтобы извлечь ключ и использовать его для доставки вредоносных обновлений на другие счетчики. “Как только мы получили контроль над одним устройством, у нас было практически все, что нам было нужно”, - сказал Дэвис. “Так было на множестве счетчиков, которые мы рассмотрели у разных поставщиков”.50
  
  Счетчики общались друг с другом по радио и всегда находились в режиме прослушивания, чтобы обнаружить другие счетчики поблизости. Несколько метров могли общаться друг с другом на расстоянии многих миль. Те, которые исследовал Дэвис, имели радиус действия около 400 футов, что немного больше длины футбольного поля — этого было более чем достаточно для распространения вредоносного обновления между соседними домами, которое отключило бы электричество и распространило червя на дополнительные метры. Дэвису даже не нужно было компрометировать существующий счетчик в доме, чтобы запустить заражение; он мог просто купить свой собственный счетчик той же марки, что и главное, чтобы он говорил по тому же протоколу — и загрузите в него вредоносное ПО и необходимый ключ шифрования, а затем разместите его поблизости от измеряемого дома. “Из-за радио это будет автоматически засекаться [другими счетчиками вокруг него]”, - говорит Дэвис. После завершения обновления счетчик жертв перезапускался с новой прошивкой и автоматически начинал распространять свое обновление на другие счетчики в пределах досягаемости, вызывая цепную реакцию. Операторы не знали бы, что что-то изменилось со счетчиками, пока в районах не началось отключение электроэнергии.
  
  Обычно счетчики поставщика обновлялись удаленно через центральную сеть коммунальной компании или через специалиста на местах, который использовал специальный ключ, подключенный к ноутбуку, для беспроводной связи со счетчиками. Поэтому, когда Дэвис и его команда сказали поставщику, что они могут написать программное обеспечение, которое автоматически передается от одного счетчика к другому без использования центрального компьютера или ключа, поставщик усмехнулся и сказал, что счетчики не имеют возможности инициировать обновление встроенного ПО для других счетчиков. “Они сказали нам ... что это не было частью их набора функций”, - вспоминает Дэвис. “Мы сказали, что знаем, мы добавили эту функцию [в наше вредоносное обновление прошивки]”. Поставщик все еще не верил, что червь будет иметь большой эффект, поэтому Дэвис написал программу для имитации заражения в жилом районе Сиэтла, которое за день распространилось примерно на 20 000 интеллектуальных счетчиков.51 “К концу двадцатичетырехчасового цикла у нас был практически полный компромисс”, - говорит он. Заражение распространялось на метр за раз, но атака в реальном мире продвигалась бы гораздо быстрее, поскольку злоумышленник мог бы разослать множество обновлений прошивки от нескольких нулевых пациентов, стратегически расположенных по всему городу.
  
  Поставщик также высмеял симуляцию Дэвиса, заявив, что червю потребуется от двух до четырех минут, чтобы обновить прошивку каждого счетчика, и за это время технические специалисты обнаружат сбой до того, как слишком много клиентов потеряют электричество, и отправят удаленное обновление прошивки, чтобы снова включить им питание.
  
  Именно тогда Дэвис нанес свой последний удар и сообщил поставщику, что его вредоносное программное обеспечение не только отключило питание, но и удалило функцию обновления встроенного программного обеспечения на счетчиках, чтобы их нельзя было обновить снова для восстановления питания. Техническим специалистам пришлось бы заменить счетчик в каждом доме или вернуть их в лабораторию и прошить их чипы новой прошивкой. “Это, похоже, привлекло их внимание больше, чем что-либо другое”, - говорит он. “Мы смогли доказать, что ситуация может выйти из-под контроля задолго до того, как они смогут понять, что происходит”.
  
  С момента проведения моделирования Дэвис стал свидетелем того, как поставщики улучшили свои счетчики. Некоторые производители теперь используют несколько сетевых ключей на своих счетчиках, назначая разные ключи для разных районов, чтобы ограничить ущерб, который злоумышленник может нанести одним ключом. Но удаленное отключение по-прежнему является проблемой для большинства интеллектуальных счетчиков, поскольку злоумышленник, взломавший центральный сервер утилиты, может сделать то же, что и червь Дэвиса, но гораздо более простым способом. “Если бы там не было [удаленного отключения], ничто из этого не было бы такой уж большой проблемой”, - говорит Дэвис. “На мой взгляд, если в нем есть реле удаленного отключения, независимо от того, включено оно или нет ... это действительно большая, неприятная проблема”.
  
  Использование интеллектуальных счетчиков - эффективный способ сократить потребление электроэнергии. Но еще более эффективной и широкомасштабной атакой было бы вывести из строя генераторы, питающие сеть, или системы передачи, которые доставляют электроэнергию потребителям. Министр обороны Леон Панетта заявил на слушаниях по его утверждению в июне 2011 года, что следующим Перл-Харбором, который переживет нация, вполне может стать кибератака, которая нанесет ущерб сети.
  
  Энергосистема Северной Америки большая и сложная и фактически состоит из трех крупных региональных сетей, известных как Восточные, Западные и Техасские межсоединения. Сети состоят из более чем 450 000 миль высоковольтных линий электропередачи, принадлежащих и эксплуатируемых примерно тремя тысячами коммунальных предприятий. Поскольку электроэнергия продается на энергетических рынках, она иногда направляется на большие расстояния между штатами и внутри них для удовлетворения спроса, например, Cal-ISO, организацией, которая была взломана в 2001 году. Хотя существование многих независимых систем означает, что атака на одно предприятие или подстанцию будет иметь ограниченный эффект, их взаимосвязанность означает, что скоординированная и стратегическая атака на ряд систем может вызвать каскадные отключения электроэнергии, которые трудно устранить, и погрузить пользователей в темноту на недели.52
  
  Например, автоматические выключатели, которые контролируют линии распределения, предназначены для обнаружения опасного перенапряжения на линиях и размыкания, чтобы отключить их от сети, чтобы предотвратить их повреждение. Однако, когда срабатывает один выключатель, питание от этой линии перенаправляется на другие линии. Если эти линии достигнут пропускной способности, их прерыватели также отключатся, создавая отключение. Но хорошо продуманная атака может отключить прерыватели на одних линиях, одновременно изменяя настройки на других, чтобы предотвратить их отключение, что приведет к перегреву линий, когда они превысят пропускную способность.
  
  Когда линии распределения перегреваются, это приводит к их провисанию или плавлению. Провисшие линии были причиной отключения электроэнергии на северо-востоке в 2003 году, в результате которого 50 миллионов человек в восьми штатах и частях Канады были обесточены. Хотя цифровая атака не была причиной сбоя, ошибка программного обеспечения помешала раннему обнаружению и предотвращению каскада.
  
  Проблема началась в Огайо, когда провисшие линии электропередач зацепились за деревья, но она усугубилась тем фактом, что система аварийного оповещения в центре управления FirstEnergy в Акроне не смогла зарегистрировать сбои в системе, оставив операторов в неведении об ухудшении условий. Примерно за два с половиной часа до отключения промышленные потребители и даже другие электростанции звонили в FirstEnergy, чтобы сообщить о низком напряжении и отключении линий электропередачи — признаках того, что в сети назревали серьезные проблемы. Но поскольку операторы FirstEnergy не увидели никаких признаков неполадок на своих контрольных экранах, они предположили, что проблема кроется в другом. “[American Electric Power], должно быть, потеряла что-то важное”, - сказал один оператор First Energy звонящему, указывая пальцем на другую утилиту.53 Только когда свет в собственной диспетчерской FirstEnergy погас, операторы поняли, что проблема была в их собственной системе. В конечном итоге они отследили сбой в системе оповещения до ошибки программного обеспечения. “[Ошибка] никогда не проявляла себя до этого дня”, - позже сказал представитель FirstEnergy. “Эта ошибка была настолько глубоко внедрена, что им потребовались недели, чтобы изучить миллионы строк кода и данных, чтобы найти ее”.54
  
  Однако еще более разрушительной атакой, чем нацеливание на линии распределения, было бы нацеливание на оборудование на подстанциях, которые подают электричество на эти линии. Сеть состоит из более чем 15 000 узлов, или подстанций, разделенных на три типа — генераторные подстанции, которые вырабатывают электроэнергию, передающие подстанции, которые передают ее между линиями электропередачи, и распределительные подстанции, которые доставляют ее потребителям. Большинство из них являются передающими подстанциями, которые отвечают за “повышение” напряжения для передачи его на большие расстояния, а затем за “снижение” напряжения до того, как оно будет распределено среди конечных пользователей. Недавнее исследование, проведенное Федеральной комиссией по регулированию энергетики, показало, что атака, которая вывела из строя всего девять критически важных подстанций — четыре в восточной сети, три в западной сети и две в Техасской сети, — может вызвать отключение электроэнергии в стране на недели, возможно, месяцы, создавая панику и приводя к гибели людей.55
  
  Хорошая новость заключается в том, что, поскольку сетевые системы принадлежат и управляются разными коммунальными службами, они используют различное оборудование и конфигурации, предотвращая универсальную атаку и затрудняя проведение единой широкомасштабной атаки на энергетические системы. Но региональные атаки и отключения электроэнергии не являются недоступными для обычных хакеров. И атака, которая также уничтожила генераторы промышленного размера на электростанциях, затруднила бы восстановление. Именно в этом был смысл испытания генератора Aurora.
  
  НАЗВАННОЕ В ЧЕСТЬ римской богини, которая была матерью четырех ветров, испытание началось с каскадного отключения электроэнергии на северо-востоке в 2003 году. Это отключение продолжалось всего два дня, но оно заставило людей задуматься о возможности удаленных атак на электростанции, которые, возможно, не так легко восстановить. Майк Ассанте руководил сбором команды для проверки гипотезы.
  
  Будучи офицером военно-морской разведки в 2001 году, Ассанте был направлен на работу в новый Национальный центр защиты инфраструктуры ФБР в Вашингтоне, округ Колумбия, для изучения рисков, связанных с кибератаками на энергетические инфраструктуры. Через год он покинул военно-морской флот, чтобы устроиться на работу в компанию American Electric Power (AEP) в Огайо, одну из крупнейших электроэнергетических компаний в стране. AEP хотела получить помощь в разработке программы защиты инфраструктуры, и именно в это время Ассанте начал задумываться об атаках, которые могли бы привести к физическому разрушению сети.
  
  Во время работы в AEP Ассанте был поражен статьей Washington Post о программе тестирования SCADA в Национальной лаборатории штата Айдахо, в ходе которой работники напугали председателя Федеральной комиссии по регулированию энергетики симуляцией, показывающей ему, как легко хакер может разрушить турбину коммунального предприятия, отключив механизм, отвечающий за смазку машины. Без смазки движущихся металлических частей турбина застопорилась и разорвалась на части.56 Реакция председателя на демонстрацию была интуитивной. “Я пожалел, что на мне не было подгузника”, - сказал он Post после теста.57
  
  Ассанте лично посетил лабораторию INL и был впечатлен группой экспертов, которых лаборатория набрала для своей программы. В дополнение к инженерам по системам управления, лаборатория наняла группу кодовых воинов, только что закончивших среднюю школу и колледж, которые знали, как их взломать. Они прорвались через сети системы управления с небольшим сопротивлением, используя слабые места, которые были невидимы для инженеров, которые работали над ними годами. Лаборатория также имела свои собственные подстанции и мини-сеть — семимильную секцию резервной сети, которую исследователи могли изолировать от общедоступной сети — для проведения тестов в реальном времени. Ассанте был настолько заинтригован возможностями проведения реальных исследований безопасности в сети, а не просто имитационных тестов, что уволился с работы в AEP в 2005 году и занял должность в лаборатории.
  
  Оказавшись там, Ассанте и его коллеги начали рассматривать сценарии возможного уничтожения оборудования. До этого большая часть кибер-беспокойства по поводу безопасности сети была сосредоточена на том, чтобы кто-то проник в электросеть, чтобы открыть выключатели и вызвать отключение. Перебои в подаче электроэнергии, однако, могут быть устранены довольно быстро путем переустановки выключателей. Но как насчет атаки, которая разрушила или обошла системы безопасности, чтобы физически уничтожить генератор, который нелегко починить?
  
  Они решили добраться до генератора, сосредоточив атаку на защитных реле — устройствах безопасности, которые отслеживают изменения в сети и отвечают за отключение выключателей, если условия входят в опасную зону, которая может повредить линии электропередачи. Отключенные защитные реле сыграли свою роль в крупном отключении в феврале 2008 года, когда почти 600 000 человек во Флориде остались без электричества после того, как полевой инженер из Florida Power and Light отключил защитные реле на подстанции, исследуя неисправный выключатель.58 Когда на линии, которую он проверял, произошел сбой, не было ничего, что могло бы предотвратить его излучение. Результатом стало каскадное отключение, которое распространилось на тридцать восемь подстанций, включая ту, которая подавала электроэнергию на атомную станцию, в результате чего станция перешла в режим автоматического отключения.
  
  Но защитные реле не просто запускают выключатели на линиях электропередачи, они также отключают генераторы и другое оборудование от сети, если условия становятся опасными. Электрическая сеть работает с частотой 60 Гц — или шестьдесят циклов в секунду - и подключенные к ней устройства должны быть синхронизированы, иначе они могут быть повреждены. Подключите что-нибудь к сети, когда оно не синхронизировано, и это создаст крутящий момент, который может разрушить оборудование. Когда генератор подключается к сети, нагрузка от сети отталкивается, подобно гравитационной силе, которая толкает автомобиль, поднимающийся на холм. Но когда выключатель открывается и отключает генератор от сети, все еще работающий генератор ускоряется в отсутствие какой-либо нагрузки, давящей на него. Всего через 10 миллисекунд генератор выйдет из синхронизации с сетью. Если затем выключатель закроется, возвращая генератор в сеть, пока они не синхронизированы, эффект будет похож на автомобиль, врезающийся в кирпичную стену. Генератор расходует слишком много энергии, которую некуда девать, и как только он попадает в более медленную сеть, сила этой энергии обрушивается на нее. Это хорошо известное явление, которое в прошлом было причиной аварий.
  
  Итак, вопрос, который команда Ассанте задала для своего теста, был прост: если предполагалось, что защитные реле предотвращают повреждение оборудования, что, если их можно подорвать, чтобы помочь уничтожению оборудования? Разработка такой атаки оказалась лишь немного сложнее, чем вопрос. Взлом включал в себя написание вредоносного кода для изменения настроек цифровых реле таким образом, чтобы прерыватель генератора открывался и закрывался в быстрой последовательности, в результате чего оборудование быстро и многократно отключалось от сети, а затем повторно подключалось, когда оно не синхронизировалось. Без защиты реле ничто не могло предотвратить саморазрушение генератора. “Это то, что сделало его таким чертовски коварным”, - говорит Джо Вайс. “То, что должно было предотвратить подобную атаку, было тем, что они использовали для проведения атаки”. Благодаря резкому размыканию и замыканию защитной цепи реле перешло от “обеспечения максимальной защиты к нанесению максимального ущерба”, - позже написало DHS в отчете об испытании.59
  
  В качестве своей жертвы они выбрали генератор Wärtsilä, который был снят с эксплуатации на нефтяных месторождениях на Аляске и был приобретен через брокера за треть от его цены в 1 миллион долларов совершенно новым.60
  
  Атака длилась три минуты, но могла достичь своей цели всего за пятнадцать секунд. Исследователи установили паузы в атаке, чтобы дать инженерам время оценить ущерб и проверить системы безопасности на каждом этапе. Каждый раз, когда автоматический выключатель замыкался на несинхронизированном генераторе, подключая его обратно к сети, машина подпрыгивала и вибрировала от силы ответного удара собственной энергии, пока, в конце концов, не оборвалась связь между дизельным двигателем и генератором.61
  
  Работники оперативного центра, которые следили за сетью на предмет аномалий и которым не сообщили об атаке до того, как она произошла, никогда не замечали ничего плохого на своих мониторах. Система безопасности, которая была разработана для предотвращения небольших скачков и впадин, которые обычно возникали на электросети, также никогда не регистрировала разрушительного прерывания. “Мы могли бы провести атаку, по сути, открыть и закрыть выключатель так быстро, что системы безопасности этого не заметили”, - сказал Перри Педерсон, который в то время возглавлял программу DHS по обеспечению безопасности системы управления и наблюдал за тестированием.62
  
  Замена двадцатисемитонного генератора, который был уничтожен таким образом, не была бы тривиальной, но это было выполнимо. Но на крупных электростанциях и других объектах были генераторы мощностью 800 мегаватт, замена которых заняла бы месяцы или год, поскольку генераторы такого размера часто изготавливаются на заказ за рубежом. Не все генераторы, питающие сеть, будут одинаково восприимчивы к этой атаке — это будет зависеть от того, как сбалансирована мощность в этой части сети. Но то же самое может произойти с критически важным оборудованием, питающим другие объекты, кроме сети, которое нелегко заменить. Например, подстанция , питающая ряд насосов, ответственных за доставку питьевой воды в крупный мегаполис, в случае вывода из строя может вызвать серьезные сбои. “Я не знаю, что произойдет с большим насосом мощностью 50 000 лошадиных сил, но я могу представить, что это будет так же плохо, как генератор”, - сказал Педерсон.63
  
  С тех пор, как в 2007 году состоялось испытание Aurora, были и другие демонстрации разрушительных кибератак. В отчете 2009 года о 60 минутах исследователи из Национальной лаборатории Сандии показали, как они могут вызвать перегрев компонентов на нефтеперерабатывающем заводе, просто изменив настройки нагревательного элемента и отключив рециркуляционные насосы, которые помогали регулировать температуру.64
  
  Помимо STUXNET И инцидента В Маручи-Шир, в мире на сегодняшний день не было зарегистрировано по-настоящему разрушительных цифровых атак. Эксперты предложили ряд возможных причин, почему это так - такие атаки сложнее осуществить, чем, по-видимому, указывают представленные здесь доказательства, и тем, кто обладает навыками и ресурсами для их проведения, просто не хватало мотивации для принятия мер до сих пор, в то время как у других, у кого есть желание начать такую атаку, пока нет возможности.
  
  Однако одно кажется несомненным: учитывая разнообразные и обширные возможности для проведения таких атак и доказательство концепции, предоставляемое Stuxnet, это только вопрос времени, когда соблазн цифрового нападения станет слишком непреодолимым, чтобы кто-то мог отказаться.
  
  
  
  1 Интервью автора с Ассанте, сентябрь 2011.
  
  2 Системы SCADA обычно используются там, где управляемые системы географически распределены на больших площадях — например, в трубопроводах, железнодорожных системах, а также в системах водоснабжения и электроснабжения. Распределенные системы управления, с другой стороны, лучше всего подходят для случаев, когда операторам требуется обширный и сложный контроль на ограниченных объектах, таких как нефтеперерабатывающие заводы, водоочистные сооружения и электростанции, хотя электростанции также используют системы SCADA для мониторинга удаленных подстанций в полевых условиях. Системы SCADA состоят из станции оператора, сети связи и удаленного терминального устройства, или RTU, в полевых условиях. RTU, которые похожи на ПЛК, отправляют данные обратно через сеть на станцию мониторинга оператора. Станция оператора обычно работает на Windows — со всеми присущими ей уязвимостями - а полевые устройства используют специализированные операционные системы, в которые обычно встроено мало средств защиты.
  
  3 Инциденты в системе промышленного контроля отслеживаются в базе данных RISI (хранилище инцидентов промышленной безопасности), которая начала регистрировать инциденты в 2001 году, но бездействовала в период с 2006 по 2009 год. База данных подписки поддерживается организацией по инцидентам безопасности и может быть найдена по адресу securityincidents.org.
  
  4 Марти Найланд, “Компьютерный вирус сбивает сигналы поездов”, Associated Press, 20 августа 2003 года, доступно по адресу informationweek.com/news/13100807.
  
  5 Червь прибыл через корпоративную сеть коммунальной компании, которая управляла заводом, и распространился из бизнес-сети завода в сеть управления. К счастью, завод был отключен почти год из-за других проблем, так что никакого вреда не было причинено. Операторы завода также заявили, что у них было ручное управление, которое служило бы резервным при отключении автоматических систем. См. Кевин Поулсен, “Slammer Worm разбил сеть ядерных установок в Огайо”, SecurityFocus, 19 августа 2003 года, доступно по адресу securityfocus.com/news/6767/.
  
  6 “Кибербезопасность: подготовка к постоянной угрозе и реагирование на нее”, выступление в Комитете Сената по ассигнованиям, 12 июня 2013 г., доступно по адресу hsdl.org/?view&did=739096.
  
  7 Льюис выступал в радиошоу Дайан Рем, транслируемом WAMU в Южной Калифорнии, 4 июня 2012 года. Интервью доступно по thedianerehmshow.org/shows/2012-06-04/growing-threat-cyberwarfare.
  
  8 Физику Грегори Бенфорду приписывают одно из первых упоминаний компьютерного вируса в написанном им в 1969 году рассказе под названием “Человек со шрамом”, который был опубликован в майском номере журнала Venture за май 1970 года. Понятие цифровых червей возникло в научно-фантастической книге Джона Бруннера 1975 года "Гонщик на ударной волне", в которой фигурировал цифровой солитер, который переползал с машины на машину.
  
  9 “Подросток-хакер признает себя виновным в нанесении ущерба Массе. Аэропорт, ”Бостон Глоуб", 19 марта 1998 года.
  
  10 “Подростку-хакеру предъявлены федеральные обвинения”, CNN, 18 марта 1998 г., доступно по адресу edition.cnn.com/TECH/computing/9803/18/juvenile .hacker/index.html.
  
  11 “Критические основы: защита инфраструктуры Америки”, Президентская комиссия по защите критической инфраструктуры, октябрь 1997 года. Отчет доступен по адресу https://www.fas.org/sgp/library/pccip.pdf.
  
  12 “Оценка рисков, связанных с электроэнергией”, Консультативный комитет по телекоммуникациям национальной безопасности, Целевая группа по обеспечению информации, доступна по адресу solarstorms.org/ElectricAssessment.html.
  
  13 Информация о деле Маручи Шир взята из интервью автора, проведенного в августе 2012 года с Робертом Стрингфеллоу, инженером водного хозяйства, который помогал расследовать это дело, а также из отредактированных судебных документов и полицейского отчета, написанного судебным экспертом Питером Кингсли. Некоторые подробности из судебных документов были впервые опубликованы Джо Вайсом в его книге Защита промышленных систем управления от электронных угроз (Нью-Йорк: Momentum Press, 2010).
  
  14 В период с 14 марта по 23 апреля произошло около девяноста инцидентов. Рабочий проследил часть активности до RTU на насосной станции 14, откуда, по-видимому, исходили вредоносные радиосигналы. Он знал, что легко изменить адрес RTU, просто щелкнув определенными переключателями на устройстве, поэтому он пришел к выводу, что злоумышленник, должно быть, использует rogue RTU, переключатели которого установлены на 14, для отправки вредоносных команд, как если бы они исходили от реальной насосной станции 14. Чтобы устроить ловушку, он изменил адрес насосной станции 14 на 3. Если злоумышленник отправлял поддельные сообщения, он не знал, что адрес изменился, и продолжал отправлять свои сообщения по старому адресу. Это именно то, что произошло однажды ночью, когда поток вредоносного трафика прошел по сети с насосной станции 14, направленной на сбой центрального компьютера. Таким образом, следователи пришли к выводу, что злоумышленник должен быть инсайдером, обладающим знаниями о системе Maroochy и доступом к программному обеспечению и оборудованию Hunter WaterTech.
  
  15 Боден был признан виновным и приговорен в октябре 2001 года к двум годам тюремного заключения. Позже он подал апелляцию, после чего его обвинительный приговор по двум пунктам обвинения был отменен, но его обвинительный приговор по другим пунктам остался, как и его приговор.
  
  16 Опрос коммунальных служб, проведенный Научно-исследовательским институтом электронной энергетики в 1996 году, показал, что только 25 процентов респондентов сообщили об использовании каких-либо методов обнаружения вторжений. Обзор, проведенный EPRI летом 1996 года в области электронной информационной безопасности, и статистические данные приведены на solarstorms.org/ElectricAssessment.html.
  
  17 У Maroochy Water Services не было иного выбора, кроме как привлечь к делу правоохранительные органы, поскольку утечки были настолько публичными и угрожали общественной безопасности. Инциденты также привлекли пристальное внимание австралийского агентства по охране окружающей среды и региональных правительственных чиновников, которые потребовали объяснения причин их возникновения.
  
  18 Кингсли выступал на конференции AusCERT2002 в Австралии. В отчете, посвященном делу Маручи в 2008 году, спустя восемь лет после его возникновения, авторы пришли к выводу, что некоторые из проблем, поднятых инцидентом, только начинают решаться компаниями, в то время как “некоторые остаются нерешенными, и решения не видно”. См. Маршалл Абрамс и Джо Вайс, “Тематическое исследование атаки на кибербезопасность в системе вредоносного контроля – Maroochy Water Services, Австралия”, 23 февраля 2008 г., доступно по адресу csrc.nist.gov/groups/SMA/fisma/ics/documents/Maroochy-Water-Services-Case-Study_report.pdf.
  
  19 Эта и другие цитаты Вайса в этой главе взяты из интервью автора, июнь 2012.
  
  20 Бартон Геллман, “Кибератаки, которых опасалась Аль-Каида”, Washington Post, 27 июня 2002 года.
  
  21 Там же.
  
  22 “Критическая инфраструктура” в Соединенных Штатах широко определяется правительством как любой объект или система, которая подпадает под одну из шестнадцати категорий, которые включают в себя: сельское хозяйство и продовольствие, банковское дело и финансы, химию, коммерческие объекты, важнейшие производства, плотины, оборонно-промышленную базу, системы питьевой воды и водоочистки, службы экстренной помощи, энергетику, правительственные учреждения, информационные технологии, ядерные реакторы и отходы, общественное здравоохранение, телекоммуникации и транспорт. Смотрите dhs.gov/critical-infrastructure-sectors.
  
  23 Дэн Морен, “Хакеры преследуют Cal-ISO”, Los Angeles Times, 9 июня 2001 года.
  
  24 Предыдущая программа тестирования SCADA была запущена в Национальной лаборатории Сандиа в 1998 году, но в ней не участвовали поставщики. INL является ведущей лабораторией Министерства энергетики по исследованию ядерной энергии и управляет крупнейшим испытательным реактором в мире. Комиссия по атомной энергии получила землю в штате Айдахо после Второй мировой войны для строительства лаборатории ядерных исследований. С годами работа лаборатории расширилась, включив в себя исследования в области электросетей, а после того, как администрация Буша опубликовала свою Национальную стратегию защиты киберпространства в феврале 2003 года, безопасность промышленных систем управления. Эта стратегия предусматривала, что Министерство энергетики и Министерство внутренней безопасности (DHS) должны сотрудничать с частным сектором для решения проблем безопасности систем управления.
  
  25 Министерство внутренней безопасности, “Национальная стратегия физической защиты критически важных инфраструктур и ключевых активов” (доклад, Белый дом, февраль 2003), 9. Доступно по адресу dhs.gov/xlibrary/assets/Physical_Strategy.pdf.
  
  26 Там же, 39.
  
  27 Однако одна проблемная лазейка в программе тестирования заключается в том, что отчеты, которые поставщики получают с описанием уязвимостей, обнаруженных в их системах, подпадают под действие соглашения о неразглашении, и поставщики не обязаны сообщать клиентам об уязвимостях, обнаруженных в их системах.
  
  28 Ким Зеттер, “Жестко закодированный пароль и другие дыры в системе безопасности, обнаруженные в системах управления Siemens”, Wired.com, 3 августа 2011, доступно на wired.com/2011/08/siemens-hardcoded-password.
  
  29 По оценкам Джо Вайса, более половины всех систем управления имеют запасной выход, встроенный в них поставщиком.
  
  30 Бересфорд также обнаружил еще один сюрприз — “пасхальное яйцо”, которое программист Siemens спрятал в прошивке. Пасхальные яйца - это шутки, которые программисты прячут в своих программах, чтобы пользователи могли их найти. Часто их можно увидеть, только если пользователь введет определенную последовательность клавиш или получит доступ к неясной части программы. В случае Siemens пасхальное яйцо состояло из анимированного изображения танцующих шимпанзе, которое появлялось на экране с немецкой пословицей. В вольном переводе пословица гласит: “Вся работа и отсутствие развлечений делают Джека скучным мальчиком.” Хотя пасхальное яйцо не было вредоносным, оно вызвало серьезные опасения по поводу безопасности Siemens. Если программист пропустил шутку мимо ушей внутренних рецензентов кода компании, что еще они могли пропустить?
  
  31 В 2013 году два исследователя обнаружили проблемы с популярным протоколом, используемым центрами управления для связи с ПЛК и RTU, установленными на подстанциях. Злоумышленник, который не смог получить прямой доступ к компьютеру центра управления через Интернет, может скомпрометировать устройство связи на удаленной подстанции — либо путем физического доступа к нему, либо взломав беспроводную радиосеть, которую оно использует для связи с центром управления, — и использовать уязвимость в протоколе для отправки вредоносных команд в центр управления. Таким образом, злоумышленник может либо вывести из строя компьютер центра управления, либо использовать его для распространения вредоносных команд на все подстанции, с которыми взаимодействует эта машина, потенциально выводя из строя десятки или даже сотни подстанций одновременно, в зависимости от размера утилиты. Смотрите Ким Зеттер, “Исследователи обнаруживают дыры, которые открывают электростанции для взлома”. Wired.com, 16 октября 2013 г., доступно по адресу wired.com/2013/10/ics.
  
  32 Джордан Робертсон, “Саботаж в стиле научной фантастики: страх в новых взломах”, Associated Press, 23 октября 2011 г., доступно по адресу news-yahoo.com/science-fiction-style-sabotage-fear-hacks-120704517.html.
  
  33 В 2003 году, по словам Джо Вайса, когда червь SQL Slammer попал в Интернет, один поставщик систем управления предупредил своих клиентов не устанавливать исправление, выпущенное Microsoft для борьбы с червем, потому что исправление отключит их систему.
  
  34 По словам Джо Вайса, системы безопасности на атомных станциях, к счастью, все еще управляются аналоговыми средствами, и ужас от расплавления активной зоны, вызванного киберинцидентом, очень низок для существующих атомных станций. Но это может измениться, поскольку проекты для заводов следующего поколения включают цифровые сетевые системы, говорит он, которые могли бы упростить атаку на такие заводы.
  
  35 Ким Зеттер, “10 тысяч причин беспокоиться о критической инфраструктуре”, Wired.com, 24 января 2012, доступно на wired.com/2012/01/10000-control-systems-online. Исследователь Эйрин Леверетт не смогла определить, сколько систем управления были рабочими системами в отличие от демонстрационных систем, и не могла сказать, сколько из них были критическими системами в отличие от простой системы отопления офиса на заводе. Но среди них он выделил системы управления водными объектами в Ирландии и канализационными сооружениями в Калифорнии, и даже элементы управления системой отопления иногда могут быть использованы злоумышленниками для доступа к другим частям сети. И только 17 процентам из 10 000 систем, которые он обнаружил, требовалась авторизация для подключения к ним. В некоторых случаях владельцы даже не знали, что их системы доступны онлайн.
  
  36 Пол Ф. Робертс, “Хакер говорит, что город Техас использовал трехсимвольный пароль для защиты Интернета от системы SCADA”, блог Threatpost, 20 ноября 2011 г., доступен по адресу threatpost.com/blogs/hacker-says-texas-town-used-three-character-password-secure-internet-facing-scada-system-11201/75914.
  
  37 Его заявления появились на сайте Pastebin 18 ноября 2011 года. Смотрите Pastebin.com/Wx90LLum.
  
  38 Кен Диланян, “Виртуальная война - реальная угроза”, Los Angeles Times, 28 марта 2011 года.
  
  39 Ким Зеттер, “Китайские военные связаны со взломами более чем 100 компаний”, Wired.com, 19 февраля 2013, доступно на wired.com/2013/02/chinese-army-linked-to-hacks. Для получения дополнительной информации о специфике взлома Telvent см. Также Ким Зеттер, “Взломан производитель программного обеспечения для управления интеллектуальными сетями”, Wired.com, 26 сентября 2012, доступно по wired.com/2012/09/scada-vendor-telvent-hacked.
  
  40 “Доклад Комиссии по оценке угрозы Соединенным Штатам от атаки электромагнитным импульсом (ЭМИ)”, апрель 2008, доступен по адресу empcommission.org/docs/A2473-EMP_Commission-7MB.pdf. Смотрите также сноска 25 для описания плана преднамеренной атаки электромагнитным импульсом.
  
  41 Исследование RAND 1996 года под названием “День после ... в киберпространстве” было одним из первых, в котором были представлены последствия многоцелевой атаки, нацеленной на самолеты, поезда, телефонные системы и банкоматы на ряде континентов. См. Роберт Х. Андерсон и Энтони К. Хирн, “Исследование стратегий инвестирования в исследования и разработки в области киберпространственной безопасности для DARPA: на следующий день после ... в Cyberspace II”, RAND, 1996, доступно по адресу rand.org/pubs/monograph_reports/MR797.html.
  
  42 Билл Герц, “Компьютерные атаки становятся угрозой будущего, говорит генерал”, Washington Times, 13 сентября 2011 года.
  
  43 Джо П. Хаслер, “Расследование крупнейшего взрыва плотины в России: что пошло не так”, Популярная механика, 2 февраля 2010 года.
  
  44 “Разрыв трубопровода и последующий пожар в Беллингеме, штат Вашингтон, 10 июня 1999 года”, опубликованный Национальным советом по безопасности на транспорте, 2002, доступен по адресу ntsb.gov/doclib/reports/2002/PAR0202.pdf.
  
  45 “Разрыв и пожар в трубопроводе для транспортировки природного газа Pacific Gas and Electric Company”, Национальный совет по безопасности на транспорте, 9 сентября 2010 г., доступно по адресу ntsb.gov/investigations/summary/PAR1101.html.
  
  46 Дж. Дэвид Роджерс и Конор М. Уоткинс, “Обзор разрушения верхнего пласта гидроаккумулирующей электростанции Таум Саук, округ Рейнольдс, штат Миссури”, представленный на 6-й международной конференции по историям геотехнических исследований, Арлингтон, Вирджиния, 11-16 августа 2008 г., доступен по адресу web.mst.edu /~rogersda/dams/2_43_rogers.pdf.
  
  47 Эмитт К. Витт III, “14 декабря 2005 года разрушение плотины Таум-Саук в закрытом парке Джонсона на юго-востоке Миссури”, Национальное управление океанических и атмосферных исследований, доступно по адресу crh.noaa.gov/lsx/?n=12_14_2005.
  
  48 Линдси Лейтон, “Авария в метро: эксперты подозревают системный сбой, ошибка оператора в аварии на красной линии”, Washington Post, 23 июня 2009.
  
  49 Грэм Бейкер, “Школьник взламывает трамвайную систему города”, Телеграф, 11 января 2008 года.
  
  50 Из интервью автора, август 2012.
  
  51 Видео с симуляцией на YouTube можно посмотреть онлайн по адресу: youtube.com/watch?v=kc_ijB7VPd8. Или смотрите ссылки на слайды презентации Дэвиса и два других моделирования интеллектуальных счетчиков на ioactive.com/services_grid_research.html.
  
  52 У НКРЭ есть правила кибербезопасности, которым должны следовать коммунальные службы, но они применяются только к массовым электрическим системам (определяемым как объекты и системы, работающие при напряжении не менее 100 киловольт), и соблюдение которых не гарантирует, что система не будет взломана. Безопасность - это развивающееся состояние, а не статичное, и оно может меняться в любое время, когда устанавливается новое оборудование или меняются конфигурации.
  
  53 Американо-канадская целевая группа по отключению энергосистемы, “Окончательный отчет об отключении электроэнергии 14 августа в Соединенных Штатах и Канаде”, апрель 2004 года, доступен по адресу https://reports.energy.gov/BlackoutFinal-Web.pdf.
  
  54 Кевин Поулсен, “Ошибка программного обеспечения способствовала отключению”, SecurityFocus.com, 11 февраля 2004, доступно на securityfocus.com/news/8016.
  
  55 Ребекка Смит, “США рискуют национальным отключением из-за мелкомасштабной атаки”, Wall Street Journal, 12 марта 2004 года.
  
  56 Сценарий был похож на реальный инцидент, произошедший на заводе Coors по розливу в 2004 году, когда сотрудник по ошибке изменил настройки в системе, отвечающей за смазку подшипников на линии розлива. Вместо того, чтобы смазывать подшипники каждые двадцать минут, он установил смазку каждые восемь часов, и в конечном итоге линия розлива остановилась.
  
  57 Джастин Блум, “Хакеры нацелились на энергосистему США”, Washington Post, 11 марта 2005 года.
  
  58 “Энергия и свет Флориды", "FPL объявляет предварительные результаты расследования сбоев”, 29 февраля 2008 года, доступно по адресу fpl.com/news/2008/022908.shtml.
  
  59 Из недатированной слайд-презентации DHS, полученной по запросу FOIA, сделанному автором. Слайд-презентация называется “Уязвимость систем контроля —Аврора”.
  
  60 Цифра взята из оценки затрат, разработанной для испытания Aurora и опубликованной DHS по запросу FOIA автора.
  
  61 В качестве примера того, что может произойти при повреждении муфты на турбине, в 2011 году в Ираншехре взорвался генератор паровой турбины на электростанции в Иране, что было связано с неисправностью муфты. Взрыв был настолько сильным, что следователи даже не смогли найти силовую турбину после аварии. Муфты необходимо регулярно проверять на наличие признаков износа и смазывать для поддержания работоспособности и предотвращения несчастных случаев. На заводе в Ираншехре в помещении, где был установлен генератор, были установлены три масляные горелки, что, вероятно, усугубило взрыв, когда он произошел. Взрыв действительно мог быть результатом плохого обслуживания соединения или неправильной установки, но в то время были некоторые, кто думал, что это могло быть результатом саботажа наравне с атакой Aurora.
  
  62 Интервью с автором, август 2012 года.
  
  63 Там же.
  
  64 60 минут, “Кибервойна: саботаж системы”, дата выхода в эфир 6 ноября 2009 года, CBS.
  
  OceanofPDF.com
  
  ГЛАВА 10
  ВЫСОКОТОЧНОЕ ОРУЖИЕ
  
  Ральф Ленгнер сидел в своем офисе в Гамбурге и наблюдал, как два его инженера вводят поток искусной лжи в код Stuxnet, который они установили на своей тестовой машине. Лангнер, эксперт в тайной области безопасности промышленных систем управления, работал со своими коллегами в течение нескольких дней, чтобы определить и воссоздать точные условия, при которых упрямый код передаст свою полезную нагрузку их ПЛК, но это оказалось сложнее, чем они ожидали.
  
  Несколькими днями ранее команда Ленгнера установила компьютер с установленным программным обеспечением Siemens Step 7 и подключила его к ПЛК Siemens, который случайно оказался у них под рукой. Они также установили сетевой анализатор для отслеживания данных, передаваемых между машиной Step 7 и ПЛК. В отличие от исследователей Symantec, Ленгнер и его команда постоянно работали с ПЛК и точно знали, какой трафик должен проходить между машиной Step 7 и ПЛК; в результате они предположили, что будет легко обнаружить любые аномалии в обмене данными. Но когда они изначально заразили свою систему Step 7 Stuxnet, ничего не произошло. Они обнаружили, что Stuxnet, как и другие ранее, охотился за двумя конкретными моделями Siemens PLC - S7-315 и S7-417 - и у них не было ни одной из этих моделей под рукой.
  
  Поэтому они установили отладчик Windows на свою тестовую машину, чтобы наблюдать за действиями Stuxnet перед выпуском полезной нагрузки, и разработали способ обмануть код, заставив его думать, что он нашел свою цель. Stuxnet просмотрел длинный контрольный список, относящийся к конфигурации цели, каждый из которых, казалось бы, более специфичен, чем предыдущий. Лангнер и его коллеги не знали, что именно было в контрольном списке, но им и не нужно было знать. Когда Stuxnet запрашивал их систему для каждого элемента в списке, они отправляли ей серию сфабрикованных ответов, пока они не попадали на ответы, которые Stuxnet хотел услышать. Это был грубый метод атаки с применением грубой силы, который занял несколько дней проб и ошибок. Но когда они, наконец, получили правильную комбинацию ответов и в последний раз прогнали код по этапам, они увидели именно то, что описали исследователи Symantec: Stuxnet внедрил в их ПЛК серию блоков вредоносного кода. “Вот и все”, - вспоминает размышления Ленгнер. “Мы поймали маленького ублюдка”.1
  
  Они заметили вредоносный код, поступающий в ПЛК, только потому, что блоки кода были немного больше, чем должны были быть. Прежде чем заразить свою систему Step 7 вредоносным ПО, они передали блоки кода в ПЛК и захватили их с помощью инструмента анализа, чтобы записать их основные размеры и характеристики. После заражения машины Stuxnet они снова передали те же блоки кода и увидели, что они внезапно выросли.
  
  Они еще не могли видеть, что код Stuxnet делает с ПЛК, но само внедрение стало большой новостью. Это было намного больше того, о чем они когда-либо предупреждали клиентов, и намного больше того, что они ожидали увидеть в первой известной атаке на PLC.
  
  КОГДА 17 августа SYMANTEC сообщила, что Stuxnet стремится саботировать ПЛК, Чиену и Фаллеру могло показаться, что их никто не слушает. Но за шесть тысяч миль отсюда Лангнер сидел в своем маленьком офисе в зеленом пригороде Германии, с большим интересом читая слова Symantec. Лангнер годами предупреждал промышленных клиентов, что однажды кто-то разработает цифровую атаку, чтобы саботировать их системы управления, и теперь, похоже, этот день наконец настал.
  
  Ленгнер был владельцем бутик-фирмы из трех человек, которая специализировалась на обеспечении безопасности промышленных систем управления. Это было единственное, что делала его компания. Его не интересовала общая компьютерная безопасность, и ему было наплевать на объявления, предупреждающие о новейших вирусах и червях, заражающих КОМПЬЮТЕРЫ. Даже подвиги нулевого дня не привлекали его. Поэтому, когда Stuxnet впервые попал в заголовки технологической прессы и стал предметом многочисленных разговоров на форумах по безопасности, он не обратил на это особого внимания. Но когда Symantec написала, что Stuxnet саботирует работу ПЛК Siemens, Лангнер сразу же был заинтригован.
  
  Symantec не раскрыла, что Stuxnet делал с ПЛК, только то, что он вводил код в так называемую лестничную логику ПЛК — означало ли это поставить ПЛК на колени или хуже, антивирусная фирма не сказала.2 Но Лангнера поразило, что тысячи клиентов Siemens, включая многих из его собственных клиентов, теперь столкнулись с потенциальным вирусом-убийцей и с тревогой ждали, когда Siemens или Symantec расскажут им, что именно Stuxnet делает с их ПЛК. Но, как ни странно, после своего потрясающего объявления исследователи Symantec успокоились.
  
  Лангнер подозревал, что исследователи уперлись в стену из-за отсутствия у них опыта работы с ПЛК и промышленными системами управления. Но, что любопытно, Siemens также промолчал. Это было странно, подумал Ленгнер. В конце концов, атаке подверглись контроллеры Siemens; компания была обязана проанализировать вредоносный код и сообщить клиентам, что он может сделать с их системами. Но после пары кратких объявлений, сделанных немецкой компанией в июле, все стихло.3
  
  Лангнер был возмущен. Хотя Stuxnet, казалось, был нацелен только на компьютеры Siemens Step 7, никто на самом деле не знал, на что способен вредоносный код и могут ли в нем содержаться ошибки, которые могут повредить другие ПЛК. И была еще одна важная проблема: уязвимость, которая позволила Stuxnet внедрить свой вредоносный код в логическую схему ПЛК Siemens, также существовала в других контроллерах.4 Образцы Stuxnet уже были доступны для скачивания в Интернете; любой случайный хакер, преступный вымогатель или террористическая группа могли изучить код и использовать его в качестве плана для разработки более широкомасштабной и разрушительной атаки против других моделей ПЛК.
  
  Это сделало молчание двух других сторон еще более озадачивающим — CERT-Bund, национальной группы реагирования на компьютерные чрезвычайные ситуации в Германии; и ICS-CERT в Соединенных Штатах. Перед обеими организациями была поставлена задача помочь обеспечить безопасность критически важных инфраструктурных систем в своих соответствующих странах, но ни одна из сторон ничего не говорила о Stuxnet. В предупреждении ICS-CERT не говорилось о внедрении лестничной логики в ПЛК Siemens или даже о каком-либо упоминании о саботаже. Также не было ничего об опасностях, которые Stuxnet представлял для будущих атак.5 Молчание немецких властей было еще более странным, поскольку контроллеры Siemens были установлены почти на каждом немецком заводе, который мог назвать Лангнер.
  
  Лангнер обсудил это со своими двумя давними инженерами, Ральфом Розеном и Андреасом Тиммом. Ни у кого из них не было опыта обратного проектирования вирусов или червей, но если никто другой не собирался рассказывать им, что Stuxnet делает с ПЛК Siemens, тогда им придется разбирать это самостоятельно. Это означало бы дни бесплатной работы, втиснутые между другими заданиями от платных клиентов, но они пришли к выводу, что у них не было выбора.
  
  Лангнер и его коллеги составили странную, но эффективную команду. В профессии, которую иногда характеризуют неряшливые, бледные инженеры с "конскими хвостами", Ленгнер, энергичный пятидесятидвухлетний мужчина с короткими темными волосами без седины, носил хрустящие деловые костюмы и кожаные туфли тонкой работы. У него были пронзительные голубые глаза на загорелом от отпуска лице и подтянутая фигура бывалого альпиниста — побочный продукт лыжных экскурсий в Альпах и суровых походов по холмам. Если щеголеватый внешний вид Ленгнера не выделял его из толпы, то его бесцеремонные манеры выделяли. У него была репутация откровенного индивидуалиста, и он часто делал провокационные заявления, которые раздражали его коллег в сообществе систем управления. В течение многих лет он возмущался проблемами безопасности в системах, но его прямолинейная, конфронтационная манера часто отталкивала тех самых людей, которым больше всего нужно было слушать. Розен и Тимм, напротив, оба были сорокалетними седобородыми инженерами, которые придерживались более расслабленного подхода к одежде и физической форме и предпочитали более тихую, второстепенную роль заметной роли Ленгнера.
  
  Хотя трое из них казались во многих отношениях несовпадающими, вероятно, не было лучшей команды, подходящей для задачи изучения Stuxnet. Тимм проработал у Лангнера экспертом по системам управления по меньшей мере десять лет, а Розен на три года дольше. За это время они накопили обширные знания о промышленных системах управления в целом и контроллерах Siemens в частности. Siemens, по сути, был давним клиентом. Компания покупала программные продукты у фирмы Ленгнера, и он и его инженеры иногда обучали сотрудников Siemens их собственным системам. Вероятно, лишь горстка сотрудников Siemens знала системы Siemens лучше, чем они сами.
  
  Однако путь Ленгнера к безопасности ICS был окольным. По образованию он был сертифицированным психологом, что, казалось бы, было далеко от мира систем управления. Но именно его психологическое образование фактически привело к его нынешней карьере. В 1970-х годах, изучая психологию и искусственный интеллект в Свободном университете Берлина, он начал писать программное обеспечение для статистического анализа данных, собранных в ходе экспериментов. Он также написал программу, которая моделировала модели принятия решений людьми для постановки психиатрических диагнозов.
  
  Но именно программа-драйвер, которую он написал для подключения своего домашнего компьютера к мэйнфрейму университета, положила начало его карьере в ICS. В колледже Ленгнер владел ПК раннего поколения, которому не хватало вычислительной мощности, необходимой для проведения статистического анализа. Всякий раз, когда он хотел обработать данные, собранные в ходе одного из своих экспериментов, ему приходилось ездить в кампус и подключать свой компьютер к мэйнфреймам колледжа. Ленгнер ненавидел ездить в кампус, поэтому он изучил протоколы, необходимые для удаленной связи с серверами, и написал программу-драйвер, которая позволяла ему дозваниваться через модем из дома.
  
  Это не было большой натяжкой, когда после окончания колледжа он основал консалтинговую фирму по программному обеспечению, используя свою программу драйверов в качестве основы для бизнеса. В то время это считалось прорывным продуктом, и вскоре инженеры по системам управления начали искать его для связи со своими датчиками и контроллерами в полевых условиях. Методы, которые они использовали в то время, часто приводили к потере данных во время передачи, и драйвер Ленгнера оказался очень надежным.
  
  В 1997 году Розен присоединился к фирме для разработки пользовательских систем для клиентов, которые хотели подключить настольные компьютеры к своим ПЛК Siemens. Когда он и Лангнер изучали протоколы и ПЛК Siemens, чтобы заставить соединения работать, они были удивлены, обнаружив множество проблем с безопасностью в системах — те же недостатки, которые другие исследователи обнаружат более десяти лет спустя. Они также были удивлены, узнав, что владельцы и операторы промышленных систем управления совершенно не обращали внимания на эти пробелы в безопасности и поэтому ничего не сделали для защиты своих систем от атак. Вместо многоуровневых или сегментированных сетей, в которых критически важные системы были изолированы от обычных бизнес-компьютеров, у них были плоские сетевые архитектуры, которые обеспечивали доступ к ПЛК с любого компьютера в сети. У них также были системы, напрямую подключенные к Интернету, без брандмауэров или паролей для защиты от злоумышленников, или они использовали стандартные и жестко закодированные пароли, которые никогда не менялись.
  
  Ленгнер и его команда запустили консалтинговый бизнес, чтобы помочь клиентам перестроить свои сети более надежно. Но концепцию безопасности системы контроля оказалось трудно продать. В течение многих лет сообщество ICS было в значительной степени невосприимчиво к потоку вредоносных программ и хакерских атак, которые обрушились на ИТ-сообщество в целом, и в результате большинство членов сообщества не думали, что они находятся в опасности. Ленгнер предупреждал клиентов, что в конечном итоге они заплатят за свое самоуспокоение, и часто демонстрировал им, как злоумышленник с небольшим навыком может вывести их операции из строя. Но мало кто сделал что-либо для решения проблемы. “Никто не хотел слушать, - говорит Ленгнер, - за исключением очень немногих компаний, которые инвестировали в безопасность систем управления”.
  
  Теперь, десятилетие спустя, Stuxnet стал лидером, о котором предупреждал Лангнер. Но даже он был удивлен силой и яростью атаки, когда она наконец прибыла. На протяжении многих лет он представлял себе ряд сценариев того, как хакеры будут атаковать ПЛК, как только об уязвимостях в них станет известно общественности; но ни один из них не включал мошенническую лестничную логику, внедренную в ПЛК. Компьютерные атаки, как правило, развивались с течением времени и постепенно. Хакеры сначала осуществили простые атаки, которые требовали наименьшего количества усилий и навыков для достижения успеха, и охранные фирмы и производители программного обеспечения отреагировали исправлениями, чтобы остановить их. Затем атакующие нашли альтернативные пути проникновения в системы, пока защитники не победили и их. Каждый раунд атаки становился все более изощренным, как и средства защиты от них. Аналогично, в случае с системами управления Ленгнер ожидал, что хакеры начнут с простых атак типа "отказ в обслуживании" - отправки команды остановки на ПЛК для остановки любого процесса, которым он управляет, — затем перейдут к логическим бомбам и другим простым методам изменения настроек. Но Stuxnet обошел рудиментарные стадии разработки и сразу перешел к одной из самых изощренных атак, которые кто-либо мог придумать против PLC.
  
  Из всего, что Ленгнер увидел в коде, это была атака "человек посередине" против системы безопасности и станций мониторинга оператора, которая действительно поразила его. То, как Stuxnet плавно отключил первое и хитро записал обычные операции ПЛК, чтобы воспроизвести их операторам во время атаки, поразило его — цифровой эквивалент шеститонного циркового слона, выполняющего стойку на одной ноге. Это был уровень изящества и утонченности, которого он никогда не видел и даже не считал возможным.
  
  Это был также самый агрессивный сценарий, который он мог себе представить, потому что, как только злоумышленник отключал логику, ответственную за передачу важных данных в систему безопасности, это был только вопрос времени, когда кто-то серьезно пострадает или погибнет. Отключите систему безопасности и датчики на химическом заводе или нефтеперерабатывающем заводе, и вы можете выпустить ядовитый газ или легковоспламеняющиеся жидкости, о чем никто не узнает, пока не станет слишком поздно. Авторы Stuxnet, возможно, и не намеревались ранить или убивать кого-либо своей атакой, но хакеры-подражатели, которые научились методам Stuxnet, могут быть не столь осторожны.
  
  По оценкам Лангнера, в мире было, возможно, несколько десятков человек, которые обладали уровнем знаний системы управления Siemens, необходимым для разработки такого рода атаки, и трое из них сидели в его офисе. Но даже они не смогли бы осуществить это с той изощренностью, с которой действовали злоумышленники.
  
  Через ТРИ НЕДЕЛИ после начала изучения Stuxnet Ленгнер вошел в конференц-зал, где он и его коллеги собирались каждое утро, чтобы обсудить свой прогресс в разработке кода. Розен и Тимм посмотрели на него с удивлением. Обычно он был аккуратно одет и настороже. Но сегодня он выглядел потрепанным и изможденным после бессонной ночи, склонившись над компьютером, проводя онлайн-исследования. Он шел по одному следу за другим, преследуя ниточку за ниточкой в кроличьей норе, пытаясь выяснить, что атакует Stuxnet, пока, наконец, не ухватился за хвост и не потянул. Когда он поднял руку, то был удивлен тем, что обнаружил. “Я знаю, о чем идет речь”, - выпалил он своим коллегам. “Речь идет о сворачивании ядерной программы Ирана. Речь идет о ликвидации Бушера ”.
  
  Бушер, как отмечалось ранее, был атомной электростанцией на юго-западе Ирана, которая постоянно строилась и выключалась в течение нескольких десятилетий. На протяжении многих лет он претерпевал множество задержек и отмен, и, наконец, должен был начать работу в этом месяце. Но незадолго до его запуска официальные лица объявили об очередной задержке. Поскольку задержка совпала с открытием Stuxnet, Ленгнеру показалось логичным, что речь может идти о кибератаке.6
  
  Розен и Тимм недоверчиво уставились на него. Никто не был настолько глуп, чтобы вывести из строя атомную электростанцию, подумал Розен. Не рискнут ли они выпустить радиоактивный материал? И зачем использовать ненадежного червя для выполнения работы, когда они могли бы более надежно повредить его с помощью бомбы? Но когда Ленгнер соединил точки, его сумасшедшая теория действительно начала обретать смысл для них.
  
  Вот уже почти месяц, с тех пор как они впервые обнаружили вредоносный код, внедренный Stuxnet в их ПЛК, Ленгнер и его команда просматривали блоки кода Stuxnet в поисках подсказок об объектах, которые они могли атаковать. Конфигурация систем, на которые нацелен Stuxnet, может рассказать о намерениях кода столько же, если не больше, чем сам код. Если бы они могли узнать, какими устройствами управляют ПЛК и были ли они сконфигурированы каким-либо особым образом, они могли бы сузить диапазон возможных целей.
  
  Они несколько недель трудились над расшифровкой блоков, работая в небольшом офисе, который они занимали на верхнем этаже двухэтажного здания. Тихая жилая улица, на которой они работали, густо заросла деревьями и резко контрастировала с современным комплексом Symantec glass. Вместо нескольких этажей, заполненных кабинками, у них была одна открытая комната, где работали Тимм и Розен, конференц-зал для клиентов и офисные помещения для Ленгнера и его помощника.
  
  Каждое утро они собирались, чтобы проанализировать достигнутый прогресс, затем работали над кодом остаток дня, обсуждая теории во время обеда в конференц-зале и за ужином в близлежащих ресторанах. В промежутках они отвечали на звонки в службу поддержки клиентов. Но когда клиенты позвонили, чтобы предложить им новую работу, Ленгнер всем им отказал, настолько они были полны решимости взломать Stuxnet. Не то чтобы они могли позволить себе отказаться от оплачиваемой работы. У них не было ничего похожего на корпоративные ресурсы Symantec, и ни один внешний клиент не финансировал их исследования. Вместо этого Ленгнеру пришлось оплачивать их время и труд из прибыли компании. Но никто из них не жаловался. Все они знали, что Stuxnet - это работа всей жизни. “Мы поняли, что это самая крупная история о вредоносном ПО за всю историю”, - вспоминает Ленгнер. “Это была абсолютно фантастическая работа. Это была лучшая работа, которую я когда-либо делал, и я уверен, что не могу сделать ничего лучше ”.
  
  После нескольких недель кропотливого анализа они пришли к поразительному выводу. Stuxnet не просто атаковал две конкретные модели ПЛК Siemens, он атаковал конкретное предприятие, где использовались ПЛК. Stuxnet был высокоточным оружием военного класса, нацеленным на единственную цель. Он не искал просто любые ПЛК S7-315 и S7-417, которые он мог найти: ПЛК должны были быть настроены очень точным образом. В код атаки было встроено подробное досье, описывающее точную техническую конфигурацию ПЛК, которые он искал. Каждый завод, который использовал промышленные системы управления, имел индивидуальные конфигурации в разной степени; даже компании в одной отрасли использовали конфигурации, которые были специфичны для их нужд. Но конфигурация, которую искал Stuxnet, была настолько точной, что ее, скорее всего, можно было найти только на одном объекте в Иране или, если более одного, то объекты, настроенные точно так же, для управления идентичным процессом. Любая система, не имеющая такой точной конфигурации, останется невредимой; Stuxnet просто отключится и перейдет к следующей системе в поисках своей цели.
  
  Мысль о том, что кто-то вложил столько денег и усилий в оружие, атакующее единственную цель, ошеломила Ленгнера. Это могло означать только одно — цель должна была быть чрезвычайно важной. Теперь им просто нужно было выяснить, что это было.
  
  Большинство шагов, связанных с анализом кода, носят систематический и высокотехничный характер — изолировать компоненты, расшифровать код, перепроектировать его. Но сопоставление цифрового кода с реальной средой - это больше искусство, чем наука. Трое из них выдвинули ряд гипотез о том, какой, по их мнению, может быть цель, затем просеяли код в поисках доказательств, подтверждающих их. Тем временем Ленгнер обратился к коллегам в различных отраслях промышленности, чтобы спросить их о конфигурации их ПЛК, чтобы посмотреть, сможет ли он найти совпадение. Но по прошествии нескольких дней они все еще не добились большого успеха в изоляции цели Stuxnet. Наконец, Лангнер решил отойти от технических деталей и подойти к проблеме под другим углом, поискав в новостных статьях и других источниках подсказки. После нескольких поздних ночей, проведенных в Интернете, он, наконец, пришел к своей теории Бушера.
  
  Подозрения Лангнера по поводу завода впервые возникли, когда он вспомнил фотографию, которую он видел в Интернете в прошлом году, предположительно сделанную во время пресс-тура в Бушере. На изображении был показан экран компьютера с всплывающим сообщением, указывающим на то, что срок действия лицензии на программное обеспечение Siemens WinCC на компьютере истек. Лангнеру это показалось доказательством того, что на заводе используется программное обеспечение Siemens.7 Контакты в сообществе систем управления подтвердили Langner, что ПЛК Siemens S7-417 были установлены в Бушере. Дальнейшие исследования показали, что российская фирма, ответственная за установку оборудования на заводе, также использовала ПЛК Siemens на других объектах, которые она оборудовала, включая завод в Болгарии, предположительно построенный по образцу Бушера. Как узнал Лангнер, на болгарском заводе была установлена паровая турбина, управляемая контроллерами Siemens, что напомнило ему об испытании генератора Aurora, проведенном Национальной лабораторией штата Айдахо тремя годами ранее. Этот тест предоставил доказательство того, что вредоносный код может разрушить турбину.
  
  Когда они втроем сидели в конференц-зале, а Ленгнер излагал свои аргументы, Розен и Тимм обнаружили, что неохотно кивают, соглашаясь с его теорией. Они знали, что в мире было очень мало целей, которые оправдывали объем работы, затраченный на Stuxnet. Но если Лангнер был прав и целью был Бушер, а целью был физический саботаж, тогда Stuxnet был, по сути, актом войны.
  
  И если Stuxnet был актом войны, то какую реакцию вызовет его открытие у Ирана, как только об этом узнают? Кто бы ни запустил Stuxnet, возможно, сделал это, чтобы предотвратить полномасштабную войну с Ираном, но его разоблачение сейчас вполне может привести к ней.
  
  После разговора с Розеном и Тиммом Ленгнер был уверен, что он на правильном пути, но просто чтобы убедиться, что целью действительно была ядерная программа Ирана, он позвонил клиенту, который обладал обширными знаниями о ядерных установках. Клиент работал на компанию Enrichment Technology Company, ведущего европейского производителя оборудования для обогащения урана, ранее известную как Urenco — компанию, чьи конструкции центрифуг раннего поколения пакистанский А. К. Хан украл и продал Ирану. Если целью Stuxnet была не турбина, подумал Ленгнер, возможно, это были центрифуги, используемые для обогащения урана для Бушера. (Ленгнер ошибочно полагал, что центрифуги для обогащения урана были размещены в Бушере.)
  
  “У меня к тебе один вопрос”, - сказал Ленгнер своему другу по телефону. “Возможно ли уничтожить центрифугу, просто манипулируя кодом контроллера?”
  
  На другом конце провода повисла пауза, прежде чем его друг ответил.
  
  “Я не могу тебе этого сказать, Ральф. Это секретная информация ”, - сказал он. Но затем он добавил: “Вы знаете, центрифуги для обогащения урана используются не только нами в Германии и Нидерландах. Они также используются в других странах ”.
  
  “Да, я знаю”, - ответил Ленгнер. “Например, в Иране. Именно поэтому я вам позвонил. Потому что мы анализируем Stuxnet ”.
  
  “Мне жаль”, - твердо ответил мужчина. “Я ничего не могу вам сказать о центрифугах; все это засекречено”.
  
  Для Лангнера этого было достаточно. Он сказал Розену и Тимму, что они должны немедленно обнародовать эту новость. Если целью был Бушер, то кто-то должен быть в состоянии подтвердить это, как только они это сделали. Stuxnet и его цель были как ключ и замок. В мире был только один замок, который открывался ключом, и как только они опубликовали подробную информацию о дизайне ключа, любой, у кого есть замок, должен был увидеть, соответствует ли их объект.
  
  13 сентября 2010 года, почти через месяц после заявления Symantec о том, что Stuxnet саботирует ПЛК, Ленгнер опубликовал краткое сообщение в блоге под названием “Взлом века”. В нем он утверждал, что Stuxnet был направленной атакой “против конкретной установки системы управления”, и на этом остановился. Но три дня спустя он сообщил дополнительную информацию. “С помощью криминалистики, которой мы сейчас располагаем, очевидно и доказуемо, что Stuxnet - это направленная диверсионная атака с использованием обширных инсайдерских знаний”, - написал он. “Вот что всем нужно знать прямо сейчас”.8
  
  Далее последовала техническая дорожная карта, подробно описывающая точные шаги, предпринятые Stuxnet для перехвата и внедрения своих команд в ПЛК Siemens, чтобы саботировать его. “Это не какой-то хакер, сидящий в подвале дома своих родителей”, - написал Ленгнер. Это были искушенные субъекты национального государства с очень специфическими знаниями о системе, на которую они нападали. Он в общих чертах описал, как вредоносная программа внедрила свой вредоносный код в ПЛК, чтобы перехватить какой-то неизвестный критический процесс, затем изложил свои мысли о Бушере, тщательно обозначив их как предположения. Все еще оставалось много неизвестных, но судебные доказательства в коде, по его словам, в конечном итоге укажут им не только на точную систему, на которую атаковал Stuxnet, но и, возможно, на самих злоумышленников.
  
  С этими несколькими словами создатели Stuxnet наконец-то начали действовать. Кибероружие, на планирование и разработку которого ушли годы и, возможно, миллионы долларов, было полностью раскрыто и уничтожено в течение нескольких недель малоизвестной антивирусной фирмой в Беларуси, горсткой исследователей в Калифорнии, которые ничего не знали о центрифугах и ПЛК, и дерзко говорящим немцем и его группой инженеров.
  
  Но теперь, когда секрет Stuxnet был раскрыт, Ленгнер начал испытывать те же опасения, что и Цзянь, по поводу того, как могут отреагировать злоумышленники. Stuxnet был практически бесполезен для злоумышленников, как только была раскрыта его истинная цель. Они, должно быть, предвидели, что их код в конечном итоге будет раскрыт и что, как только это произойдет, у них будет узкое окно возможностей для завершения своей миссии. Предпримут ли они сейчас, в последней попытке достичь своей цели, последний и решительный шаг? Ленгнер верил, что так и будет. “Мы можем ожидать, что скоро что-то взорвется”, - написал он в своем посте. “Что-то большое.” Он подписал с единственным предупреждением: “Добро пожаловать в кибервойну”.
  
  К сообщению прилагалась фотография трех “взломщиков Stuxnet”, снятых перед белой доской в их офисе, Ленгнер, одетый в накрахмаленную белую рубашку и расстегнутый жилет от костюма, а Розен и Тимм позади него, последний, в дерзком намеке на скрытную природу Stuxnet, щеголял парой черных очков.
  
  Написав свой пост, Лангнер отправил пресс-релиз в несколько ведущих СМИ и стал ждать взрыва заголовков. Но, к его ужасу, ничего не произошло. Как и предыдущее раскрытие информации Symantec, это открытие было встречено оглушительным молчанием. “Все, должно быть, думают, что я сошел с ума”, - вспоминает он свои мысли.
  
  Однако, по крайней мере, один человек так не думал. Фрэнк Ригер, технический директор немецкой охранной фирмы GSMK, прочитал предположения Лангнера о Бушере и согласился, что Stuxnet, вероятно, был создан для саботажа ядерной программы Ирана. Но он подозревал, что Натанз, расположенный в нескольких сотнях миль к северу от Бушера, был более вероятной целью.9 Завод в Натанзе, в отличие от Бушера, уже функционировал с 2007 года. Кроме того, в отличие от Бушера, он был фактически заполнен тысячами быстро вращающихся центрифуг, что делало его отличной мишенью для любого, кто хотел нанести ущерб ядерной программе Ирана с помощью цифровой атаки. Ригер подробно изложил свои мысли в сообщении в блоге и в статье для немецкой газеты.10 В обоих случаях он ссылался на более раннюю статью агентства Рейтер, опубликованную примерно в то время, когда Stuxnet был запущен в 2009 году, в которой описывался “десятилетний проект кибервойны”, запущенный Израилем против ядерной программы Ирана. В статье цитируется источник в США, предполагающий, что “вредоносное программное обеспечение” может быть использовано для захвата или сбоя управления на обогатительной фабрике.11
  
  Но была и другая причина подозревать, что Натанз был целью Stuxnet. 16 июля 2009 года, через три недели после выхода версии Stuxnet 2009 года, основатель WikiLeaks Джулиан Ассанж разместил на своем веб-сайте загадочную заметку о возможном несчастном случае в Натанзе. Анонимный источник, утверждающий, что он связан с ядерной программой Ирана, сообщил Ассанжу, что недавно на заводе произошла “серьезная” ядерная авария.12 WikiLeaks обычно публиковал на своем сайте только документы, а не советы из анонимных источников, но Ассанж нарушил протокол, по его словам, потому что у него были основания полагать, что источник заслуживает доверия. Он сослался на статью Би-би-си, опубликованную в тот день, в которой было объявлено об отставке Голама Резы Агазаде, главы Организации по атомной энергии Ирана, который покинул свой пост двадцатью днями ранее по неизвестным причинам.13 Временные рамки, казалось, совпадали с тем, когда была выпущена версия Stuxnet 2009 года.
  
  Была ли отставка Агазаде связана с несчастным случаем в Натанзе или нет, “теория Натанза” Ригера привлекла внимание и, наконец, катапультировала Stuxnet в центр внимания. Основные американские СМИ, которые до этого момента в основном игнорировали Stuxnet, подхватили его предположения и сами начали освещать эту историю. В течение почти десятилетия Натанз был центром растущей политической напряженности из-за неоднократных попыток остановить там программу обогащения. Теперь казалось, что частью этих планов было сложное цифровое оружие, подобного которому никогда не видели раньше. Внезапно история Stuxnet стала сексуальной и полной интриги. Если раньше это была просто сухая техническая история, представляющая интерес только для технологической прессы, то теперь она приобрела ореол таинственности и шпионских игр преступного мира, и все это разыгрывалось на фоне ядерной схватки с высокими ставками.
  
  Вскоре после того, как Ленгнер опубликовал свой первый пост о Stuxnet, он связался с Джо Вайсом в Соединенных Штатах, чтобы обсудить то, что он и его команда обнаружили. Ленгнер и Вайсс разделяли один и тот же конфронтационный стиль, который не всегда располагал к ним коллег из сообщества систем управления. Они оба были на одной стороне битвы в течение многих лет, пытаясь убедить владельцев ICS в том, что их системы уязвимы для атак. Люди в сообществе, как правило, вздыхали при упоминании имени любого человека, но никто не сомневался в их приверженности. Лангнер должен был выступить на предстоящей конференции ICS Вайса в Мэриленде на другую тему и спросил, может ли он вместо этого поговорить о Stuxnet. “Я не знаю, сказать вам ”да" или "черт возьми, да", - ответил Вайс.
  
  Лангнер летел на конференцию на следующей неделе. Шумиха вокруг его выступления гарантировала, что конференц-зал будет полон. Лангнер в своем блоге пошутил, что на собрании он раскроет все подробности исследований своей команды, поэтому аудитория была настроена и с нетерпением ждала того, что он скажет, особенно после того, как две презентации о Stuxnet, сделанные Siemens и кем-то из DHS, соответственно, оказались лишенными какого-либо содержания.
  
  Вайс выделил сорок пять минут на выступление Ленгнера, но вместо этого оно заняло полтора часа. Однако никто не жаловался. Более 100 участников из водной, химической и электротехнической промышленности прислушались к словам Ленгнера. “Все мы сидели с открытыми ртами, пока он говорил”, - вспоминает Вайс.14 Лангнер принадлежал к той редкой породе технарей — умелый и харизматичный оратор, который умел излагать сухие технические детали с юмором и талантом. Но то, что он сказал в тот день, было не просто интересным, это потрясло всех в комнате. Постепенно до владельцев промышленных систем управления дошло, что если завтра на ПЛК будет предпринята еще одна, более целенаправленная атака, у сообщества систем управления не будет возможности остановить или даже обнаружить ее. Были способы определить, был ли взломан настольный ПК или ноутбук с Windows, но с помощью методов скрытности, которые использовал Stuxnet, невозможно было бы определить, был ли заражен ПЛК. Не существовало такого понятия, как антивирусное программное обеспечение для ПЛК, и не было простого способа узнать, установлен ли на контроллере вредоносный код, если он использует те же уловки, что и Stuxnet. Единственный способ обнаружить атаку был на этапе Windows, прежде чем она достигла ПЛК. Но Stuxnet продемонстрировал глупость даже этой защиты, поскольку ни один антивирусный сканер не обнаружил его до того, как он достиг ПЛК. Операторы никогда не смогут обнаружить боеголовку, пока не станет слишком поздно.
  
  Лангнер подозревал, что для появления первых атак-подражателей потребуется всего шесть месяцев. Они не будут точными копиями Stuxnet или такими сложными по дизайну, сказал он присутствующим, но тогда в этом не было бы необходимости. Риску нападения подвергались не только такие ценные цели, как Натанз; Stuxnet поставил под прицел все потенциально уязвимые объекты. И хотя авторы Stuxnet умело спланировали свою атаку, чтобы избежать сопутствующего ущерба на машинах, которые не были ее целью, последующие атаки могут быть не такими тщательно продуманными или контролируемыми. Преступная группа, стремящаяся захватить электростанцию путем захвата контроля над ее ПЛК, не будет беспокоиться о том, что их вредоносный код повредит станцию или распространится на другие системы управления.
  
  После конференции Ленгнер провел выходные в Вашингтоне, округ Колумбия, чтобы встретиться с Мелиссой Хэтэуэй, бывшим национальным координатором по кибербезопасности в Белом доме, чтобы проинформировать ее о том, что обнаружила его команда. Хэтэуэй сразу поняла потенциал ответного удара по критически важной инфраструктуре США, а также проблему распространения цифрового оружия, с которой теперь столкнется мир, — проблему, с которой, как она позже рассказала New York Times, ни одна страна не была готова иметь дело. “У нас есть около 90 дней, чтобы исправить это, “ сказала она газете, - прежде чем какой-нибудь хакер-подражатель начнет его использовать”.15
  
  В те выходные, когда Лангнер все еще находился в Вашингтоне, иранские официальные лица впервые сообщили, что компьютеры в Бушере действительно пострадали от Stuxnet. Однако они не упомянули о Натанзе, а подробности об атаке на Бушер заставили усомниться в том, что полезная нагрузка Stuxnet вообще была развернута там. Махмуд Джафари, руководитель проекта завода, сообщил журналистам, что атака затронула только персональные компьютеры некоторых работников завода, но не производственные системы завода. “Все компьютерные программы на заводе работают нормально и не вышли из строя из-за Stuxnet”, - сказал он.16 Реза Тагипур, чиновник Министерства связи и информационных технологий, также настаивал на том, что ущерб от червя был незначительным и что вредоносное ПО было “более или менее” локализовано.17 Сообщения об ограниченном ущербе не были неожиданными, учитывая избирательность Stuxnet в использовании своей разрушительной полезной нагрузки. Вероятно, он распространился на компьютеры с Windows в Бушере, а затем просто отключился, не сумев найти ПЛК, которые он искал.18
  
  Однако среди комментариев Ирана выделялась одна странная деталь. Махмуд Джафари сказал в одном из своих интервью, что в Иране было обнаружено пять версий Stuxnet.19 Symantec и другие исследователи антивирусных программ обнаружили только три.
  
  Хотя Джафари мог ошибаться, это открытие подняло интригующую вероятность того, что по крайней мере две другие версии Stuxnet были выпущены на волю. И если бы существовали две другие версии кода, они могли бы содержать дополнительные подсказки о Stuxnet и его авторах. К сожалению, однако, было мало шансов, что западные исследователи когда-либо увидят их, поскольку иранские официальные лица вряд ли предоставили копии кода кому-либо за пределами Ирана.20
  
  После презентации на конференции Вайса и встречи с Хэтэуэем Ленгнеру понадобился перерыв, чтобы разобраться во всем, что произошло за предыдущие недели. В те выходные он отправился в Национальный торговый центр и часами сидел на ступеньках Мемориала Линкольна, глядя на отражающийся бассейн, в то время как туристы вокруг него делали фотографии. Он подумал об отчетах ICS-CERT и Siemens и их молчании о внедрении лестничной логики в Stuxnet и рисках для критической инфраструктуры, создаваемых атаками-подражателями. Затем последовало ошеломляющее молчание общественности и Конгресса, которые , казалось, мало беспокоились о ящике Пандоры, который Stuxnet открыл, узаконив использование кибероружия для разрешения политических споров. Они также не казались встревоженными гонкой цифровых вооружений, начатой Stuxnet, которую невозможно будет обуздать. Как будто, подумал Ленгнер, никто не хотел обсуждать эти вещи, опасаясь, что это вызовет вопросы о том, кто стоит за атакой.
  
  Ленгнер решил, что если все остальные будут молчать, то ему следует обнародовать больше информации о коде. Поэтому, как только он вернулся в Германию, он опубликовал дополнительные записи в блоге с изложением технических деталей, которые он ранее раскрывал только за закрытыми дверями конференц-зала Вайса. Как только появились публикации, блог был осажден трафиком со всего мира, в том числе, заметно, из правительственных и военных доменов США. Лангнер надеялся, что, поскольку важность Stuxnet теперь четко установлена, другие охранные фирмы подхватят эстафету там, где он и его команда остановились. Несмотря на все, что они узнали до сих пор, предстояло проделать еще много работы. Они только обнаружили, что Stuxnet был настроен на саботаж одного объекта, объекта, который, вероятно, был в Натанзе, но они все еще не знали, что это делало с заводом. Эта информация все еще была скрыта в коде.
  
  В течение следующих трех недель он и его коллеги работали над парой проектов от платных клиентов, чтобы компенсировать доход, который они потеряли при анализе Stuxnet. Но когда ни от Symantec, ни от кого-либо еще не появилось никакой новой информации о коде, Ленгнер решил, что им следует продолжить с того места, на котором они остановились.
  
  “Ребята, - сказал он Розену и Тимму, “ я думаю, нам нужно возобновить дело”.
  
  ВОПРЕКИ убеждению ЛЕНГНЕРА в том, что правительство США игнорирует Stuxnet или упускает важные детали о нем, были элементы правительства, которые обращали на это внимание, хотя и за завесой секретности. Фактически, группа аналитиков DHS завершила большую часть своего собственного исследования Stuxnet в течение нескольких дней после того, как оно было раскрыто в июле, и знала еще до того, как Symantec и Langner сделали это, что Stuxnet саботирует ПЛК.
  
  Stuxnet впервые появился на дежурном этаже Национального центра интеграции кибербезопасности и коммуникаций Министерства внутренней безопасности, или NCCIC, в Арлингтоне, штат Вирджиния, утром 15 июля 2010 года, в то самое время, когда исследователи безопасности по всему миру впервые ознакомились с кодом. Файлы поступили из CERT-Bund после того, как Siemens связался с группой реагирования на компьютерные чрезвычайные ситуации, чтобы сообщить о вредоносной атаке, нацеленной на его ПЛК.
  
  NCCIC, или N-Kick, как его обычно произносят, было всего девять месяцев, и он был частью нового правительственного центра управления полетами для мониторинга и координации мер реагирования на киберугрозы, направленные против критически важной инфраструктуры и систем гражданского правительства. Когда файлы прибыли, Шон Макгарк, директор центра, по иронии судьбы, был в разгаре планирования предстоящих правительственных учений Cyber Storm III, проводимых раз в два года трехдневных учений, которые должны были имитировать цифровые атаки на критически важную инфраструктуру США. Это должно было стать первым с момента открытия центра круглосуточного наблюдения первым реальным испытанием его координационных способностей. Но реальная угроза Stuxnet быстро взяла верх над планами ложной атаки.
  
  Дежурный этаж без окон представлял собой алфавитный суп из трехбуквенных агентств, в котором аналитики разведки из ЦРУ и АНБ сидели рядом с агентами правоохранительных органов из ФБР и Секретной службы и экспертами по компьютерной безопасности из US-CERT и ICS-CERT. Там также присутствовали представители всех ведущих телекоммуникационных компаний и других отраслей критической инфраструктуры.
  
  Макгерк отправил копию Stuxnet в лабораторию ICS-CERT в Айдахо-Фолс, где аналитики определили, что код атаки высвобождал свою полезную нагрузку только на определенные модели ПЛК Siemens. Двумя годами ранее программа лабораторного тестирования провела оценку уязвимости того же программного обеспечения Step 7, которое атаковал Stuxnet, но ПЛК, который они использовали для тестов, был возвращен Siemens. Теперь им пришлось просить Siemens прислать еще одно, прежде чем они смогли наблюдать, как Stuxnet доставляет свою полезную нагрузку. На доставку ПЛК ушло около трех недель, и когда это произошло, его сопровождала группа инженеров Siemens.
  
  Тем временем исследователи из Айдахо реконструировали код полезной нагрузки, в то время как аналитики в дежурной части в Вирджинии изучали часть ракеты, документируя каждую из ее функций в обширной технологической схеме. По словам Макгерка, за два дня они каталогизировали около 4000 функций в коде — больше, чем содержалось в большинстве коммерческих программных пакетов, — а также обнаружили четыре эксплойта нулевого дня, которые позже обнаружили Symantec и Kaspersky.
  
  20 июля ICS-CERT опубликовала уведомление для владельцев систем управления, в котором сообщалось, что обнаружено вредоносное ПО, нацеленное на систему Siemens Step 7. Но в рекомендациях было предоставлено очень мало подробностей о его работе, говорилось только о “полных возможностях вредоносного ПО и намерениях … пока не известны.” Последующая рекомендация предоставила еще несколько подробностей об эксплойтах нулевого дня, которые использовал Stuxnet, плюс информацию о том, как обнаружить и удалить вредоносный код, но мало что рассказала о том, для чего была разработана атака, и вообще не упомянула о саботаже.21 Макгерк говорит, что задачей правительства было помочь владельцам критически важных инфраструктур обнаружить и удалить Stuxnet, а не проводить подробный анализ вредоносного ПО.22
  
  Через несколько дней после завершения анализа группы Макгерк провел телефонную конференцию с несколькими правительственными учреждениями и представителями частного сектора, чтобы проанализировать то, что они обнаружили. В большинстве дискуссий о вредоносном ПО и уязвимостях в группе всегда находилось несколько критиков, которые преуменьшали важность уязвимости или утверждали, что фрагмент вредоносного кода не является чем-то новым. Иногда другие федеральные агентства были скептиками; иногда это были владельцы и операторы критической инфраструктуры или поставщик, который создал систему управления, которая обсуждалась. Но когда Макгерк изложил детали Stuxnet, в трубке была только тишина. “У всех был этот момент "о, черт" в одно и то же время”, - говорит он.23
  
  Как ни странно, источник Stuxnet так и не появился ни во время разговора, ни в дежурной части NCCIC. Макгерк говорит, что когда впервые появился код, аналитики разведки из различных агентств на местах искали в своих секретных источниках данных любую информацию или отчеты, связанные с червем, но ничего не нашли. Он также говорит, что никто на дежурном этаже не задавался вопросом вслух, был ли червь порожден Соединенными Штатами. У стороннего наблюдателя может возникнуть вопрос, почему никто на дежурном этаже не повернулся к аналитикам ЦРУ или АНБ, сидящим в комнате, чтобы спросить, подмигнув: “Это один из ваших?” Но Макгерк настаивает, что это никогда не приходило им в голову, потому что атрибуция не была заботой watch floor. Их задачей было раскрыть возможности атакующего кода и определить наилучший способ защиты сетей США от него.
  
  “Сначала, когда вы смотрите на [вредоносное ПО]… вы предполагаете, что это не дружественный огонь. Вы же не думаете, что снайпер на крыше - это один из ваших парней, стреляющих в вас ”, - говорит он. “Это может оказаться … Но в самом разгаре, в самом начале, вы не слишком обеспокоены, и вы, естественно, не придерживаетесь [этого] ”.
  
  Но очень быстро Stuxnet стал “предметом повышенного интереса” в Вашингтоне. В течение следующих нескольких недель и месяцев Макгерк проводил брифинги для ряда групп высокого уровня — секретаря DHS Джанет Наполитано, Джона Бреннана и других сотрудников службы национальной безопасности Белого дома, комитетов по разведке Сената и Палаты представителей, Министерства обороны и Разведывательного управления министерства обороны. Он даже отправился в Форт-Мид, чтобы проинформировать генерала. Кит Александер, директор киберкомандования США и АНБ — те самые организации, которые, как подозревали многие в сообществе безопасности, стояли за атакой.
  
  В Форт-Миде дюжина высокопоставленных военных, правительственных и разведывательных руководителей сидели и слушали Макгерка, когда он описывал, что обнаружила его команда, но вопрос о том, стояли ли за атакой Соединенные Штаты, так и не возник. Они спросили Макгерка, был ли Stuxnet направлен против систем управления США и сколько систем США были уязвимы для вредоносного кода.24 Им также было любопытно узнать, может ли команда Макгерка определить, кто был намеченной целью. И, наконец, они спросили, есть ли в коде что-нибудь, что выдает его источник. Макгерк сказал им, что нет, не было никаких улик, раскрывающих, кто стоял за атакой. В коде не было даже каких-либо знакомых “следов”, которые соответствовали бы способу работы известных хакерских групп или шпионов национальных государств.
  
  Макгарк утверждает, что никогда, ни на секретных брифингах, ни в открытых показаниях перед законодателями, никто не задавал ему вопрос, который был у всех на уме. “Я не думаю, что даже в шутку кто-то сказал на официальном брифинге: ‘Эй, мы это сделали?’ Потому что эти взаимодействия происходят не так. Я уверен, что в других местах были предположения, но это не было сделано на нашем уровне ”.
  
  Макгерк говорит, что у него также никогда не складывалось впечатления, что кто-либо из тех, кого он информировал, что Stuxnet был самодельной работой. “Когда я был в комнате, независимо от того, кто был аудиторией, были ли это высокопоставленные сотрудники разведки — и я имею в виду высокопоставленных сотрудников разведки — у меня никогда не возникало впечатления, что для них все это было игрой воображения”, - говорит он. “То же самое происходило в Министерстве внутренней безопасности, когда я проводил брифинг на уровне секретариата. У меня никогда не складывалось впечатления, что, знаете, они уже знали об этом ... и они просто надеялись, что я уйду ”.
  
  Также никто не предлагал Макгерку, чтобы он вывел свою команду из Stuxnet. “Никто не сказал, эй, прекрати, оставь это в покое, не ходи туда”, - говорит он. “На самом деле мы активно сотрудничали со всеми этими организациями ... оказывая помощь в анализе и помогая понять, какой тип угрозы это на самом деле представляло”.
  
  Но даже если официальные лица в Вашингтоне открыто не задавали очевидный вопрос, среди экспертов и наблюдателей было мало сомнений в том, что за атакой стояли Соединенные Штаты — либо в одиночку, либо совместно с Израилем - и, казалось, только вопрос времени, когда подробности атаки станут известны.
  
  Утверждение Ральфа Ленгнера о том, что Stuxnet был высокоточным оружием, нацеленным на ядерную программу Ирана, должно быть, вызвало большой испуг и панику в залах Белого дома и Пентагона, поскольку заговор, который был тщательно спланирован и осуществлялся в течение ряда лет, медленно распутывался на их глазах.
  
  
  
  1 Все цитаты Лангнера взяты из интервью, проведенных с ним в 2010, 2011 и 2012 годах.
  
  2 “Лестничная логика” - это общий термин, описывающий структуру команд, используемых для кодирования системы управления. Название происходит от похожей на лестницу структуры программирования, которая описывает каждый процесс поэтапно, последовательно.
  
  3 В своем первоначальном анонсе Siemens заявила, что собрала команду экспертов для оценки Stuxnet и начнет предупреждать клиентов о потенциальном риске заражения от него. Позже компания заявила, что менее двух десятков ее клиентов были заражены Stuxnet. Второе объявление компании было связано с жестко закодированным паролем базы данных в программном обеспечении Siemens, которое Stuxnet использовала для распространения. Siemens предостерегла клиентов от смены пароля из-за риска нарушения критически важных функций в их системах. “В ближайшее время мы опубликуем руководство для клиентов, но оно не будет включать рекомендации по изменению настроек по умолчанию, поскольку это может повлиять на работу завода”, - сказал представитель через неделю после разоблачения Stuxnet. См. Роберт Макмиллан, “После Worm Siemens говорит не менять пароли”, PCWorld.com 19 июля 2010 года.
  
  4 Уязвимость частично связана с тем фактом, что в системе Siemens отсутствовала аутентификация, которая позволяла отправлять в ПЛК логическую лестницу изгоев. Если бы система требовала, чтобы код был подписан цифровой подписью, ПЛК не принял бы его.
  
  5 Смотрите ICS-CERT Advisory ICSA-10-201- 01C, “Вредоносное ПО USB, нацеленное на программное обеспечение Siemens Control”, 2 августа 2010 года, с последующими обновлениями, доступными на ics-cert.us-сертификат/правительство /рекомендации/ICSA-10-201- 01C; и ICS-CERT Advisory ICSA-10-238- 01B, “Борьба с вредоносными программами Stuxnet”, 15 сентября 2010 г., доступно по адресу ics-cert.us-сертификат/правительство /рекомендации/ICSA-10-238- 01B.
  
  6 Пару недель спустя иранские официальные лица отрицали, что Stuxnet был причиной, и вместо этого приписали задержку утечке в бассейне рядом с реактором.
  
  7 Снимок экрана, сделанный фотографом UPI, включает подпись, идентифицирующую его как экран компьютера в Бушере, и говорит, что изображение было сделано в феврале 2009 года. Некоторые критики оспаривают точность подписи, говоря, что на изображении, похоже, изображено водоочистное сооружение, а не Бушер, но водоочистные сооружения, как правило, являются частью эксплуатации атомной станции, что объясняет, как оба могут быть правдой. Изображение можно увидеть на upi.com/News_Photos/Features ?Ядерная проблема в Иране/1581/2/.
  
  8 “Журнал Stuxnet, 16 сентября 2010 года, 1200 часов в сутки”, доступен по адресу langner.com/en/2010/09/16/stuxnet-logbook-sep-16-2010-1200-hours-mesz.
  
  9 Статья появилась в немецкой газете Frankfurter Allgemeine Zeitung 22 сентября 2010 года. Статья на немецком языке, но он описывает ее содержание на английском языке в сообщении в блоге, опубликованном на его веб-сайте, доступном по адресу frank.geekheim.de/?p=1189.
  
  10 В то время, когда он размышлял о Бушере, Ленгнер не знал, что на атомной реакторной установке не было центрифуг. Как только это стало ясно, он продолжал думать, что целью был Бушер, но думал, что оборудование, которое атаковал Stuxnet, было турбиной или генератором на заводе. Только позже, когда появилось больше информации о точных устройствах, на которые нацелился Stuxnet, он пришел к выводу, что Натанз на самом деле соответствовал Stuxnet, а не Бушеру.
  
  11 Дэн Уильямс, “Опасаясь голой силы, израильтяне наблюдают за кибервойной в Иране”, 7 июля 2009 года, доступно на reuters.com/article/2009/07/07/us-israel-iran-cyberwar-analysis-idUSTRES663EC20090707.
  
  12 Сообщение WikiLeaks можно увидеть на mirror.wikileaks.info/wiki/Serious_nuclear_accident_may_lay_behind_Iranian_nuke_chief%27s_mystery_resignation/.
  
  13 История была опубликована на: news.bbc.co.uk/2/hi/8153775.dtm. Хотя возможно, что отставка Агазаде была связана с чем-то, что произошло в Натанзе в конце июня 2009 года, с такой же вероятностью это было связано с политикой. Помимо того, что Агазаде был главой Организации по атомной энергии Ирана, он был вице-президентом Ирана. Он подал в отставку с обеих должностей одновременно, через две недели после президентских выборов в Иране, прошедших 12 июня 2009 года в условиях ожесточенных споров. Агазаде присоединился к политическому сопернику президента Ахмадинежада Мир-Хосейну Мусави, и было предположение, что яростные протесты по поводу законности результатов выборов сделал невозможным сохранение Агазаде своих правительственных постов после того, как победа Ахмадинежада была санкционирована. Существует также проблема с синхронизацией, которая не совсем соответствует версии Stuxnet от июня 2009 года. Согласно сообщению Би-би-си, Агазаде подал в отставку примерно 26 июня. Но июньская версия Stuxnet 2009 года была выпущена 22 июня, и как только она оказалась на нужном ПЛК, саботажу потребовалось тринадцать дней, чтобы начаться. Таким образом, если более ранняя версия Stuxnet или что-то еще не привело к аварии в Натанзе, время не совпало с отставкой Агазаде.
  
  14 Интервью с автором, сентябрь 2010.
  
  15 Джон Маркофф, “Тихая атака, но не изощренная”, New York Times, 26 сентября 2010 года.
  
  16 Лоран Майяр, “Иран отрицает, что компьютеры атомных станций поражены червем”, Агентство Франс Пресс, 26 сентября 2010 г., доступно по адресу iranfocus.com/en/index.php?option=com_content&view=article&id=21820.
  
  17 Дэвид Э. Сэнгер, “Иран борется с вредоносными программами, атакующими компьютеры”, New York Times, 25 сентября 2010 года.
  
  18 Шесть месяцев спустя отчет Иранской организации пассивной обороны, военной организации, возглавляемой генералом Революционной гвардии Голамом Резой Джалали, которая отвечает за защиту ядерных объектов Ирана, противоречил этим заявлениям. В нем говорилось, что Stuxnet настолько основательно заразил компьютеры в Бушере, что работу на заводе пришлось приостановить на неопределенный срок. В отчете утверждалось, что если Бушер выйдет в Интернет, червь “приведет к внезапной остановке генераторов и электросети страны”. Было много причин сомневаться в выводах отчета, однако, поскольку в нем содержался ряд преувеличений относительно известных возможностей Stuxnet — таких, как утверждение о том, что червь может “шаг за шагом уничтожать системное оборудование” - и тот факт, что конфигурация, которую искал Stuxnet, не соответствовала тому, что можно было бы найти на атомной электростанции. Все это наводило на мысль, что Иран может использовать Stuxnet как предлог для объяснения задержек в Бушере. Но также существовала вероятность того, что другая цифровая атака — модифицированная версия Stuxnet — могла быть выпущена отдельно против Бушера. См. Кен Тиммерман, “Компьютерный червь, наносящий ущерб ядерному потенциалу Ирана”, Newsmax, 27 апреля 2011 г., доступен по адресу newsmax.com/KenTimmerman/iran-natanz-nuclear-stuxnet/2011/04/27/id/394327.
  
  19 Майяр, “Иран отрицает, что компьютеры атомных станций поражены червем”.
  
  20 Были и другие заявления официальных лиц, которые, если это правда, предполагали, что существуют другие версии Stuxnet. Махмуд Лиайи, глава совета по информационным технологиям при Министерстве промышленности, сообщил журналистам, что при активации Stuxnet “системы промышленной автоматизации начинают передавать данные о производственных линиях” во внешнее назначение. Gen. Голам-Реза Джалали заявил на пресс-конференции в 2011 году, что червь был обнаружен взаимодействующим с системами в Израиле и Техасе. Там данные о зараженных машинах были обработаны архитекторами червя, которые затем разработали планы атаки на ядерную программу. (См. “Военный чиновник Ирана: Израиль, США за компьютерным червем Stuxnet”, Associated Press, 16 апреля 2011 г., доступно по адресу haaretz.com/news/world/iran-military-official-israel-u-s-behind-stuxnet-computer-worm-1.356287.) Но три обнаруженные версии Stuxnet взаимодействовали с командными серверами в Дании и Малайзии. Это не исключает того, что другая версия была каким-то образом отслежена в Техасе или что шпионский инструмент, который предшествовал Stuxnet, мог быть отслежен в Техасе. Но, хотя у АНБ действительно есть элитная хакерская команда, базирующаяся в штате Одинокая звезда, кажется маловероятным, что они допустили ошибку, которая позволила отследить червя или шпионский инструмент до них.
  
  21 ICS-Консультационный центр по сертификации ICSA-10-201-01 , “Вредоносное ПО USB, нацеленное на управляющее программное обеспечение Siemens” и ICS-CERT Advisory ICSA-10-238- 01B, “Защита от вредоносных программ Stuxnet”.
  
  22 Рекомендации ICS-CERT содержали ссылку на веб-сайт Symantec для получения дополнительной информации о коде, но не указывали, что там найдут читатели.
  
  23 Все цитаты Макгерка из интервью автора, сентябрь 2012.
  
  24 Оказалось, что система Siemens Step 7 занимала менее 10 процентов рынка систем управления в США. Аналитики NCCIC определили это, обратившись к базе данных, используемой исследовательскими фирмами, которая предоставляет статистические данные о проникновении на рынок различных продуктов, включая количество промышленных систем управления, изготовленных конкретными поставщиками, которые были проданы в Соединенных Штатах. Они определили, что большинство американских систем Step 7 использовались на производственных объектах, хотя некоторые системы Step 7 также использовались в сельском хозяйстве, водоочистке и электростанциях.
  
  OceanofPDF.com
  
  ГЛАВА 11
  РАЗРАБАТЫВАЕТСЯ ЦИФРОВОЙ ЗАГОВОР
  
  Возможно, в коридорах Белого дома в 2010 году были проблемы со Stuxnet после того, как он был обнаружен, но в мае 2008 года оптимизм царил среди тех, кто знал о секретной программе, поскольку сюжет, стоящий за цифровым оружием, разворачивался точно так, как планировалось.
  
  В то время президентская кампания в США была в самом разгаре, поскольку кандидаты Барак Обама и Джон Маккейн боролись за лидерство в опросах. Президент Буш только начинал последний круг своего президентства, когда во время визита в Израиль по случаю шестидесятилетия этой страны он столкнулся со смелой просьбой. Израильтяне хотели поддержки США и одобрения воздушного удара с целью уничтожения завода по обогащению урана в Натанзе.
  
  Израильтяне готовились к воздушному удару по меньшей мере с 2003 года, когда инспекторы МАГАТЭ впервые увидели Натанз и обнаружили частицы высокообогащенного урана в пробах окружающей среды, взятых с завода. Разговоры о воздушном ударе на некоторое время утихли после того, как иранские официальные лица согласились приостановить свою деятельность по обогащению в 2003 и 2004 годах, но возобновились в 2006 году, когда Иран вышел из соглашения о приостановке и приступил к установке первых центрифуг в одном из подземных цехов завода. Теперь, когда 3000 центрифуг уже установлены и вращаются, а их число, как ожидается, вскоре удвоится, разговоры о забастовке стали громче, чем когда-либо прежде.
  
  Израиль был не единственным, кто призывал к нападению. За закрытыми дверями его арабские соседи были столь же непреклонны в отношении прекращения ядерной программы Ирана, согласно секретным правительственным телеграммам, опубликованным WikiLeaks. “Мы все в ужасе”, - однажды сказал американским дипломатам президент Египта Хосни Мубарак.1 Король Саудовской Аравии Абдалла в частном порядке призвал Соединенные Штаты оказать им всем услугу в том, что касается Ирана и Ахмадинежада“ и "отрезать голову змее”.2 Обладающий ядерным оружием Иран угрожает миру во всем регионе, а не только Израилю, заявил наследный принц Абу-Даби Мохаммад бен Заид. Если Иран получит бомбу, “начнется настоящий ад”, - сказал он, предупредив, что Египет, Саудовская Аравия, Сирия и Турция будут стремиться к ядерному оружию для поддержания паритета.3 В администрации Буша были ястребы, которые также поддерживали авиаудар - “мальчики-бомбардировщики”, как называл их Буш. Среди них был вице-президент Дик Чейни, который поддержал нападение Израиля на Сирию в прошлом году.4
  
  Но Буш выступил против воздушного удара. “Я думаю, что это абсолютно абсурдно, что люди подозревают, что я пытаюсь найти предлог для нападения на Иран”, - сказал он в 2007 году.5 Даже если бы он поддержал забастовку, ему было бы трудно заручиться широкой поддержкой для одного. Опрос Gallup, проведенный в ноябре 2007 года, показал, что 73 процента американцев предпочли санкции и дипломатию воздушному удару по Ирану, а оценка Национальной разведки, опубликованная в том же году, утверждала, что Иран не активно разрабатывает ядерное оружие, что также подрывало поддержку воздушного удара.
  
  Израиль, конечно, был в таком положении и раньше, добиваясь поддержки США для нанесения удара — в 1981 году, когда он вывел из строя иракский реактор Осирак, и снова в 2007 году, когда он разбомбил предполагаемый ядерный реактор в Сирии.6 Агенты израильской разведки получили важную информацию о последнем объекте в 2006 году, когда они следили за высокопоставленным сирийским чиновником в Лондоне и установили троянского коня на его ноутбук после того, как он однажды неразумно оставил его в своем гостиничном номере. Вредоносная программа перекачала десятки документов с компьютера, включая чертежи и фотографии, показывающие строительство комплекса Аль-Кибар, который, по мнению израильтян, был ядерным реактором, который сирийцы строили для разработки оружия. Они заручились поддержкой США для атаки на сайт после предоставления доказательств того, что Северная Корея помогала Сирии создавать его.7
  
  Поздно вечером 5 сентября 2007 года началась операция "Фруктовый сад", когда израильские военные самолеты вылетели с базы на севере Израиля и направились на запад к морю, прежде чем внезапно повернуть на восток. Они пролетели низко, когда пересекли границу Сирии и уничтожили радиолокационную станцию вблизи турецкой границы, используя электронные атаки и высокоточные бомбы. Примерно через двадцать минут они выгрузили свой груз на комплекс Аль-Кибар, прежде чем благополучно вернуться домой без происшествий. Президент Сирии Башар аль-Асад преуменьшил значение удара, заявив, что израильтяне не нанесли никакого удара, кроме пустого военного здания. “В нем нет людей, нет армии, в нем ничего нет”, - сказал он.8 Но разведка США установила, что реактор был всего в нескольких неделях от ввода в эксплуатацию, прежде чем израильтяне вывели его из строя.9
  
  Теперь израильтяне хотели сделать то же самое в Иране. Они полагали, что воздушный удар отбросит ядерную программу Ирана назад по крайней мере на три года. Но нападение на Иран несло в себе гораздо больше сложностей и рисков, чем нападения на Сирию и Ирак. В обоих этих случаях израильтяне наносили удары по одному наземному объекту, который не был сильно укреплен, а в случае Сирии цель находилась достаточно близко к дому, чтобы пилоты могли быстро нанести удар и вернуться до того, как сирийцы успеют отреагировать. Однако удар по Ирану потребовал бы дозаправка и полет через обширные участки арабского воздушного пространства. И вместо одной цели самолеты должны были нанести удар по меньшей мере по полудюжине объектов, разбросанных по всей стране — обогатительная фабрика в Натанзе и завод по переработке урана в Исфахане — всего два из них, некоторые из которых были подземными. Иран извлек урок из израильского нападения на Ирак десятилетиями ранее, что ключом к сохранению его ядерной программы было рассредоточение объектов по всей стране, и у официальных лиц США было “мало уверенности” в том, что Израиль даже знал расположение всех объектов, по которым ему нужно было нанести удар, чтобы подорвать программу.10 Советник Израиля по национальной безопасности Гиора Эйланд даже признал это, когда сказал делегации конгресса США в 2006 году: “Мы не знаем всех сайтов, и мы не знаем, чего мы не знаем”.11
  
  В своем обращении к НАЦИИ в январе 2002 года президент Буш определил Иран как часть “оси зла”, наряду с Ираком и Северной Кореей, которая угрожает миру во всем мире. Соединенные Штаты, по его словам, не позволят "самым опасным режимам в мире” “угрожать нам самым разрушительным оружием в мире”.12 Это были сильные слова. Но за прошедшие годы — годы, наполненные трудностями ведения войны в Ираке — Буш смягчил свою позицию. Министр обороны США Роберт М. Гейтс был убежден, что нападение на Иран не только провалится, но и будет иметь широкомасштабные последствия для американских войск в Ираке и Афганистане. Это также может спровоцировать террористическое возмездие против Израиля со стороны проиранских группировок в Ливане и секторе Газа и подорвать цены на нефть, вызвав экономический шок по всему миру. Самое главное, вместо того, чтобы обуздать ядерные амбиции Ирана, это может направить Иран на еще более решительный курс к ядерному оружию и заставить чиновников выгнать инспекторов МАГАТЭ из страны, уводя их ядерную деятельность еще дальше в подполье и с глаз долой.
  
  По всем этим и многим другим причинам Буш отклонил предложение Израиля нанести воздушный удар, но не без альтернативной стратегии, которая могла бы занять его место.13
  
  Двумя годами ранее советники Буша предложили ему то, что казалось еще лучшим решением проблемы с Ираном, возможно, даже блестящим. И весной 2008 года, когда он в последний раз посещал Израиль в качестве президента, казалось, что они действительно могут это осуществить.
  
  НЕЯСНО, когда именно началось первое планирование и разработка Stuxnet, но где-то в 2006 году, после того, как Иран вышел из соглашения о приостановке, американские военные и разведывательные чиновники, как сообщается, представили президенту предложение о кибероперации, позже получившей название “Олимпийские игры”. Буш некоторое время взвешивал свои варианты. Поскольку в Ираке и Афганистане уже ведутся две затяжные и сложные войны, он уже решил, что не хочет участвовать в третьей битве на Ближнем Востоке. Тайные атаки на местах, которые физически саботировали ядерные объекты Ирана, также были исключены, поскольку они тоже, вероятно, спровоцировали бы войну.14
  
  Поэтому его советники предложили третий вариант — цифровой взрыватель бункеров, который при тщательном проектировании и исполнении мог бы достичь примерно тех же результатов, что и его кинетические аналоги, без всех рисков и последствий этих других атак.
  
  Военные и разведывательные сообщества готовились к атаке, подобной этой, в течение почти десятилетия и ранее участвовали в небольших кибероперациях, но ничего подобного в масштабах, которые они предлагали сейчас. Большинство предыдущих операций были просто шпионскими миссиями, выполняемыми с помощью цифровых инструментов, или цифровыми операциями, проводимыми в качестве дополнения к обычной войне — кибероперациям, предназначенным для того, чтобы просто помогать войскам на поле боя, а не занимать их место.15
  
  Однако этот инновационный новый план предусматривал цифровую атаку на центрифуги и компьютерные системы в Натанзе, чтобы физически саботировать усилия Ирана по обогащению урана. Требования и ограничения для такой операции были обширными. Это должен был быть хирургический удар, способный нацелиться на конкретные машины, которые Соединенные Штаты хотели атаковать, оставляя другие системы невредимыми. Коду пришлось обходить внутренние системы безопасности, чтобы он мог делать свое черное дело незамеченным в течение нескольких месяцев. И оно должно было нанести достаточный ущерб, чтобы результаты имели значимые последствия, не привлекая к себе внимания.
  
  Но если атака удалась, потенциальная отдача была огромной. Если кибератака могла бы уничтожить некоторые из иранских центрифуг IR-1 или иным образом замедлить стремительное продвижение страны к ядерному прорыву, это ослабило бы давление на дипломатические усилия и дало бы МАГАТЭ и разведывательным агентствам больше времени для сбора доказательств о ядерных устремлениях Ирана. Это также позволило бы израильтянам на некоторое время отвлечься. Израильские официальные лица обвинили Соединенные Штаты в затягивании с Ираном; цифровая атака на ядерную программу докажет, что Соединенные Штаты не просто сидят сложа руки, ожидая успеха санкций и дипломатии.
  
  Что еще более важно, если бы центрифуги были уничтожены, а урановый газ был потрачен впустую в процессе, это истощило бы и без того сокращающиеся запасы драгоценных материалов для ядерной программы Ирана. По оценкам экспертов, у Ирана было достаточно материалов только для создания 12 000-15 000 центрифуг; если атака может заставить Иран выбросить несколько тысяч устройств, это резко сократит их поставки. Если удача будет на их стороне, это также может привести к политическому расколу в иранском режиме. На Ахмадинежада и его сторонников уже оказывалось давление с целью добиться прогресса в ядерной программе; если скрытая атака сорвет их усилия и отбросит программу на несколько лет назад, это вполне может посеять раздор внутри режима.
  
  Преимуществ кибератаки перед другими формами атак было много. Цифровая бомба может достичь примерно того же эффекта, что и кинетическое оружие, не подвергая риску жизни пилотов. Он также мог бы достичь их скрытно, чего никогда не смогла бы сделать физическая бомба, тихо повреждая систему в течение недель и месяцев, оставаясь незамеченным. Иранцы в конечном итоге увидят последствия цифрового саботажа, но если все будет сделано хорошо, они никогда не узнают его причину, заставляя их гадать, была ли проблема дефектом материала, ошибкой программирования или чем-то еще. Даже если иранцы обнаружили вредоносное ПО, цифровая атака, проведенная должным образом, не оставила отпечатков пальцев, которые можно было бы отследить до ее источника. Это правдоподобное отрицание было ключевым, поскольку Соединенные Штаты пытались предотвратить войну, а не начать ее.
  
  У цифровой атаки были и другие преимущества. Воздушные удары имели очевидные недостатки, когда дело доходило до бомбардировки объектов, находящихся глубоко под землей, как Натанз и другие иранские объекты.16 Но цифровая атака может проскользнуть мимо систем противовоздушной обороны и электрифицированных ограждений, чтобы без особых усилий проникнуть в инфраструктуру глубоко под землей, которая в противном случае была бы недоступна по воздуху и другими средствами. Это также может вывести из строя центрифуги не только на известных объектах, но и на неизвестных. Вы не могли разбомбить завод, о котором не знали, но вы могли бы его подвергнуть кибербомбе. Если бы у Ирана были другие секретные обогатительные фабрики, расположенные по всей стране, которые использовали то же оборудование и конфигурацию, что и в Натанзе, цифровое оружие, внедренное в компьютеры подрядчиков, которые обслуживали их всех, могло распространиться с известных объектов на неизвестные.
  
  Цифровой саботаж, хотя и на гораздо менее изощренном уровне, не был беспрецедентным. В 1980-х годах ЦРУ, Министерство обороны и ФБР провели совместную операцию по саботажу программного и аппаратного обеспечения, направлявшегося в Советский Союз. Это началось после того, как подполковник Дж. Владимир Ипполитович Ветров, сорока восьми-летний чиновник отдела линии X Технологического управления КГБ, начал передавать французам разведданные о десятилетней советской операции по краже технологий у Запада.
  
  Ветров слил около трех тысяч документов, названных французами “Прощальным досье”, в которых подробно описан длинный список технологий, которые Советы уже украли у Запада, а также список желаний, которые еще предстоит приобрести. Когда список пожеланий попал к доктору Гасу Вайсу, советнику по экономике в Совете национальной безопасности при Рейгане, он предложил хитрый план тогдашнему директору ЦРУ Уильяму Кейси. ЦРУ позволило бы Советам продолжать получать технологию, которую они хотели, но шпионское агентство подсовывало модифицированные проекты и чертежи в смеси, чтобы неверно направить их научные усилия на бесполезные предприятия. Он также предложил модифицировать продукты и компоненты до того, как они попадут за Железный занавес, чтобы они проходили любые тесты по обеспечению качества, которым их могут подвергнуть Советы, а затем потерпели неудачу позже. План был поистине беспроигрышным, потому что, даже если Советы обнаружат операцию контрразведки, они всегда будут с подозрением относиться к любой информации или технологии, позже приобретенной на Западе, никогда не зная, как и были ли они изменены или когда они могут дать сбой. Это было бы “редкостью в мире шпионажа”, - позже написал Вайс во внутреннем информационном бюллетене ЦРУ, описывая схему: “операция, которая увенчается успехом, даже если будет скомпрометирована”.17
  
  Согласно схеме, “изобретенные компьютерные чипы нашли свое применение в советской военной технике, неисправные турбины были установлены на газопроводе, а дефектные планы нарушили производительность химических заводов и тракторного завода”, - писал Вайс. Кроме того, Советы получали вводящую в заблуждение информацию о стелсах и тактических самолетах, а также о западных программах космической обороны. Советский космический челнок также был построен по “отвергнутому проекту НАСА”, который был передан Советам, сообщил Вайс.18
  
  По словам Вайса, операция прощания так и не была обнаружена, но Ветрову повезло меньше. Он был заключен в тюрьму в 1982 году после того, как зарезал свою любовницу, замужнюю коллегу по КГБ, и был разоблачен как двойной агент, хотя диверсионные усилия ЦРУ оставались в секрете.19 В 1986 году ЦРУ закрыло операцию.
  
  Вайс, который сейчас мертв, никогда не уточнял последствия использования искусственных компьютерных чипов и других дефектных деталей, которые были подсунуты в советскую цепочку поставок, но в 2004 году Томас К. Рид, работавший с Вайсом в Совете национальной безопасности, написал книгу, в которой кратко упомянул Прощальное досье и приписал взрыв трубопровода в Сибири в 1982 году схеме ЦРУ — тому самому взрыву трубопровода, на который ссылается Symantec в своем блоге о Stuxnet. По словам Рида, одним из товаров в списке покупок Line X было программное обеспечение для управления насосами, клапаны и турбины на Транссибирском трубопроводе, который строился для транспортировки природного газа с Уренгойских газовых месторождений в Сибири в страны Европы. Когда ЦРУ узнало, что Советы пытаются получить программное обеспечение от компании в Канаде, агентство в сотрудничестве с фирмой внедрило в код логическую бомбу. Код был разработан для сброса скоростей насосов и настроек клапанов на трубопроводе, чтобы “создавать давления, намного превышающие допустимые для соединений трубопроводов и сварных швов”, - писал Рид.20 Программное обеспечение “прекрасно работало — на некоторое время”, - отметил он. Но затем в какой-то заранее определенный момент насосы и клапаны вышли из строя, создав такое огромное повышение давления газа, что произошел взрыв мощностью в три килотонны — “самый грандиозный неядерный взрыв и пожар, когда-либо виденный из космоса”, по словам Рида.
  
  Многие считают, что история о взрывающемся трубопроводе является апокрифической; бывший сотрудник КГБ опроверг эту историю и считает, что Рид и Вайс перепутали факты.21 Несмотря на это, операция "Прощальное досье" действительно существовала и послужила вдохновением для последующих диверсионных схем, направленных на ядерную программу Ирана.
  
  Одна из таких операций произошла после того, как ЦРУ проникло в сеть ядерных поставок А. К. Хана примерно в 2000 году и начало вставлять поддельные детали в компоненты, направлявшиеся в Иран и Ливию, где Хан также начал продавать свои незаконные ядерные услуги. Эксперт по оружию из Лос-Аламосской национальной лаборатории работал с ЦРУ над изменением серии вакуумных насосов, чтобы они выходили из строя через случайные промежутки времени. Как и в случае с операцией против Советов, план состоял в том, чтобы саботировать детали настолько тонко, чтобы они некоторое время работали нормально, прежде чем сломаться таким образом, чтобы было трудно обнаружить закономерность или точно определить проблему.
  
  Из семи насосов, которые ЦРУ взломало, шесть отправились в Ливию; но седьмой оказался в Иране. Инспекторы МАГАТЭ позже случайно наткнулись на него, когда посещали Натанз.22 Иранцы, по-видимому, не знали, что насос был изменен.
  
  Однако они обнаружили еще одну диверсионную операцию, которая произошла в 2006 году. В этом были задействованы ИБП — источники бесперебойного питания, полученные из Турции. ИБП помогают регулировать поток электроэнергии и важны для работы центрифуг, которым требуется надежная и стабильная энергия для вращения в течение длительных периодов времени с одинаковой скоростью. Если электрический ток будет колебаться, центрифуги будут ускоряться и замедляться, саботируя процесс обогащения и даже выводя сами центрифуги из равновесия.
  
  Сеть Khan, очевидно, приобрела устройства у двух бизнесменов в Турции и тайно отправила их в Иран и Ливию.23 Но в начале 2006 года, когда Иран попытался обогатить свою первую партию урана в небольшом каскаде на экспериментальной установке в Натанзе, все пошло ужасно неправильно. Каскад работал нормально около десяти дней, но затем начался саботаж, и все центрифуги пришлось заменить. В то время никто ничего об этом не говорил. Но год спустя, во время телевизионного интервью, глава Организации по атомной энергии Ирана рассказал о том, что произошло. Технические специалисты установили 50 центрифуг в каскаде, объяснил он, но однажды ночью “все 50 взорвались.”ИБП, контролирующий электричество“, не действовал должным образом”, - сказал он, и вызвал скачок напряжения. “Позже мы узнали, что ИБП, которые мы импортировали через Турцию, подверглись манипуляциям”. Он также сказал, что после произошедшего инцидента они начали проверять все импортируемые инструменты перед их использованием.24
  
  Были и другие известные планы по изменению частей и компонентов для ядерной программы Ирана, но по крайней мере один был прерван, в то время как другие не сработали так, как планировалось.25 Однако то, что советники Буша предлагали в 2006 году, обещало вывести черное искусство саботажа на совершенно новый уровень.
  
  То, что они предложили, было автономным хирургическим ударом с использованием кода, который мог действовать независимо после запуска, который обладал интеллектом, чтобы знать, когда он нашел свою цель, и выпускал свою полезную нагрузку только при благоприятных условиях, который также маскировал свое существование, тщательно отслеживая попытки его обнаружения, и который обладал способностью уничтожать физическое оборудование не смелыми, взрывными ударами, а тонкими, длительными.
  
  Некоторые чиновники в администрации Буша скептически относились к тому, что такая атака может сработать, сравнивая ее с неопробованным научным экспериментом.26 Но планировщики не ожидали чудес от операции. Они не ожидали, что полностью уничтожат иранскую программу обогащения урана, просто чтобы отложить ее и выиграть немного времени. И даже если операция будет раскрыта, и иранцы узнают, что их компьютеры были взломаны, это все равно будет беспроигрышная ситуация, как указал Вайс в Прощальном досье, поскольку это посеет сомнения и паранойю среди иранцев. Даже если бы технические специалисты очистили свои машины и перепрограммировали их, они никогда не могли быть уверены, что системы не будут заражены снова или что их враги не попытаются использовать другую тактику. Они всегда будут начеку при любых признаках проблем, и если что-то пойдет не так, они никогда не узнают наверняка, был ли причиной дефект материала или вражеский саботаж. Они также будут гораздо более настороженно относиться к любому оборудованию, закупленному за пределами Ирана, опасаясь, что оно, возможно, уже было скомпрометировано.
  
  Дерзкая и изощренная схема, которая сочетала в себе как тайную, так и подпольную деятельность, как сообщается, была задумана Стратегическим командованием США — подразделением Министерства обороны, которое управляет ядерным оружием страны и контролирует его — с генералом Дж. Джеймс Картрайт как один из его архитекторов.27 Бывший высокопоставленный чиновник США назвал генерала Картрайта человеком-концептом, в то время как бывший директор АНБ Кит Александер отвечал за выполнение плана. “Роль Картрайта заключалась в описании искусства возможного, в том, чтобы иметь представление”, - сказал чиновник Washington Post. Но Александр обладал “техническим ноу-хау и осуществлял фактическую деятельность”.28 Затем код был разработан элитной командой программистов в АНБ, по крайней мере, на начальном этапе. Более поздние версии, как сообщается, сочетали код из АНБ с кодом из подразделения 8200 Армии обороны Израиля — израильской версии АНБ. Однако, как только код был разработан, он должен был быть передан ЦРУ для контроля за доставкой по назначению, поскольку только ЦРУ имеет законные полномочия для проведения тайных операций.
  
  Технические проблемы операции были устрашающими, но также требовалось решить юридические вопросы, поскольку они предлагали атаковать инфраструктуру другой страны без объявления войны. Для санкционирования тайных действий требуется юридический документ, известный как президентское заключение, а также уведомление Конгресса. И до того, как Буш подписал операцию, был бы проведен тщательный обзор, чтобы учесть связанные с этим риски.29
  
  К счастью, саботаж центрифуг в каскаде не нес риска ядерной аварии. Газообразный гексафторид урана был разрушительным для легких и почек при вдыхании в достаточных количествах, но весь каскад содержал всего десятки граммов газа, который быстро рассеивался при попадании в воздух.
  
  Но если не было риска ядерного инцидента, который нужно было учитывать, все еще оставались другие последствия, которые нужно было взвесить, в том числе риск отключения компьютеров в Натанзе, если код содержал ошибку или баг, несовместимый с системами, тем самым предупреждая иранцев об атаке и разрушая операцию. Существовал также риск возмездия, если Иран обнаружит, что за атакой стоят Соединенные Штаты, а также риск ответного удара, если кто-то изменит код и использует его против американской критической инфраструктуры.
  
  Возможно, самым важным соображением из всех был риск информирования Ирана и других врагов о кибернетических возможностях США. Проблема с использованием кибероружия, говорит один бывший агент ЦРУ, заключается в том, что “как только оно появляется, это похоже на использование вашего истребителя—невидимки в первый раз - вы позвонили в этот звонок, и вы не можете притворяться, что истребителя-невидимки больше не существует. Итак, вопрос в том, для какого воздушного боя вы действительно хотите использовать этот истребитель-невидимку?”30
  
  Стоила ли операция против Ирана раскрытия этой новой возможности? А как насчет потери морального превосходства, если станет известно, что за атакой стоят Соединенные Штаты? Цифровая атака, которая уничтожила критическую инфраструктуру другой страны — а Иран, без сомнения, заявил бы, что центрифуги были критической инфраструктурой — была, по сути, актом войны. Соединенным Штатам было бы очень сложно обвинять любую страну, которая впоследствии использовала цифровые атаки.
  
  Неясно, сколько передовых исследований и работ уже было сделано к тому времени, когда советники Буша предложили свой план в 2006 году. Но как только он дал добро на продвижение секретной операции, по сообщениям, потребовалось всего восемь месяцев, чтобы доработать схему.31
  
  Это был гениальный сюжет, который развивался точно по плану.
  
  Пока внезапно этого не произошло.
  
  
  
  1 Сотрудники Шпигеля: “Телеграммы показывают, что арабские лидеры боятся ядерного Ирана”, Der Spiegel, 1 декабря 2010 года.
  
  2 Телеграмма Государственного департамента США от CDA Майкла Гфоллера, 20 апреля 2008 г., доступна по адресу nytimes.com/interactive/2010/11/28/world/20101128-cables-viewer.html#report/iran-08RIYADH649.
  
  3 “Телеграммы показывают, что арабские лидеры боятся ядерного Ирана”, Der Spiegel.
  
  4 Джеффри Голдберг, “Точка невозврата”, The Atlantic Monthly, сентябрь 2010.
  
  5 Кэтрин Коллинз и Дуглас Франц, Fallout: правдивая история секретной войны ЦРУ с незаконным оборотом ядерного оружия (Нью-Йорк: Свободная пресса, 2011), 212.
  
  6 В июне 1991 года, когда тогдашний министр обороны Чейни посетил Израиль, он, как сообщается, дал израильскому генералу-майору Дж. Дэвид Иври спутниковый снимок реактора Осирак, сделанный после того, как он был уничтожен. Чейни прокомментировал изображение: “Генералу Иври с благодарностью и признательностью за выдающуюся работу, которую он проделал по иракской ядерной программе в 1981 году, что значительно облегчило нашу работу в ”Буре в пустыне". См. Дуглас Франц и Кэтрин Коллинз, Ядерный джихадист: правдивая история человека, который продал самые опасные секреты в мире (Нью-Йорк: Свободная пресса, 2007), 190.
  
  7 Эрих Фоллат и Хольгер Старк, “История операции ”Фруктовый сад": как Израиль уничтожил сирийский ядерный реактор Аль-Кибар", Der Spiegel, 2 ноября 2009 года. Информацию об радиоэлектронной борьбе, используемой для уничтожения радиолокационной станции, см. в статье Дэвида А. Фалгхама “США наблюдают за рейдом Израиля, дают советы”, Aviation Week, 21 ноября 2007 года.
  
  8 Джулиан Борджер, “Израильский авиаудар по военному объекту, Сирия подтверждает”, Guardian, 1 октября 2007 года.
  
  9 Дэвид Олбрайт отмечает, что при полной работоспособности реактор мог бы производить достаточно плутония для ядерного оружия каждые один-два года. Дэвид Олбрайт, Торгуя опасностью: как секретная ядерная торговля вооружает врагов Америки (Нью-Йорк: Свободная пресса, 2010), 3.
  
  10 Тим Шипман, “Пентагон США сомневается в израильской разведке по поводу ядерной программы Ирана”, Телеграф, 5 июля 2008 года.
  
  11 Телеграмма Госдепартамента США “Израильское агентство национальной безопасности Эйланд об иранской ядерной угрозе”, 26 апреля 2006 года, опубликованная WikiLeaks на http://wikileaks.org/cable/2006/04/06TELAVIV1643.html.
  
  12 Эрих Фоллат и Хольгер Старк, “Рождение бомбы: история ядерных амбиций Ирана”, Der Spiegel, 17 июня 2010 года.
  
  13 Дэвид Э. Сэнгер, “США отвергли помощь в связи с израильским рейдом на иранский ядерный объект”, New York Times, 10 января 2009 года.
  
  14 Дэвид Э. Сэнгер, “Иран пытается прикрыть свою программу по производству ядерного топлива”, New York Times, 1 сентября 2011 года.
  
  15 Смотрите глава 12 подробнее об истории возможностей правительства США в области кибервойн.
  
  16 В середине 2007 года западные спутники засекли признаки возможного строительства туннеля в горе, прилегающей к Натанзу, возможно, для изъятия материалов и оборудования из-за предполагаемой атаки на завод. NCRI сообщила, что Иран фактически строит секретные туннели в более чем дюжине мест по всей стране для защиты ракетных и ядерных установок от потенциального нападения. Израиль заключил соглашение о приобретении у Соединенных Штатов нового поколения бомб, разрушающих бункеры, которые, как говорят, в десять раз мощнее, чем предыдущее поколение, и способны пробивать цемент и проникать глубоко под землю. Но ожидалось, что новые бомбы не будут готовы до 2009 или 2010 года, и не было никакой гарантии, что они сработают против Натанза. См. Дэвид Олбрайт и Пол Браннан, “Строительство нового туннеля на горе, прилегающей к обогатительному комплексу в Натанзе”, ISIS, 9 июля 2007 г., доступно по адресу isis-online.org/uploads/isis-reports/documents/IranNatanzTunnels.pdf. См. также Уильям Броуд, “Иран защищает свои ядерные усилия в лабиринте туннелей”, New York Times, 5 января 2010.
  
  17 Информационный бюллетень был позже рассекречен. См. Гас Вайс, “Прощальное досье: стратегический обман и экономическая война в холодной войне”, в Исследованиях в разведке, 1996, доступно по адресу https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/csi-studies/studies/96unclass/farewell.htm.
  
  18 По словам Вайса, ЦРУ также запустило кампанию дезинформации вокруг технологии лазерного оружия, чтобы убедить Советы в том, что они должны использовать недоказанную технологию. Когда ЦРУ обнаружило советские документы, в которых обсуждалась технология, агентство договорилось с известными физиками, чтобы они опубликовали статьи об этом в Nature и другом авторитетном издании, чтобы создать шумиху вокруг этого, как будто это было многообещающее открытие. Затем они резко прекратили публикацию информации по этому вопросу, чтобы заставить Советы думать, что технология имеет стратегическое значение, и что разговоры о ней были подавлены. Вайс сказал, что Советы, должно быть, заглотили наживку, потому что годы спустя, когда Советский Союз распался, были найдены доказательства того, что Советы проводили исследования по лазерной технологии.
  
  19 Полная история жизни Ветрова и прощальное досье изложены в книге Сергея Костина и Эрика Рейно, Прощай: величайшая шпионская история двадцатого века. Книга, опубликованная на французском языке в 2009 году, была переведена на английский язык Кэтрин Кавин-Хиггинс и опубликована в 2011 году Amazon Crossing. Книга была экранизирована во французском фильме, выпущенном в 2009 году под названием Прощание с делом.
  
  20 Томас К. Рид, В бездне: внутренняя история холодной войны (Нью-Йорк: Presidio Press, 2004), 268-69.
  
  21 Отчет Рида о взрыве трубопровода, опубликованный первым, обрел самостоятельную жизнь и неоднократно переиздавался как факт, хотя ни один репортер не смог его подтвердить. Есть причины сомневаться в этой истории. По словам Рида, взрыв был зафиксирован американскими инфракрасными спутниками и вызвал переполох среди членов Совета национальной безопасности в то время, которые пытались определить, взорвали ли Советы атомное устройство в Сибири, когда Вайс сказал им не беспокоиться об этом. Вайс никогда не объяснял, почему они не должны беспокоиться об этом, но двадцать годы спустя, когда Рид писал свою книгу, Вайс сказал ему, что причиной взрыва, о котором они беспокоились, был саботаж ЦРУ. Но Василий Пчелинцев, бывший глава КГБ в регионе, где, по словам Рида, произошел взрыв, сказал, что этого никогда не было, и что Вайс, возможно, связал свои воспоминания об инциденте с прощальным досье со взрывом, который произошел в апреле 1982 года в другом регионе. Но этот взрыв, по словам Пчелинцева, был вызван смещением труб, которые двигались при таянии снега, а не саботажем ЦРУ. См. Анатолий Медецкий, “Ветеран КГБ отрицает, что ЦРУ вызвало взрыв 82 года”, Moscow Times, 18 марта 2004 года.
  
  На вопрос, верит ли он рассказу Вайса о трубопроводе, Рид сказал мне в телефонном интервью в октябре 2010 года: “Я действительно не знаю, произошло ли это.… Очевидно, что произошел весь эпизод с досье. Агентство провело очень масштабную кампанию по корректировке технологии материалов, которые отправлялись русским ”. Он сказал, что помнит, что в то время, когда он был в СНБ, произошел взрыв. “Я вспомнил, что произошло большое событие, которое озадачило разведывательное сообщество.”Но было ли это на самом деле взрывом трубопровода“, это было тридцать лет назад”, - сказал он, признавая, что его воспоминания и воспоминания Вайса, возможно, изменились в последующие годы. “Я уважаю российских историков, которые говорят, что никакого взрыва в связи с Досье не было.… Так что, возможно, произошел взрыв, но это не было результатом троянского коня.… Было ли это правдой или нет, я не знаю ”. Однако, возможно, было бы слишком надеяться, что любые будущие пересказы истории о трубопроводе будут сделаны с соответствующими оговорками.
  
  22 Когда инспекторы МАГАТЭ увидели насос в Натанзе, он выделился для них, потому что к нему была прикреплена наклейка, идентифицирующая его как собственность Лос-Аламосской национальной лаборатории, что им показалось странным. Когда МАГАТЭ провело расследование, агентство обнаружило, что серийный номер на насосе соответствует серийным номерам насосов, которые они видели в Ливии, что указывает на то, что все насосы были изготовлены из одной партии. Инспекторы отследили заказ на насосы в американской лаборатории. Никто так и не смог выяснить, как наклейка Лос-Аламоса попала на насос в Натанзе, или почему иранцы не заподозрили этого. См. Коллинз и Франц, Fallout, 138.
  
  23 Франц и Коллинз, ядерные джихадисты, 238.
  
  24 Интервью Голама Резы Агазаде, январь 2007, с Ayande-ye (Новое будущее). Самого интервью нет в Сети, но на него ссылаются Шейла Маквикар и Фархан Бохари, “Оценка ядерной программы Ирана”, CBS News, 4 апреля 2007 года, доступно по адресу cbsnews.com/news/assessing-irans-nuclear-program.
  
  25 Один непродуманный план, разработанный Моссадом и ЦРУ, как описано в книге Джеймса Райзена "Состояние войны", предусматривал использование электромагнитного импульса для поджаривания компьютеров, используемых на ядерных объектах Ирана. Шпионы планировали контрабандой ввезти в Иран оборудование, которое передавало бы электромагнитный импульс на линии электропередачи за пределами объектов. Однако ЦРУ отказалось от плана, поняв, что оборудование было слишком большим, чтобы доставить его в Иран и разместить скрытно. Восстание, состояние войны: тайная история ЦРУ и администрации Буша (Нью-Йорк: Свободная пресса), 208-9.
  
  26 Сэнгер, “США отвергли помощь для израильского рейда”.
  
  27 Подпольные операции включают в себя секретную деятельность, которая не должна быть обнаружена или замечена, такую как наблюдение и сбор разведданных для выявления информации о цели, которая может быть позже атакована. Тайная деятельность, однако, должна быть замечена, поскольку она предназначена для влияния на условия — политические, экономические или военные, — хотя сторона, ответственная за эту деятельность, скрыта, например, ЦРУ. Операция Stuxnet включала в себя как подпольную, так и скрытую деятельность. Тайная деятельность включала первоначальную разведку с целью сбора разведданных о заводе. Но внедрение вредоносного кода в систему управления, чтобы заставить центрифуги вращаться вокруг своей оси, было скрытым, поскольку предполагалось, что его заметят, пряча за ним руку.
  
  28 Эллен Накашима и Джоби Уоррик. “Stuxnet был работой американских и израильских экспертов, говорят официальные лица”, Washington Post, 2 июня 2012.
  
  29 Сэнгер, “США отвергли помощь для израильского рейда”.
  
  30 Интервью с автором, 2012.
  
  31 Дэвид Э. Сэнгер, Противостоять и скрывать: секретные войны Обамы и удивительное использование американской мощи (Нью-Йорк: Crown, 2012), 193.
  
  OceanofPDF.com
  
  ГЛАВА 12
  НОВЫЙ БОЕВОЙ ДОМЕН
  
  К тому времени, когда советники Буша изложили ему идею высокоточного цифрового оружия, направленного на подрыв иранских центрифуг, планы развития таких возможностей разрабатывались уже в течение десятилетия, исходя из осознания того, что собственные сети военных были уязвимы для вражеских атак.
  
  Ученые и военные эксперты еще дольше размышляли над концепцией кибервойны и потенциалом цифрового оружия. Еще в 1970 году Совет по оборонным наукам изучил потенциальные военные преимущества подрыва компьютерных сетей, чтобы сделать их ненадежными или бесполезными в том, что тогда было известно как информационная война. Однако в то время компьютеризировалось лишь несколько операций, а Интернета не существовало, поэтому теоретическим возможностям пришлось подождать, пока реальность не догонит.
  
  Это, наконец, произошло в 90-х годах, примерно в то же время, когда термин “кибервойна” был введен в оригинальной статье RAND 1993 года под названием “Кибервойна приближается!”: “Мы ожидаем, что кибервойна может быть для 21-го века тем же, чем блицкриг был для 20-го века”, - писал тогда Джон Аркилла и его соавтор.1 Аркилла, ныне профессор Военно-морской аспирантуры в Калифорнии и военный консультант, осознал потенциал цифровых атак во время первой войны в Персидском заливе, когда Соединенные Штаты использовали специальную радиолокационную систему для обнаружения движущихся целей в Ираке, и понял, что это можно было бы легко предотвратить, если бы иракцы нашли способ помешать этому. Аркиллу поразило, что компьютерные технологии, которые сделали современную армию сильной, также сделали ее потенциально очень слабой. “Что сделало эту мысль еще более пугающей, так это то, что эта сила существовала в руках нескольких хакеров, - сказал он позже, - а не только в руках правительственных армий”. И разрушительная мощь этих периферийных групп “росла не по дням, а по часам”.2
  
  Военные впервые ощутили свои возможности в 1980-х годах, когда немец по имени Маркус Хесс, который, как сообщается, был завербован КГБ, взломал сотни военных систем и исследовательских объектов, таких как Национальная лаборатория Лоуренса Беркли, в поисках разведданных о спутниках и системе обороны "Звездных войн".3 Последовали другие опасения. В 1990 году в преддверии первой войны в Персидском заливе голландские подростки взломали почти три десятка военных компьютеров США в поисках информации о ракетах Patriot, ядерном оружии и операции против Ирака. Чиновники опасались, что подростки планировали продать разведданные Ираку. Затем, в 1994 году, шестнадцатилетний британский хакер, наставляемый двадцатиоднолетним парнем из Уэльса, взломал системы ВВС США и использовал их для взлома южнокорейского института ядерных исследований, а также для нападения на сотню других жертв. Поскольку нарушение, по-видимому, было связано с американскими военными компьютерами, стало ясно, что потенциальные последствия таких вторжений не ограничивались кражей разведданных. В то время Соединенные Штаты вели деликатные ядерные переговоры с Северной Кореей, и военные опасались, что если бы хакеры вместо этого нацелились на объект в Северной Корее, они могли бы поставить две страны на грань битвы.4
  
  Но подключение было палкой о двух концах. Если системы США были уязвимы для атак, то и системы противников тоже. Хотя у Соединенных Штатов еще не было возможностей для проведения таких атак, механизмы были приведены в движение.
  
  Военно-воздушные силы были первыми, кто предпринял шаги в этом направлении в 1993 году, когда они преобразовали свой Центр радиоэлектронной борьбы в Центр информационной войны ВВС и два года спустя создали 609-ю эскадрилью информационной войны — первое военное подразделение кибербойни.5 Размещенный на военно-воздушной базе Шоу в Южной Каролине, он должен был сочетать наступательные и оборонительные кибероперации для поддержки боевых команд.6 Наступательные операции на тот момент были в основном академическими, поэтому подразделение сосредоточилось в основном на оборонительной тактике. Но военные быстро поняли, что есть преимущества в переплетении оборонительных и наступательных операций, потому что, защищая свои собственные сети от вражеских атак, они приобрели интеллект и навыки, необходимые для взлома. В 1996 году эскадрилья организовала учения red team / blue team, чтобы проверить наступательные и оборонительные навыки подразделения, и в течение двух часов красная команда получила полный контроль над системой воздушных заданий Blue team.
  
  В 1997 году военные провели более организованные учения, чтобы измерить свои защитные возможности против сетевых атак противника. Учения, получившие название “Приемлемый приемник”, натравили красную команду хакеров АНБ на сети Тихоокеанского командования США на Гавайях. Команде было запрещено использовать внутренние знания для проведения атаки или что-либо еще, кроме готовых инструментов, которые были доступны обычным хакерам. Когда атака началась, они начали наступление через коммерческую учетную запись удаленного доступа в Интернет и ворвались прямо в сети военных с небольшим сопротивлением. Системные администраторы на Гавайях, которые заранее не знали об учениях, заметили только два из многочисленных вторжений, совершенных злоумышленниками в течение девяноста дней, но даже тогда они не придали значения нарушениям, потому что они напоминали обычный трафик, который администраторы ожидали увидеть в сети. Это было похоже на атаку на Перл-Харбор в 1941 году, когда оператор радиолокационной станции Opana на острове Оаху заметил приближающийся самолет, направляющийся к острову, но не поднял тревогу, потому что его начальство считало, что они были дружественными.
  
  Хакеры из Red team загрузили файлы маркеров в системы, чтобы установить виртуальный флаг, доказывая, что они были там, а также создали ряд имитированных атак, показывающих, как они могли захватить контроль над сетями электроснабжения и связи в Оаху, Лос-Анджелесе, Чикаго и Вашингтоне, округ Колумбия. Если бы они захотели, они могли бы захватить контроль над системой, используемой для командования сотнями тысяч военнослужащих, или организовать “веерные отключения электроэнергии и другие действия, которые вызвали бы социальные волнения”, по словам генерал-лейтенанта. Джон Х. Кэмпбелл, ныне генерал ВВС в отставке, одно время возглавлявший информационные операции Пентагона. Это упражнение “чертовски напугало многих людей, “ позже сказал Кэмпбелл, - потому что последствия того, что смогла сделать эта команда, были довольно далеко идущими”.7
  
  Позже, когда военные руководители были проинформированы об учениях, они предположили, что красная команда использовала секретные инструменты и методы для атаки, и были удивлены, узнав, что АНБ использовало те же методы, которые использовал бы любой хакер-подросток.
  
  Фактически, в следующем году группа подростков проникла в военные сети, используя те же методы низкого уровня, в случае, получившем название операция "Солнечный восход". Злоумышленники, похитившие конфиденциальные данные в пятистах системах, оказались двумя калифорнийскими подростками, совершившими цифровую прогулку, подстрекаемыми израильским хакером по имени Эхуд Тененбаум. В то время министерство обороны проводило две военные кампании - в Боснии и Герцеговине и в Ираке. Вторжение, по мнению военных лидеров, было очень похоже на то, что сделали бы вражеские атакующие, если бы они пытались получить преимущество на поле боя. Заместитель министра обороны Джон Хамре, по сути, подумал, что атаки “могут быть первыми выстрелами настоящей кибервойны, возможно, со стороны Ирака”.8 Это был момент реальных военных игр, который подчеркнул трудность отличить нападение национального государства от подростков, испытывающих свои возможности. “Все, что мы узнали в приемлемом приемнике, мы переучили в Solar Sunrise”, - позже сказал Хамре о вторжении. “Ничто не сравнится с реальным опытом, чтобы донести уроки до дома”.9
  
  Настоящий урок, однако, пришел позже, когда Хамре созвал совещание, чтобы обсудить вторжение, и оглядел комнату, заполненную двумя десятками человек, чтобы спросить: “Кто главный? Кто отвечает за нашу защиту?” и узнал, что, когда дело доходило до кибератак, никто, по-видимому, не отвечал. Шок от осознания этого привел к созданию в декабре 1998 года Объединенной целевой группы по защите компьютерных сетей (JTF-CND), первой военной группы, которой было поручено выяснить, как защитить военные сети.10
  
  Оперативная группа, возглавляемая Кэмпбеллом, представляла собой разношерстную группу, состоящую из пары летчиков-истребителей ВВС и ВМС, офицера морской пехоты, нескольких рейнджеров-десантников, пилота подводной лодки, сотрудников разведки и нескольких подрядчиков. Один офицер описал их как “каких-то парней в летных куртках ... [и] кучку гражданских без галстуков”.11 Лишь немногие из них были гиками, которые знали толк в сети. Изначально у них не было офиса и вспомогательного персонала, и им приходилось работать во временных трейлерах на стоянке. Но в конце концов группа выросла до более чем 150 человек.
  
  Их миссия заключалась в разработке доктрин и методов защиты сетей министерства обороны от атак, но прежде чем они начали, у них было два вопроса к военному руководству: должны ли они разработать структуру типа NORAD для защиты гражданской критической инфраструктуры? А как насчет нападения? “Все мы хотели перейти в режим атаки”, - вспоминает Маркус Сакс, армейский инженер и один из первых членов целевой группы. “Все думали о потенциале запуска цифровых пуль.… Мы хотели пойти по этому пути и как бы прояснить, что для нас означало бы быть наступательными ”.12
  
  Это была эпоха хакерских конференций, таких как Def Con и HOPE, двух конференций, проводимых в Лас-Вегасе и Нью-Йорке, которые стали популярными форумами для хакеров и исследователей, где они обсуждали дыры в безопасности и инструменты взлома.13 ФБР и спецслужбы уже каждый год скрывались под прикрытием на Def Con, поэтому Сакс решил тоже присутствовать, и у него открылись глаза на возможности того, что могут сделать военные. Но целевой группе было приказано притормозить, поскольку военные еще не готовы к наступательным операциям. “Юридические вопросы не были проработаны”, - объясняет Сакс.
  
  Однако была и другая причина для осторожности. Кибероружие было “типом оружия, из которого вы стреляете, и оно не умирает. Кто-нибудь может поднять его и выстрелить прямо в вас ”, - говорит Сакс. “Это был очень сильный стимул не делать этого”.
  
  Чего Сакс в то время не знала, так это того, что в прошлом году министр обороны уже дал АНБ полномочия начать разработку методов атаки на компьютерные сети (CNA), задача, которую шпионское агентство восприняло как расширение своих существующих обязанностей в области радиоэлектронной борьбы, которые включали глушение вражеских радарных систем и выведение из строя каналов связи.14 АНБ считало, что его технические гении могут сыграть решающую роль и на формирующемся цифровом поле боя.
  
  Преимущества цифрового боя перед кинетической войной были очевидны, писало АНБ во внутреннем информационном бюллетене в 1997 году.15 В эпоху телевизионных войн, когда изображения мешков для трупов вернули на родину суровые реалии войны, кибервойна предложила антисептическую альтернативу, которую публике было легче принять. Но, как отмечается в отчете, были и другие преимущества: низкая стоимость входа для проведения таких кампаний; “гибкая база развертывания”, когда нахождение “в пределах досягаемости” цели не было необходимостью; и разнообразный и постоянно расширяющийся набор целей по мере компьютеризации все более важных систем.
  
  Шпионское агентство, фактически, уже рассматривало, за десятилетие до Stuxnet, наступательные возможности, предоставляемые растущей зависимостью мира от компьютеризированных систем управления в критической инфраструктуре. В другой статье в том же информационном бюллетене предлагалось составить дорожную карту для отслеживания технологий, которые уже были на полках магазинов, а также тех, которые все еще были “проблеском в глазах какого-то инженера”, чтобы развивать возможности атаки против них.16 В информационном бюллетене также предлагалось составить список общедоступных хакерских инструментов, уже доступных для использования, — вирусов, червей, логических бомб, троянских коней и лазеек. Эти мощные инструменты, “если их эффективно использовать, - отметил автор, - [могут быть] чрезвычайно разрушительными для информационной инфраструктуры любого общества”.17 Это включало, однако, инфраструктуру США. “Итак ... прежде чем вы слишком обрадуетесь этой ‘среде, богатой целями", - предостерегал потенциальных кибервойнников агентства информационный бюллетень, - помните, генерал Кастер тоже был в среде, богатой целями!”18
  
  Однако, несмотря на очевидный интерес к проведению цифровых атак, юридические проблемы продолжали вызывать недоумение. Весной 1999 года, когда силы НАТО сбрасывали бомбы на Югославию, Ассоциация военно-воздушных сил созвала в Техасе симпозиум за закрытыми дверями, чтобы обсудить возможности того, что все еще называлось “информационной войной”. Генерал. Джон Джампер, командующий ВВС США в Европе, сказал собравшимся, что, хотя информационная война вызывала в воображении образы захвата вражеской “священной инфраструктуры”, военные еще не были там. Кибероружие все еще было в основном лабораторным оружием, и единственная информационная война, которая велась на тот момент, была между юристами, политиками и военными лидерами в Вашингтоне, которые все еще спорили о ценности и законности сетевых атак.19 Джампер сказал собравшимся: “Я представляю себя за тем же столом наведения, где у вас есть пилот истребителя, пилот бомбардировщика, специалисты по специальным операциям и информационные воины. По мере продвижения по списку целей каждый по очереди поднимает руку, говоря: ‘Я могу взять эту цель’. Когда вы переходите к информационному воину, информационный воин говорит: ‘Я могу взять цель, но сначала я должен вернуться в Вашингтон и получить [президентское] заключение ”.20
  
  Однако что-то начало меняться в 2000 году, когда целевой группе сетевой обороны Пентагона внезапно было приказано добавить наступательные операции к своей миссии и разработать доктрину их использования. Изменение фокуса также привело к смене названия. Вместо Joint Task Force–Защита компьютерных сетей, теперь они должны были называться Joint Task Force–Операции с компьютерными сетями. Изменение было незаметным, чтобы не привлекать внимания, говорит Сакс, но внутренне оно сигнализировало о готовности военных начать серьезное планирование наступательных операций.
  
  Вопросов, которые теперь предстояло обдумать целевой группе, было много. Была ли наступательная сетевая атака военной акцией или тайной операцией? Каковы были параметры для проведения таких атак? Вывод из строя компьютеризированных систем связи казался очевидной задачей для наступательной операции, но как насчет саботажа компьютерного управления системой вооружения, чтобы сбить ее с толку или вызвать осечку?21 И кто должен нести ответственность за проведение таких операций? До тех пор, если военно-воздушным силам требовалось вывести из строя радарную систему противника, они работали совместно с командой радиоэлектронной борьбы АНБ. Но АНБ было разведывательным подразделением, основной задачей которого был перехват сообщений. Уничтожение компьютеров, которые управляли артиллерийской системой, казалось скорее территорией боевых подразделений.
  
  С добавлением наступательной миссии в оперативную группу, генерал-майор. Джеймс Д. Брайан стал новым командующим оперативной группой. Но заместитель министра обороны Хамре ясно дал понять, что оборона по-прежнему является приоритетом группы, и что наступательные операции должны быть простым дополнением к обычным военным операциям, а не их заменой.
  
  Так было до террористических атак 11 сентября, которые, как вспоминал Брайан, “изменили динамику для нас”. Наступательные операции внезапно приобрели большее значение, и впервые группа начала подходить к наступательным кибератакам так, как они подходили к кинетическим атакам — как к средству уничтожения целей, а не просто использовать компьютеры для сбора разведданных или для замедления их работы. “Мы на самом деле вышли на командования комбатантов и попросили у них список целей”, - вспоминал он позже. “И мы действительно прошли через их взвешивание, анализ и определение приоритетов в глобальном масштабе”.22
  
  Наступательные операции США продвинулись дальше в 2003 году, когда Пентагон подготовил секретную “Дорожную карту информационных операций”, направленную на превращение информационной войны в основную военную компетенцию наравне с воздушными, наземными, морскими и специальными операциями.23 В секретном отчете, выпущенном с изменениями несколько лет спустя, отмечалось, что уже начался всеобъемлющий процесс оценки возможностей кибероружия и шпионских инструментов и разработки политики их использования. Последнее включало в себя попытку определить, какой уровень манипулирования данными или системами представляет собой атаку или применение силы, а что квалифицируется как простой сбор разведданных. Какие действия могут быть легально предприняты в целях самообороны и какой уровень атрибуции необходим, прежде чем Соединенные Штаты смогут нанести ответный удар? Кроме того, могут ли Соединенные Штаты использовать “невольных хостов” для проведения атаки, то есть для прохождения через другую систему или контроля над ней для атаки на противника, если в результате невольный хост столкнется с возмездием?
  
  В 2004 году, чтобы учесть повышенное внимание к наступательным операциям, Министерство обороны разделило свои наступательные и оборонительные кибероперации на два подразделения, что для многих стало сигналом к началу милитаризации киберпространства. Оборонительное подразделение стало известно как Объединенная оперативная группа – операции глобальной сети, в то время как наступательное подразделение называлось Объединенным командованием функционального компонента –Сетевая война. Последнее было размещено в Форт-Миде, где базируется АНБ, но передано под стратегическое командование США и руководство генерала корпуса морской пехоты . Джеймс Э. Картрайт. Но на следующий год, как говорят некоторые, действительно начался “культ нападения” — когда ген. Кит Александер занял пост директора АНБ с поста генерала. Майкл Хейден и усиление внимания к разработке кибероружия для ведения войны. Именно в этот период были разработаны операция "Олимпийские игры" и Stuxnet.
  
  Шесть лет спустя, в мае 2010 года, когда Stuxnet стремительно распространялся на компьютерах по всему миру и был близок к разоблачению, Пентагон объединил свои оборонительные и наступательные кибероперации под руководством недавно сформированного киберкомандования США. Новое подразделение по-прежнему входило в Стратегическое командование США, но находилось под командованием директора АНБ Александера, что дало лидеру шпионов беспрецедентные полномочия как в разведывательных операциях, так и в кибервойнах. Через три месяца после формирования киберкомандования США Пентагон официально признал киберпространство “пятой областью” ведения боевых действий после воздуха, суши, моря и космоса.
  
  Однако все это было лишь формальным признанием активности, которая уже происходила в той или иной степени в течение десятилетия. Однако из-за засекреченного характера наступательных операций общественность имела лишь незначительные намеки на эти действия, поскольку они просачивались на протяжении многих лет.
  
  Например, в конце 90-х годов в Косово силы НАТО, возможно, использовали определенные кибернетические методы, “чтобы исказить изображения, создаваемые сербскими интегрированными системами противовоздушной обороны”, по словам Джона Аркиллы, который в то время работал в Стратегическом командовании США.24 Президент Клинтон, как сообщается, также одобрил тайную кибероперацию, нацеленную на финансовые активы президента Югославии Слободана Милошевича в европейских банках, хотя имеются противоречивые сообщения о том, действительно ли операция имела место.25 Однако в 2003 году, когда была предложена аналогичная кибератака с целью замораживания финансовых активов Саддама Хусейна, министр финансов США отклонил ее из опасения, что подобная атака может иметь каскадные последствия для других финансовых счетов на Ближнем Востоке, в Европе и Соединенных Штатах.26
  
  По сообщениям, в 2007 году США помогли Израилю в кибератаке, которая сопровождала бомбардировку комплекса Аль-Кибар в Сирии, предоставив разведданные о потенциальных уязвимостях в сирийских системах обороны. Как отмечалось ранее, прежде чем израильские пилоты достигли объекта, они вывели из строя сирийскую радиолокационную станцию вблизи турецкой границы, используя комбинацию электронных помех и высокоточных бомб. Но, по сообщениям аналитиков разведки США, израильтяне также взломали систему противовоздушной обороны Сирии, используя бортовую технологию для “электронной атаки ”воздух-земля", а затем проникли в систему через межкомпьютерные каналы связи.27 В недавнем отчете Управления подотчетности правительства США атаки "воздух-земля" описываются как полезные для достижения “в противном случае недоступных сетей”, к которым невозможно подключиться через проводное соединение.28
  
  В 2011 году, во время гражданского восстания в Ливии, также были разговоры об использовании кибератак для отключения военных каналов связи этой страны и предотвращения обнаружения системами раннего предупреждения прибытия военных самолетов НАТО. Однако план был отменен, потому что не было достаточно времени для подготовки атаки. Необходимость более длительного времени подготовки является одним из основных недостатков цифровых операций — разработка атаки, которая не будет направлена на нецелевые гражданские системы, требует предварительной разведки и планирования, что затрудняет оппортунистические атаки.29
  
  Совсем недавно утечки от бывшего системного администратора АНБ Эдварда Сноудена предоставили некоторые из самых обширных представлений о теневых кибероперациях правительства в его асимметричной войне с террором. Документы описывают элитные хакерские силы АНБ в Форт-Миде и в региональных центрах в Джорджии, Техасе, Колорадо и на Гавайях, которые предоставляют киберкомандованию США инструменты атаки и методы, необходимые для контртеррористических операций. Но правительственные кибервойны также работали с ФБР и ЦРУ над операциями цифрового шпионажа, включая оказание помощи ЦРУ в отслеживании целей для его кампании по уничтожению беспилотников.
  
  Чтобы выследить Хассана Гула, сподвижника Усамы бен Ладена, который был убит в результате удара беспилотника в 2012 году, АНБ развернуло “арсенал инструментов кибершпионажа”, чтобы захватить контроль над ноутбуками, перекачивать аудиофайлы и отслеживать радиопередачи - все для определения того, где Гул может “спать” ночью, согласно документам Сноудена, полученным Washington Post.30 И с 2001 года АНБ также проникло в огромное количество систем, используемых пособниками Аль-Каиды в Йемене, Африке и в других местах для сбора разведданных, которые оно иначе не может получить с помощью программ массового сбора данных от интернет-компаний, таких как Google и Yahoo, или с помощью подводных кабелей и интернет-узлов.
  
  Однако подозреваемые в терроризме - не единственные цели АНБ. Операции против противников национальных государств также активизировались в последние годы. Согласно документам, в 2011 году АНБ провело 231 наступательную кибероперацию против других стран, три четверти из которых были сосредоточены на “первоочередных” целях, таких как Иран, Россия, Китай и Северная Корея. В рамках секретной программы стоимостью 652 миллиона долларов под кодовым названием GENIE АНБ, ЦРУ и специальные военные оперативники внедрили скрытые цифровые жучки в десятки тысяч компьютеров, маршрутизаторов и брандмауэров по всему миру для организации компьютерной сети эксплуатация, или CNE. Некоторые внедряются удаленно, но для установки других требуется физический доступ с помощью так называемого запрета — ЦРУ или ФБР перехватывает поставки оборудования от производителей и розничных продавцов, чтобы внедрить в них вредоносное ПО или установить поддельные чипы, прежде чем они попадут к клиенту. Жучки или имплантаты работают как “спящие ячейки”, которые затем можно включать и выключать удаленно, чтобы инициировать шпионаж по желанию.31 Большинство имплантатов созданы специализированным отделом операций доступа АНБ (TAO) и имеют кодовые названия, такие как UNITEDDRAKE и VALIDATOR. Они предназначены для того, чтобы открыть черный ход, через который хакеры АНБ могут удаленно исследовать зараженные системы и все остальное, что с ними связано, и устанавливать дополнительные инструменты для извлечения из них огромных объемов данных. Говорят, что имплантаты установлены таким образом, что они могут сохраняться в системах незамеченными в течение многих лет, благодаря обновлениям программного обеспечения и оборудования, которые обычно уничтожают их.32 В 2008 году АНБ располагало 22 252 имплантами, установленными в системах по всему миру. К 2011 году их число возросло до 68 975, а в 2013 году агентство ожидало установить 85 000 имплантатов, планируя увеличить их число до миллионов. Но смущение богатства, обеспечиваемого таким количеством имплантатов, создало проблему для АНБ. С таким количеством имплантатов, скрывающихся в системах по всему миру, шпионское агентство в прошлом не могло воспользоваться всеми машинами, находящимися под его контролем. Например, в 2011 году шпионы АНБ смогли в полной мере использовать только 10 процентов компьютеров, которые они скомпрометировали, согласно одному документу Сноудена. Чтобы исправить это, агентство планировало автоматизировать процесс с помощью новой системы под кодовым названием TURBINE, которая, как говорят, способна управлять миллионами имплантатов одновременно.33
  
  Однако все эти операции — от Косово до Сирии и Ливии, а также те, которые были раскрыты в документах Сноудена, — были сосредоточены на краже или искажении данных или использовании кибернетических методов для доставки физических бомб к цели. Ни одна из них не предусматривала цифровую атаку в качестве замены обычной бомбы. Это то, что сделало Stuxnet таким принципиально другим и новым.
  
  Stuxnet выделяется как единственная известная кибератака, которая привела к физическому разрушению системы. Но есть намеки на то, что Соединенные Штаты готовятся к другим. В октябре 2012 года президент Обама приказал высокопоставленным чиновникам национальной безопасности и разведки подготовить список иностранных целей — “систем, процессов и инфраструктур” — для возможной кибератаки, согласно сверхсекретной президентской директиве, обнародованной Сноуденом.34 Действительно ли Соединенные Штаты намерены напасть на них или просто хотят иметь планы на случай возникновения ситуации, неясно. Но такие операции, отмечается в директиве, могут предоставить ”уникальные и нетрадиционные“ возможности "для продвижения национальных целей США по всему миру с минимальным предупреждением противника или цели или вообще без него и с потенциальными последствиями, варьирующимися от незначительных до серьезных разрушений”.
  
  Всплеск наступательных операций и их планирование сопровождались таким же всплеском спроса на квалифицированных хакеров и инструменты атаки, необходимые АНБ для проведения этих операций. Хотя большинство имплантатов, используемых АНБ, разработаны собственными силами подразделением агентства TAO, в 2013 году АНБ также выделило 25,1 миллиона долларов на “тайные закупки уязвимостей программного обеспечения” у частных поставщиков, то есть специализированных фирм и крупных оборонных подрядчиков, которые составляют новый военно-промышленный комплекс, питающий серый рынок нулевого дня.35 Эта тенденция к правительственному аутсорсингу наступательных киберопераций видна в объявлениях о вакансиях, которые появились у оборонных подрядчиков в последние годы, ищущих, например, “разработчиков атак на Windows” или кого-то, кто умеет “анализировать программное обеспечение на предмет уязвимостей и разрабатывать код эксплойта”. В одном объявлении для оборонного подрядчика Northrop Grumman смело описывался ”захватывающий и быстро развивающийся научно-исследовательский проект" для “Наступательной операции в киберпространстве (OCO)”, оставляя небольшую двусмысленность в отношении характера работы. Другие более скрытны в своих намерениях, например, объявление Booz Allen Hamilton, подрядчика, на которого Сноуден работал в АНБ, в поисках “Целевого цифрового сетевого аналитика” для разработки эксплойтов “для операционных систем персональных компьютеров и мобильных устройств, включая Android, BlackBerry, iPhone и iPad”. Во многих списках вакансий среди требуемых навыков и знаний упоминаются CND (защита компьютерных сетей) и CNA (атака на компьютерные сети), что подчеркивает двойную ответственность, которую могут выполнять исследования уязвимостей и эксплойтов в АНБ. как обеспечение безопасности систем, так и их атака.
  
  Кто эти люди, заполняющие эти рабочие места? Иногда это такие люди, как Чарли Миллер, математик, упомянутый в глава 7 который был завербован АНБ для взлома кода и компьютера. И иногда это бывшие хакеры, разыскиваемые правоохранительными органами как за взлом правительственных систем США, так и шпионскими агентствами за их способность делать то же самое против противника. Нехватка высококвалифицированных кандидатов в профессиональные ряды, которые могут удовлетворить спрос на элитных кибервойнников, привела к тому, что военные и разведывательные службы набирают сотрудников на хакерских конференциях, таких как Def Con, где им, возможно, придется простить прошлые проступки хакера или снизить свои ожидания относительно офисной одежды и пирсинг на теле, чтобы привлечь самых отборных кандидатов. Один кодовый воин, нанятый правительственным подрядчиком, сказал интервьюеру, что он обеспокоен тем, что его история взлома правительственных систем США помешает ему работать с федералами, но кадровую компанию, которая его наняла, “похоже, не волновало, что я взломал наше собственное правительство много лет назад или что я курил травку”.36
  
  Он немного рассказал о работе, которую он выполнял в составе пятитысячной команды, которая работала в здании без опознавательных знаков в невзрачном офисном парке в Вирджинии. Рабочим было запрещено приносить мобильные телефоны или другую электронику в здание или даже оставлять их в своей машине.
  
  Как только он был принят на работу, компания предоставила ему список программ, которые они хотели, чтобы он взломал, и он быстро нашел основные дыры в безопасности во всех из них. По его словам, в распоряжении его группы было огромное хранилище уязвимостей нулевого дня — "десятки тысяч готовых к использованию ошибок” в программных приложениях и операционных системах для любой конкретной атаки. “Буквально, если вы можете назвать программное обеспечение или контроллер, у нас есть способы его использования”, - сказал он. Исправленные дыры их не беспокоили, потому что для каждой уязвимости, исправленной поставщиком, у них были другие, чтобы заменить ее. “Мы - новая армия”, - сказал он. “Вам может не нравиться то, что делает армия, но вы все равно хотите армию”.37
  
  Это расширение правительственных операций по поиску ошибок выдвигает на первый план важный вопрос, которому мало уделялось внимания, когда целевая группа министерства обороны впервые разрабатывала свою наступательную доктрину десять лет назад, и который даже сегодня получил мало общественного внимания и вообще не обсуждался в Конгрессе, а именно, вопросы этики и безопасности, связанные с накоплением уязвимостей и эксплойтов нулевого дня для обслуживания наступательных операций. Накапливая эксплойты нулевого дня для использования правительством в атаках, вместо того, чтобы передавать информацию о дырах поставщикам для исправления, правительство подвергло владельцев критически важных инфраструктур и пользователей компьютеров в Соединенных Штатах риску атаки со стороны криминальных хакеров, корпоративных шпионов и иностранных разведывательных агентств, которые, без сомнения, обнаружат и используют те же уязвимости для своих собственных операций.
  
  Как отмечалось ранее, когда исследователи обнаруживают уязвимости, они обычно сообщают о них общественности или частным образом соответствующему поставщику, чтобы исправления могли быть распространены среди пользователей компьютеров. Но когда военным и разведывательным агентствам нужна уязвимость нулевого дня для наступательных операций, последнее, что они хотят сделать, это исправить ее. Вместо этого они держат пальцы скрещенными, чтобы никто другой не обнаружил и не раскрыл его до того, как они закончат его использовать. “Если вы создали целый оперативный потенциал, основанный на существовании этой уязвимости, чувак, вы только что потеряли систему, в создание которой вы, возможно, вложили миллионы долларов и тысячи человеко-часов”, - сказал Энди Пеннингтон, консультант по кибербезопасности K2Share, на конференции в 2011 году. Пеннингтон - бывший офицер по системам вооружения в ВВС, чья работа до выхода на пенсию в 1999 году заключалась в рассмотрении новых технологий киберпространства и разработке оружия следующего поколения для ВВС.38 “Вы не собираетесь нанимать команды исследователей для поиска уязвимости, а затем размещать ее в Интернете, чтобы все видели, пытаетесь ли вы разработать [атаку для нее]”, - позже сказал он в интервью.39 “Мы вкладываем миллионы долларов в выявление уязвимостей, чтобы мы могли использовать их и сохранить наше тактическое преимущество”.
  
  Но это правительственная модель, которая опирается на то, чтобы держать всех уязвимыми, чтобы можно было атаковать лишь избранных — эквивалент отказа от вакцинации всего населения, чтобы несколько избранных могли быть заражены вирусом.
  
  Скорее всего, в то время как Stuxnet использовал четыре уязвимости нулевого дня для атак на системы в Иране, хакер или кибервойна из другого государства также использовали их. “Довольно наивно полагать, что с недавно обнаруженным нулевым днем вы единственный в мире, кто его обнаружил”, - сказал Говард Шмидт, бывший координатор по кибербезопасности в Белом доме и бывший исполнительный директор Microsoft. “Будь то другое правительство, исследователь или кто-то еще, кто продает эксплойты, вы можете иметь их самостоятельно в течение нескольких часов или нескольких дней, но вы уверены, что это не продлится долго”.40
  
  Конечно .Уязвимость LNK, которую использовал Stuxnet, уже была известна банковской банде Zlob в 2008 году, за два года до того, как Stuxnet ее использовал. Информация об уязвимости диспетчера очереди печати также была в открытом доступе, чтобы другие могли ее обнаружить и использовать.41 Кто знает, как долго другие нулевые дни, которые использовал Stuxnet, могли быть известны и использоваться другими в различных атаках? В 2007 году охранная фирма Immunity из Флориды определила, что в среднем эксплойт нулевого дня существовал в дикой природе 348 дней, прежде чем был обнаружен в системах. Те, у кого самый длительный срок службы, могут жить в подполье почти три года.42 Сегодня ситуация не сильно отличается: средняя продолжительность жизни нулевого дня составляет десять месяцев, а другие системы скрываются в неоткрытых системах целых два с половиной года.43
  
  Вскоре после вступления в должность в 2009 году президент Обама объявил, что кибербезопасность в целом и обеспечение безопасности критически важной инфраструктуры страны в частности являются главными приоритетами для его администрации. Но сокрытие информации об уязвимостях в системах США, чтобы их можно было использовать в зарубежных системах, создает раскол в правительстве, который противопоставляет агентства, которые копят и используют нулевые дни, тем, кто, как Министерство внутренней безопасности, должен помогать обеспечивать безопасность критически важной инфраструктуры США и правительственных систем.
  
  В своих выступлениях на конференции 2011 года Энди Пеннингтон признал, что в правительстве существуют “конкурирующие интересы”, когда дело доходит до проблемы уязвимости, но он сказал, что когда правительство обнаружило уязвимости, которые оно хотело использовать, оно использовало “скоординированное раскрытие уязвимостей” — своего рода ограниченное раскрытие — чтобы “облегчить защиту Соединенных Штатов” таким образом, который все еще позволял правительству сохранять способность атаковать. Он сказал, что министерство обороны “очень тесно сотрудничало с Microsoft на стороне предприятия”, а также с производителями систем управления , чтобы сообщить им об уязвимостях, обнаруженных в их системах. “Но я хотел бы еще раз подчеркнуть, что цель состоит в том, чтобы справиться с этим ... чтобы мы могли поддерживать операции”, - сказал он. С этой целью вы хотели бы быть “очень обдуманными [в] том, как вы раскрываете это и как это исправлено”.44 Хотя он не уточнил, о каком ограниченном раскрытии идет речь, другие предположили, что речь идет о предоставлении информации об уязвимостях администраторам Министерства обороны, чтобы они могли предпринять шаги для защиты военных систем от атак, в то же время скрывая ее от поставщика и общественности, чтобы злоумышленники не узнали о них. Сообщается также, что Microsoft заранее уведомляет правительство и частные компании, когда узнает о новых дырах в безопасности, обнаруженных в ее программном обеспечении, чтобы помочь правительству предпринять шаги по защите своих систем до выхода исправления. Но это в равной степени может послужить удобной подсказкой для АНБ, чтобы отменить любые эксплойты, уже используемые для атаки на эту уязвимость, — до того, как Microsoft обнародует ее публично, — или, наоборот, быстро использовать компьютеры, использующие уязвимость, до того, как она будет исправлена.45
  
  Грег Шаффер, бывший помощник министра внутренней безопасности, сказал NPR, что DHS, которая помогает защищать невоенные системы правительства, иногда получает помощь “от организаций, которые работают над наступательной миссией”, хотя он не указал, означает ли это обмен информацией с DHS об уязвимостях, чтобы их можно было исправить.46 Но “передадут ли они свою работу [нам] - это то, что они должны решить”, - сказал он. “Это не то, о чем мы беспокоимся”.
  
  Другой представитель DHS, однако, говорит, что не может припомнить, чтобы “когда-либо видел уязвимость, пришедшую к нам из министерства обороны в раскрытии.… Мы хотели бы, чтобы было раскрыто и скоординировано как можно больше уязвимостей, чтобы обеспечить нам наилучшую оборонительную позицию ”. Но, хотя было неприятно не получать такой информации, он признал, что это было “природой зверя”, если правительство все еще сохраняло свою способность атаковать противников, и он не видел никакого способа решить эту проблему.47
  
  Хотя информация об уязвимостях может не передаваться от атакующей стороны к обороняющейся стороне для исправления, на самом деле были случаи, когда уязвимости, обнаруженные обороняющейся стороной, передавались атакующей стороне. Это может произойти, например, для того, чтобы убедиться, что уязвимость в системе управления, которая уже используется АНБ или другими агентствами, не была раскрыта и исправлена слишком рано. Бывший сотрудник DHS сказал, что этот “процесс оценки уязвимостей” для систем управления, как это называется, начался через некоторое время после того, как в 2007 году был проведен тест генератора Aurora. С техпор уязвимости, которые правительственные исследователи находят в других системах управления, проверяются комиссией по ценным бумагам, чтобы убедиться, что их раскрытие не повредит текущим операциям. “Если кто-то использует это ... под своим руководством в законных целях ... что ж, нам придется сбалансировать необходимость раскрытия этого на основе ценности того, чтобы оставить это открытым на некоторое время”, - сказал бывший чиновник.
  
  Процесс обмена акциями в правительстве имеет давнюю традицию. Например, во время Второй мировой войны, когда британцы взломали германский код Enigma и обнаружили, что немцы преследуют конвои союзников, им пришлось взвесить преимущества перенаправления конвоев из—под атаки - и, таким образом, рискнуть сообщить немцам, что их код был взломан, — и стоимость потери конвоя для продолжения использования важного источника разведданных.
  
  В процессе разработки акций в США участвует центральный комитет, состоящий из представителей нескольких департаментов и агентств — Министерства обороны, Министерства юстиции, Государственного департамента, Национальной безопасности, Белого дома и разведывательного сообщества — и он разработан по образцу процесса, разработанного Комитетом по иностранным инвестициям в Соединенных Штатах, известного как процесс CFIUS, который оценивает последствия иностранных инвестиций в Соединенных Штатах для национальной безопасности.
  
  В случае уязвимостей программного обеспечения, например, если правительственные исследователи обнаруживают дыру в безопасности в ПЛК, который обычно используется, они представляют результаты в комитет, чтобы узнать, есть ли у кого-либо доля участия в нем. “Каждый имеет право голоса в отношении вероятности воздействия на компании или системы [из-за раскрытия уязвимости или нет]”, - сказал чиновник. “Все это делается по электронной почте в засекреченной сети, и все возвращаются и говорят "да" или "нет". И если будет "да", то мы обсудим это. Если все в порядке, тогда мы просто переходим к нашему обычному ответственному процессу раскрытия уязвимостей ”.
  
  На вопрос, передавало ли DHS когда-либо информацию об уязвимостях атакующей стороне, чтобы их можно было конкретно использовать, он сказал "нет". Но он признал, что сам акт обсуждения уязвимостей с комитетом по акциям может непреднамеренно дать членам идеи о новых уязвимостях для использования. Хотя он говорит, что никогда не слышал, чтобы кто-либо в комитете говорил представителю системы промышленного контроля не раскрывать публично уязвимость, чтобы они могли ее использовать, он признал, что они, вероятно, не были бы так откровенны по этому поводу. “Они, вероятно, просто будут молча делать заметки, и мы, возможно, никогда не узнаем [разработали ли они эксплойт для] этого”, - сказал он.
  
  
  
  1 Джон Аркилла и Дэвид Ронфельдт, “Кибервойна приближается!”, опубликованная RAND в 1993 году и переизданная в качестве главы 2 в книге Аркиллы и Ронфельдта В лагере Афины: подготовка к конфликту в информационную эпоху (RAND, 1997).
  
  2 Он выступал на Frontline телеканале PBS в 2003 году для его шоу “Кибервойна!”. Интервью доступно по pbs.org/wgbh/pages/frontline/shows/cyberwar/interviews/arquilla.html.
  
  3 Операция была сорвана системным администратором по имени Клифф Столл, который наткнулся на вторжение, исследуя источник семидесятипятицентовой разницы в оплате. Столл рассказывает об этой истории в своей ставшей классической книге "Яйцо кукушки: отслеживание шпиона в лабиринте компьютерного шпионажа" (Нью-Йорк: Doubleday, 1989).
  
  4 Джонатан Унгоед-Томас, “Как ковбой с потоком данных поставил США на грань войны”, Toronto Star, 1 января 1998 года.
  
  5 Информационная война включала в себя не только наступательные и оборонительные кибероперации, она также включала психологические операции, электронную войну и физическое уничтожение информационных целей.
  
  6 Книга на тридцати девяти страницах рассказывает об истории 609-го. Копия книги под названием 609 IWS: краткая история с октября 1995 по июнь 1999 года была получена по запросу FOIA и доступна по адресу securitycritics.org/wp-content/uploads/2006/03/hist-609.pdf.
  
  7 Джон “Суп” Кэмпбелл, выступающий в рамках дискуссии под названием “Уроки нашего киберп прошлого: первые военные кибернетические подразделения” в Атлантическом совете, 5 марта 2012 года. Кэмпбелл был первым командиром Объединенной целевой группы - Защита компьютерных сетей в декабре 1998 года, а позже был главным советником директора ЦРУ по военным вопросам. Стенограмму панельной дискуссии можно найти на atlanticcouncil.org/news/transcripts/transcript-lessons-from-our-cyber-past-the-first-military-cyber-units.
  
  8 Брэдли Грэм, “США изучают новую угрозу: кибератака”, Washington Post, 24 мая 1998.
  
  9 Там же.
  
  10 Некоторая информация о первой целевой группе и истории кибердеятельности вооруженных сил взята из интервью, взятого в марте 2012 года Джейсоном Хили, главой Инициативы по кибергосударственному управлению в Атлантическом совете в Вашингтоне, округ Колумбия, и первоначальным членом первой военной целевой группы по кибербезопасности. Хили также рассказывает об истории киберконфликта в книге, которую он редактировал, которая является одной из первых, в которой она рассматривается. См. Жестокая область: конфликт в киберпространстве, 1986-2012 годы (Ассоциация изучения киберконфликтов, 2013).
  
  11 Maj. Gen. Джеймс Д. Брайан, командующий-основатель JTF-Computer Network Operations, выступая на панели “Уроки нашего киберп прошлого: первые военные кибер-подразделения”.
  
  12 Эта и другие цитаты Сакса взяты из интервью автора, март 2012.
  
  13 “НАДЕЖДА” означает хакеров на планете Земля.
  
  14 Электронная война, которая относится к Первой мировой войне, включает в себя использование электромагнитной и направленной энергии для управления электромагнитным спектром для замедления систем противника. Атаки на компьютерные сети, напротив, определяются как операции, направленные на нарушение, отрицание, ухудшение качества или уничтожение информации, хранящейся на компьютерах и компьютерных сетях, или самих компьютеров или сетей, в соответствии с Директивой Министерства обороны 3600.1.
  
  15 Отредактировано автором: “ИО, ИО, мы приступаем к работе”, Cryptolog: Журнал технического здоровья (весна 1997): 9. Cryptolog - это внутренний ежеквартальный информационный бюллетень, выпускаемый сотрудниками АНБ и предназначенный для них, который включает в себя все: от обзоров книг до профилей сотрудников и технических статей на интересующие темы. В 2013 году агентство рассекретило выпуски, опубликованные в период с 1974 по 1999 год, и опубликовало их публично, хотя некоторые из них все еще отредактированы. Архив доступен по адресу nsa.gov/public_info/declass/cryptologs.shtml.
  
  16 Отредактировано автором, “Мысли о базе знаний для поддержки информационных операций в следующем тысячелетии”, Cryptolog: Журнал технического здоровья (весна 1997): 32.
  
  17 Уильям Б. Блэк младший, “Размышления вслух о киберпространстве”, Cryptolog: Журнал технического здоровья (весна 1997): 4.
  
  18 Автор отредактировал: “ИО, ИО, мы отправляемся на работу”.
  
  19 Уильям М. Аркин, “Мышь, которая рычит?” Washington Post, 7 июня 1999.
  
  20 В 1999 году Управление главного юрисконсульта Министерства обороны изучило ряд существующих договоров и международных законов и пришло к выводу, что не существует международно-правового принципа или свода, который четко регулировал бы виды киберопераций, предлагаемых военными. Управление главного юрисконсульта Министерства обороны, Оценка международно-правовых вопросов в информационных операциях, опубликованная в мае 1999 года, доступна по адресу au.af.mil/au/awc/awcgate/dod-io-legal/dod-lo-legal.pdf.
  
  21 В качестве примера того, насколько системы вооружения зависят от программного обеспечения, во время операции "Буря в пустыне" в 1991 году система противоракетной обороны Patriot, установленная в Дахране, Саудовская Аравия, не смогла перехватить приближающиеся ракеты "Скад" из-за проблемы с программным обеспечением в системе управления, которая заставила ее искать приближающиеся ракеты "Скад" в неправильном месте. В результате атаки "Скада" погибли двадцать восемь американских солдат. Смотрите “Проблема с программным обеспечением привела к системному сбою в Дахране, Саудовская Аравия”, Управление подотчетности правительства США, 4 февраля 1992 г., доступно по адресу gao.gov/products/IMTEC-92-26.
  
  22 Брайан, “Уроки из нашего киберп прошлого”.
  
  23 “Дорожная карта информационных операций”, датированная 30 октября 2003 года, представляет собой отчет на семидесяти четырех страницах, который был рассекречен в 2006 году, хотя страницы, посвященные компьютерным сетевым атакам, сильно отредактированы. Документ доступен по адресу http://information-retrieval.info/docs/DoD-IO.html.
  
  24 Интервью Аркильи на передовой “Кибервойна!”. В статье Washington Post указывается, что атаки на компьютеры, управляющие системами противовоздушной обороны в Косово, были запущены с самолетов, создающих электронные помехи, а не по компьютерным сетям с наземных клавиатур. Брэдли Грэм, “Военные борются с правилами кибербезопасности”, Washington Post, 8 ноября 1999.
  
  25 Джеймс Райзен, “Кризис на Балканах: подрывная деятельность; Секретный план, который, как говорят, нацелен на удержание власти Милошевичем”, Нью-Йорк Таймс, 18 июня 1999 года. В статье Washington Post говорится, что план так и не был реализован. “Мы прошли через тренировку, выясняя, как мы будем делать некоторые из этих кибернетических вещей, если нам придется их делать”, - сказал газете один высокопоставленный военный офицер. “Но мы никогда не продвигали ни одного из них”. Грэм, “Военные борются с Правилами кибербезопасности”.
  
  26 Джон Маркофф и Х. Санкер, “Остановленный иракский план ’03 иллюстрирует страх США перед риском кибервойны”, New York Times, 1 августа 2009 года. По словам Ричарда Кларка, именно министр финансов наложил на него вето. См. Ричард Кларк и Роберт Найк, Кибервойна: следующая угроза национальной безопасности и что с этим делать (Нью-Йорк: Ecco, 2010), 202-3. В целом, страны соблюдают негласное соглашение против манипулирования финансовыми системами и счетами из-за беспокойства по поводу дестабилизирующего воздействия, которое это может оказать на глобальные рынки и экономику.
  
  27 Дэвид А. Фалгам, Роберт Уолл и Эми Батлер, “Израиль демонстрирует электронное мастерство”, Неделя авиации, 25 ноября 2007 года. Статья больше не доступна на веб-сайте Недели авиации, но полностью сохранена на warsclerotic.wordpress.com/2010/09/28/israel-shows-electronic-prowess.
  
  28 “Электронная война: действия Министерства обороны, необходимые для усиления управления и надзора”, опубликованный Управлением подотчетности правительства США, июль 2012.
  
  29 Эрик Шмитт и Том Шанкер, “США обсудили кибервойну в плане атаки на Ливию”, New York Times, 17 октября 2011 года.
  
  30 Грег Миллер, Джули Тейт и Бартон Геллман, “Документы раскрывают широкое участие АНБ в программе целенаправленных убийств”, Washington Post, 16 октября 2013.
  
  31 Бартон Геллман и Эллен Накашима, “Шпионские агентства США провели 231 наступательную кибероперацию в 2011 году, как показывают документы”, Washington Post, 30 августа 2013.
  
  32 АНБ достигает этого, устанавливая имплантат в BIOS компьютеров, а также в главную загрузочную запись — основные части жесткого диска, которые не стираются при обновлении или удалении программного обеспечения на компьютере. Смотрите “Интерактивную графику: каталог шпионов АНБ”, Spiegel Online, доступный по адресу spiegel.de/international/world/a-941262.html.
  
  33 В одном случае АНБ и штаб-квартира правительственной связи шпионского агентства Великобритании, или GCHQ, использовали сложный метод под названием Quantum Insert для взлома компьютеров бельгийских работников телекоммуникаций, чтобы получить доступ к сети телекома и маршрутизатору, который компания использовала для обработки трафика пользователей мобильных телефонов. Тщательно продуманная атака включала использование высокоскоростных серверов, которые АНБ установило в ключевых точках интернет-коммутации, для перехвата трафика системных администраторов, которые работали на телеком. Шпионские агентства сначала собрали обширные разведданные о работниках — их электронной почте адреса, IP-адреса и возможные привычки к серфингу — затем высокоскоростные серверы отслеживали запросы с компьютеров сотрудников на определенные веб-страницы, такие как страница профиля жертвы в LinkedIn. Когда жертва пыталась получить доступ к странице LinkedIn, сервер перехватывал запрос до того, как он достигал LinkedIn, и отправлял жертве поддельную страницу LinkedIn, которая внедряла вредоносное ПО в его компьютер. Оказавшись на компьютере системного администратора, шпионские агентства могли затем использовать его учетные данные для получения доступа к другим частям телекоммуникационной сети, чтобы подорвать маршрутизатор.
  
  34 Гленн Гринвальд и Юэн Макаскилл, “Обама приказывает НАМ составить список зарубежных целей для кибератак”, Guardian, 7 июня 2013. Восемнадцатистраничная Президентская директива 20 была выпущена в октябре 2012 года и относится к наступательным кибератакам как к операциям с наступательными киберэффектами.
  
  35 Геллман и Накашима, “Шпионские агентства США провели 231 наступательную кибероперацию”.
  
  36 Роджер А. Граймс, “Своими словами: признания кибервоина”, InfoWorld, 9 июля 2013 года.
  
  37 Там же.
  
  38 Пеннингтон выступал на конференции Industrial Control System-Joint Working Group в 2011 году. Конференция спонсируется Министерством внутренней безопасности.
  
  39 Интервью с автором, ноябрь 2011.
  
  40 Джозеф Менн, “Специальный доклад: стратегия кибервойны США порождает страх перед ответным ударом”, Reuters, 10 мая 2013 г., доступно по адресу reuters.com/article/2013/05/10/us-usa-cyberweapons-specialreport-idUSBRE9490EL20130510.
  
  41 Смотрите глава 6 для предыдущего упоминания о том, что эти две уязвимости уже были обнаружены другими, прежде чем авторы Stuxnet использовали их в своей атаке.
  
  42 Саммер Лемон, “Средняя продолжительность жизни ошибки нулевого дня составляет 348 дней, говорит исполнительный директор”, Служба новостей IDG, 9 июля 2007 г., доступно по адресу computerworld.com/s/article/9026598/Average_zero_day_bug_has_348_day_lifespan_exec_says.
  
  43 Роберт Лемос, “Атаки нулевого дня долговечны, предвещают массовую эксплуатацию”, Темное чтение, 18 октября 2012 года, доступно по адресу darkreading.com/vulnerabilities-threats/zero-day-attacks-long-lived-presage-mass-exploitation/d/d-id/1138557. Исследование проводилось компанией Symantec.
  
  44 Пеннингтон, Промышленные системы управления – Конференция совместной рабочей группы, 2011.
  
  45 Майкл Райли, “Американские агентства заявили, что обмениваются данными с тысячами фирм”, Bloomberg, 14 июня 2013 г., доступно по адресу bloomberg.com/news/2013-06-14/u-s-agencies-said-to-swap-data-with-thousands-of-firms.html.
  
  46 Том Йелтен, “Stuxnet повышает риск ”ответного удара" в кибервойне", Утренний выпуск, NPR, 2 ноября 2011 г., доступен по адресу npr.org/2011/11/02/141908180/stuxnet-raises-blowback-risk-in-cyberwar.
  
  47 Интервью с автором, 2012.
  
  OceanofPDF.com
  
  ГЛАВА 13
  ЦИФРОВЫЕ БОЕГОЛОВКИ
  
  Лиам О'Мерчу устал и заскучал. Он два часа сидел за своим столом, усердно подключая виртуальные аппаратные компоненты, деталь за деталью, к эмулятору Step 7, предпринимая последние попытки определить, что атакует Stuxnet, но ему не везло.
  
  Это было в начале октября, через несколько недель после того, как Ральф Ленгнер определил Stuxnet как высокоточное оружие, нацеленное на единственную цель, и обе команды — в Гамбурге и Калифорнии — теперь работали независимо, без ведома друг друга, чтобы определить цель цифрового оружия.
  
  Исследователи Symantec обнаружили, что прямо перед тем, как Stuxnet выпустил свою разрушительную полезную нагрузку на ПЛК 315, он проверил ПЛК на наличие трех “магических значений” — комбинаций цифр и букв, встроенных в блоки данных самого ПЛК. Когда Stuxnet столкнулся с 315 PLC, он прошелся по этим блокам в поисках магических значений 2C CB 00 01, 7050h и 9500h — и понял, что достиг своей цели, когда нашел все три.
  
  Эрик Чиен провел поиск в Google по значениям, но не нашел ничего, что имело бы смысл в контексте Stuxnet. Исследователи подозревали, что первым был какой-то элемент или серийный номер аппаратного компонента, который был подключен к ПЛК, поэтому О'Мерчу создал имитированную среду ПЛК Step 7, чтобы попытаться определить его идентичность. Система Step 7 включала функцию эмулятора для построения виртуальной сети ПЛК для тестирования различных конфигураций оборудования перед созданием реальной сети на заводе. Эмулятор содержал длинный список аппаратных средств компоненты, которые инженеры могут виртуально подключать к конфигурации по одному, просто нажимая на название в меню. Каждый раз, когда инженер выбирал элемент из списка, на экране появлялся идентификационный номер компонента. О'Мерчу надеялся, что таинственный 2C CB 00 01 был среди них. Но в течение двух часов он систематически подключал одно устройство за другим и все еще не нашел совпадения, перепробовав более сотни компонентов. Это начинало казаться бесполезным занятием, пока он не добрался до группы карт Profibus и Profinet в списке — устройств, которые передавали данные между ПЛК и компонентами, которыми они управляли. О'Мурчу нажал на карту Profibus CP 342-5, и вот так просто появилось значение.
  
  Однако карта Profibus была лишь половиной головоломки. Он все еще не знал, какими устройствами управляет ПЛК. Однако, воодушевленный этим небольшим успехом, он быстро подключил остальные компоненты из списка, но ни одно из других магических значений не появилось. Это не имело значения. В любом случае, они совершили большой скачок с этим новым открытием. Теперь они знали, что Stuxnet ищет систему с шестью подключенными сетевыми картами, и они знали, что это только вопрос времени, когда они разгадают остальную часть тайны конфигурации.
  
  Через ТРИ МЕСЯЦА после открытия Stuxnet остальной мир теперь знал о таинственном коде, который, очевидно, был нацелен на Иран. Тем не менее, предположение о том, что оно было специально нацелено на программу обогащения урана в Натанзе, оставалось всего лишь предположением. Инженеры Symantec собирались найти в коде необходимое им доказательство. Но сначала им нужен был ускоренный курс по ПЛК.
  
  Обнаружение того, что Stuxnet саботирует работу ПЛК Siemens, безусловно, стало большим прорывом для Фаллиера и его коллег. Но Ленгнер был прав в том, что они натолкнулись на стену в своих исследованиях и были загнаны в тупик ПЛК. “Мы быстро поняли, что ничего не знаем”, - говорит Чиен.1
  
  Если этого было недостаточно, обнаружив, что Stuxnet внедряет вредоносный код в ПЛК, Фаллиер также обнаружил, что у Stuxnet была не одна полезная нагрузка, а две. Stuxnet отправил двойные боеголовки для атаки на ПЛК, как спецназовцы. Один был нацелен на Siemens S7-315 PLC; другой нацелился на S7-417.
  
  В каждый ПЛК было внедрено всего несколько килобайт вредоносного кода, но взлом этого кода стал ключом к решению самой большой головоломки Stuxnet. Была только одна проблема. Код был написан в формате и на языке, которые Фаллиер не понимал. Ракетная часть Stuxnet была написана на C и C ++ и скомпилирована на Intel x86 assembly — наиболее распространенном и широко известном языке компьютерной ассемблера. Но цифровые боеголовки использовали непонятный язык программирования, уникальный для ПЛК Siemens, под названием STL.2 Для программирования ПЛК Siemens инженеры записывали свои команды на STL, затем преобразовывали их в MC7, язык ассемблера, перед компиляцией в двоичный файл, который могли читать ПЛК. Все это означало, что даже если Фаллиеру удастся преобразовать единицы и нули двоичного кода обратно в STL, он все равно не будет иметь ни малейшего представления о том, что там написано. Это было немного похоже на расшифровку зашифрованного сообщения знаменитой скульптуры ЦРУ Криптос, только чтобы обнаружить, что незашифрованное сообщение было написано на греческом. В анонсе Symantec от 17 августа они призвали всех, кто разбирается в ПЛК и STL, связаться с ними, но они не получили ответа.
  
  Им не нужно было бы обращаться за помощью к общественности, если бы Siemens могла им помочь, но, к сожалению, оказалось, что это не так. Чиен связался с компанией в начале их анализа и на протяжении месяцев, пока они работали над Stuxnet. Но всякий раз, когда он отправлял немецкой фирме вопросы о том, как работает система Step 7, Siemens требовались дни или недели, чтобы ответить. Обычно к тому времени исследователи Symantec самостоятельно находили ответ и готовили для Siemens новый набор вопросов.3
  
  Была также другая группа людей, которые могли бы им помочь. Лангнер и его команда преуспели в тех самых областях, которые ставили в тупик Symantec. Это было бы идеальным сочетанием навыков — Symantec с ее опытом в системах Windows и обратном проектировании вредоносного кода и команды Ленгнера с их обширными знаниями программного обеспечения Siemens и ПЛК. Но любые надежды на сотрудничество были быстро разрушены после краткого обмена электронной почтой между двумя группами, за которым последовала пара сообщений в блогах, что привело к недопониманию и плохим чувствам с обеих сторон. Это была ошибка в общении, которую можно было бы легко устранить быстрым телефонным звонком, но ни у одной из сторон не было мотивации делать это.
  
  В отсутствие какой-либо помощи исследователи Symantec сделали единственное, что они могли сделать — они купили несколько книг о STL онлайн и начали самостоятельно изучать, как работает код. По их мнению, лучший способ перепроектировать STL-код - научиться его писать.
  
  Каждый день в метро во время утренних и вечерних поездок на работу Фальер корпел над книгами, пытаясь разобраться в коде. Он мало продвинулся в течение нескольких дней, пока не обнаружил онлайн-инструмент с открытым исходным кодом, который кто-то создал для программирования ПЛК Siemens в качестве бесплатной альтернативы программному обеспечению Step 7. Фаллиер изучил инструмент, чтобы увидеть, как выглядел код STL, когда он был скомпилирован в MC7, а затем использовал это в качестве дорожной карты, чтобы использовать код Stuxnet MC7 в обратном порядке.
  
  Потребовались недели, чтобы разобраться с кодом, чтобы все изменить, и, когда он, наконец, это сделал, несколько килобайт двоичного файла, которые Stuxnet ввел в ПЛК, раздулись в более чем 4000 строк инструкций для атаки 315 и более 13 000 строк для атаки 417. Для Фалльера это было слишком большим и громоздким, чтобы читать в таком формате, не говоря уже о том, что он был слишком сложным для понимания. Поэтому он решил перевести это во что-то похожее на C-код, чтобы дать себе меньше и более простых команд для чтения. Однако все это давало ему только статическое считывание кода; без ПЛК он все еще не мог видеть атаку в действии. Итак, он написал небольшую программу для имитации ПЛК на своей машине с Windows и запустил в нее код. Благодаря этому и статическому считыванию перевернутого кода он, наконец, смог собрать атаку воедино.
  
  Одна из первых вещей, которая поразила его в атаке, заключалась в том, что она проходила в шесть этапов, которые повторялись в течение недель и месяцев. Как только атака была завершена, она восстановилась и началась снова. Это означало, что вместо того, чтобы нанести один удар, который привел бы к катастрофическому отказу, как первоначально предполагали исследователи, для чего был разработан Stuxnet, злоумышленники пошли на тонкий саботаж, который продолжался с течением времени. Это, в сочетании с атакой "человек посередине", которая скрыла саботаж от операторов, когда он произошел, кому-либо было бы трудно обнаружить и точно определить источник проблем. Нападавшие, как понял Фаллиер, рассчитывали оставаться незамеченными в течение нескольких месяцев, и действительно, они были.
  
  Первая часть атаки, этап разведки, длилась около тринадцати дней, в течение которых Stuxnet молча сидел на ПЛК, записывая обычные операции, чтобы передать эти данные операторам, когда начнется саботаж. Stuxnet записывал данные не реже одного раза в минуту и переходил к следующему этапу только после записи данных не менее 1,1 миллиона раз.
  
  Как только было записано достаточно данных, начался двухчасовой обратный отсчет. Затем, когда счет достиг нуля, начался саботаж. Однако это продолжалось всего пятнадцать минут, и как только это было сделано, нормальные операции с ПЛК и устройствами, которыми он управлял, возобновились. Затем, по истечении пятичасового интервала, вся последовательность началась снова, причем Stuxnet на этот раз ждал около двадцати шести дней, чтобы нанести удар, и записал вдвое больше данных, чем записал в первый раз. И когда диверсия началась на этот раз, она длилась пятьдесят минут вместо пятнадцати. Как и прежде, после диверсии операции вернулись к нормальному режиму еще на двадцать шесть дней, и весь цикл повторился снова. Каждый раз, когда после этого происходил саботаж, он длился от пятнадцати минут до пятидесяти минут, хотя этап разведки оставался двадцать шесть дней.
  
  Фаллиер понятия не имел, почему изменилась продолжительность диверсии или в чем разница между двумя последовательностями. Не зная, какие устройства подвергаются атаке, у него не было возможности узнать характер нападения. Это было немного похоже на то, как трассирующие пули летят по ночному небу, не имея ни малейшего представления, во что они попадут.
  
  ОКОНЧАТЕЛЬНЫЙ РАЗРЫВ в головоломке Stuxnet произошел в начале ноября, когда голландский программист по имени Роб Халсебос, эксперт по протоколу Profibus, отправил Чиену электронное письмо. Он отвечал — хотя и с опозданием — на второй призыв о помощи, который исследователи Symantec опубликовали в своем блоге, попросив всех, кто разбирается в картах Profibus и критически важной инфраструктуре, связаться с ними. Электронное письмо Халсебоса содержало всего два абзаца, в основном информацию о Profibus, которую Чиен уже знал, но одно предложение выделялось. Халсебос написал, что каждое периферийное устройство, подключенное к сетевой карте Profibus, имеет уникальный идентификатор, присвоенный ему Profibus. Каждый идентификатор имел размер около 2 байт, или 16 бит, писал Халсебос.
  
  Чиен напомнил, что два загадочных значения, которые они пытались взломать — 7050h и 9500h — составляли ровно 16 бит каждое.
  
  Он подошел к кабинету О'Мерчу и показал ему электронное письмо на своем BlackBerry. Пока Чиен с тревогой наблюдал за происходящим через его плечо, О'Мерчу провел поиск в Google по идентификаторам устройств Profibus и получил серию ссылок на брошюры о продуктах. Чиен указал на один из них - PDF-файл со списком устройств, обычно используемых с сетевыми картами Profibus. О'Мерчу открыл файл, и рядом с названием каждого устройства в списке был указан уникальный идентификатор Profibus, указанный в электронном письме. О'Мурчу прокрутил список вниз, пока не дошел до конца, и вот оно — одно из магических значений, которые они (и Stuxnet) искали — 9500h. Согласно руководству, идентификатор соответствовал марке преобразователя частоты, изготовленного компанией в Финляндии. Цзянь покопался на сайте в поисках информации о другом идентификаторе, но ничего не смог найти. Поэтому он написал электронное письмо Profibus с просьбой к компании идентифицировать 7050h. Он не ожидал ответа и был удивлен, когда получил ответ, в котором указывалось, что это преобразователь частоты, изготовленный иранской компанией.
  
  Преобразователи частоты - это источники питания, которые управляют электрическим током, подаваемым на двигатели и роторы, для модуляции их скорости. Увеличьте частоту привода, и скорость двигателя возрастет. Идентификатор 9500h был для преобразователя частоты, изготовленного компанией Vacon в Финляндии; идентификатор 7050h был неопределенной моделью преобразователя, изготовленного компанией Fararo Paya в Иране. О'Мурчу подозревал, что конвертеры Fararo Paya были иранской подделкой финского.4 Если это было так, то, вероятно, не было другого объекта за пределами Ирана, который использовал конвертеры от Fararo Paya.
  
  Они загрузили все, что смогли найти о преобразователях частоты, включая дюжину руководств для различных брендов. Ни в одном из них не было руководств по преобразователям Vacon и Fararo Paya, но в некоторых из них перечислялись команды для управления преобразователями, которые были идентичны для устройств разных марок. Одна из команд STL, которые Фаллиер извлек из кода Stuxnet, была “47F и 1”, и, конечно же, когда они посмотрели в одно из руководств, они нашли эти слова: “Чтобы запустить преобразователь частоты, отправьте слово 47F и установите значение в 1. Пальцы О'Мерчу зависли над клавиатурой, когда он читал строку вслух. Он не мог в это поверить. В течение четырех месяцев они пытались разгадать тайну того, что атакует Stuxnet, работая по ночам и выходным, чтобы понять, что он делает, и теперь, выполнив пару простых поисковых запросов в Google, они нашли свой ответ. Это было так же волнующе и отрадно, как и разочаровывающе.
  
  День подходил к концу, и они оба были измотаны, поэтому быстро отправили электронное письмо Фаллеру, сообщив ему, что они нашли, вместе с несколькими руководствами в формате PDF, показывающими команды. “Взгляните на это и посмотрите, найдете ли вы здесь что-нибудь, что работает”, - сказал Чиен Фаллиеру.
  
  Когда Фаллиер проснулся тем утром и увидел электронное письмо, он помчался в офис. Он вытащил список всех конфигурационных данных и команд, которые он извлек из Stuxnet, и просеял их рядом с руководствами. Прошло совсем немного времени, прежде чем он нашел совпадения для всех них. Он уже подозревал, что Stuxnet может изменять частоту чего—то на другом конце ПЛК - код атаки содержал цифры вроде 10640, которые, как он подозревал, были 1,064 Гц, выраженные в децигерцах. Теперь новая информация подтвердила это.
  
  Он использовал руководства для перевода всех команд Stuxnet и в течение часа или двух имел полный план атаки, который он отправил О'Мурчу и Чиену.
  
  Прежде чем Stuxnet начал атаку на ПЛК S7-315, он убедился, что система использует преобразователи частоты, изготовленные Vacon и Fararo Paya, и что преобразователи работают на частоте где-то между 807 Гц и 1210 Гц. Stuxnet искал установку, на которой было бы установлено до 186 преобразователей, все они работали выше 800 Гц. Преобразователи частоты использовались в ряде различных приложений, но преобразователи, работающие на частоте 600 Гц или выше, имели ограниченное применение — фактически, настолько ограниченное, что, когда Чиен провел поиск в Интернете, он обнаружил, что их экспорт в Соединенные Штаты регулируется Комиссией по ядерному регулированию. Теперь в этом не может быть никаких сомнений. Stuxnet нацелился на ядерный объект. Лангнер рискнул, утверждая, что Stuxnet нацелен на ядерную программу Ирана, но теперь у них были доказательства в коде, подтверждающие это.
  
  Цзянь был ошеломлен тем, как красиво все теперь встало на свои места.
  
  Они месяцами пытались расшифровать код, добиваясь прогресса в дюймах, а не в милях, беспокоясь, что они никогда не достигнут конца пути. Теперь, оглядываясь назад, все это казалось таким элегантным и завершенным. Решив последние детали, Фаллиер изложил пошаговое описание атаки от начала до конца.
  
  Как только Stuxnet обнаружил компьютер Step 7, он распаковал свой двойник Step 7 .DLL и похитил Siemens .DLL, чтобы занять его место. Затем он терпеливо ждал, пока программист запустит программу Step 7 для чтения или создания блоков кода для ПЛК S7-315. Затем Stuxnet внедрил свой вредоносный код в блоки и подождал, пока программист подключит свой ноутбук к ПЛК или скопирует команды на флэш-накопитель USB, чтобы передать их в ПЛК. Могут потребоваться дни или недели, чтобы вредоносные команды попали на ПЛК, но как только они это сделали, атака развернулась без сопротивления.
  
  После первоначального этапа разведки, записывающего данные в течение тринадцати дней, Stuxnet сначала увеличил частоту преобразователей до 1410 Гц в течение пятнадцати минут, затем снизил ее до 1064 Гц, предположительно нормальной рабочей частоты, примерно на двадцать шесть дней. Как только Stuxnet записал все данные, необходимые для записи в течение этих трех недель, он резко снизил частоту до 2 Гц на пятьдесят минут, прежде чем снова восстановить ее до 1064 Гц. Еще через двадцать шесть дней атака началась снова. Каждый раз, когда начинался саботаж, атака "человек посередине" передавала ложные показания частоты операторам и системе безопасности, чтобы они не видели, что происходит.
  
  SYMANTEC НАКОНЕЦ-то точно поняла, что Stuxnet делает с ПЛК S7-315. Но атака, нацеленная на ПЛК S7-417, оставалась загадкой. Два цифровых оружия прибыли с одной и той же ракетой, но действовали полностью независимо друг от друга.
  
  S7-417 был высокопроизводительным ПЛК Siemens, который поставляется с 30 мегабайтами оперативной памяти и ценой более 10 000 долларов по сравнению с примерно 500 долларами за S7-315. Как будто в соответствии с его более высоким статусом, атака, нацеленная на этот ПЛК, также была намного масштабнее, с гораздо большим количеством блоков кода — 40 блоков кода по сравнению с 15 блоками для атаки 315 - некоторые из которых были сгенерированы "на лету" на основе условий, которые Stuxnet обнаружил в системе, которую он атаковал.
  
  Код атаки 417 также был намного более сложным, как с точки зрения выполняемых шагов, так и с точки зрения условий, при которых была начата атака. Кроме того, у него были причудливые конструкции, из-за которых реверс-инжиниринг был сопряжен с огромными трудностями. Были указатели, ведущие к указателям, ведущим к указателям, что затрудняло отслеживание последовательности событий в коде. Разница в структуре между двумя атаками создавала впечатление, что коды были созданы совершенно разными командами с использованием разных инструментов.
  
  Злоумышленники, очевидно, вложили много мыслей и усилий в код 417, поэтому Фаллиер был озадачен, когда обнаружил, что он не работает — что на самом деле злоумышленники намеренно отключили его. В части кода, ответственной за снятие отпечатков пальцев с ПЛК 417, чтобы определить, соответствует ли его конфигурация целевой конфигурации, которую искал Stuxnet, злоумышленники вставили исключение — программный трюк, который включал в себя преднамеренную ошибку в коде, чтобы прервать миссию до ее начала. Более того, не было никаких признаков того, что атака когда-либо была активной. Stuxnet потребовалось сгенерировать важный блок кода "на лету", чтобы атака сработала, но код, который должен был создать этот блок, был неполным.
  
  Было неясно, отключили ли злоумышленники код, потому что он все еще находился в процессе разработки, или он был завершен в какой-то момент, а затем отключен по другой причине. Фаллиер вспомнил недавнюю новость со ссылкой на иранского чиновника, заявившего, что в Иране были обнаружены пять версий Stuxnet.5 Symantec и другие исследователи пока видели только три версии Stuxnet. Но, возможно, существовала ли в дикой природе другая версия Stuxnet, которая содержала полную версию атаки 417?
  
  Основываясь на подсказках, которые Фаллиер и его коллеги обнаружили в трех версиях Stuxnet, обнаруженных до сих пор, казалось, что на самом деле может существовать еще одна версия в дикой природе. Номера версий трех вариантов, например, не соответствовали друг другу. Злоумышленники сами пронумеровали их — вариант июня 2009 года был версией 1.001, в то время как варианты марта и апреля 2010 года были 1.100 и 1.101. Пробелы в цифрах свидетельствуют о том, что были разработаны, по крайней мере, другие варианты, включая версию 1,00, которая предшествовала всем трем уже идентифицированным, даже если они никогда не были выпущены в дикой природе.
  
  Независимо от того, что атаковал код 417, он отличался от атаки 315. В отличие от атаки 315, код 417 был нацелен на систему, которая состояла из 984 устройств, разделенных на шесть групп по 164. И во время атаки только 110 из 164 устройств в каждой группе подверглись саботажу. К сожалению, код 417 не содержал никаких магических значений, которые помогли бы команде Symantec идентифицировать объект атаки — например, те, которые помогли идентифицировать преобразователи частоты. Лангнер и его команда, которые проанализировали код 417 одновременно с Symantec, предположили, что код 417 может быть нацелен на сам каскад, а не на отдельные центрифуги, возможно, трубы и клапаны, которые контролировали подачу газа в каскады и из них. Но без дополнительных подробностей в коде, которые могли бы предоставить окончательные доказательства, ни Langner, ни Symantec не могли с уверенностью сказать, что делала атака 417. После месяцев работы и значительного прогресса в других отношениях всем им пришлось смириться с тем фактом, что они зашли в очередной тупик — казалось, что Stuxnet был полон решимости сохранить хотя бы одну из своих тайн.
  
  В отсутствие четкого понимания кода атаки 417 исследователи Symantec решили опубликовать то, что они знали, — это были окончательные детали атаки 315.
  
  Итак, 12 ноября 2010 года, ровно через четыре месяца после того, как VirusBlokAda впервые объявила об обнаружении кода Stuxnet, Symantec опубликовала сообщение в блоге, в котором сообщалось, что Stuxnet атакует очень уникальную конфигурацию определенных преобразователей частоты. “Требования Stuxnet к конкретным преобразователям частоты и рабочим характеристикам сводят количество возможных предполагаемых целей к ограниченному набору возможностей”, - написал Чиен в типичном для команды Symantec загадочном и осторожном стиле.6 Он никогда не упоминал иранскую ядерную программу по имени или даже центрифуги, но смысл его слов был ясен.
  
  Через четыре дня после публикации сообщения Symantec технические специалисты в Натанзе полностью остановили все вращающиеся центрифуги на заводе. На шесть дней, до 22 ноября, вся деятельность по обогащению на объекте прекратилась. Иранские официальные лица не предложили никаких объяснений внезапного замораживания, но исследователи Symantec подозревали, что администраторы на заводе разбирали компьютеры на части в поисках любых оставшихся следов Stuxnet. Хотя информация о черве была в открытом доступе в течение нескольких месяцев, до сих пор в откровениях не было конкретных какие устройства атаковал Stuxnet или как он проводил свою работу, и Stuxnet был тщательно разработан, чтобы кому-либо было трудно найти его вредоносный код на ПЛК или отследить саботаж до его источника. Однако в последнем отчете Symantec были представлены все доказательства, необходимые операторам, чтобы связать проблемы, с которыми они столкнулись в Натанзе, с цифровым оружием. Хотя антивирусные фирмы уже давно выпустили сигнатуры для обнаружения файлов Stuxnet, они могли обнаруживать только файлы на компьютерах с Windows, а не вредоносный код, который Stuxnet внедрил в ПЛК. И поскольку Stuxnet был похож на осьминога со множеством щупалец, помогающих ему распространяться, техническим специалистам в Натанзе пришлось бы стирать и восстанавливать каждую машину на заводе, чтобы полностью удалить упрямый код из своих систем.
  
  Теперь было ясно, что дни Stuxnet наконец-то закончились. Это не только больше не сможет повредить центрифуги в Натанзе, но и любые будущие проблемы с системами на заводе немедленно вызовут подозрение, что причиной был вредоносный код. Было бы гораздо сложнее осуществить подобную скрытую атаку в будущем без тщательного изучения систем управления.
  
  Теперь, когда почти все тайны Stuxnet разрешены, исследователи Symantec сосредоточились на приведении в порядок некоторых незаконченных деталей и завершении своего обширного досье о коде, прежде чем переключить свое внимание на другие вещи.
  
  Но через неделю после того, как остановленные центрифуги в Натанзе возобновили свою работу, история Stuxnet приняла более мрачный и зловещий оборот, предполагая, что усилия по срыву программы обогащения еще не были завершены. Если использование вредоносного кода больше не было жизнеспособным вариантом, в распоряжении злоумышленников все еще были другие способы остановить программу.
  
  ДВИЖЕНИЕ в ЧАС ПИК на бульваре Артеш в северной части Тегерана было особенно загруженным утром 29 ноября 2010 года, когда Маджид Шахриари, стройный сорокалетний профессор ядерной физики, маневрировал на своем седане Peugeot в пробке бампер к бамперу по пути на работу. В тот понедельник утром было всего семь сорок пять, но в воздухе уже висел слой смога, когда Шахрияри медленно продвигался к университету Шахида Бехешти, где он преподавал. С ним в машине были его жена, также профессор ядерной физики и мать двоих детей, и телохранитель.
  
  Когда седан приближался к оживленному перекрестку, нападавшие на мотоцикле внезапно остановились рядом с автомобилем Шахрияри и нагло прикрепили “липкую” бомбу к двери со стороны водителя. Через несколько секунд после того, как они улетели, бомба взорвалась, разбив заднее стекло автомобиля и оставив на двери со стороны водителя искореженное месиво из расплавленного металла. Шахрияри был мгновенно убит; его жена и телохранитель были ранены, хотя и спасены. Небольшая яма в асфальте рядом с автомобилем свидетельствовала о силе взрыва.7
  
  Вскоре после этого в другой части города Ферейдун Аббаси, пятидесятидвухлетний эксперт по разделению ядерных изотопов, также пробирался сквозь поток машин к тому же месту назначения, когда краем глаза заметил приближающийся мотоцикл. Секунду спустя он услышал характерный звук чего-то прикрепляемого к его двери. Аббаси был членом Революционной гвардии Ирана, поэтому его защитные инстинкты были более отточены, чем у Шахрияри. Он быстро выскочил из машины и вытащил свою жену с ее места. Хотя эти двое были ранены при взрыве бомбы, они оба пережили атаку.
  
  В новостных сообщениях указывалось, что двое ученых стали мишенью за их выдающуюся роль в ядерной программе Ирана. “Они плохие люди, - сказал впоследствии неназванный американский чиновник, - и работа, которую они выполняют, - это именно то, что вам нужно для разработки бомбы”.8
  
  Шахрияри был экспертом в области переноса нейтронов — необходимого для создания цепных ядерных реакций для реакторов и бомб - и в западных новостных сообщениях утверждалось, что только политические назначенцы занимали более высокое положение, чем Шахрияри, в ядерной программе Ирана. Глава ядерной программы Ирана Али Акбар Салехи сообщил журналистам, что он работал над “крупным проектом” для Организации по атомной энергии Ирана (AEOI), но не уточнил.9
  
  Аббаси был еще более важен для программы. Он был одним из немногих специалистов в Иране, которые имели опыт в разделении изотопов урана, что является основной частью процесса обогащения урана. Он также был в санкционном списке Совета Безопасности ООН за его роль старшего научного советника Министерства обороны Ирана и за его тесные рабочие отношения с Мохсеном Фахризаде-Махабади, офицером иранской революционной гвардии. Если у Ирана действительно была программа создания ядерного оружия, считалось, что Фахризаде-Махабади был ее архитектором.
  
  Президент Ахмадинежад, не теряя времени, возложил вину за нападения на “сионистский режим и западные правительства”.10 Саид Джалили, генеральный секретарь Высшего совета национальной безопасности Ирана, назвал атаки актом отчаяния бессильных врагов.11 “Когда враг не видит другого выхода, он прибегает к методам террора”, - сказал он. “Это признак не силы, а слабости”.12 После выздоровления Аббаси был назначен главой ОАЭИ, как бы подтверждая решимость Ирана достичь своих ядерных целей, несмотря на вражеские заговоры против него. Говорили, что Аббаси хранил фотографию Шахрияри в своем кабинете, чтобы напомнить ему об этой решимости.13
  
  Но два нападения на оживленных улицах средь бела дня возымели желаемый эффект и дали понять всем, кто причастен к иранской ядерной программе, что никто не находится в безопасности или вне досягаемости убийц. Сообщается, что другие иранские ученые несколько дней после взрывов работали по болезни, чтобы избежать участи своих коллег.14
  
  В ответ на обвинения Ахмадинежада Государственный департамент США выступил лишь с кратким заявлением. “Все, что я могу сказать, это то, что мы осуждаем террористические акты, где бы они ни происходили, и помимо этого, у нас нет никакой информации о том, что произошло”, - сказал представитель Филип Дж. Кроули.15 Израиль отказался отвечать, по крайней мере, напрямую. Вместо этого в день нападений премьер-министр Израиля Биньямин Нетаньяху объявил об отставке главы Моссада Меира Дагана после восьми лет службы в качестве руководителя шпионского агентства. Время объявления, казалось, наводило на мысль, что нападения на ученых и центрифуги в Натанзе были частью лебединой песни Дагана. Даган, как известно, предпочитал убийства как политическое оружие.16 После его назначения главой Моссада в 2002 году тогдашний премьер-министр Ариэль Шарон грубо похвалил его за умение отделять арабов от их голов.
  
  В день нападений на ученых президент Ахмадинежад, казалось, связал атаки со Stuxnet и предоставил то, что казалось первым официальным подтверждением того, что цифровое оружие поразило Натанз. Осудив Израиль и Запад за бомбардировки, он также обвинил их в вирусной атаке, которая, по его словам, была направлена против ядерной программы Ирана годом ранее. Вирус был внедрен в программное обеспечение, “установленное в электронных частях”, сказал он, и повредил некоторые из иранских центрифуг. Но он преуменьшил последствия атаки, заявив, что червь создал проблемы только для “ограниченного числа наших центрифуг”, прежде чем рабочие обнаружили и обездвижили его.17 Хотя он не назвал цифровую атаку по имени или объект, на котором были повреждены центрифуги, всем казалось очевидным, что он имел в виду Stuxnet и Natanz.
  
  Когда новости о нападениях на ученых дошли до Ральфа Ленгнера в Германии, его желудок упал. Он задавался вопросом, не подтолкнула ли работа его команды по разоблачению Stuxnet злоумышленников к принятию еще более решительных мер, чем он ожидал, когда их цифровая атака была раскрыта. Для него это подчеркнуло реальность того, что их работа над Stuxnet привела их в центр очень темного и кровавого бизнеса.
  
  Исследователи Symantec были не менее потрясены новостями. В течение нескольких месяцев, пока они работали над Stuxnet, в воздухе витали черный юмор и паранойя, побочный продукт неуверенности в том, кто стоит за атакой или на что они способны. О'Мерчу начал слышать странные щелкающие звуки на своем телефоне, заставляя его думать, что его прослушивают, и однажды в пятницу днем, когда он выходил из офиса, чтобы пойти домой, он пошутил Чиену и Фаллиеру, что, если он окажется мертвым в выходные, он хотел бы, чтобы они заранее знали, что он не склонен к самоубийству. Чьен, со своей стороны, каждое утро, выходя из дома, начал оглядываться по сторонам, чтобы убедиться, что за ним никто не следит. Однако он никогда всерьез не верил, что находится в опасности, и в тот день, когда появились новости о нападениях на ученых, он пошутил О'Мерчу, что, если мотоциклисты когда-нибудь приблизятся к его машине, он убьет водителя быстрым поворотом колес. Но когда в тот день он ехал с работы и остановился на первом светофоре, он на мгновение вздрогнул, увидев в зеркале заднего вида мотоциклиста, подъехавшего сзади.
  
  Никто из них на самом деле не думал, что убийцы будут нацелены на них за их работу в Stuxnet, но было ясно, что динамика поиска вирусов изменилась с появлением Stuxnet, и что перспективные компании, подобные их, будут вынуждены проводить новые расчеты рисков в отношении информации, которую они раскрывают.
  
  На разных этапах своей работы над Stuxnet они действительно время от времени обсуждали, скрывать ли информацию, которую они обнаружили, или обнародовать ее анонимно. В конце концов, хотя они и утаили некоторые найденные детали, такие как личность пяти первоначальных жертв Stuxnet, они решили в пользу раскрытия, полагая, что чем больше информации они обнародуют, тем лучше для всех будет защищаться от Stuxnet и любых атак подражателей. Они пришли к выводу, что была только одна вещь, которая заслуживала бы цензуры, и это была личность нападавших. Но, в конце концов, это был спорный вопрос, поскольку они так и не нашли окончательного доказательства того, кто стоял за атакой.
  
  На самом деле, они также так и не нашли неопровержимых доказательств того, что Stuxnet нацелился на Натанз. Хотя информация о преобразователях частоты добавила важную деталь к головоломке Stuxnet, они не нашли доказательств того, что в Натанзе существовала конкретная конфигурация, предназначенная Stuxnet. Потребовалось время Дэвиду Олбрайту и его коллегам из Института науки и международной безопасности, чтобы предоставить последние доказательства.
  
  SYMANTEC ОПУБЛИКОВАЛА СВОЙ последний отчет о преобразователях частоты в середине ноября, но только две недели спустя Олбрайт произвел окончательное подключение. Это случилось однажды в декабре, когда он сидел на совещании со своими сотрудниками в ISIS вместе с несколькими экспертами по центрифугам, которых они пригласили в свой офис, чтобы обсудить ядерную программу Ирана, и группа начала ломать голову над тайной, которая беспокоила их больше года.
  
  ИГИЛ опубликовало спутниковые снимки Натанза еще в 2002 году, чтобы оказать давление на Иран, чтобы позволить инспекторам ООН осмотреть обогатительную фабрику, и с тех пор Олбрайт и его сотрудники следили за ядерным прогрессом Ирана, иногда получая информацию из правительственных источников, но в основном черпая ее из ежеквартальных отчетов МАГАТЭ, опубликованных о его инспекциях. Последние сообщения были единственным внутренним взглядом, который большинство иранских наблюдателей имели на Натанз.
  
  В течение восемнадцати месяцев Олбрайт и его сотрудники ломали голову над колеблющимися цифрами, которые появлялись в отчетах. Каждые три месяца инспекторы перечисляли количество центрифуг и каскадов, установленных иранцами в Натанзе, а также количество центрифуг, которые фактически обогащали газ, в отличие от тех, которые просто стояли в каскадах пустыми. Они также сообщили о количестве газа, который иранские технические специалисты подали в центрифуги, и о количестве обогащенного газа, который центрифуги произвели из этого.
  
  На протяжении большей части 2007 и 2008 годов все эти цифры росли довольно стабильно с редкими сбоями. Но в середине-конце 2009 года цифры начали заметно меняться. Количество обогащенного газа, производимого центрифугами, внезапно упало, и центрифуги, которые когда-то вращались в одиннадцати из восемнадцати каскадов в одном из помещений в Натанзе, в конечном итоге были отключены. В отчетах не было никаких указаний на то, почему это произошло, хотя было ясно, что что-то не так.
  
  Олбрайт и его коллеги ломали голову над изменениями в течение многих месяцев, рассматривая данные с разных точек зрения: возможно, проблемы были вызваны некачественно изготовленными компонентами или некачественными материалами, или, возможно, техники просто неправильно установили трубы и клапаны в каскадах, в результате чего из них вытекал газ. Однако ни одно из объяснений, казалось, не объясняло всех изменений, которые они видели в отчетах. Теперь, в декабре 2010 года, когда они сидели со своими гостями, обсуждая аномалии, кто-то упомянул Stuxnet и Недавний отчет Symantec о преобразователях частоты. Олбрайт не читала отчет, но знала, что Иран использовал преобразователи частоты, произведенные Vacon, финской компанией, упомянутой Symantec, и что в прошлом она также закупала преобразователи в Турции и Германии. Но он никогда раньше не слышал о конвертерах Fararo Paya. Это было важно: он и его сотрудники внимательно следили за закупочной и производственной деятельностью Ирана для ядерной программы и не знали, что Иран производит свои собственные конвертеры. Если Иран использовал такие конвертеры в Натанзе, то злоумышленники знали о программе обогащения, которой не обладали даже некоторые из его ближайших наблюдателей.
  
  Когда совещание закончилось и он вернулся к своему столу, Олбрайт достал отчет Symantec, чтобы внимательно изучить его. Он также нашел отчет, написанный Ленгнером об отключенном коде атаки 417. Следующие пару недель он провел, разбираясь в технических деталях атак, и даже связался с Чиеном, чтобы получить объяснения по поводу некоторых вещей, которых тот не понимал. Однажды, когда они с Чиеном разговаривали, его поразило нечто, чего он раньше не замечал. Каждый раз, когда Stuxnet завершал цикл саботажа преобразователей частоты, он сбрасывал их частоту до 1,064 Гц. Число бросилось ему в глаза. Олбрайт знал, что двигатели центрифуг имеют разные оптимальные частоты для работы, в зависимости от модели центрифуги и материалов, из которых она была изготовлена. А оптимальная частота для центрифуг IR-1 в Натанзе составляла ровно 1,064 Гц.
  
  Более того, частота 1064 Гц была очень специфичной для центрифуг IR-1. Ни у одной другой центрифуги не было такой номинальной частоты, и ни одна страна за пределами Ирана не использовала их. (Хотя IR-1 были основаны на конструкции центрифуги P-1, которую Пакистан использовал в первые годы своей программы обогащения, Пакистан с тех пор перешел к более совершенным конструкциям, которые работали на разных частотах.)
  
  Однако оптимальная частота для IR-1 не была широко известна. Олбрайт знал об этом только потому, что правительственный источник сообщил ему в 2008 году. Но даже при том, что оптимальная частота составляла 1,064 Гц, источник сообщил ему, что Иран фактически эксплуатировал свои центрифуги на несколько более низкой частоте, которая, как узнали Олбрайт и его сотрудники, составляла 1,007 Гц, из-за их склонности к поломке при более высоких скоростях. Олбрайт на минуту задумалась об этом несоответствии. Либо злоумышленники Stuxnet не знали, что Иран внес это изменение, либо Иран снизил частоту своих центрифуг через некоторое время после того, как злоумышленники уже написали свой код.
  
  Но это была не единственная деталь, которая привлекла внимание Олбрайт. Он также заметил, что когда Stuxnet проводил свою атаку, он увеличил частоту преобразователей до 1410 Гц на пятнадцать минут, что было почти максимальной частотой, которую мог выдержать ротор IR-1, прежде чем он начнет разрушаться от напряжения.
  
  Затем он посмотрел на то, что написали Symantec и Langner о коде атаки 417. Хотя то, что они знали об атаке, было все еще довольно отрывочным, они знали, что она была нацелена на устройства, которые были сконфигурированы в шесть массивов по 164 устройства в каждом. Олбрайт знала, что центрифуги в Натанзе были установлены 164 в каскаде, что позволяет предположить, что атака 417 была нацелена на шесть каскадов, содержащих 984 центрифуги.
  
  Чиен также сказал Олбрайт, что вместо изменения частоты, как при атаке 315, последовательность атак 417, по-видимому, просто включает или выключает устройства. Олбрайт и его коллеги составили список компонентов на заводе по обогащению урана, которые могли бы соответствовать этому сценарию, и единственным, что имело для них смысл, были клапаны.
  
  Каждая центрифуга в Натанзе имела по три клапана, которые контролировали поступление газа в них и из них, плюс вспомогательные клапаны, которые контролировали поступление газа в каскад и из него, а также между рядами центрифуг в каскаде. Олбрайт и его сотрудники просмотрели различные сценарии, чтобы определить, что произойдет, если определенные клапаны будут открыты или закрыты со злым умыслом в течение длительных периодов времени, и в каждом сценарии результатом, вероятно, были повреждены или уничтожены центрифуги.
  
  Олбрайт было ясно, что они наконец нашли ответ на загадочные цифры, которые они видели в отчетах МАГАТЭ. В заявлениях, сделанных для прессы, Ахмадинежад настаивал на том, что ущерб, нанесенный центрифугам вирусом, отправленным Западом, был ограниченным. Но, по мнению Олбрайт, цифры, появившиеся в отчетах МАГАТЭ примерно в то время, когда Иран заявил о поражении вирусом, по-видимому, указывают на то, что за этот период могло быть повреждено или заменено по меньшей мере 1000 центрифуг.
  
  Олбрайт опубликовал статью, в которой излагал свои мысли, которые, казалось, должны были решить проблему Натанза раз и навсегда. Затем, вскоре после того, как он это сделал, New York Times опубликовала статью, которая, казалось, разрешила самую давнюю загадку Stuxnet — кто ее создал и запустил. История никого не удивила своими выводами. В документе сообщалось, что Stuxnet был совместной операцией Израиля и Соединенных Штатов при небольшой помощи, разумной или иной, со стороны немцев и британцев.18
  
  Согласно истории, основанной на анонимных источниках, червь был написан американскими и израильскими программистами и протестирован в израильском комплексе Димона в пустыне Негев — месте, где в 1960-х годах разрабатывалась собственная незаконная программа создания ядерного оружия в Израиле. Димону пригласили установить испытательный стенд с контроллерами Siemens и центрифугами, которые были идентичны IR-1 в Натанзе, чтобы измерить эффективность червя при уничтожении вращающихся устройств. Но лаборатория США также сыграла свою роль в испытаниях. В 2004 году Национальная лаборатория Оук-Ридж в Теннесси получила несколько центрифуг P-1, по образцу иранских IR-1, и британцы, которые были партнерами в консорциуме Urenco, создавшем оригинальные конструкции центрифуг, возможно, сыграли свою роль. Когда испытания были завершены, Соединенные Штаты и Израиль совместно нацелились на машины в Иране.
  
  Когда его спросили о роли, которую Соединенные Штаты могли сыграть в Stuxnet, Гэри Самор, главный советник Обамы по оружию массового уничтожения и контролю над вооружениями, просто улыбнулся репортеру Times и сказал: “Я рад слышать, что у них проблемы с их центрифужными установками, и США и их союзники делают все возможное, чтобы усложнить ситуацию”.19
  
  Новости об участии США в разработке и выпуске цифрового оружия должны были вызвать переполох в Вашингтоне и в других правительственных кругах за его пределами. Но в основном это было встречено молчанием, несмотря на то, что это вызвало ряд тревожных вопросов — не только о рисках, которые это создало для критически важных инфраструктур США, которые были уязвимы для такого же рода атак, но и об этических и юридических соображениях развязывания разрушительной цифровой атаки, которая по сути была актом войны. Ральф Ленгнер был прав, подписав свой первоначальный пост о Stuxnet так, как он это сделал. С подтверждением, хотя и неофициальным, того, что за атакой стояли Израиль и Соединенные Штаты, мир теперь официально вступил в эпоху кибервойн.
  
  
  
  1 Это и все цитаты из Chien взяты из интервью автора в 2010 и 2011 годах.
  
  2 “STL” означает язык программирования списка инструкций.
  
  3 Цзянь понятия не имел, почему Siemens не реагирует более оперативно. Возможно, компания не считала проблему срочной, поскольку только около дюжины клиентов Siemens сообщили о заражении Stuxnet. Возможно также, что Siemens не привыкла отвечать на подробные вопросы о своем программном обеспечении. Исследователи Symantec не задавали вопросов, на которые легко могли бы ответить представители продукта; это были фундаментальные инженерные вопросы о том, как работает код Siemens. Это потребовало от компании разыскать программистов, которые работали над системой Step 7. Но это также возможно, что Siemens вел себя относительно тихо в Stuxnet, потому что компания не хотела разжигать дискуссии о своем бизнесе в Иране. Недавно компания оказалась в затруднительном положении после того, как в Дубае была изъята партия ее контроллеров, направлявшихся в Иран для участия в программе обогащения урана. Еще одна партия процессоров Siemens Turbo была перехвачена в Гамбурге экспортными властями, когда она направлялась в Иран. Обе эти поставки нарушили экспортный контроль Европейского союза, запрещающий продажу оборудования двойного назначения в Иран без соответствующего разрешения. Siemens утверждал, что он не знал поставки направлялись в Иран, но инциденты в конечном итоге вынудили генерального директора компании объявить в январе 2010 года, что Siemens не будет начинать никаких новых деловых отношений с Ираном после середины 2010 года. Когда Stuxnet был обнаружен в Иране несколько месяцев спустя, относительное молчание Siemens о коде, возможно, было отчасти попыткой не разжигать дискуссию о том, как его контроллеры вообще оказались на заводе по обогащению урана. Были сотрудники Siemens, которые призывали компанию принять более активное участие в изучении Stuxnet, но их заставили замолчать. Siemens, по сути, хотел, чтобы проблема была устранена, и надеялся, что Symantec и другие исследователи сдадутся.
  
  4 Потому что Иран стал жертвой саботажа в 2006 году, когда, по сообщениям, были саботированы детали, закупленные у Турции для его ядерной программы (см. эта страница), иранские официальные лица, возможно, решили, что им необходимо производить свои собственные преобразователи частоты, чтобы избежать диверсантов, которые нацелились на цепочку поставок и манипулировали теми, которые они купили за границей.
  
  5 Смотрите эта страница.
  
  6 Эрик Чиен, “Stuxnet: прорыв”, блог Symantec, 12 ноября 2010 г., доступен по адресу symantec.com/connect/blogs/stuxnet-breakthrough.
  
  7 “Иранский ученый-ядерщик погиб в результате нападения на мотоцикле”, Би-би-си, 29 ноября 2010 г., доступно по адресу bbc.co.uk/news/world-middle-east-11860928.
  
  8 Уильям Йонг и Роберт Ф. Уорт, “Взрывы на улицах Ирана поразили экспертов по атомной энергии”, New York Times, 29 ноября 2010 года.
  
  9 Там же.
  
  10 Там же.
  
  11 Дитер Беднарц и Ронен Бергман, “Теневая война Израиля с Ираном: Моссад обнуляет ядерную программу Тегерана”, Spiegel Online, 17 января 2011 г., доступно по адресу spiegel.de/international/world/israel-s-shadowy-war-on-iran-mossad-zeros-in-on-tehran-s-nuclear-program-a-739883.html.
  
  12 “Главный переговорщик Ирана по ядерной программе: "Мы должны постоянно быть начеку", Der Spiegel, 18 января 2011.
  
  13 Шахрияри и Абасси были не первыми иранскими учеными, ставшими мишенью. В 2007 году Ардешир Хассанпур, физик-ядерщик, работавший на заводе по переработке урана в Исфахане, умер при загадочных обстоятельствах, хотя сообщалось, что его смерть произошла в результате несчастного случая на производстве. Затем, за десять месяцев до смерти Шахрияри, его коллега Масуд Алимохаммади был убит в результате взрыва автомобиля. Иран обвинил Моссад в организации нападения на Алимохаммади, но позже возникли вопросы, когда в новостных сообщениях выяснилось, что он вовсе не ученый-ядерщик, а специалист по теории квантового поля. В декабре того же года двадцатишестилетний кикбоксер по имени Маджид Джамали Фаши был арестован за преступление, а позже рассказал по иранскому телевидению странную историю о том, что был завербован и обучен Моссадом после посещения Турции в 2007 году. Он сказал, что ему заплатили 30 000 долларов авансом за убийство и пообещали еще 20 000 долларов после атаки. Иранские информационные агентства сообщили, что Фаши был казнен через повешение в мае 2012 года. В интервью 2014 года вдова Алимохаммади сказала, что ее муж действительно тайно работал над ядерной программой Ирана. См. Скотт Питерсон, “Тайная война против иранских ученых-ядерщиков: вдова вспоминает”, Christian Science Monitor, 17 июля 2014.
  
  14 В качестве дополнительной тактики запугивания иранский чиновник рассказал в интервью 2014 года, что Моссад однажды заказал у иранского флориста букет цветов для отправки семье иранского инженера-ядерщика с открыткой, выражающей соболезнования в связи с его смертью. Однако инженер был все еще жив и здоров. Шпионское агентство, по его словам, также создало видеоролики с поддельными иранскими новостными передачами, показывающими изображения убитых иранских ученых, и отправило видеоролики все еще живым ученым в качестве предупреждения. Смотрите “Как Запад проник в ядерную программу Ирана, объясняет бывший высокопоставленный ядерный чиновник”, Взгляд Ирана, 28 марта 2014, www.iransview.com/west-infiltrated-irans-nuclear-program-ex-top-nuclear-official-explains/1451.
  
  15 Йонг и Уорт: “Взрывы поразили атомных экспертов на улицах Ирана”.
  
  16 Сообщается, что премьер-министр Нетаньяху и министр обороны Эхуд Барак выгнали Дагана, потому что он выступал против авиаудара по Ирану.
  
  17 Йонг и Уорт: “Взрывы поразили атомных экспертов на улицах Ирана”.
  
  18 Уильям Броуд, Джон Маркофф и Дэвид Э. Сэнгер, “Израильское испытание червя, названное решающим в иранской ядерной задержке”, New York Times, 15 января 2011 года.
  
  19 Там же.
  
  OceanofPDF.com
  
  ГЛАВА 14
  СЫН STUXNET
  
  С приходом весны 2011 года история Stuxnet, казалось, подходила к концу. Symantec разрешила загадку устройств, на которые было совершено нападение с помощью цифрового оружия, Олбрайт установила окончательную связь между Stuxnet и центрифугами в Натанзе, и хотя правительство США все еще не сделало официального признания ответственности за атаку, New York Times подтвердила то, что все подозревали — что за этим стояли Соединенные Штаты и Израиль.
  
  Symantec, со своей стороны, была готова двигаться дальше. Исследователи потратили полгода на расшифровку кода и подготовили семидесятистраничное досье со всеми своими выводами. Они были рады наконец покончить с этим. Но они не успели надолго отложить проект, когда в Европе появились поразительные новые свидетельства — свидетельства, свидетельствующие о том, что Stuxnet был лишь одним из инструментов, которые злоумышленники использовали против Ирана и других целей.
  
  БОЛДИСАР БЕНЧАТ откусил от своего сэндвича и уставился на экран своего компьютера. Программное обеспечение, которое он пытался установить на свою машину, загружалось целую вечность, а ему еще предстояло сделать дюжину дел до начала осеннего семестра 2011 года в Будапештском университете технологии и экономики, где он преподавал информатику. Однако, несмотря на длинный список дел, он чувствовал себя счастливым и расслабленным. Это был первый день сентября, один из тех прекрасных дней позднего лета, когда теплый воздух и ясное небо заставляли забыть о том, что за углом подстерегает холодная осенняя погода.
  
  Бенцат, известный своим друзьям как Болди, сидел за своим столом в университетской лаборатории криптографии и системной безопасности, известной как CrySyS Lab, когда телефонный звонок прервал его обед. Это был Йоска Бартос, генеральный директор компании, для которой лаборатория иногда выполняла консультационную работу.1
  
  “Болди, у тебя есть время сделать что-нибудь для нас?” - Спросил Бартос.
  
  “Связано ли это с тем, о чем мы говорили раньше?” Бенчат сказал, ссылаясь на предыдущее обсуждение, которое они провели по поводу тестирования новых услуг, которые компания планировала предложить клиентам.
  
  “Нет, что-то еще”, - сказал Бартос. “Ты можешь прийти сейчас? Это важно. Но никому не говорите, куда вы направляетесь ”.
  
  Бенцат проглотил остатки своего обеда и сказал своим коллегам в лаборатории, что у него “красная тревога” и ему нужно идти. “Не спрашивай”, - сказал он, выбегая за дверь.
  
  Некоторое время спустя он был в офисе Бартоса, где была собрана команда сортировки для решения проблемы, которую они хотели обсудить. “Мы думаем, что нас взломали”, - сказал Бартос.
  
  Они обнаружили подозрительный файл на компьютере разработчика, который был создан поздно ночью, когда никто не работал. Файл был зашифрован и сжат, поэтому они понятия не имели, что внутри, но подозревали, что это были данные, которые злоумышленники скопировали с компьютера и планировали получить позже. Поиск в сети компании обнаружил еще несколько компьютеров, которые также были заражены. Команда сортировки была уверена, что они сдержали атаку, но хотела, чтобы Бенцат помог определить, как злоумышленники проникли и что они искали. У компании были все необходимые средства защиты — брандмауэры, антивирусы, системы обнаружения и предотвращения вторжений — и все же злоумышленники проникли внутрь.
  
  Бенцат был учителем, а не охотником за вредоносными программами, и никогда раньше не занимался такой криминалистической работой. В лаборатории CrySyS, где он был одним из четырех консультантов, работавших с несколькими аспирантами, он проводил академические исследования для Европейского союза и время от времени консультировал других клиентов, но последнее было в основном обычной работой по очистке — зачисткой и восстановлением систем после случайных вирусных заражений. Он никогда раньше не расследовал целенаправленный взлом, не говоря уже о том, который все еще действовал, и был взволнован таким шансом. Единственная загвоздка заключалась в том, что он не мог никому рассказать, что он делает. Компания Бартоса зависела от доверия клиентов, и если бы стало известно, что компания была взломана, они могли потерять клиентов.
  
  Команда сортировки сделала зеркальные изображения зараженных жестких дисков, поэтому они с Бенчатом провели остаток дня, изучая изображения в поисках чего-либо подозрительного. К концу дня они нашли то, что искали — комбинированный регистратор нажатий клавиш / infostealer, предназначенный для записи паролей и других нажатий клавиш на зараженных машинах, а также для кражи документов и создания скриншотов. Он также каталогизировал любые устройства или системы, которые были подключены к машинам, чтобы злоумышленники могли создать схему сетевой архитектуры компании. Вредоносная программа не сразу перекачивала украденные данные с зараженных компьютеров, а вместо этого сохраняла их на компьютерах во временном файле, подобном тому, который обнаружила команда сортировки. Файл становился все толще с каждым разом, когда информационный дилер поглощал данные, пока в какой-то момент злоумышленники не подключались к машине, чтобы получить его с сервера командования и контроля в Индии.2
  
  К настоящему времени день подошел к концу, поэтому Бенцат забрал с собой зеркальные изображения и системные журналы компании, после того как они были очищены от любых конфиденциальных данных клиентов, и в течение следующих нескольких дней просматривал их в поисках новых вредоносных файлов, все время скрывая от своих коллег в лаборатории, что он делает. Команда сортировки работала параллельно, и еще через несколько дней они обнаружили три дополнительных подозрительных файла, включая драйвер режима ядра, и еще один драйвер, который был найден в некоторых зараженных системах, но не в других.
  
  Когда Бенцат изучил драйвер ядра, его сердце забилось быстрее — он был подписан действительным цифровым сертификатом от тайваньской компании. Подожди минутку, подумал он. Stuxnet использовал драйвер, подписанный сертификатом тайваньской компании. Этот сертификат был получен от RealTek Semiconductor, но этот сертификат принадлежал другой компании, C-Media Electronics. Драйвер был подписан с сертификатом в августе 2009 года, примерно в то же время, когда Stuxnet был запущен на машинах в Иране.
  
  Могут ли эти две атаки быть связаны? он задумался. Он обдумывал это с минуту, но затем отбросил. Он рассуждал, что кто угодно мог украсть ключ подписи и сертификат C-Media, а не только злоумышленники, стоящие за Stuxnet.
  
  Затем член команды сортировки заметил кое-что еще в драйвере, который показался знакомым — способ, которым он вводил код в определенный процесс на зараженных машинах. “Я знаю только одну другую атаку, которая делает это”, - сказал он Бенчату. Ему не нужно было произносить название; Бенцат знал, что он говорил о Stuxnet. Но Бенцат также отклонил эту связь, поскольку он был уверен, что технология не была уникальной для Stuxnet.
  
  Еще дважды в течение следующих нескольких дней Бенцат и команда сортировки находили что-то в коде атаки, что напоминало им о Stuxnet. Но каждый раз они убеждали себя, что это просто совпадение. Молния просто не могла ударить дважды, рассуждали они. Кроме того, не было никаких признаков того, что эта новая атака нацелена на ПЛК.
  
  Проработав над проектом неделю, Бенцат начал задаваться вопросом, не был ли кто-нибудь еще заражен файлами, поэтому он решил посмотреть, сможет ли он выкурить других жертв или самих злоумышленников с помощью хитрого теста. 8 сентября он разместил хэши вредоносных файлов на своем личном веб-сайте, boldi.phishing.hu Вместе с загадочной запиской: “Ищу друзей [или] врагов 9749d38ae9b9ddd8ab50aad679ee87ec, о которых можно поговорить. Вы понимаете, что я имею в виду. Вы знаете почему ”. Его сайт, странный сборник рыбных рецептов и кулинарных обзоров рыбных консервов (доменное имя, фишинг (это каламбур от термина компьютерной безопасности, обозначающего вредоносную электронную почту) был идеальным прикрытием для публикации скрытого сообщения, поскольку единственный способ, которым кто-то мог найти хэши, — это специально выполнить поиск в Google, ища их - либо другая жертва, которая нашла те же файлы на своем компьютере и искала информацию о них в Интернете, либо сами злоумышленники, которые, возможно, захотят узнать, нашли ли какие-либо жертвы файлы и обсуждали их онлайн. Если бы кто-то зашел на его сайт в поисках хэшей, Бенцат смог бы увидеть их IP-адрес.
  
  К сожалению, он не клюнул на свою приманку, поэтому он удалил хэши через несколько дней.
  
  К этому времени начался осенний семестр, и Бенчат был занят другими делами. Ему нужно было вести занятия и проводить рабочее время со студентами. Он также должен был выступить с исследовательским докладом на конференции в Дубровнике. Но, несмотря на все это, атака не давала ему покоя в глубине души. Когда он вернулся в Будапешт после конференции, он и команда по сортировке решили сравнить код одного из драйверов, которые они обнаружили на своих машинах, с одним из драйверов, которые использовались с Stuxnet — просто чтобы раз и навсегда убедиться, что две атаки не связаны. Однако, когда они поместили коды в шестнадцатеричный редактор, чтобы изучить их параллельно, их ждал большой сюрприз. Единственным различием между ними были цифровые сертификаты, используемые для их подписи.
  
  Бенцат немедленно позвонил Бартосу, генеральному директору компании, и сказал ему, что ему нужно привлечь к расследованию других сотрудников лаборатории CrySyS. Это был уже не простой взлом; казалось, что это может быть атака на национальное государство с последствиями для национальной безопасности. Бартос согласился, но только при условии, что Бенцат не раскроет название компании никому из своих коллег. Единственными людьми, кроме Бенчата, которые знали, что компания была взломана, была Группа реагирования на компьютерные чрезвычайные ситуации местного правительства, и они были уведомлены только из-за характера бизнеса компании.3
  
  Бенцат планировал рассказать об этом своим коллегам в следующий понедельник. За выходные он собрал всю техническую литературу, которую смог найти в Stuxnet, включая подготовленное Symantec объемистое досье, и перечитал его, чтобы освежить свою память. Когда он дошел до части, в которой обсуждались процедуры шифрования, которые Stuxnet использовал для сокрытия своего кода, он поднял процедуры шифрования для новой атаки и получил еще один сюрприз. Они были почти идентичны. В новом коде атаки даже использовался один из тех же ключей дешифрования, что и в Stuxnet.4
  
  Затем он изучил шесть перехватов ядра, которые использовал новый код, — конкретные функции на компьютере, которые вредоносная программа подключила или перехватила для осуществления своей атаки, — и сравнил их с функциями, подключенными другими известными вредоносными атаками. Он нашел некоторые, которые подключали две или три одинаковые функции, но ни одна из них не подключала все шесть. Он просеял литературу по Stuxnet, чтобы изучить, что подключил Stuxnet, и вот оно — цифровое оружие подключило все шесть одинаковых функций. Теперь у него не было сомнений в том, что эти две атаки были связаны.
  
  Это не означало, что коды были написаны одними и теми же людьми, но было ясно, что создатели нового кода разработали свою атаку на основе того же исходного кода и фреймворка, которые использовались для разработки Stuxnet. Stuxnet саботировал программу Ирана по обогащению урана, но кто знал, что делала эта новая атака и сколько систем она заразила?
  
  Бенцат отправил электронное письмо Бартосу с сообщением о том, что он нашел. До сих пор они работали в неторопливом темпе, просматривая код всякий раз, когда у них было время. Но теперь он понял, что им нужно быстро определить, что за атака, и донести информацию до общественности, прежде чем кто-либо сможет их остановить. После того, как Symantec опубликовала свое исследование по Stuxnet, некоторые задавались вопросом, почему правительство США никогда не пыталось помешать им. Бенцат беспокоился, что на этот раз кто-то попытается вмешаться.
  
  На следующий день он рассказал своим коллегам, Левенте Буттьяну и Габору Пеку, об атаке. Все трое знали, что они не были оснащены для самостоятельного тщательного анализа файлов — никто из них никогда раньше не проводил подобный анализ вредоносных программ и не имел большого опыта использования средств отладки, необходимых для их обратного проектирования. Но они знали, что им нужно провести достаточный анализ, чтобы убедить других, более опытных исследователей взглянуть на это. Лаборатория CrySyS, как и VirusBlokAda, едва ли была знакомым именем в мире компьютерной безопасности, и им нужны были веские доказательства, чтобы связать атаку со Stuxnet, иначе никто другой не согласился бы ее исследовать.
  
  Они установили крайний срок в десять дней и решили сосредоточиться только на тех частях атаки, которые были похожи на Stuxnet. Но, к их удивлению, сходства оказалось больше, чем они ожидали. В конце десяти дней у них был отчет на шестидесяти страницах. Бартос дал Бенчату разрешение поделиться им с Symantec, но только при условии, что, если отчет станет достоянием общественности, лаборатория CrySyS в нем не будет названа. Бартош беспокоился, что если кто-нибудь узнает, что лаборатория находится в Венгрии, то опознание жертвы не займет много времени.
  
  Они отправили отчет в правительственный сертификат, Чиену и его команде в Symantec и нескольким другим — Петеру Шору, венгерскому исследователю McAfee; кому-то в VeriSign, потому что VeriSign потребуется отозвать цифровой сертификат, используемый вредоносным ПО; и исследователю в Microsoft.5 Сердце Бенчата бешено колотилось, когда он нажал Отправить отчет по электронной почте. “Я был действительно взволнован”, - говорит он. “Вы бросаете что-то с холма, и вы не знаете, какой тип лавины будет [в результате]”.
  
  
  КОГДА ЧИЕН ПРОСНУЛСЯ 14 октября, в пятницу, он сразу же потянулся к своему BlackBerry, чтобы проверить электронную почту. Тема одного сообщения привлекла его внимание. Оно гласило просто “важная вредоносная программа” и прилагалось к нему. Оно было отправлено двумя учеными-компьютерщиками из малоизвестной университетской лаборатории в Венгрии, которые написали на высокопарном английском, что они обнаружили новую атаку, которая имела “сильное сходство” со Stuxnet. Они назвали это “Duqu” (очередь росы) — потому что временные файлы, созданные вредоносным ПО на зараженных компьютерах, имели имена, начинающиеся с ~ DQ, и были уверены, что это “откроет новую главу в истории Stuxnet”.
  
  “Поскольку у нас пока нет опыта в такого рода инцидентах [sic], мы не уверены в следующих шагах, которые нам следует предпринять”, - написали они. “Мы готовы сотрудничать с другими, включая вас, предоставляя доступ к вредоносному ПО и участвуя в его дальнейшем анализе”.
  
  Чиен переслал электронное письмо остальным членам группы реагирования на инциденты в Symantec и отправил текстовое сообщение О'Мерчу, попросив его прочитать его, как только он проснется. Затем он направился в офис, чувствуя осторожное возбуждение.
  
  За последний год Цзянь стал опасаться людей, обращающихся к нему с ложными тревогами о новых наблюдениях в Stuxnet. Работая в антивирусной фирме, он уже привык к тому, что друзья и соседи обращаются к его опыту всякий раз, когда им кажется, что их компьютеры заражены вирусом. Но после того, как работа его команды над Stuxnet получила широкую огласку, случайные незнакомцы тоже начали связываться с ним, настаивая на том, что правительство шпионит за ними с помощью Stuxnet. Один парень даже отправил конверт, набитый пятьюдесятью страницами распечатанных скриншотов и журналов сетевого трафика, которые он выделил желтым. На одном из них он обвел URL посещенного им веб-сайта, который содержал буквы “ru / us” — доказательство того, что правительство США следит за его компьютером, сказал он.6 Другой корреспондент, женщина-автор кулинарной книги, отправила Чиену несколько электронных писем через Hushmail — анонимный зашифрованный почтовый сервис, используемый активистами и преступниками для сокрытия своей личности. Когда Чиен проигнорировал электронные письма, она отыскала его номер телефона и оставила сообщение. По ее словам, она тоже была уверена, что кто-то шпионит за ней с помощью Stuxnet, потому что каждый раз, когда она шла в библиотеку и вставляла там USB-накопитель в компьютер, ее домашний компьютер позже заражался вирусом с того же USB-накопителя.
  
  Несмотря на цинизм Чиена по поводу каждого нового заявления Stuxnet, которое попадало на его стол, ему достаточно было прочитать первые две страницы отчета из Венгрии, чтобы понять, что этот отчет отличается. “Это Stuxnet”, - сказал он с уверенностью.
  
  Несмотря на отсутствие опыта анализа вредоносного кода, венгры подготовили впечатляющий отчет, хотя и извинились за то, что “многие вопросы и проблемы остаются без ответа или без решения”. Они включили фрагменты декомпилированного кода, показывающие сходство Duqu со Stuxnet, и подготовили параллельный контрольный список, в котором выделено более десятка способов, которыми две атаки были одинаковыми или схожими. В этом коде не было атаки на ПЛК - фактически, не было никакой реальной полезной нагрузки вообще, если вы не считали кейлоггер полезной нагрузкой. Но отпечатки пальцев создателей Stuxnet были повсюду . Duqu был либо написан той же командой, которая стояла за Stuxnet, либо, по крайней мере, людьми, имеющими доступ к тому же исходному коду и инструментам.
  
  Чиен отправил Бенчату электронное письмо, чтобы сообщить ему, что они получили отчет, затем с тревогой ждал прибытия О'Мурчу, испытывая смешанные эмоции. Они долго надеялись, что они или кто-то другой найдет дополнительные подсказки, которые помогут им разрешить оставшиеся вопросы о Stuxnet. И Duqu выглядел так, как будто это могло бы дать некоторые ответы, которые они искали. Но их анализ Stuxnet потребовал месяцев работы, включая ночи и выходные, и он опасался, что новый код может потребовать того же количества времени и энергии.
  
  
  О'МУРЧУ ВСЕ ЕЩЕ был в полусне, когда увидел текстовое сообщение Чиена тем утром, но его сонливость быстро рассеялась, когда он открыл вложение и прочитал отчет. Нет ничего лучше, чем смотреть в дуло подозреваемого кибероружия, чтобы рассеять туман в вашем сознании. “Мне нужно попасть в офис”, - сказал он своей девушке, когда накинул одежду и выскочил за дверь.
  
  По дороге на работу он пытался осмыслить то, что только что увидел, и не мог поверить, что банда Stuxnet все еще активна. После всего внимания средств массовой информации, указывающих пальцем на Израиль и Соединенные Штаты, он был уверен, что нападавшие затаились на некоторое время, чтобы все остыло. По крайней мере, он думал, что они немного изменили бы свои методы и код, чтобы убедиться, что любая атака, которую они развязали в дальнейшем, не могла быть прослежена до них, если ее обнаружат. Но, судя по отчету из Венгрии, оказалось, что они вообще не потрудились изменить свои фирменные приемы. У них действительно были яйца, подумал он. Они были полны решимости сделать все, что должны были сделать, и им было все равно, кто знал, что это они. Либо это, либо они уже настолько увлеклись использованием кода Duqu, что не хотели заменять его даже после того, как Stuxnet был пойман.
  
  Когда О'Мерчу добрался до офиса, Чиен и их коллеги уже вовсю обсуждали новую атаку. Они связались с Фалльером, который к этому времени переехал из Парижа в Штаты и теперь работал в офисе Symantec в Северной Калифорнии. Они загрузили двоичные файлы для Duqu, которые отправили венгры, и работали над кодом в течение дня и выходных. Они были рады обнаружить, что Duqu был намного меньше, чем Stuxnet, и состоял всего из нескольких файлов, которые было довольно легко расшифровать. К понедельнику они знали практически все, что можно было знать о коде.
  
  Duqu был, по сути, троянцем удаленного доступа, или RAT, который действовал как простой запасной выход, чтобы дать злоумышленникам постоянную точку опоры на зараженных машинах. Однако, как только черный ход был установлен, Duqu связался с командно-контрольным сервером, с которого злоумышленники могли загрузить дополнительные модули для придания своему коду атаки большей функциональности, такие как регистратор нажатий клавиш / infostealer, который венгры обнаружили в одной из своих систем.
  
  Что касается намерений Duqu, было совершенно ясно, что это был не диверсант вроде Stuxnet, а инструмент шпионажа. В то время как Stuxnet был тайной операцией, нацеленной на уничтожение, Duqu, похоже, был передовым разведчиком, посланным собирать разведданные для будущих нападений. Symantec подозревала, что это предшествовало другой атаке, подобной Stuxnet. Однако срок службы Duqu был ограничен; дата уничтожения в коде вынудила его самоуничтожиться через тридцать шесть дней, удалив все следы себя с зараженной машины.7
  
  Все это казалось довольно простым, но, изучая файлы Duqu, они наткнулись на сюрприз, который, казалось, связывал это с другой загадочной атакой, которая озадачивала их в течение нескольких месяцев. Шестью месяцами ранее официальные лица в Иране объявили, что компьютеры там подверглись второй цифровой атаке вслед за Stuxnet. Объявление появилось через несколько месяцев после того, как иранские официальные лица наконец признали, что компьютеры, управляющие центрифугами в Иране, подверглись атаке. Хотя иранцы так и не определили конкретный вирус, поразивший центрифуги, они дали этой новой атаке название “Stars”. Голам-Реза Джалали, командующий Организацией гражданской обороны Ирана, не сказал, почему они назвали это Stars, и не предоставил много информации об атаке, кроме как сказать, что она была направлена на кражу данных. Он также сказал, что его, вероятно, “ошибочно приняли [на компьютерах] за исполняемые файлы правительства”, предполагая, что вредоносное ПО могло появиться в результате фишинг-атаки с прикрепленным вредоносным файлом, который маскировался под документ из правительственного источника.8
  
  Symantec и другие исследователи безопасности в то время не знали, что делать с отчетом, поскольку Иран не предоставил никаких образцов вредоносного ПО для изучения сторонними исследователями. Тот факт, что больше никто в мире не сообщал о заражениях от “Звезд”, заставил некоторых исследователей отклонить отчет, полагая, что Иран либо сфабриковал историю, чтобы обвинить Запад в запуске новых кибератак, либо просто перепутал обычный вирус с атакой на национальное государство.
  
  Но что-то, что они нашли в Duqu, подсказало, что это могут быть звезды. Когда злоумышленники Duqu отправили свой кейлоггер на зараженные машины, они внедрили его в файл .JPEG — обычный файл изображения — чтобы незаметно пропустить его через брандмауэры. Содержимое большей части изображения в этом файле было удалено, чтобы код кейлоггера мог быть спрятан внутри. В результате, когда О'Мерчу открыл файл, на экране появилось всего около дюйма изображения — оно состояло всего из нескольких слов белого текста, напечатанного на темном фоне. Слова были обрезаны, так что была видна только их верхняя половина, но их все еще можно было разобрать: “Взаимодействующая галактическая система NGC 6745”. Поиск в Google по словам показал всю картину — изображение, полученное в марте 1996 года с космического телескопа Хаббл. На поразительном изображении было изображено плотное скопление светящихся голубых и белых звезд, окутанных тонкой пеленой золотистого вещества и газов — последствия, как следует из подписи, “столкновения” двух галактик после того, как небольшая галактика звезд задела вершину более крупной. Возможно ли, что Duqu были таинственными “Звездами”, которые поразили Иран?9 Symantec и лаборатории CrySyS казалось, что это так.
  
  Symantec хотела обнародовать новости о Duqu, но прежде чем исследователи смогли это сделать, они работали с Bencsáth, чтобы очистить файлы образцов и отчет CrySyS от всего, что могло бы идентифицировать жертву или лабораторию.10 18 октября команда Symantec опубликовала анонимный отчет CrySyS, а также их собственный анализ Duqu, идентифицировав жертву только как “организацию, базирующуюся в Европе”, а лабораторию CrySyS как “исследовательскую лабораторию с сильными международными связями”.11
  
  В течение часа после анонса Бенцат получил первый доступ к своему личному веб-сайту от кого-то, кто искал хэши, которые он опубликовал неделями ранее. Хотя он удалил их со своего сайта, Google cache сохранил его сообщение, и форумы онлайн-безопасности гудели от вопросов об удаленном сообщении. На следующий день он получил более четырехсот обращений к своему домену, поскольку быстро распространился слух, что этот странный венгерский сайт о рыбных консервах каким-то образом связан с Duqu. На сайте не было контактной информации о Бенчате, но кому-то не потребовалось много времени, чтобы просмотреть регистрацию домена сайта и найти его имя. Оттуда потребовался всего лишь простой поиск в Google, чтобы связать его с лабораторией CrySyS.
  
  На данный момент было бесполезно скрывать личность лаборатории, поэтому 21 октября Бенцат опубликовал краткое заявление на веб-сайте лаборатории, признав их роль в обнаружении Duqu, и призвал всех прекратить спекулировать о личности жертвы. Однако для этого было слишком поздно. Слух о том, что жертвой Duqu стал центр сертификации в Европе, уже распространился после того, как Петер Шор, исследователь McAfee, который получил первоначальный отчет Бенцата, написал сообщение в блоге под названием “День золотого шакала”, в котором говорилось, что Duqu нацелился на сертификат власти и рекомендующие центры сертификации проверить свои системы, чтобы убедиться, что они не были заражены. Поскольку лаборатория CrySyS находилась в Венгрии, люди предположили, что жертва тоже была. И поскольку в этой стране было всего несколько центров сертификации — NetLock и Microsec e-Szigno были основными — нескольким исследователям не потребовалось много времени, чтобы определить NetLock как жертву, хотя никто из них не обнародовал эту новость.12
  
  Последствия были тревожными. Центры сертификации лежат в основе доверительных отношений, которые обеспечивают функционирование Интернета. Они выдают сертификаты, которые правительства, финансовые учреждения и компании используют для подписи своего программного обеспечения и веб-сайтов, предоставляя пользователям уверенность в том, что они загружают законную программу, созданную Microsoft, или вводят учетные данные для входа в свою учетную запись на законном веб-сайте, управляемом Bank of America или Gmail. Атака на такой орган власти позволила бы злоумышленникам выдать себя за законного сертификаты на имя любой компании и используйте их для подписи вредоносных программ. Это вышло за рамки тактики Stuxnet по компрометации отдельных компаний, таких как RealTek, JMicron и C-Media. Если Duqu был делом рук Соединенных Штатов или Израиля, это означало, что страна НАТО или союзник скомпрометировали фундаментальную часть надежной инфраструктуры, которая делала возможными транзакции в Интернете, и все это ради продвижения секретной кампании. Если за атакой стояли Соединенные Штаты, это также означало, что в то время как одна ветвь правительства рекламировала важность обеспечения безопасности критической инфраструктуры дома и разработки приемлемых норм поведения в Интернете, другая была занята компрометацией критически важных систем, принадлежащих союзнику по НАТО, которые были важны для безопасности Интернета, и установлением сомнительных норм поведения, которые другие будут копировать. Но поскольку личность жертвы так и не была раскрыта на момент разоблачения Duqu, общественности было отказано в возможности обсудить эти вопросы.
  
  Несмотря на упущение этой важной детали, когда появились новости о Duqu, это вызвало у сообщества безопасности совершенно иную реакцию, чем у Stuxnet. Исследовательские группы, которые сидели на трибунах, в то время как Symantec месяцами работала над расшифровкой полезной нагрузки Stuxnet, быстро взялись за код Duqu, чтобы изучить его — отчасти потому, что он был менее сложным, чем Stuxnet, и не имел полезной нагрузки PLC, но также потому, что они видели, что дало им сидение в стороне. Stuxnet ознаменовал начало новой эры, и многие исследователи предпочли отсидеться.13
  
  Одной из охранных фирм, которая на этот раз не осталась в стороне, была "Лаборатория Касперского" в России. Исследователи Касперского не сидели сложа руки, когда был обнаружен Stuxnet; они провели обширную работу по расшифровке части атаки Windows и были первыми частными исследователями, обнаружившими дополнительные нулевые дни в Stuxnet и сообщившими о них Microsoft. Но, помимо его зверинца эксплойтов, они не считали Stuxnet особенно интересной угрозой. Незнакомый код ПЛК был препятствием для изучения полезной нагрузки, и в конечном итоге они решили, что от его расшифровки мало что можно получить. Итак, как только они завершили анализ ракетной части, они двинулись дальше. Но они не собирались повторять эту ошибку снова.
  
  КОСТИН РАЙУ, ДИРЕКТОР группы глобальных исследований и анализа Касперского, был в Пекине, когда появились новости о Duqu, готовясь сесть на утренний рейс в Гонконг для встречи. Его первой мыслью было позвонить своим коллегам в Москву, но они все еще спали. Поэтому перед посадкой на самолет он быстро загрузил файлы Duqu, предоставленные Symantec исследователям, и изучил их во время полета.
  
  Как только он приземлился в Гонконге, он связался с Александром Гостевым в Москве, молодым высококвалифицированным реверс-инженером и главным исследователем вредоносных программ компании. Symantec и лаборатория CrySyS тщательно изучили файлы Duqu, но Райу и Гостев подозревали, что из угрозы можно извлечь гораздо больше информации, и они были правы.
  
  Им сразу стало ясно, что Duqu - это работа опытных программистов. Код заметно отличался от других шпионских программ, которые появлялись на их рабочих столах — Райу сравнил это с разницей между "Звездной ночью" Винсента Ван Гога и любительским изображением звездной ночи студентом художественной школы. Мастерские мазки и гениальность кода были очевидны опытному глазу.
  
  Райу был тридцатитрехлетним румыном, который работал на Касперского в крошечном офисе в Бухаресте вместе с еще одним исследователем и горсткой маркетологов. У него были темные, коротко подстриженные седеющие волосы и зрелость и мудрость, которые противоречили его возрасту. Последнее сделало его естественным наставником для молодых членов его исследовательской группы. У него также было спокойное поведение, подобное поведению Будды, которое хорошо служило ему под давлением, когда они одновременно управляли несколькими сложными проектами. Это было качество, которое оказалось неоценимым в течение многих месяцев, которые последовали, поскольку исследования его команды в отношении банды Stuxnet-Duqu активизировались, и они начали привлекать внимание спецслужб.
  
  Райу присоединился к компании в 2000 году в возрасте двадцати трех лет, когда в ней работало всего несколько десятков сотрудников. Его наняли для работы над проектом Prague, название, которое компания дала антивирусному движку следующего поколения, который она создавала.
  
  Выросший в коммунистической Румынии Райу увлекался не компьютерами, а химией. Он был очарован реакцией воспламенения определенных химических веществ при смешивании и фундаментальными знаниями, которые дает химия о природе и структуре мира. Но когда один из его экспериментов чуть не взорвал квартиру его родителей, они купили ему компьютерный клон местного производства, чтобы направить его к менее смертоносным занятиям. Это было незадолго до того, как он сам научился программированию и, будучи еще подростком, с нуля разработал антивирусный движок под названием RAV.
  
  Его работа над RAV началась, когда сеть его средней школы была заражена вирусом, который не обнаружил школьный антивирусный сканер. Райу провел ночь, записывая подписи и создавая инструмент обнаружения для него. Со временем он добавил больше кода и функций и в конце концов начал распространять его бесплатно под названием MSCAN. Когда стало известно о его создании, румынский предприниматель нанял его для работы в своей компании GeCad Software, которая начала продавать его программу под названием RAV для румынского антивируса. Он быстро стал самым продаваемым продуктом компании, надежно опережая конкурентов в тестировании за тестированием, что привлекло внимание Microsoft. В 2003 году софтверный гигант приобрел RAV у GeCad, но к тому времени Raiu уже перешел на работу в Kaspersky.14
  
  В то время "Лаборатория Касперского" была относительно неизвестна в Соединенных Штатах, где Symantec и McAfee доминировали на рынке антивирусных программ. Будучи российской фирмой, Касперский столкнулся с недоверием на Западе, особенно с тех пор, как основатель Евгений Касперский прошел обучение в институте, поддерживаемом КГБ, и служил в российской военной разведке. Но компания постепенно сделала себе имя в Восточной Европе и в других местах, особенно на Ближнем Востоке, где Соединенные Штаты и американские фирмы столкнулись с аналогичной битвой недоверия.
  
  Райу начинал с Касперского в качестве программиста, но в 2004 году, когда компания создала исследовательскую группу для расследования и обратного проектирования вредоносных программ, Райу присоединился к группе. В 2010 году он стал его директором, руководя исследовательскими группами на нескольких континентах. Теперь, с открытием Duqu, несколько из этих команд приступили к действиям.
  
  Технической работой руководил Гостев, худощавый аналитик с короткими светло-каштановыми волосами и легкой сутулостью, которая наводила на мысль о тех часах, которые он проводил, сосредоточенно склонившись над компьютером. Когда он и его коллеги изучали код, их поразил ряд вещей.
  
  Особенно интересной частью был компонент, который злоумышленники использовали для загрузки дополнительных модулей полезной нагрузки на компьютер жертвы для перекачки данных. В отличие от любого другого модуля Duqu и Stuxnet, этот модуль был написан не на C или C ++, а на языке, который Гостев и Райу никогда раньше не видели. Они неделями пытались идентифицировать его и даже консультировались со специалистами по языкам программирования, но так и не смогли разобраться. Поэтому они опубликовали призыв о помощи в своем блоге и, наконец, смогли прийти к выводу, собрав воедино кусочки улик, что злоумышленники использовали редко используемый пользовательский диалект C, а также специальные расширения, чтобы исказить код и сделать его маленьким и переносимым.15 Это был стиль программирования, характерный для коммерческих программ, созданных десять лет назад, но не для современных программ и, конечно, не для вредоносных программ. Было ясно, что это не крутые программисты, использующие новейшие технологии, а программисты старой школы, которые были осторожны и консервативны. Иногда C ++ мог выдавать скомпилированный код, который был непредсказуемым и выполнялся непреднамеренными способами. Таким образом, предположил Райу, злоумышленники выбрали C, чтобы обеспечить максимальный контроль над своим вредоносным кодом, а затем модифицировали его во время компиляции, чтобы сделать его более компактным и простым для доставки жертвам.16
  
  Их ограничения на Duqu распространились на механизмы его распространения. В этом отношении Duqu контролировался так же жестко, как Stuxnet был неконтролируемым. Похоже, что у атаки не было никаких эксплойтов нулевого дня, которые помогли бы ей распространиться, и она также не могла распространяться автономно, как это сделал Stuxnet. Вместо этого, попав на компьютер, оно заразит другие машины, только если злоумышленники вручную отправят инструкции со своего командного сервера для этого.17 Duqu также был гораздо более скрытным в общении со своими командными серверами, чем Stuxnet.18 Сообщение было зашифровано с помощью надежного алгоритма шифрования, известного как AES, чтобы никто не мог его прочитать, а также было спрятано в файле изображения .JPEG, чтобы скрыть его. И в отличие от Stuxnet, который поразил более 100 000 компьютеров, исследователи в конечном итоге выявили только около трех десятков заражений Duqu.19
  
  Жертвы были разбросаны по разным странам и варьировались от военных целей до производителей промышленного оборудования, такого как трубы и клапаны. Все они, похоже, были тщательно нацелены на свои “стратегические активы” — продукты, которые они производили, или услуги, которые они оказывали.20 Неудивительно, что многие из жертв, обнаруженных Касперским, имели связь с Ираном; либо у них был офис в Исламской Республике, либо у них были какие-то торговые отношения с Ираном. Пока единственной жертвой, которая, похоже, не имела отношения к Ирану, была компания в Венгрии, обнаружившая атаку.
  
  Основываясь на информации, почерпнутой из файлов журналов, предоставленных некоторыми жертвами, злоумышленники, по-видимому, были особенно заинтересованы в краже файлов AutoCAD, особенно тех, которые связаны с промышленными системами управления, используемыми в различных отраслях промышленности в Иране. AutoCAD, что расшифровывается как автоматизированное проектирование, - это программное обеспечение, используемое для составления архитектурных чертежей 2D и 3D, проектирования компьютерных плат и потребительских товаров; но оно также используется для составления карт расположения компьютерных сетей и оборудования на производственных площадях. Последнее пригодилось бы тому, кто планирует взорвать фабрику или начать цифровую атаку, подобную Stuxnet.
  
  Атакующие систематически подходили к своим жертвам, компилируя новые файлы атаки для каждой цели и настраивая отдельные командные серверы по всей Европе и Азии, чтобы только две или три зараженные машины сообщали об одном сервере. Эта сегментация, без сомнения, помогала им отслеживать различные операции и группы жертв, но она также гарантировала, что если какой-либо посторонний получит доступ к одному из серверов, его представление об операции будет очень ограниченным. Серверы, по сути, оказались прокси—машинами - промежуточными станциями для злоумышленники перенаправляют украденные данные на другие компьютеры — для дальнейшего предотвращения того, чтобы кто-либо видел всю операцию или отслеживал украденные данные для злоумышленников. Данные от жертвы в Венгрии, например, сначала отправлялись на сервер в Индии, а затем перенаправлялись на сервер на Филиппинах, откуда они отправлялись куда-то еще. Данные от жертв в Иране отправились на сервер во Вьетнаме, прежде чем отправиться в Германию и куда-то за ее пределы. Исследователи пытались идти по следу, но после каждого попадания в три разных прокси подряд они поняли, что никогда не дойдут до конца следа, и сдались.
  
  Однако с помощью некоторых компаний, которые размещали серверы, Касперский получил зеркальные изображения пяти машин, в том числе одной во Вьетнаме, которая контролировала заражения в Иране. Они обнаружили, что 20 октября, через два дня после того, как Symantec обнародовала новости о Duqu, злоумышленники провели масштабную операцию по очистке в панической попытке удалить данные с серверов. Почему им потребовалось два дня, чтобы отреагировать на эту новость, было неясно.21 Но в своей спешке устранить улики они оставили после себя следы логов, которые предоставили Касперскому информацию об их деятельности.22 Журналы показали, например, что злоумышленники вошли в один из командных серверов в Германии в ноябре 2009 года, за два года до обнаружения Duqu. Это наводило на мысль, что Duqu, вероятно, был в дикой природе, по крайней мере, так долго. Возможно, исследователи Касперского предположили, что Duqu действительно был предшественником Stuxnet, а не его преемником, как предполагала Symantec. Пройдет совсем немного времени, прежде чем они найдут доказательства, подтверждающие это.
  
  ИЗНАЧАЛЬНО НИКОМУ НЕ было ясно, как Duqu заразил машины. Stuxnet использовал .LNK использует встроенные в USB-накопители флэш-памяти для сброса своего вредоносного груза. Но лаборатория CrySyS не обнаружила ни капельницы на машинах компании Бартоса, ни эксплойтов нулевого дня. Однако после того, как Symantec опубликовала свой документ о Duqu, Чиен попросил Бенцата, чтобы венгерская жертва снова проверила свои системы на предмет чего-либо подозрительного, что произошло около 11 августа, даты заражения. Именно тогда они обнаружили электронное письмо, которое пришло тогда с прикрепленным к нему документом Word. Вложение имело размер 700 тысяч — намного больше, чем любые документы, которые обычно получала компания, — что привлекло их внимание. И действительно, когда команда CrySyS открыла электронное письмо на тестовой системе в своей лаборатории, в него попали вредоносные файлы Duqu.23
  
  Учитывая, что код атаки до сих пор оставался необнаруженным, ребята из CrySyS заподозрили, что речь идет об эксплойте нулевого дня. Бенцат отправил дроппер команде Symantec, которая определила, что он действительно использует уязвимость переполнения буфера нулевого дня в механизме синтаксического анализа шрифтов TrueType для Windows. Механизм синтаксического анализа шрифтов отвечал за отображение шрифтов на экране. Когда в документе Word появлялся код шрифта для символа, движок обращался к соответствующему файлу шрифта, чтобы определить, как должен выглядеть символ. Но в этом случае, когда движок попытался прочитать код шрифта, уязвимость в механизме синтаксического анализа вызвала эксплойт вместо этого.
  
  Эксплойт был довольно “крутым”, по словам одного исследователя, потому что обычный эксплойт, атакующий уязвимость с переполнением буфера, обычно предоставлял хакерам доступ к компьютеру только на уровне пользователя, что означало, что им нужна вторая уязвимость и эксплойт, чтобы получить привилегии административного уровня для беспрепятственной установки вредоносного кода.24 Но этот эксплойт прорвался через уровни защиты, позволяя им устанавливать и выполнять вредоносный код на уровне ядра компьютера без помех. Уязвимости с переполнением буфера, которые могут быть использованы на уровне ядра, редки, и их трудно использовать, не вызывая сбоя компьютера, но эксплойт Duqu сработал безупречно. Это было на несколько порядков сложнее, чем .Эксплойт LNK, который использовал Stuxnet. The .Эксплойт LNK был скопирован киберпреступниками в кратчайшие сроки после разоблачения Stuxnet в июле 2010 года, но на этот раз потребуются месяцы, прежде чем кто-либо сможет его успешно воспроизвести.25
  
  Эксплойт был примечателен сам по себе, но злоумышленники также внедрили в свой код пару пасхальных яиц — возможно, чтобы подразнить жертв. Название, которое они дали поддельному шрифту, который выполнил их атаку, было Dexter Regular, и в уведомлении об авторских правах на поддельный шрифт они написали— “Copyright No 2003 Showtime Inc. Все права защищены. Обычный Декстер ”.26
  
  Было ясно, что они ссылались на популярное телешоу Декстер, которое тогда транслировалось по сети Showtime. Но шоу не выходило в эфир до 1 октября 2006 года, из-за чего дата авторского права 2003 года казалась странной. Было неясно, имело ли пасхальное яйцо какое-то значение или это была просто шутка. Но ссылка, похоже, действительно имела одну параллель со Stuxnet. Сериал Showtime был посвящен Декстеру Моргану, ученому-криминалисту и линчевателю, который убивал только преступников, что делает его убийцей с моральным кодексом — убийцей, который убивал ради всеобщего блага. По крайней мере, так это видел Декстер . Возможно, именно так Соединенные Штаты и Израиль могли рассматривать кибератаку на Иран или нападения на иранских ученых—ядерщиков - как средство достижения большего блага.27
  
  Название шрифта и дата авторского права немного отвлекли исследователей, но более примечательной частью dropper была дата его компиляции — 21 февраля 2008 года — что дало представление о том, как долго Duqu мог существовать. Вскоре после того, как был найден этот дроппер, Касперскому в руки попал второй, найденный на компьютере в Судане, который был скомпилирован еще раньше.28
  
  Судан имел тесные военные связи с Ираном — в период с 2004 по 2006 год он получил от Ирана оружия на сумму 12 миллионов долларов - и был активным сторонником ядерной программы Ирана. В 2006 году Иран публично поклялся поделиться своим ядерным опытом с Суданом. Судан также был объектом санкций ООН. Жертвой Duqu в Судане стала фирма по оказанию торговых услуг, которая была заражена в апреле 2011 года, за четыре месяца до заражения в Венгрии. Вредоносный код попал в результате фишинг-атаки с использованием того же эксплойта Dexter zero-day, который использовался в Венгрии. Вредоносное электронное письмо, предположительно, от менеджера по маркетингу по имени Б. Джейсон, пришел с компьютера в Южной Корее, хотя машина, вероятно, была взломана для отправки сообщения.29 “Уважаемый сэр, - говорилось в электронном письме, “ я нашел информацию о вашей компании на вашем веб-сайте и хотел бы установить деловое сотрудничество с вашей компанией. В прикрепленном файле, пожалуйста, ознакомьтесь со списком запросов ”. Прилагаемый документ содержал несколько вопросов для опроса, а также изображение зеленой Земли с растениями, прорастающими из ее вершины. Когда жертва открывала вложение, эксплойт Dexter приводил в действие и размещал свой незаконный груз на компьютере жертвы.
  
  Пипетка, которая установила Duqu в этом случае, была собрана в августе 2007 года, что еще раз подтвердило, что Duqu существовал в течение многих лет до его обнаружения в Венгрии. Однако это было не единственное свидетельство, подтверждающее тот ранний график. Исследователи также обнаружили доказательства того, что файл infostealer Duqu существовал годами ранее. Они наткнулись на эту подсказку только из-за ошибки, допущенной злоумышленниками.
  
  Когда механизм самоуничтожения Duqu сработал через тридцать шесть дней, предполагалось, что он сотрет все следы себя с зараженных машин, чтобы жертва никогда не узнала, что в нее попали. Но команда Касперского обнаружила, что, когда Duqu удалялся, она забыла удалить некоторые временные файлы, созданные на компьютерах для хранения украденных данных. Один из этих файлов, оставленный на компьютере в Иране, был создан на компьютере 28 ноября 2008 года.
  
  Касперский и Symantec всегда подозревали, что до атаки Stuxnet на центрифуги в Иране злоумышленники использовали шпионский инструмент для сбора разведданных о конфигурации ПЛК Siemens. Информация могла исходить от крота, но теперь казалось более вероятным, что использовался цифровой шпион, такой как Duqu.
  
  Казалось правдоподобным, что злоумышленники Stuxnet могли также использовать Duqu для кражи ключей цифровой подписи и сертификатов от RealTek и JMicron, поскольку это был инструмент, который они использовали против центра сертификации в Венгрии.
  
  Если Duqu действительно находился в дикой природе, заражая системы незамеченным с 2007 года или дольше, его внезапное обнаружение в Венгрии в 2011 году казалось странным. Почему сейчас? Райу задумался. Он пришел к выводу, что это, должно быть, был случай высокомерия и неудачного выбора цели. После того, как злоумышленники так долго оставались скрытными, у них появилась уверенность, что их никогда не поймают. Они, вероятно, сочли открытие Stuxnet в прошлом году аномалией, которая произошла только потому, что цифровое оружие распространилось слишком далеко. Но Duqu тщательно контролировался, а его цели выбирались вручную, что делало его обнаружение менее вероятным. За исключением того, что в Венгрии злоумышленники, наконец, выбрали неправильную цель. Венгерский центр сертификации гораздо больше заботился о безопасности, чем торговые компании и производители, с которыми Duqu ранее сталкивался. И это был провал команды Duqu.30
  
  Хотя Stuxnet и Duqu использовали одни и те же код и методы, Райу и его команда в конечном итоге пришли к выводу, что они были созданы отдельными командами на одной базовой платформе, платформе, которую они назвали “Tilde-d”, потому что и Stuxnet, и Duqu использовали файлы с именами, начинающимися с ~ D.31
  
  Фактически, Касперский обнаружил доказательства того, что целый арсенал инструментов мог быть создан на одной платформе, а не только Stuxnet и Duqu. Они обнаружили по меньшей мере шесть драйверов, которые имели общие характеристики и, похоже, были созданы на платформе Tilde-d. Два из них использовались в известных атаках Stuxnet, а третий был драйвером, который использовался с Duqu.32 Но они также обнаружили три “фантомных драйвера”, которые были обнаружены самостоятельно, без каких-либо файлов Stuxnet или Duqu, что затрудняет определение того, использовались ли они для одной из этих атак или для других атак в целом. Все три драйвера использовали алгоритмы и ключи, которые были такими же или похожими на те, которые использовали драйверы Stuxnet и Duqu, давая понять, что они были связаны с командой Tilde-d.
  
  Первым из них был драйвер, который был найден в июле 2010 года словацкой антивирусной фирмой ESET и был подписан сертификатом JMicron.33 Поскольку драйвер был найден через несколько дней после появления новостей о Stuxnet, все предположили, что он связан со Stuxnet, хотя он не был найден ни в одной системе, зараженной Stuxnet. Драйвер представлял собой гибрид драйверов Stuxnet и Duqu, использующий код, который был почти идентичен драйверу Stuxnet, и некоторые из тех же функций и методов, которые использовал драйвер Duqu. Но он также использовал семиходовой шифр для своей процедуры шифрования вместо четырехходового шифра, который использовал драйвер Stuxnet, что делало его более сложным. Это заставило Райу и Гостева заподозрить, что он был разработан для другого варианта Stuxnet или совсем другого вредоносного ПО.
  
  Второй драйвер phantom был обнаружен, когда кто-то отправил его в VirusTotal.34 Он был составлен 20 января 2008 года. У него также был шифр из семи раундов, предполагающий, что он и драйвер JMicron могли быть созданы для использования с одной и той же атакой — возможно, с другой версией Stuxnet или чего-то еще в целом.
  
  Третий таинственный драйвер также был отправлен в VirusTotal с IP-адреса в Китае 17 мая 2011 года, за несколько месяцев до того, как Duqu заразил венгерские компьютеры в августе.35 Этот драйвер использовал четырехкратный шифр, подобный драйверам Stuxnet, и идентичный ключ шифрования; он также был скомпилирован в тот же день, когда были скомпилированы драйверы Stuxnet, и был подписан сертификатом RealTek, который использовался для подписи драйверов Stuxnet, хотя он был подписан 18 марта 2010 года вместо 25 января 2010 года, даты подписания драйверов Stuxnet. 18 марта было всего за несколько недель до того, как злоумышленники выпустили свой вариант Stuxnet в апреле 2010 года, но по какой-то причине они не использовали этот драйвер при нападении. Вместо этого они повторно использовали драйвер от атаки в июне 2009 года. Это наводило на мысль, что третий драйвер phantom, возможно, был подготовлен к другой атаке.
  
  Животрепещущие вопросы для Гостева и Райу, конечно же, заключались в том, для каких атак были созданы драйверы phantom и кто стал их жертвами? Были ли они доказательствами того, что другие необнаруженные атаки Stuxnet произошли до июня 2009 года или после апреля 2010 года?
  
  Казалось, что история Stuxnet все еще не завершена.
  
  
  
  1 Йоска Бартос - это псевдоним. Компания попросила Bencsáth не раскрывать свою личность или личности людей, работающих на нее. Описание этих событий взято из интервью с Бенчатом, если не указано иное.
  
  2 Они загрузили кейлоггер в VirusTotal, бесплатный онлайн-антивирусный инструмент, который исследователи используют для обнаружения вредоносных файлов, чтобы узнать, было ли это заведомое вредоносное ПО. VirusTotal объединяет почти четыре десятка антивирусных систем от нескольких компаний для обнаружения вредоносных файлов. Два сканера отметили файл как подозрительный, но было неясно, был ли это известный кейлоггер или что-то новое. Это было отмечено сканерами BitDefender и AVIRA. Технически это также было обнаружено F-Secure и G-DATA, но только потому, что оба этих сканера используют движок BitDefender. VirusTotal иногда используется злоумышленниками для тестирования своего вредоносного ПО перед его запуском, чтобы убедиться, что антивирусные системы его не обнаружат. Но тот факт, что этот кейлоггер был отмечен двумя из движков, предполагает, что злоумышленники либо не потрудились протестировать его на этих двух сканерах, прежде чем запускать его, либо они не ожидали, что их жертвы будут использовать два движка.
  
  3 Подтверждение характера бизнеса компании пришло не от Бенчата или его лаборатории, а из других источников, которые были знакомы с нарушением и жертвой.
  
  4 Используемое Stuxnet значение прививки — 0x19790509 (которое Symantec интерпретировала как дату — 9 мая 1979 года) — также появилось в этом новом коде атаки. В Stuxnet это использовалось для предотвращения заражения червем компьютеров, в реестре которых было это значение, но здесь это было частью шифрования.
  
  5 Исследователь Microsoft Тарек Сааде был в списке, потому что правительственный сертификат уже отправил Microsoft копию файла кейлоггера после того, как он был обнаружен, поэтому Бенчат подумал, что Microsoft также следует ознакомиться с отчетом лаборатории CrySyS.
  
  6 Буквы “ru / us” в URL-адресе просто указывали, что человек посетил сайт, который был локализован для англоязычных читателей в Соединенных Штатах.
  
  7 В конечном итоге исследователи обнаружили несколько версий Duqu с различным временем удаления. В некоторых случаях он удалялся сам по себе через 30 дней, в других версиях - через 36 дней. По крайней мере, в одном случае исследователи обнаружили версию, которая просуществовала 120 дней до удаления.
  
  8 Дугалд Макконнел, “Иранский чиновник: обнаружен новый компьютерный червь”, CNN, 27 апреля 2011 года. Доступно на cnn.com/2011/TECH/web/04/26/iran_computer_worm.
  
  9 После того, как появились новости о Duqu, кто-то в Twitter, назвавшийся иранским исследователем вредоносных программ в Вирджинии, опубликовал твит, в котором говорилось, что, согласно расследованиям иранского CERT, “#Duqu - это обновленная версия вредоносного ПО #Stars”. Однако он очень быстро удалил твит после его публикации, а вскоре после этого также удалил весь свой аккаунт в Twitter. Неясно, имело ли какое-либо значение изображение галактик в Duqu или нападавшие просто выбрали случайное изображение, но Бенчат подумал, что это могло быть использовано в качестве секретного сигнала для идентификации Duqu как “дружественного огня".” Иногда различные разведывательные подразделения одного и того же правительства нацеливаются на одни и те же компьютеры. Если за Duqu стояли Соединенные Штаты или Израиль, изображение могло быть сигналом для “друзей”, которые наткнулись на кейлоггер на зараженной машине — в процессе попытки взломать ее самостоятельно — что машина уже заражена соотечественником.
  
  10 Некоторые критиковали решение Symantec так быстро обнародовать информацию. Более стратегическим подходом было бы сохранять спокойствие, собирая больше разведданных об атаке — например, запрашивая у компаний, размещающих серверы командования и управления, зеркальное отображение серверов, чтобы увидеть, что злоумышленники делали на них, — прежде чем сигнализировать злоумышленникам, что они были пойманы. Это была постоянная напряженность, которая существовала между потребностями расследования и судебной экспертизы и потребностями клиентов, которые хотели бы быстро узнать, были ли они заражены, чтобы они могли укрепить свои сеть против других атак и определите, украли ли злоумышленники что-либо. Но лаборатория CrySyS уже отправила свой отчет кому-то в McAfee, конкурирующей антивирусной фирме, который может обнародовать новости или непреднамеренно сообщить злоумышленникам, что они были пойманы. В ожидании публикации были и другие недостатки. Без расширения сети людей, которые знали о вредоносном ПО, было бы трудно получить другие образцы Duqu, которые могли бы рассказать им больше об атаке. Вредоносная программа была очень целенаправленной, заразив лишь небольшое количество жертв, и каждый файл, связанный с Duqu, который они могли собрать у жертв, давал им немного больше информации об атаке.
  
  11 Отчет Symantec Duqu доступен по адресу symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf.
  
  12 Я смог подтвердить личность жертвы как NetLock из нескольких источников, не связанных с лабораторией CrySyS.
  
  13 На этот раз по-другому отреагировали не только охранные компании. Правительство сделало то же самое. По какой-то причине в течение многих месяцев, пока исследователи Symantec анализировали Stuxnet и публиковали просьбы о помощи от экспертов по ПЛК, ICS-CERT оставалась на расстоянии, даже несмотря на то, что ее аналитики обладали точными знаниями в области ПЛК, которые требовались Symantec. Представитель DHS позже признал в интервью автору, что департамент допустил ошибку, не связавшись с Symantec. На этот раз ICS-CERT отнеслась к этому иначе и связалась с Symantec, чтобы сравнить заметки о своих собственных выводах о Duqu.
  
  14 Программа Microsoft Security Essentials основана на антивирусном движке RAV от Raiu.
  
  15 Злоумышленники использовали пользовательский объектно-ориентированный диалект C, известный как OO-C.
  
  16 В то время как этот компонент продемонстрировал мастерские навыки, были и другие части, которые были менее мастерскими. Внедрение шифрования, например, было слабым. Duqu был построен как элегантная китайская коробка с несколькими уровнями шифрования, чтобы запутать его компоненты и помешать обнаружению. Но способ, которым злоумышленники это реализовали, был сделан плохо. Одна часть имела зашифрованный блок конфигурации, в котором содержался ключ для расшифровки реестра; внутри реестра был еще один ключ для расшифровки основного Duqu .Файл DLL. Предполагалось, что дизайн сделает это трудным для любого, кто доберется до .DLL для его расшифровки без предварительного получения двух других ключей. Но программисты подорвали их безопасность, создав ключи для реестра и .DLL идентична и делает ключ для блока конфигурации 0. Как только кто-то разблокировал блок конфигурации, у него уже был ключ для расшифровки основного .DLL, минуя необходимость в отдельном разделе реестра. Stuxnet, напротив, использовал разные ключи для каждого этапа шифрования. Алгоритм шифрования, используемый в Stuxnet, также представлял собой шифр с четырьмя раундами, в то время как Duqu использовал более слабый шифр с одним раундом. Очевидно , что разные, но связанные команды разработали Duqu и Stuxnet, но, несмотря на то, что в распоряжении обеих команд были надежные и продвинутые методы шифрования, команда Duqu не удосужилась их использовать.
  
  17 Для достижения этой цели им пришлось сначала захватить контроль над учетной записью администратора на зараженной машине, а затем настроить задачу, предписывающую вредоносному ПО распространяться через сетевые ресурсы.
  
  18 Команда Duqu также сохранила некоторые сценарии для управления операцией в других местах, а не на командных серверах, чтобы любой, кто захватил контроль над этими интерфейсными серверами, не мог захватить и изучить сценарии, чтобы определить, что делал Duqu.
  
  19 Возможно, за эти годы было больше жертв, но это были единственные, обнаруженные после обнаружения Duqu. Symantec обнаружила жертв в восьми странах — по одному во Франции, Индии, Нидерландах, Швейцарии, Судане, Вьетнаме и Украине и, по крайней мере, два в Иране. Касперский обнаружил еще одиннадцать случаев заражения в Иране, три в Европе и четыре в Судане. Другие поставщики антивирусных программ обнаружили жертв в Австрии, Индонезии и Великобритании.
  
  20 Келли Джексон Хиггинс, “Тот же инструментарий породил Stuxnet, Duqu и другие кампании”, Темное чтение, 3 января 2012 года, доступно по адресу darkreading.com/advanced-threats/167901091/security/attacks-breaches/232301225/same-toolkit-spawned-stuxnet-duqu-and-other-campaigns.html.
  
  21 Если за Duqu стоял Израиль, задержка могла быть как-то связана с тем фактом, что 18 октября, дата публикации отчета Symantec, пришлась на праздник Суккот в Израиле, который проходил с 13 по 19 октября того же года. Суккот посвящен сорока годам, которые израильтяне провели в Синайской пустыне после побега из египетского рабства. В Израиле первый день фестиваля был рабочим праздником. Хотя оставшиеся шесть дней не были обязательными выходными, многие израильтяне все равно взяли их, поскольку школы были закрыты. Суккот должен был завершиться девятнадцатого, а двадцатого рабочие вернулись к работе, включая, предположительно, серверную команду Duqu.
  
  22 Они оставили после себя и другие следы. За ночь до того, как появились новости о Duqu, злоумышленники изменили ключи шифрования Duqu и перекомпилировали свои файлы Duqu с новыми ключами, прежде чем отправлять новые файлы на зараженные компьютеры. Злоумышленники, вероятно, намеревались использовать новую версию Duqu для замены старых версий в зараженных системах, но они не рассчитывали на ошибку в операционной системе Windows, из-за которой остались следы старой версии, которые исследователи позже обнаружили, когда их антивирусные продукты сканировали системы. Злоумышленники, возможно, изменили ключи шифрования потому что они почувствовали, что вредоносная программа была обнаружена, и пытались избежать обнаружения. Но если они подозревали, что их поймали, они, похоже, не понимали, в какой степени их миссия вот-вот будет раскрыта, потому что они также выпустили обновление, чтобы продлить срок службы вредоносного ПО более чем на тридцать шесть дней, как будто они полностью ожидали, что их работа некоторое время будет продолжаться без помех. Однако, как только появились новости, и они поняли, что вся их операция потерпела крах, они инициировали операцию очистки, чтобы стереть все данные со своих серверов.
  
  23 Дроппер не сразу установил свой вредоносный груз. Вместо этого он подождал, пока компьютер не простаивал по крайней мере десять минут, прежде чем приступить к действию. Дата на компьютере также должна была быть в пределах восьмидневного окна в августе, иначе Duqu не установит свои файлы, что является еще одним свидетельством осторожности и контроля злоумышленников над своим кодом.
  
  24 Блоггер финской антивирусной фирмы F-Secure назвал это “одним крутым эксплойтом”. 2 ноября 2011 года, “Обнаружен установщик Duqu Attack”, доступен по адресу f-secure.com/weblog/archives/00002263.html.
  
  25 Исследователи заметили признаки того, что киберпреступники пытались, но безуспешно, воспроизвести эксплойт Duqu в июне 2012 года, через восемь месяцев после того, как Symantec опубликовала информацию об уязвимости. Они, наконец, добились успеха в октябре 2012 года, после чего Касперский увидел всплеск атак с использованием подражательных версий эксплойта в декабре 2012 года. Однако Microsoft исправила уязвимость в декабре 2011 года, поэтому злоумышленники могли использовать эксплойт только против не исправленных компьютеров.
  
  26 Исследователи Касперского обнаружили в коде еще кое-что, что, по их мнению, могло быть пасхальным яйцом. Ключ дешифрования в одной из версий драйвера Duqu имел значение — 0xAE240682 - которое также оказалось датой: 24 июня 1982 года. Когда Райу посмотрел, оказалось, что это был день, когда произошло знаменитое событие в истории авиации — день, когда рейс British Airways 09 попал в облако вулканического пепла по пути из Лондона в Новую Зеландию. Самолет только что взлетел после промежуточной посадки в Малайзии, когда песчаный пепел, извергаемый с горы Галунггунг, заглушил все четыре двигателя 747, оставив его мертвым в воздухе. Пилоты попытались направить его на посадку, и когда самолет снизился с 37 000 до 12 000 футов, с потолка упали кислородные маски. Именно тогда британский капитан Эрик Муди допустил одно из самых известных преуменьшений в истории авиации. “Дамы и господа, - сказал он пассажирам, - говорит ваш капитан. У нас небольшая проблема. Все четыре двигателя остановились. Мы делаем все возможное, чтобы они снова заработали. Я надеюсь, вы не слишком расстроены ”. (Смотрите “Когда вулканический пепел остановил гигантский корабль на высоте 37 000 футов”, BBC, 15 апреля 2010 года. Доступно на news.bbc.co.uk/2/hi/uk_news/magazine/8622099.stm.) Пилотам удалось перезапустить двигатели примерно через пятнадцать минут и приземлиться в Джакарте. Было ли совпадением, что это, казалось, было вторым упоминанием авиации после упоминания DEADF007 в Stuxnet? Или злоумышленники просто играли с исследователями сейчас и добавляли маленькие пасхальные яйца в код, чтобы заставить их гадать? Или значение в коде было просто случайным числом, не имеющим значения?
  
  27 Костин Райу из Kaspersky купил все прошлые эпизоды the Dexter show, чтобы узнать, была ли какая-то причина, по которой злоумышленники ссылались на него в Duqu. Только один эпизод казался отдаленно значимым. В нем сестра Декстера, Дебра, получила предложение руки и сердца от Det. Джоуи Куинн. Во время обсуждения предложения с ее братом он размышлял о том, что, если бы она вышла замуж за Куинна, ее инициалы были бы DQ.
  
  Райу видел еще один эпизод, который напомнил ему о Duqu. Чтобы запутать следователей, которые шли по горячим следам серийного убийцы, Декстер составил тридцатистраничный манифест, усеянный библейскими ссылками, чтобы отвлечь их. Пока следователи тратили время, просматривая бессмысленный документ в поисках улик, Декстер продолжал убивать. Параллели не ускользнули от Райу, который размышлял о часах, потраченных впустую на просмотр телешоу в поисках подсказок о Duqu.
  
  28 Файл dropper, драйвер, пытался выдать себя за графический драйвер от Intel и отвечал за загрузку Duqu back door на компьютер жертвы.
  
  29 Было две попытки заразить жертву, сначала 17 апреля 2011 года, которые были заблокированы спам-фильтром Outlook жертвы, а затем 21 апреля, которые увенчались успехом.
  
  30 В то время, когда он был взломан, венгерская компания была бы вдвойне предупреждена о взломе из-за двух других — казалось бы, не связанных — атак на центры сертификации, которые произошли в предыдущие месяцы. В марте того же года кто-то взломал учетную запись компании-партнера, которая работала с Comodo Group, центром сертификации, базирующимся в Нью-Джерси и Великобритании. Хакер, который использовал IP-адрес в Иране, воспользовался доступом, чтобы выдать себе восемь мошеннических сертификатов для mail.google.com войдите в систему.yahoo.com и шесть других доменов, которые позволили бы ему выдавать себя за эти сайты в атаке "человек посередине". Четыре месяца спустя голландский центр сертификации DigiNotar также был взломан. Злоумышленники в этом случае сгенерировали более 200 мошеннических цифровых сертификатов для ведущих доменов, принадлежащих Google, Yahoo и Mozilla, а также для веб-сайтов Моссада, MI6 и ЦРУ. Эти вторжения заставили другие центры сертификации насторожиться, и в результате компания в Венгрии, вероятно, усилила проверку своей сети.
  
  31 Кейлоггер / infostealer Duqu создал имена файлов, которые начинались с ~ DQ, но другие части вредоносной программы создали файлы, имена которых начинались с ~ DO и ~ DF. Stuxnet также создал временные файлы, имена которых начинались с ~ D.
  
  32 На зараженных компьютерах появилось несколько версий драйвера Duqu, каждый раз с другим именем. Однако каждая версия, похоже, содержала один и тот же код и была скомпилирована в тот же день. Примечательно, что один из вариантов драйвера Duqu, который был обнаружен на машинах в Венгрии, не был подписан и пытался выдать себя за продукт JMicron — тайваньской компании, чей сертификат использовался для подписи драйвера, который был найден ESET в июле 2010 года и, как полагали, был связан со Stuxnet. В описании драйвера “свойства” злоумышленники указали, что это был драйвер моментального снимка тома JMicron . Это была еще одна деталь, которая связывала Duqu и Stuxnet.
  
  33 Имя файла драйвера было jmidebs.sys .
  
  34 Имя этого драйвера было rndismpc.sys .
  
  35 Имя этого драйвера было rtniczw.sys .
  
  OceanofPDF.com
  
  ГЛАВА 15
  ПЛАМЯ
  
  К весне 2012 года команда Касперского завершила анализ Duqu и его серверов, но они были уверены, что в этой истории есть нечто большее, чем было раскрыто до сих пор. Однако даже они не могли представить себе открытие, которое им предстояло сделать: что Stuxnet — программа, поражающая своей смелостью и разрушительным потенциалом, — была всего лишь ответвлением операции кибершпионажа, которая была на порядки больше, чем это единственное цифровое оружие.
  
  РАЗОБЛАЧЕНИЯ НАЧАЛИСЬ в апреле того года, когда вирус начал свирепствовать на компьютерах Министерства нефти Ирана и Иранской национальной нефтяной компании, уничтожая жесткий диск каждой системы, к которой он прикасался. Ущерб был систематическим и полным, уничтожая гигабайты данных за один раз. Сначала вредоносная программа уничтожила документы и файлы данных, затем она перешла к системным файлам, повреждая основные части жесткого диска, вызывая их сбой и запись.
  
  Было неясно, сколько компьютеров пострадало, но ходили слухи, что разрушение началось на некоторых компьютерах еще в декабре. Изначально никто не замечал эту тенденцию, пока она не распространилась и игнорировать ее стало невозможно. Также было неясно, как долго вирус скрывался на компьютерах, прежде чем он стал разрушительным, но каждый раз, когда это происходило, разрушение начиналось примерно на двадцатый день месяца. Иранские официальные лица окрестили его “Wiper” и указали на Соединенные Штаты и Израиль в качестве источника. Однако они настаивали на том, что атака не нанесла долговременного ущерба, поскольку все удаленные данные были скопированы.
  
  Когда Райу и команда Касперского получили зеркальное отображение одного из удаленных жестких дисков из Ирана, он был заполнен тарабарщиной. Исчезли не только все документы и критически важные системные файлы, но и все признаки вредоносной программы Wiper были стерты с диска. Но осталась одна важная подсказка — единственная ссылка в разделе реестра на временный файл с именем ~ DF78.tmp, который был создан в системе в какой-то момент до начала уничтожения. Сам файл теперь исчез, но его название сохранилось, призрак, выдающий его прежнее присутствие. Префикс ~ D в его названии к настоящему времени был знаком исследователям. Это было то же самое соглашение об именовании, которое Duqu использовал для временных файлов, созданных на зараженных машинах, а также соглашение об именовании, которое Stuxnet использовал для некоторых своих файлов.
  
  Был ли Duqu или какая-либо другая программа, написанная той же командой, на компьютере до того, как Wiper ее стер?1 Был ли Wiper созданием той же команды, что и Duqu?
  
  Райу и его команда запрограммировали антивирусные инструменты Касперского на поиск файла ~ DF78.tmp — и для верности пометили любой другой временный файл, имя которого начиналось с ~ D. Они получили несколько попаданий на машины в разных странах, но большинство из них были обнаружены на машинах в Иране. Когда они получили копию одного из файлов с именем ~DEB93D.tmp, они обнаружили, что это был журнал для компонента “сниффер”, который записывал пароли, когда они перемещались по локальной сети зараженного компьютера. Немного покопавшись, они также нашли модуль, который, по-видимому, отвечал за создание журнала сниффера.2 Это оказалось одной из их самых значительных находок.
  
  Модуль не был похож на Stuxnet или Duqu и, похоже, также не был Wiper — он не содержал кода для стирания жесткого диска зараженных машин. Они просмотрели свой архив, чтобы посмотреть, не проходило ли что-нибудь похожее на это через их автоматизированную систему отчетности в прошлом, и, к их удивлению, модуль за модулем выскакивали, как будто они просто сидели в архиве и ждали, когда их обнаружат. Всего они нашли двадцать разных файлов, каждый со странными названиями, такими как Euphoria, Munch, Limbo, Frog и Snack. Все файлы, по-видимому, были плагинами или компонентами для соответствующей атаки.
  
  Однако больше всего их заинтриговало то, что один из файлов прошел через их систему в октябре 2010 года и был помечен системой как файл Stuxnet. В то время это не имело для них смысла, потому что, когда они изучили файл, он совсем не был похож на Stuxnet. Но теперь, когда они снова изучили его, они обнаружили, что у них было общее — оба файла содержали эксплойт нулевого дня, который они и Symantec упустили из виду, когда изучали Stuxnet двумя годами ранее.
  
  Эксплойт был встроен в часть Stuxnet под названием Resource 207, которая появилась только в июньской версии кода атаки 2009 года, а не в версиях 2010 года, что объясняет, почему они пропустили его раньше. Большинство файлов Stuxnet, которые исследовали Касперский и Symantec, были получены в результате атак 2010 года. На зараженных компьютерах было обнаружено очень мало образцов варианта 2009 года.
  
  Ресурс 207 содержал код, который Stuxnet 2009 использовал, чтобы обмануть функцию автозапуска на компьютерах с Windows, чтобы она распространялась через флэш-накопители USB. Но он также содержал этот недооцененный эксплойт, который теперь был в новом коде атаки. Эксплойт предоставил злоумышленникам повышенные привилегии на зараженных машинах, используя уязвимость переполнения буфера в функции обоев Windows. Уязвимость была нулевым днем, когда злоумышленники создали эксплойт в феврале 2009 года, но к тому времени, когда они выпустили Stuxnet четыре месяца спустя, в июне, Microsoft исправила дыру.3 Когда пришло время выпустить следующую версию Stuxnet в марте 2010 года, злоумышленники устранили этот эксплойт вместе с кодом автозапуска и заменили его на .Эксплойт LNK и два других эксплойта с повышением привилегий, которые в то время были еще нулевыми днями.
  
  Обнаружение эксплойта wallpaper означало, что вместо четырех эксплойтов нулевого дня— что уже было впечатляющим рекордом, Stuxnet фактически использовал пять эксплойтов нулевого дня за время своего существования. Что еще более важно, связь между Stuxnet и этой новой атакой предоставила дополнительные доказательства того, что Stuxnet был частью набора вредоносных инструментов, созданных той же командой.
  
  АЛЕКС ГОСТЕВ из KASPERSKY и его команда разделили двадцать модулей, которые они нашли для этой новой атаки, и приступили к их обратному проектированию, чтобы посмотреть, как они связаны. Они работали день и ночь, подпитываясь кофеином и волнением от осознания того, что они только что обнаружили еще один инструмент в арсенале Stuxnet.
  
  Через три недели у них в руках был набор для цифровой разведки, который был больше всего, что они видели раньше. Они назвали его “Пламя” по названию одного из основных модулей атаки.4
  
  Stuxnet перевесил в 500 килобайт при сжатии, но Flame был по меньшей мере 20 мегабайт со всеми его компонентами вместе взятыми и состоял из более чем 650 000 строк кода. Оно также обладало поразительной сложностью, соответствующей его размаху. По их оценкам, команде из полудюжины программистов потребовалось бы не менее трех лет, чтобы все это закодировать, и еще несколько лет потребовалось бы всей команде Касперского, чтобы полностью расшифровать это. Вместо этого они решили расшифровать ровно столько кода, чтобы понять его.
  
  За эти годы команда Касперского видела множество цифровых шпионских инструментов — многие из них, как полагают, были инструментами национальных государств из Китая, — но этот переписал книгу. Если бы у Q Branch Джеймса Бонда был цифровой арсенал, Flame был бы его частью. Он пришел с рогом изобилия шпионских устройств, направленных на сбор разведданных от жертв множеством способов. Среди них был один модуль, который перекачивал документы с зараженных компьютеров, а другой, который записывал нажатия клавиш и снимал скриншоты каждые пятнадцать-шестьдесят секунд. Третий модуль тайно подключил внутренний микрофон зараженного компьютера, чтобы подслушивать разговоры в непосредственной близости. Четвертый модуль использовал функцию Bluetooth компьютера для считывания данных со всех доступных смартфонов и других устройств с поддержкой Bluetooth в этом районе.
  
  Flame оказался многоцелевым инструментом шпионажа, созданным для удовлетворения любых потребностей, в зависимости от миссии. Однако не каждая жертва получила полную обработку огнем. Каждый компонент был установлен по мере необходимости. Сначала на многие зараженные компьютеры был загружен стартовый набор объемом 6 МБ, который включал в себя черный ход, через который злоумышленники могли по желанию устанавливать новые шпионские модули со своего командного сервера.5
  
  Инфраструктура, созданная для поддержки Flame, также была огромной и не походила ни на что, что исследователи видели раньше. Они обнаружили по меньшей мере восемьдесят доменов, работающих в качестве командных серверов в Германии, Нидерландах, Швейцарии и других странах, через которые злоумышленники контролировали зараженные машины и собирали с них перекачанные документы.6 Злоумышленники, вероятно, создали так много доменов, чтобы управлять различными операциями и группами жертв по отдельности.
  
  Они использовали различные поддельные удостоверения для регистрации доменов — Иван Бликс, Паоло Кальзаретта, Траян Луческу — и приобрели некоторые из них с предоплаченными кредитными картами, чтобы их нельзя было отследить. Исследователи Касперского получили трафик примерно для тридцати доменов, перенаправленный в воронку, которую они контролировали, и как только она была установлена, зараженные машины в Иране и по всему миру начали звонить. Также поступали украденные файлы, предназначенные для злоумышленников, хотя файлы были зашифрованы, поэтому исследователи не смогли увидеть, что крали злоумышленники.
  
  После добавления сигнатур для Flame в антивирусные инструменты Касперского заражения были обнаружены на нескольких сотнях компьютеров. Иран, что неудивительно, оказался на первом месте в списке. Там было заражено по меньшей мере 189 машин. Но также было 98 жертв на палестинских территориях и примерно по 30 жертв в Судане и Сирии.
  
  Пока Касперский все еще изучал модули Flame, Бенцат из Венгрии связался с Райу с новостями о подозрительном файле, найденном в Иране, который кто-то отправил ему. Они хорошо познакомились с Бенчатом, когда работали над Duqu, поэтому для него не было ничего необычного в том, чтобы связаться с ними. Файл, который он получил из Ирана, оказался одним из тех модулей, которые Райу и его команда уже изучали. Бенцат также передал файл Чиену из Symantec, который начал изучать угрозу параллельно с Касперским. Когда исследователи Symantec добавили сигнатуры в свой антивирусный движок для его обнаружения, они обнаружили больше жертв в Австрии, Венгрии, Ливане, России, Объединенных Арабских Эмиратах и Гонконге.
  
  В конечном итоге было обнаружено более 1000 жертв, намного больше, чем 36 жертв, которых, как известно, поразил Duqu, хотя нигде и близко не было более 100 000 машин, пораженных Stuxnet. Но это потому, что в отличие от Stuxnet, Flame не мог распространяться автоматически. Все механизмы его распространения срабатывали только при развертывании и по команде злоумышленников. Таким образом, хотя большинство жертв Stuxnet были сопутствующим ущербом, все, кого поразил Flame, предположительно были намеченной целью. Райу подозревал, что жертвы были заражены группами, исходя из того, какую миссию выполняли злоумышленники в то время.
  
  В списке жертв не было заметной закономерности — Flame нацеливался на отдельных лиц, частные компании, правительственные учреждения и академические институты. Но было нетрудно понять, за какими типами файлов охотились злоумышленники, поскольку вредоносная программа содержала список требуемых расширений файлов, включая документы Microsoft Word, презентации PowerPoint и файлы Excel. Но также на первом месте в списке были чертежи AutoCAD, на которые также нацелился Duqu. Примечательно, что Flame также стремился украсть цифровые сертификаты.
  
  Хотя у Flame был длинный список файлов, которые он искал, он не украл все найденные файлы. Вместо этого он извлекал по 1 КБ текста из каждого и передавал его обратно на один из командных серверов. Оттуда это, вероятно, было передано в другое место, где, как подозревал Райу, злоумышленники установили суперкомпьютер, чтобы просмотреть все поступившие текстовые образцы и определить, какие файлы злоумышленники хотели захватить полностью. Примечательно, что год спустя, когда были опубликованы документы АНБ, обнародованные Эдвардом Сноуденом, в них описывалась система под кодовым названием TURBINE , которая была разработана для выполнения чего-то очень похожего на это. (См. эта страница.)
  
  Учитывая такую тщательно продуманную операцию, организованную для Flame, неудивительно, что атака продолжалась уже некоторое время. Самое раннее заражение, обнаруженное на машине в Европе, произошло в декабре 2007 года.7 В апреле 2008 года в Дубае была поражена машина. Примерно в это же время были зарегистрированы некоторые домены, которые злоумышленники использовали для своих командных серверов. Несколько других были зарегистрированы в 2009 и 2010 годах, но большинство были зарегистрированы в 2011 году, после разоблачения Stuxnet. Все это означало, что Flame был активен в системах заражения дикой природы по крайней мере в течение пяти лет, прежде чем он был обнаружен, и был активен в то же время, когда Stuxnet и Duqu разрабатывались и запускались.
  
  Начала вырисовываться четкая картина цифрового арсенала, наполненного шпионскими инструментами и оружием, созданными для атаки не только на ядерную программу Ирана, но и на другие цели. Для создания обнаруженного вредоносного кода использовались две отдельные платформы. Одной из них была платформа Flame, на которой был построен мощный инструмент Flame spy. Другой была платформа Tilde-d, на которой был построен Duqu. Платформа Flame была намного более плотной и сложной, чем платформа Tilde-d, и поэтому, вероятно, создавалась параллельно другой командой. Однако обе платформы использовались для разработки Stuxnet на разных этапах.
  
  Райу предположил, что разработка Flame, вероятно, началась в 2005 или 2006 году, поскольку часть пользовательского кода, написанного злоумышленниками для своих командных серверов, была разработана в декабре 2006 года.8 Разработка шпионского инструмента, вероятно, достигла зрелости в начале 2007 года. Самыми ранними известными датами для Duqu были август 2007 года, когда был собран один из пипеток Duqu, и ноябрь 2008 года, когда информационный дилер Duqu показал первые признаки того, что он в дикой природе.
  
  Райу полагал, что, когда пришло время создавать Stuxnet, злоумышленники использовали Flame для запуска цифрового оружия, а затем переключились на платформу Duqu для последующих версий атаки. Отчасти он основывал это на том факте, что ресурс 207— найденный в версии Stuxnet 2009 года, который содержал код автозапуска и эксплойт wallpaper, был очень похож на раннюю версию основного модуля Flame. Flame уже существовал в качестве основного инструмента шпионажа к 2007 году, и когда пришло время писать ракетную часть Stuxnet в 2009 году, оказалось, что команда, стоящая за Flame, поделилась исходным кодом для ресурса 207 с командой Stuxnet, по сути, запустив создание ракетного кода. К тому времени полезная нагрузка была уже создана, и злоумышленникам просто нужно было что-то для ее доставки. “Вероятно, была какая-то срочная необходимость вывести [Stuxnet] за дверь, поэтому они взяли этот уже готовый плагин от Flame и использовали его в Stuxnet”, - говорит Райу.
  
  Однако после этого Stuxnet и Flame разошлись. Программисты, стоящие за Flame, продолжали превращать свою платформу в мощный инструмент шпионажа, и в 2010 году, когда злоумышленники, стоящие за Stuxnet, подготовили следующую версию своего кода для последующего нападения, они переключились на платформу Tilde-d, которая уже использовалась для создания Duqu, чтобы переделать ракету для запуска атаки. Переход на платформу Duqu, вероятно, произошел потому, что ракетная часть варианта Stuxnet 2010, со всеми ее эксплойтами нулевого дня и дополнительными механизмами распространения , была намного сложнее и требовала большего количества кода. А платформа Tilde-d была гораздо более простым и компактным инструментом в использовании.
  
  Последовательность событий, определенная Райу и его командой, похоже, соответствовала сценарию, описанному репортером New York Times Дэвидом Сэнгером, который сообщил в своей книге "Противостоять и скрывать", ссылаясь на нынешних и бывших правительственных чиновников, что самая ранняя версия Stuxnet была разработана Соединенными Штатами, в то время как более поздние версии были разработаны Соединенными Штатами и Израилем. Райу считал, что Flame и платформа Flame были созданы Соединенными Штатами, в то время как Израиль создал Duqu и платформу Tilde-d. Затем оба использовали свои соответствующие платформы для создания своих частей Stuxnet.
  
  Какова бы ни была роль Flame в Stuxnet, вся шпионская операция вокруг него потерпела крах 28 мая 2012 года, когда Kaspersky и Symantec обнародовали новости о своем открытии в почти одновременных объявлениях.9 Как только появились новости о шпионском инструменте, реакция операторов Flame была быстрой. В течение часа после публикации первых новостей командные серверы, используемые для шпионского инструмента, отключились, поскольку злоумышленники прекратили свою работу, тем самым положив конец чрезвычайно успешной пятилетней шпионской кампании за считанные минуты. Это было почти так, как если бы они ждали новостей, чтобы разразиться.
  
  Правление Flame закончилось, но его последствия будут продолжаться. Через несколько дней после отключения серверов Microsoft объявила, что обнаружила еще более тревожное открытие об атаке Flame, которое пропустили исследователи Kaspersky и Symantec.
  
  В Соединенных Штатах БЫЛ праздник Дня памяти, когда появились новости о Flame, и в штаб-квартире Microsoft в Редмонде, штат Вашингтон, работало не так много людей. Но когда инженеры Центра реагирования на безопасность компании узнали, что была раскрыта новая кампания атак, приписываемая той же команде, что стояла за Stuxnet и Duqu, они немедленно захватили образцы файлов Flame, предоставленные исследователями. Они хотели посмотреть, использует ли новая атака какие-либо уязвимости нулевого дня в Windows, как это сделали Stuxnet и Duqu. Но, изучив один из полученных файлов, они поняли, что столкнулись с чем—то гораздо худшим, чем нулевой день - Flame проводил сложную атаку на часть системы обновления Windows от Microsoft, чтобы распространиться между компьютерами в локальной сети.
  
  Центр обновления Windows - это автоматизированная система, которую Microsoft использует для распространения обновлений программного обеспечения и исправлений безопасности среди миллионов клиентов. Для получения обновлений на каждом компьютере клиента есть инструмент на стороне клиента, который связывается с серверами Microsoft для загрузки исправлений, когда они доступны.
  
  В течение многих лет сообщество безопасности предупреждало о кошмаре безопасности, который произойдет, если хакеры когда-либо взломают систему обновления Windows для доставки вредоносного кода, угрожающего безопасности миллионов пользователей Windows. Эта атака не достигла точно такого уровня, но была столь же опасной. Вместо того, чтобы вывести из строя фактические серверы Microsoft, которые поставляли обновления программного обеспечения Windows миллионам клиентов, он вывел из строя средство обновления Windows, которое находилось на компьютерах клиентов. Различие было тонким, но важным. Если бы злоумышленники взломали серверы Microsoft, они могли бы скомпрометировать компьютеры в глобальном масштабе. Но способ, которым они осуществили атаку, означал, что они могли скомпрометировать компьютеры только в определенных сетях, на которые они нацелены, оставляя всех остальных незатронутыми.
  
  Как и программное обеспечение Windows, сам инструмент обновления периодически обновляется Microsoft. Каждый раз, когда инструмент запускается на компьютере клиента, он отправляет своего рода сигнал на серверы Microsoft, чтобы узнать, доступна ли его новая версия. Microsoft распространяет обновления с помощью серии так называемых.Файлы CAB, подписанные сертификатом Microsoft для проверки их законности.
  
  Злоумышленники нарушили этот процесс, сначала заразив одну машину в сети жертвы Flame. Затем, когда клиент обновления на любом другом компьютере в сети жертвы отправил сигнал на серверы Microsoft для проверки обновлений средства обновления Windows, зараженный компьютер перехватил сигнал и отправил вредоносный файл Flame, выдавая себя за законный Microsoft .Вместо этого файл CAB на новую машину, заражая ее шпионским инструментом. Однако это была не самая сложная часть атаки. Чтобы осуществить захват, злоумышленники подписали свой вредоносный.Файл CAB с законным сертификатом Microsoft — за исключением того, что в этом случае сертификат указывал, что компания, которой он принадлежал, была “MS”, а не Microsoft Corporation, как следовало бы сказать. Когда исследовательская группа Microsoft увидела это, они сразу заподозрили неладное. Сертификат, по-видимому, был выдан и подписан центром сертификации по лицензированию служб терминалов Microsoft в феврале 2010 года, но это был явно поддельный сертификат, который CA не должен был генерировать и подписывать. Был ли взломан сервер Microsoft или украден ключ подписи сертификата? Инженерам пришлось быстро выяснить, как злоумышленники получили сертификат, прежде чем кто-либо другой смог повторить этот подвиг. Они позвонили всем коллегам, которые могли работать в праздничные дни, и быстро собрали команду.
  
  Оказалось, что злоумышленники провернули это, используя нечто, называемое столкновением хэшей MD5. Хэш MD5 - это криптографическое представление данных — в данном случае данных в сертификате, — генерируемое криптографическим алгоритмом, известным как MD5. Предполагается, что хэши функционируют как отпечаток пальца, так что каждый набор данных, пройденный через алгоритм, создает уникальный хэш. Если бы данные изменились, алгоритм выдал бы другой хэш. Однако несколько лет назад было обнаружено, что у алгоритма MD5 есть слабое место, которое позволило бы кому-то создавать один и тот же хэш из разных наборов данных.10 Это было названо столкновением хэшей. По этой причине многие компании прекратили использовать алгоритм MD5. Но Microsoft не меняла алгоритм, используемый для своей службы лицензирования служб терминалов (TS) с 1999 года, когда система была спроектирована.
  
  Лицензирование TS - это система, используемая корпоративными клиентами Microsoft при настройке сервера с запущенным на нем программным обеспечением Microsoft, чтобы несколько сотрудников или компьютеров могли использовать программное обеспечение. Клиент покупает лицензии у Microsoft — скажем, 100 лицензий для 100 сотрудников или компьютеров — затем отправляет запрос на сертификат в центр сертификации лицензирования служб терминалов Microsoft. Центр сертификации Microsoft генерирует сертификат с именем клиента, а также отметкой времени, указывающей, когда сертификат был выдан, и серийным номером цифрового документа.
  
  Когда Microsoft выдает сертификат, она обрабатывает все данные в сертификате, включая временную метку и серийный номер, с помощью алгоритма MD5 для создания хэша, затем подписывает хэш и отправляет сертификат клиенту. Затем клиент использует подписанный сертификат, чтобы убедиться, что только авторизованные машины или люди, выдавшие сертификат, используют программное обеспечение, лицензированное Microsoft. Но в этом случае злоумышленники использовали хэш от Microsoft для подписи своего мошеннического сертификата, а затем для подписи своего вредоносного.Файлы CAB.
  
  Прежде чем злоумышленники отправили запрос на сертификат в Microsoft, они создали поддельный сертификат, который содержал информацию, которую, как они ожидали, будет содержать настоящий сертификат Microsoft, а также некоторые незначительные изменения — изменения, которые, как они должны были быть уверены, создадут хэш, идентичный тому, который выпустит Microsoft. Это была непростая задача. Среди других проблем потребовалось выполнить тысячи и тысячи различных вариантов данных в их поддельном сертификате с помощью алгоритма MD5, чтобы получить тот, который произвел идентичный побитовый хэш в качестве законного сертификата Microsoft, который содержал разные данные, что требовало больших вычислительных мощностей. Также требовалось предусмотреть серийный номер, который Microsoft предоставит сертификату, и точное время, когда сервер лицензирования Microsoft подпишет законный сертификат, поскольку временная метка и серийный номер были частью хэша, который Microsoft генерирует и подписывает.11 Если бы они неверно оценили время хотя бы на миллисекунду, подписанный хэш нельзя было бы перенести в их мошеннический сертификат, поскольку два хэша больше не совпадали бы.12 Злоумышленникам потребовалось бы тщательно изучить систему Microsoft и протестировать множество сертификатов — возможно, сотни — прежде чем они правильно определили время и серийный номер.13
  
  Затем злоумышленники использовали подписанный хэш со своим мошенническим сертификатом для подписи своего вредоносного ПО.Файлы CAB. Похоже, это был законный сертификат, поскольку у него был подписанный хэш, созданный Microsoft.
  
  Захват Windows Update был блестящим достижением, которое раздвинуло границы математики и могло быть достигнуто только криптографами мирового класса.14 Когда исследователи Касперского узнали об этом, они окрестили его “эксплойтом божественного режима”, поскольку он был настолько технически продуманным и намного более мощным, чем распространение вредоносного ПО с помощью эксплойта нулевого дня.15 Единственное, что могло бы сделать его более мощным и опасным, - это если бы злоумышленники сами взломали серверы обновлений Windows Update.
  
  Инженеры Microsoft первоначально подсчитали, что другим хорошо оснащенным злоумышленникам потребуется всего двенадцать дней, чтобы узнать все, что им нужно знать о системе сертификатов и обновлений Microsoft, чтобы осуществить атаку-подражатель для распространения собственного вредоносного ПО. Но когда они провели тестовый запуск, выполнив все шаги, которые кто-то должен был предпринять для копирования взлома Windows Update, и рассчитали время, выполняя это, они поняли, что кто-то действительно может осуществить менее сложную версию атаки — ту, которая не требует столкновения хэшей MD5 - всего за три дня.16
  
  Работая вопреки расписанию, Microsoft поспешила выпустить экстренный внеполосный патч, чтобы исправить уязвимости, которые позволили атаке произойти. Компания выпустила только один внеполосный патч за весь 2011 год, в предыдущем году, и зарезервировала такие выпуски только для наиболее значительных уязвимостей, так что этот шаг стал показателем того, насколько серьезно Microsoft рассматривала эксплойт Flame.
  
  Злоумышленники, стоящие за Duqu и Stuxnet, уже нанесли удар по основам системы проверки, которая сделала возможным Интернет — сначала путем кражи индивидуальных сертификатов безопасности у компаний на Тайване для подписи драйверов Stuxnet, затем путем отправки Duqu для кражи данных из самого центра сертификации. Но этот эксплойт пошел еще дальше, подорвав доверие между крупнейшим в мире производителем программного обеспечения и его клиентами. Предполагая, что преступники, стоящие за этим, были американцами, они, вероятно, оправдали операцию и даже получили ее юридическое одобрение, утверждая, что они не подрывали сами серверы Microsoft Windows, тем самым подвергая риску всех клиентов Microsoft, а просто подрывали клиент Windows на компьютерах отдельных клиентов. Таким образом, они могли сосредоточить атаку на жертвах и машинах, которых не было в Штатах.17
  
  Но в конечном счете мало что значило, что они не взломали серверы Microsoft. Подрыва клиентского инструмента обновления было достаточно, чтобы вызвать у клиентов недоверие к целостности самой службы обновлений, что могло привести пользователей к отключению инструмента и помешать им получать обновления безопасности, которые были критичны для безопасности их систем.
  
  Кто был ответственен за угрозу этому доверию между Microsoft и ее клиентами? Примерно через три недели после появления новостей о Flame бывшие правительственные чиновники США заявили о своем праве собственности, сообщив Washington Post, что Flame был совместной операцией АНБ, ЦРУ и израильских военных.18
  
  Неназванные источники сообщили, что Flame был разработан примерно в 2007 году — подтверждая общие временные рамки, установленные для него Райу и его командой, — для сбора разведданных об иранских чиновниках и составления карт компьютерных систем, которые были частью ядерной программы Ирана. Но официальные лица также предположили, что Flame был инструментом раннего поколения, который с тех пор был превзойден другими.
  
  “Речь идет о подготовке поля боя к другому типу тайных действий”, - сказал газете бывший сотрудник разведки США, добавив, что сбор киберсобытий против иранской программы был “намного дальше по пути, чем это”. Возможно, он имел в виду такие вещи, как имплантаты, используемые АНБ, которые могут передавать украденные данные с помощью радиоволн с зараженных машин. (См эта страница.)
  
  Примечательно, что источники Post также прояснили тайну атаки Wiper, которая обрушилась на Иран ранее в этом году. Они сообщили газете, что атака, в результате которой были стерты жесткие диски на машинах в министерстве нефти Ирана и была обнаружена Flame, также была проектом национального государства. Но в отличие от Flame и Stuxnet, которые были совместными операциями Израиля и Соединенных Штатов, Wiper, по словам одного источника, был запущен против Ирана одним Израилем. Чиновник сообщил Post, что Соединенные Штаты были застигнуты врасплох разрушительной атакой.
  
  РАЗОБЛАЧЕНИЯ ОБ атаках со стороны национальных государств поступали быстрыми темпами, раскрывая одну операцию за другой после многих лет скрытности. И разоблачения еще не были сделаны. Исследователи Касперского вскоре обнаружат доказательства того, что еще больше вредоносных инструментов, созданных теми же командами, скрываются в дикой природе.
  
  Ключевой момент наступил для них, когда они получили доступ к некоторым командным серверам, используемым Flame. Они обнаружили, что за десять дней до появления новостей о Flame злоумышленники начали масштабную кампанию по очистке, чтобы замести следы и стереть любые следы своей деятельности с серверов, что позволяет предположить, что злоумышленники действительно были заранее уведомлены о том, что их операция вот-вот будет раскрыта.19 Но они допустили одну большую ошибку, из-за которой сервер в Малайзии практически не пострадал со своими данными. За несколько недель до операции по очистке злоумышленники небрежно изменили настройки на сервере и непреднамеренно заблокировали себя. В результате они не смогли вернуться, чтобы стереть его начисто, оставив Касперскому множество криминалистических данных для поиска.20
  
  Нетронутой осталась панель управления, которую злоумышленники использовали для доставки модулей Flame на зараженные машины и для обработки украденных данных, полученных с них. Панель управления была спроектирована так, чтобы напоминать издательскую платформу для бизнеса под названием NewsforYou, так что если кто-то посторонний получит доступ к серверу, они подумают, что он принадлежит газете или медиа-компании. Вредоносные модули, которые злоумышленники планировали установить на компьютеры жертв, хранились в каталогах, которые злоумышленники назвали “Новости” и “Реклама”, в то время как в каталоге под названием “Записи” хранились данные и файлы, которые были украдены с компьютеров жертв.
  
  Исследователи Касперского также обнаружили журналы, в которых указаны IP-адреса каждой зараженной машины, которая связывалась с сервером. Сервер был настроен совсем недавно, 25 марта, но за десять дней его работы с ним связались по меньшей мере 5377 зараженных машин в десятках стран. Около 3702 из них были в Иране, а еще 1280 - в Судане. В других странах было зарегистрировано менее 100 случаев заражения.
  
  Райу и его команда поняли, что если только один командный сервер из более чем восьмидесяти зарегистрированных злоумышленниками, общался с 5000 зараженными машинами всего за десять дней, а вредоносная программа была в дикой природе с 2007 или 2008 года, общее число жертв должно было быть на десятки тысяч больше, чем они первоначально рассчитали. Они также обнаружили файл на малазийском сервере, который был заполнен 5,7 ГБ данных, украденных с компьютеров жертв в течение того же десятидневного периода. Если злоумышленники похитили столько данных всего за десять дней, Райу подозревал, что их общая добыча, должно быть, составила терабайты данных за пять с лишним лет работы Flame.21
  
  Но эти откровения бледнели по сравнению с другим доказательством, оставленным инженерами Flame, которое показало, что малайзийский сервер был настроен на взаимодействие не с одним вредоносным ПО, а с четырьмя. Злоумышленники идентифицировали их как SP, SPE, FL и IP, и они были созданы в таком порядке, причем SP был самым старым. Каждый из них был разработан для связи с командным сервером с использованием другого пользовательского протокола, написанного злоумышленниками.22
  
  FL ссылался на Flame, но остальные три кода атаки были загадкой. Исследователи Касперского точно знали, что SPE существует, потому что они видели доказательства этого в дикой природе. Когда они создали свою воронку для перехвата данных, направлявшихся на серверы Flame, около девяноста машин в Ливане, Иране и Франции, зараженных кодом SPE, тысячи раз связывались с их воронкой, пытаясь связаться с ней, используя специальный протокол этого кода. Однако две другие вредоносные программы еще не появились. Они не смогли получить копию SPE, поэтому они все еще не знали, что она делает.
  
  Но все это подтвердило, что какими бы шокирующими ни были разоблачения о Stuxnet, Duqu и Flame, они, вероятно, были лишь малой частью запасов инструментов и оружия, созданных Соединенными Штатами и Израилем.
  
  Действительно, через пару недель после появления новостей о Flame Касперский наткнулся на еще один шпионский инструмент для национальных государств, который годами не обнаруживался.
  
  Каждый раз, когда команда Райу обнаруживала новые файлы или немного больше информации о Stuxnet, Flame или Duqu, они уточняли сигнатуры в своих антивирусных продуктах и изменяли поисковые запросы, которые они использовали для поиска в своих архивах, чтобы посмотреть, смогут ли они найти другие варианты тех же файлов. Во время одного из поисков в их архиве они обнаружили подозрительный файл, который поступил через их автоматизированную систему отчетности с клиентского компьютера на Ближнем Востоке. Файл был помечен системой как модуль Flame и передан на те же серверы командования и управления, что и Flame. Но это явно был не Flame или какая-либо из трех других загадочных программ — SP, SPE или IP.
  
  Они добавили подписи для файла в свой антивирусный движок и обнаружили около 2500 жертв, зараженных им в двадцати пяти странах. Более 1600 жертв были в Ливане. Следующее по величине число, 482, было в Израиле, а еще 261 - на палестинских территориях. Около 40 жертв были в Соединенных Штатах, и только 1 был в Иране.
  
  Когда они перепроектировали код и начали его анализировать, они увидели, что он содержит некоторые из тех же библиотек, алгоритмов и базового кода, что и Flame, что объясняет, почему их система пометила его как таковой. Разработчики даже оставили данные о пути и проекте в некоторых файлах, которые показали, что файлы хранились на компьютерах злоумышленников в каталоге, который они назвали Flamer.23
  
  Исследователи Касперского назвали эту новую атаку “Gauss” по имени, которое злоумышленники дали одному из своих основных модулей. Название появилось в честь известного математика Иоганна Карла Фридриха Гаусса, поскольку другие модули носили названия Лагранж и Гедель, по-видимому, в честь математика Джозефа-Луи Лагранжа и криптографа Курта Геделя. Уважение к математике и криптографии стало очевидным, когда исследователи обнаружили, что у атаки была полезная нагрузка, которая использовала очень сложную схему шифрования, достойную мастера-криптографа.
  
  Как и Flame, эта новая таинственная вредоносная программа была инструментом шпионажа, но она была намного меньше Flame и явно была частью отдельной шпионской операции. Вредоносная программа содержала несколько модулей для кражи системных паролей, записи данных конфигурации и кражи учетных данных для входа в социальные сети, электронной почты и учетных записей мгновенных сообщений. Также был модуль для заражения USB-флеш-накопителей тем же самым .Эксплойт LNK, который использовал Stuxnet.
  
  Но в новой атаке было что-то еще, чего исследователи никогда раньше не видели в инструменте национального государства — троянская программа для кражи учетных данных для входа в банковские счета. Однако это был не обычный банковский троянец. Скорее, он был сосредоточен на клиентах банков в Ливане — Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Не было никаких признаков того, что троянец использовался для кражи денег со счетов, но некоторые банки Ливана подозревались в том, что они использовались для отмывания средств для ядерной программы Ирана и для поддерживаемой Ираном Хезболлы, поэтому злоумышленники, возможно, отслеживали балансы и транзакции, чтобы отобразить взаимосвязи между счетами и отследить движение денег.
  
  В коде было две загадки, которые исследователи не смогли разгадать — одна из них касалась пользовательского файла шрифтов, который злоумышленники назвали Palida Narrow, который Gauss установил на зараженные машины. Как и обычный Dexter Duqu, Palida Narrow был вымышленным названием шрифта. Но в отличие от Duqu, файл Palida Narrow не содержал эксплойтов или вредоносного кода. На самом деле, оказалось, что у него вообще нет функциональности, поэтому исследователи не имели представления о том, почему злоумышленники установили его.24
  
  Но еще большая загадка заключалась в зашифрованной полезной нагрузке, которую Гаусс передал на некоторые машины, которые были заперты в непроницаемой оболочке.
  
  В отличие от Stuxnet, который доставлял свою полезную нагрузку на каждую зараженную машину, но выполнял полезную нагрузку только на машинах с определенной конфигурацией, Gauss доставлял свою полезную нагрузку только на машины с определенной конфигурацией. Казалось, что злоумышленники извлекли уроки из ошибок, допущенных в Stuxnet. Ограничив количество машин, на которые они распространяют полезную нагрузку Gauss, они значительно снизили вероятность того, что она будет обнаружена.
  
  Gauss доставил свою боеголовку очень ограниченным способом через USB-накопители. Это заразило бы только один USB-накопитель, вставленный в зараженную машину, и не более. Когда этот флэш-накопитель затем вставлялся в другую машину, он передавал полезную нагрузку машине, только если машина имела конкретную конфигурацию, которую искал Гаусс. Он также собирал данные конфигурации с любого введенного компьютера и сохранял их на флэш-накопителе USB в скрытом файле. Если флэш-накопитель был вставлен в любую другую машину, которая была заражена Gauss и которая также была подключена к Интернету, Gauss передавал скрытый файл обратно на командный сервер злоумышленников. Таким образом, злоумышленники будут знать, когда Gauss достигнет своей цели.
  
  Gauss также предпринял еще одну предосторожность в отношении своей полезной нагрузки. В отличие от Stuxnet, ключи для разблокировки этой таинственной полезной нагрузки не хранились в вредоносном ПО. Вместо этого боеголовку можно было расшифровать только с помощью ключа, который был динамически сгенерирован из конфигурационных данных на компьютере, на который она была нацелена.
  
  Но для генерации ключа вредоносная программа прошла серию сложных искажений, чтобы гарантировать, что она не загрузится не на ту машину и что никто не сможет разблокировать ее с помощью грубой силы. Сначала он собрал очень специфические данные конфигурации с целевой машины — информацию о каталогах, программных файлах и других постоянных данных, — затем объединил имена каждого файла, одно за другим, с именем верхнего каталога в папке Windows Program Files на компьютере. К этой строке данных было добавлено специальное значение, затем она 10 000 раз прогнала ее через алгоритм хэширования MD5, перефразируя полученный хэш для создания нового хэша каждый раз.25 Если в конце он генерировал правильный хэш, который искал, вредоносная программа переходила к следующему шагу.
  
  Даже когда Gauss добрался до нужного хэша, он не сразу разблокировал полезную нагрузку. Вместо этого он пересчитал 10 000-й хэш, используя другое добавленное значение. Хэш от этой операции затем стал ключом, который разблокировал боеголовку. Как только полезная нагрузка была разблокирована, Гаусс использовал тот же путь и программные данные, которые создали самый первый хэш, добавил к нему еще новое значение, затем расшифровал второй раздел кода атаки, прежде чем повторить те же шаги для расшифровки еще третьего раздела.
  
  Если вы пытались провести исключительно осторожную и контролируемую операцию, это был способ сделать это. По сравнению с этим полезная нагрузка Stuxnet практически не была защищена, что позволило исследователям легко разблокировать ее и определить, что она делает. Но сложная схема шифрования, используемая для полезной нагрузки Gauss, гарантировала, что боеголовка оставалась запертой в непроницаемом хранилище, которое никто не мог взломать.
  
  Действительно, хотя исследователи Касперского перепробовали миллионы пар данных, чтобы найти конфигурацию, которая разблокировала полезную нагрузку Gauss, они не смогли создать ключ, который мог бы ее взломать. Они должны были задаться вопросом, что такого особенного было в полезной нагрузке Gauss, что злоумышленники приложили столько усилий для ее защиты. Они не могли исключить возможность того, что это было что-то разрушительное, как Stuxnet или Wiper, или что оно было сверхчувствительным, потому что имело какое-то отношение к банковскому троянцу Gauss и финансовым сетям.
  
  Заблокированная полезная нагрузка Gauss не позволила исследователям полностью расшифровать атаку, но в ходе анализа этой угрозы они наткнулись на другую находку, которая до тех пор ускользала от них: образец таинственного вредоносного ПО SPE.
  
  SPE была одной из четырех программ, которые взаимодействовали с командными серверами Flame и которая связалась с их провалом Flame месяцами ранее. Они обнаружили, что на самом деле это был автономный модуль, а не полностью другая атака, который можно было использовать либо самостоятельно, либо в сочетании с Flame или Gauss для расширения шпионских возможностей любого из этих инструментов.26 Модуль, который Касперский назвал “мини-пламя”, был первым обнаруженным прямым каналом, соединяющим Gauss и Flame. Ранее они считали, что две атаки были полностью отдельными операциями, проводимыми одними и теми же злоумышленниками, но mini-Flame доказал обратное. Касперский даже обнаружил одну машину в Ливане, которая была заражена всеми тремя программами — Flame, Gauss и mini-Flame.27
  
  Этот младший Флейм открыл черный ход для зараженных компьютеров, а также работал в качестве продавца информации, позволяя злоумышленникам удаленно изучать конфигурацию машин и отображать любые другие системы, подключенные к ним. Злоумышленники, вероятно, сначала заразили систему Flame или Gauss, чтобы собрать базовую информацию о ней и определить, является ли она ценной целью, затем установили mini-Flame только на ключевые компьютеры, принадлежащие высокопоставленным жертвам, когда им нужно было напрямую управлять машиной, извлекать из нее определенные данные или дополнительно исследовать локальную сеть жертвы. Как только mini-Flame был установлен, злоумышленники, вероятно, отправили модуль со своих командных серверов, чтобы удалить более крупный шпионский комплект Flame с машины и тем самым уменьшить свое присутствие.
  
  Касперский обнаружил всего около пятидесяти жертв, зараженных mini-Flame, расположенных в основном в Иране и других частях Ближнего Востока, но также в Литве и Соединенных Штатах. Среди жертв они обнаружили шесть различных вариантов модуля, созданных в период с октября 2010 по сентябрь 2011 года. Но разработка первого модуля mini-Flame, вероятно, произошла в 2007 году, когда были созданы Stuxnet, Duqu и более крупный Flame, поскольку именно тогда был создан протокол, который mini-Flame использовал для связи с серверами управления. Как ни странно, хотя летом 2012 года mini-Flame связывался с провалом Касперского около 14 000 раз в течение четырехмесячного периода, он полностью прекратил связь с провалом в период с 4 по 7 июля того же года — разрыв, который Касперский никогда не мог объяснить.
  
  С ОТКРЫТИЕМ этого последнего модуля работа Касперского над кодом, созданным бандой Stuxnet, начала сворачиваться — отчасти потому, что детальная работа, проделанная Райу и его командой для раскрытия всех этих скрытых инструментов национального государства, начала привлекать нежелательное внимание исследователей.
  
  По мере того как они публиковали одну находку за другой, некоторые представители сообщества безопасности начали сомневаться в их мотивах. Точно так же, как Symantec подверглась критике за нелояльность к Соединенным Штатам за разоблачение Stuxnet и нанесение ущерба интересам национальной безопасности США, некоторые задавались вопросом, выполняет ли московская "Лаборатория Касперского" задание российской разведки, разоблачая и саботируя западные шпионские операции.
  
  Райу говорит, однако, что они никогда не подвергались влиянию или руководству в своей работе со стороны какого-либо правительства или спецслужб. Он и его команда считали свою работу превыше политики, и их единственной целью, как и у исследователей Symantec, было применить свои навыки обратного инжиниринга для защиты клиентов и содействия безопасности компьютерного сообщества. Фактически, их работа по разоблачению банд Stuxnet и Flame фактически противоречила собственным деловым интересам их компании. "Лаборатория Касперского" была в самом разгаре масштабной экспансии на рынок США, и основатель Юджин Касперский прилагал согласованные усилия, чтобы с этой целью завести друзей в Вашингтоне и Израиле. Тогда не помогло то, что, пока он обхаживал эти два правительства, его исследователи были заняты разоблачением их тайных операций.
  
  Но их работа рисковала затронуть не только деловые интересы компании. Во время анализа Stuxnet исследователи Symantec были обеспокоены тем, что за их работой могут тайно следить Израиль и Соединенные Штаты или даже Иран, хотя они никогда не видели никаких конкретных признаков того, что это действительно произошло. Райу, однако, стал уверен, что за ним следили, когда он был в Мюнхене на конференции весной 2012 года. Это было вскоре после того, как они обнаружили Flame, но до того, как они обнародовали новости. Райу заметил, что кто-то притаился у стойки регистрации его мюнхенского отеля, когда он регистрировался, как будто пытаясь узнать номер его комнаты. Позже он заметил, что другие следили за ним, когда он шел в туалет или в свой гостиничный номер. Когда он поделился своей озабоченностью с коллегами, они тоже это заметили. Он подозревал, что люди, следящие за ним, были из агентства иностранной разведки, но он не мог быть уверен. Затем к нему подошли трое израильтян, которые хотели поговорить с ним о его работе над Duqu, и женщина, которая хотела знать, есть ли у Касперского возможность восстанавливать удаленные файлы с жесткого диска. Последний вопрос был немного тревожным, поскольку Касперский пытался восстановить файлы из систем в Иране, которые были уничтожены вредоносной программой Wiper.
  
  Это была еще одна суровая проверка на реальность того, что мир охоты на вирусы кардинально изменился с появлением Stuxnet. Ранее единственным риском, с которым исследователи сталкивались при выявлении цифровых угроз, был гнев киберпреступников, которые могли бы возразить им за вмешательство в их средства к существованию. Но устранение угроз со стороны национальных государств породило целый новый мир проблем, и Райу решил, ради своей молодой семьи, что ему следует снизить свою известность. После инцидентов, произошедших на Мюнхенской конференции, он отказался от публичных выступлений о работе "Лаборатории Касперского " на благо государства и предоставил коллегам выполнять обязанности СМИ в дальнейшем.
  
  Тогда, когда вскоре после этого исследователи Касперского переключили свое внимание с семейства угроз Stuxnet-Duqu-Flame на другие проекты, в частности, на тот, который, как полагают, является работой российских актеров, это не было совпадением. Операция, получившая название “Красный октябрь”, была нацелена на дипломатов, правительства и исследовательские институты, в первую очередь в Восточной Европе и Центральной Азии, с основной целью сбора конфиденциальных документов и геополитической разведки. Райу и его коллеги подозревали, что это была работа не представителей национальных государств, а российских киберпреступников или внештатных шпионов, которые искали разведданные, чтобы продать их.
  
  С операцией "Красный октябрь" команда Касперского, казалось, навсегда оставила банду Stuxnet позади. Но это не означало, что все слышали о Stuxnet в последний раз. Оказалось, что у цифрового оружия все еще был еще один сюрприз, ожидающий раскрытия.
  
  В ноябре 2012 года, более чем через два года после открытия Stuxnet, когда даже Duqu и Flame стали далекими воспоминаниями, исследователи Symantec наткнулись на недостающее звено, которое они давно потеряли надежду когда-либо найти, — раннюю версию Stuxnet, которая предшествовала всем другим известным вариантам.
  
  Они обнаружили это, просматривая свои архивы в поисках любых вредоносных файлов, отпечатки пальцев которых совпадали с отпечатками Stuxnet — что они периодически делали с сигнатурами вредоносных программ, чтобы убедиться, что они не пропустили ничего важного. При этом появился компонент, которого они раньше не видели. Он находился в их архиве с 15 ноября 2007 года, когда кто-то отправил его в VirusTotal, что означало, что первая атака Stuxnet была предпринята намного раньше, чем считалось ранее.28 Как отмечалось ранее, они всегда подозревали о существовании других версий Stuxnet из-за пробелов в номерах версий 2009 и 2010 годов — 1.001, 1.100 и 1.101. Они даже подозревали, что может существовать ранняя версия Stuxnet, которая предшествовала всем другим известным. Теперь они нашли его — Stuxnet версии 0.5.
  
  Однако, обнаружив больше файлов, связанных с компонентом, они обнаружили, что это была не просто какая-либо версия Stuxnet. Это был тот, который содержал полный код атаки 417, полностью неповрежденный и активированный.
  
  Их предыдущая попытка раскрыть атаку Stuxnet на ПЛК Siemens S7-417 потерпела неудачу, поскольку код был неполным и отключен в более поздних версиях Stuxnet. Николас Фаллиер из Symantec подумал, что, возможно, злоумышленники отключили его, потому что они ждали критической части конфигурационных данных для завершения атаки. Но теперь стало ясно, что они отключили его, потому что решили изменить свою тактику. Хотя более поздние версии содержали как коды атаки 315, так и отключенные коды атаки 417, в этом раннем варианте не было никаких признаков кода атаки 315, только код, который атаковал ПЛК Siemens 417. Из этого было ясно, что нападавшие сначала сосредоточили свое нападение на 417 ПЛК в Натанзе, а затем по какой—то причине — атака не достигла своей цели или для ее достижения потребовалось слишком много времени - перенастроили и переключили свои взгляды на 315 ПЛК вместо этого.
  
  Теперь, когда команда Symantec — за исключением Фалльера, который ушел из Symantec ради работы в Google — получила в свои руки этот ранний вариант, они, наконец, смогли определить, что контролируют 417 ПЛК и что Stuxnet с ними делает. Оказалось, что эта версия была нацелена на клапаны, которые регулировали подачу газообразного гексафторида урана в центрифуги и каскады в Натанзе и из них.29 Stuxnet открывал и закрывал клапаны, чтобы увеличить давление внутри центрифуг в пять раз по сравнению с нормальным уровнем. При таком давлении газ, вероятно, начнет затвердевать, нарушая процесс обогащения и приводя к тому, что центрифуги, вращающиеся с высокой скоростью, опасно теряют равновесие и врезаются в другие центрифуги вокруг них. Или, по крайней мере, таков, вероятно, был план. Возможно, это сработало не так хорошо или так быстро, как надеялись нападавшие, поэтому в 2009 году они изменили тактику и вместо этого сосредоточились на атаке на преобразователи частоты — более прямой метод повреждения центрифуг.
  
  Хотя Stuxnet 0.5 не имела даты уничтожения и должна была быть активна, когда были выпущены более поздние версии Stuxnet, исследователи не обнаружили эту версию ни на одном компьютере, когда Stuxnet был обнаружен в 2010 году.30 Возможно, это произошло из-за того, что оно было стерто. Одна из первых вещей, которые делали более поздние версии Stuxnet, когда они приземлялись на машину, проверяли наличие более ранних версий Stuxnet на машине и заменяли их. Таким образом, было вероятно, что Stuxnet 0.5 был автоматически заменен на зараженных машинах, когда была запущена версия в июне 2009 года.31
  
  Также возможно, что образцы Stuxnet 0.5 так и не были найдены, потому что эта версия контролировалась гораздо более жестко, чем более поздние, и заразила только ограниченное количество машин. Вместо того, чтобы использовать эксплойты нулевого дня для распространения, он распространялся только одним способом — путем заражения файлов проекта Siemens Step 7. Эти файлы, которыми программисты делились между собой, использовались для программирования линейки ПЛК Siemens S7, что делает их идеальными для подключения Stuxnet к целевым ПЛК. Тот факт, что эта версия распространялась только через файлы Шага 7, предполагал, что у злоумышленников был внутренний путь, чтобы внедрить ее в основные системы в Натанзе. Таким образом, Stuxnet 0.5, скорее всего, так и не был обнаружен, поскольку нулевой пациент — первая зараженная им машина — возможно, была одной из тех самых программирующих машин, на которые нацелились злоумышленники. С более поздними версиями вредоносного ПО они, возможно, потеряли этот доступ, что вынудило их увеличить Stuxnet с дополнительной мощностью распространения, чтобы увеличить шансы достижения своей цели.32 К сожалению, это распространение мощности в более поздних версиях и расположение нулевого пациента в офисе за пределами Натанза были факторами, которые поймали Stuxnet.33
  
  После запуска Stuxnet 0.5 была полностью автономной, поэтому злоумышленникам не нужно было ее контролировать. Но если он оказывался на машине, подключенной к Интернету, он все равно связывался с одним из четырех командных серверов, с которых злоумышленники могли отправлять новый код для обновления цифрового оружия, если это необходимо.34 Stuxnet был запрограммирован на прекращение связи с серверами 11 января 2009 года, но к тому времени злоумышленники уже готовили следующую версию своего нападения — драйвер, который они скомпилировали 1 января 2009 года для использования со следующей версией Stuxnet, которую они выпустили пять месяцев спустя.
  
  Представление Stuxnet 0.5 в VirusTotal в 2007 году, наряду с другими датами, связанными с кодом, заставило исследователей пересмотреть свою оценку того, когда началась работа над Stuxnet.35 Оказалось, что предварительная работа над атакой началась еще в ноябре 2005 года. Именно тогда были зарегистрированы некоторые домены для серверов командования и контроля, используемых с Stuxnet 0.5. Код для других командных серверов, позже использовавшихся в атаках Stuxnet в 2009 и 2010 годах —the todaysfutbol.com и mypremierfutbol.com домены—был составлен в мае 2006 года. Хотя сам Stuxnet не был запущен в 2006 году — советники Буша предложили ему это только в том году — командная инфраструктура для управления им уже была создана в это время. Возможно, командные серверы изначально были настроены для связи с Flame, Duqu или другим шпионским инструментом, который злоумышленники использовали для сбора разведданных для операции, а затем снова использовались для Stuxnet. Эти ранние даты, безусловно, совпали с тем, когда, по мнению исследователей Касперского, началась работа над Flame.
  
  Даты также совпали с периодом, когда политическая ситуация вокруг ядерной программы Ирана достигла критической точки: в августе 2005 года, через два месяца после избрания Ахмадинежада президентом, международные переговоры по ядерной программе Ирана провалились, и Иран объявил, что выходит из соглашения о приостановке. Три месяца спустя злоумышленники зарегистрировали серверы командования и управления для Stuxnet 0.5.
  
  Иран действительно установил центрифуги в Натанзе в это время, но только на экспериментальной установке. В феврале 2006 года, через три месяца после регистрации командных серверов, Иран попытался обогатить свою первую партию урана в небольшом каскаде на пилотной установке. Но операция прошла неудачно, поскольку пятьдесят центрифуг взорвались. Возможно, за это была ответственна ранняя версия Stuxnet; иранские власти приписали саботаж ИБП из Турции, которыми, по их словам, манипулировали, чтобы вызвать внезапный скачок напряжения.
  
  Иран быстро оправился от этой неудачи и в мае объявил, что технические специалисты достигли 3,5-процентного обогащения в полноразмерном каскаде на пилотной установке. Начались планы по установке первой из 3000 центрифуг в одном из подземных каскадных залов. Однако для установки первых центрифуг в зале потребовалось до начала 2007 года. К ноябрю того же года было установлено около 3000 центрифуг. В том же месяце Stuxnet впервые появился в дикой природе, когда кто-то отправил Stuxnet 0.5 в VirusTotal.
  
  С ОТКРЫТИЕМ этой ранней версии Stuxnet исследователи теперь имели то, что, вероятно, было наиболее полной картиной, которую они когда-либо собирались иметь о том, что произошло с этой новаторской атакой против Ирана.
  
  Это была долгая и невероятная поездка, которая стала возможной только благодаря серии неудачных событий и промахов, которых никогда не должно было произойти — от эксплойтов нулевого дня, которые запустили Stuxnet в его дикую одиссею через тысячи машин по всему миру, до сбоев в машинах в Иране, которые первыми выдали его; от зеленых исследователей в Беларуси, которым не хватало навыков и опыта для борьбы с такой угрозой, как Stuxnet, до исследователей Symantec, которые с трудом пробивались через код ПЛК; от инструмента Wiper в Иране , который привел к Команда Касперского обнаружила Flame на сервере в Малайзии, который заблокировал злоумышленников и сохранил гору судебных доказательств для поиска исследователей. Было так много вещей, которые должны были пойти не так, чтобы Stuxnet и его арсенал инструментов были обнаружены и расшифрованы, что удивительно, что все это произошло.
  
  Когда все это было сделано, исследователи Kaspersky и Symantec оглянулись на два года работы, которые они потратили на обратное проектирование и анализ вредоносных инструментов банды Stuxnet, и им оставалось только восхищаться уровнем мастерства, который был вложен в их создание. Но им также оставалось ломать голову над шокирующей быстротой, с которой операции, которые столько лет оставались скрытыми, так быстро распутались в их руках — подобно сбившейся нитке свитера, которая при дергании приводит к распаду всего предмета одежды.
  
  Нападавшие, без сомнения, предполагали, даже рассчитывали, что у иранцев не хватит навыков, чтобы самостоятельно раскрыть или расшифровать вредоносные атаки. Но они явно не ожидали, что краудсорсинговая мудрость улья — любезно предоставленная глобальным сообществом кибербезопасности — справится с обнаружением и анализом за них.
  
  С помощью Stuxnet родился новый мировой порядок, в котором исследователи безопасности и реверс-инженеры стали невольными призывниками в новый вид ополчения, призванного демонтировать цифровое оружие, которым страны обмениваются друг с другом, и защищаться от него. Этот новый порядок создал множество новых дилемм в области этики и национальной безопасности для исследователей, оказавшихся между потребностями пользователей компьютеров и интересами спецслужб и правительств. Если Stuxnet ознаменовал начало милитаризации киберпространства, он также ознаменовал начало политизации исследований вирусов.
  
  “Здесь возникает новый вопрос о хорошем парне / плохом парне, который потенциально ставит нас в очень сложное положение”, - сказал Эрик Чиен в 2012 году после завершения анализа Stuxnet. Их работа над Stuxnet не была омрачена политическими влияниями, и он надеялся, что никогда не окажется в положении, когда им придется выбирать между клиентами и интересами национальной безопасности. Но он не был настолько наивен, чтобы думать, что до этого никогда не дойдет.
  
  “Это звучит немного банально, но мы просто пытаемся помогать людям и делать то, что правильно”, - говорит он. “Если мы дойдем до того момента, когда нам придется задать этот вопрос, это будет очень сложный вопрос [для ответа]. Я думаю, что мы окажемся в плохом положении, если дойдем до этого момента ”.36
  
  
  
  1 Еще одна улика, обнаруженная в разрушенной системе, также, казалось, указывала на злоумышленников, стоящих за Stuxnet и Duqu. Подсказка указывала на то, что первое, что сделал Wiper, когда он приземлился в системе, это выследил и уничтожил любой файл с расширением .PNF. Райу напомнил, что файл полезной нагрузки в Stuxnet, а также некоторые другие его файлы имели .Расширения PNF. У Duqu также были файлы с расширением .PNF, расширением, которое редко использовалось в вредоносных инструментах.
  
  2 Журнал также содержал внутренние компьютерные имена систем в Иране, которые были заражены.
  
  3 Microsoft исправила его 9 июня, примерно за две недели до выпуска июньской версии Stuxnet 22 июня 2009 года.
  
  4 Что касается того, был ли Flame связан с Wiper, возникла некоторая путаница между двумя атаками после того, как исследователи Касперского обнаружили модуль Flame, который был назван Viper. Но задача этого модуля заключалась в передаче украденных данных на командный сервер, а не в том, чтобы стереть жесткий диск зараженных машин. Однако его существование изначально вызвало вопросы о том, действительно ли обнаруженная иранцами вредоносная программа Wiper была компонентом Flame. Не помогло и то, что в некоторых иранских отчетах Wiper был идентифицирован как Viper из-за ошибки транслитерации с персидского на английский. Но в итоге Касперский не обнаружил прямой связи между Wiper и Flame.
  
  5 На большинстве зараженных компьютеров была установлена версия 6 MB. Но они также нашли стартовый набор меньшего размера, который составлял около 900 КБ без дополнительных модулей, включенных в него, и который, возможно, использовался для заражения компьютеров через медленные сетевые соединения, поскольку удаленная установка модуля объемом 6 МБ в странах с медленными и ненадежными интернет-соединениями заняла бы целую вечность.
  
  6 Файл конфигурации вредоносной программы содержал список из пяти статических доменов, среди которых traffic-spot.biz , dailynewsupdater.com и bannezone.in - а также другой список, который мог быть изменен случайным образом всякий раз, когда злоумышленники добавляли новые командные серверы.
  
  7 Злоумышленники были более осторожны с Flame, изменяя временные метки в файлах, чтобы помешать исследователям датировать работу. Хотя некоторые временные метки оказались точными, другие, указывающие на то, что файлы были скомпилированы в 1994 и 1995 годах, были явно неверными, поскольку файлы содержали код из библиотек, которые не были созданы до 2010 года.
  
  8 В серверном коде действительно была заметка, которую программисты вставили, чтобы идентифицировать авторов и дату создания. Примечание гласило: “@author OCTOPUS от 3.12.2006; @author Демо (модификации)”. Эти имена, скорее всего, были кодовыми названиями отдельных лиц или команд, которые настраивали серверы.
  
  9 Пока Kaspersky изучал полученные файлы Flame, Symantec изучала файлы, полученные от Bencsáth, а также другие модули, которые они получили с компьютеров зараженных клиентов после добавления обнаружения в свои антивирусные инструменты. Ни одна из команд не общалась друг с другом о своей работе, хотя каждая тайно узнала, что другая исследует код. Когда исследователи Symantec обнаружили, что исследователи Kaspersky планируют опубликовать свои результаты в День памяти, они поспешили завершить свой анализ, чтобы опубликовать его в тот же день. С автором связались обе компании по отдельности — сначала Kaspersky, а затем Symantec — в преддверии анонсов. Смотрите Ким Зеттер, “Познакомьтесь с Flame, массовым шпионским вредоносным ПО, проникающим в иранские компьютеры”, Wired.com, 28 мая 2012, доступно по wired.com/threatlevel/2012/05/flame.
  
  10 О его слабости известно как минимум с 2004 года.
  
  11 Как правило, сертификат генерируется и подписывается в течение нескольких секунд после отправки запроса на серверы Microsoft. Злоумышленники могли определить, сколько времени потребовалось Microsoft для выдачи подписанных сертификатов, отправив компании несколько запросов на получение сертификатов для обнаружения шаблона. Но один бывший сотрудник Microsoft предположил мне, что злоумышленники могли также сидеть во внутренней сети Microsoft, наблюдая за поступающими запросами, чтобы точно определить, сколько времени потребовалось для поступления запросов извне и их обработки. Однако нет никаких доказательств того, что это так.
  
  12 В дополнение ко всей этой работе им также пришлось модифицировать сертификат, чтобы использовать его для установки своего вредоносного ПО на компьютеры с Windows Vista, поскольку в своем первоначальном виде он не был бы принят ни одной системой, использующей Vista или более позднюю версию операционной системы Windows. Модификация включала в себя удаление расширения в сертификате. Они не удалили расширение, которое могло привести к сбою проверки подписи кода компьютера; вместо этого они немного “прокомментировали” сертификат — окружили его маркерами, чтобы заставить машину просто игнорировать расширение. Это позволило ему работать на компьютерах с Vista. Однако только на 5 процентах компьютеров, на которых Касперский обнаружил заражение Flame, была установлена Windows Vista. Большинство машин использовали Windows 7 или Windows XP.
  
  13 Согласно источникам, Microsoft пыталась выяснить, кто отправил запросы и сколько запросов на сертификат поступило от этой организации, но с момента выдачи сертификата — в феврале 2010 года — и до обнаружения Flame в 2012 году прошло слишком много времени. Журналы Microsoft со временем переписываются, и журналы за этот период времени больше не были доступны.
  
  14 Голландский криптограф и академик Марк Стивенс, который вместе с коллегой Бенне де Вегером разработал одну из первых практических коллизионных атак с использованием хэша MD5 для исследовательских целей в 2007 году, описал атаку Flame как “криптоанализ мирового класса”, который открыл новые возможности и вышел за рамки работы, проделанной ими и другими с коллизиями. Стивенс и де Вегер были частью группы исследователей, в том числе Александра Сотирова, которые продемонстрировали аналогичную, хотя и технически отличающуюся атаку collision в 2008 году на конгрессе Chaos Computer Club — хакерской конференции, ежегодно проводимой в Германии. Они использовали кластер из двухсот Playstation 3 для выполнения вычислительной работы по созданию идентичного хэша для сертификата. Их сертификат выдавался за другую компанию, а не за Microsoft. Однако, когда они проводили свой эксперимент, они продолжали угадывать неправильную временную метку, и им пришлось четыре раза генерировать хэш, прежде чем они получили его правильно. Когда в 2012 году была обнаружена атака Flame, Сотиров подсчитал, что ее было в десять-сто раз сложнее осуществить, чем атаку, которую он и его коллеги совершили. Слайды к презентации Сотирова и его коллег можно найти на events.ccc.de/congress/2008/Fahrplan/attachments/1251_md5-collisions-1.0.pdf.
  
  15 Следует отметить, что, пройдя через все эти трудности, чтобы получить свой мошеннический сертификат, злоумышленники не должны были иметь возможности использовать его для подписи своего вредоносного кода. Но они смогли это сделать, потому что Microsoft не смогла реализовать определенные ограничения, чтобы сертификаты, которые она выдавала для лицензирования TS, были предназначены только для целей “лицензирования программного обеспечения”.
  
  16 Этот недорогой сертификат позволил бы вредоносному ПО, по крайней мере, проскользнуть мимо компьютеров с Windows XP, но не компьютеров с Windows Vista, которые имели более надежную защиту.
  
  17 Однако некоторые скажут, что эта атака была даже хуже, чем подрыв серверов Центра обновления Microsoft Windows для доставки вредоносного программного обеспечения, потому что при подрыве этих серверов, хотя злоумышленники могли отправлять вредоносное программное обеспечение клиентам с серверов Microsoft, компьютеры клиентов отклоняли код, если он также не был подписан Microsoft. Но, нарушив процесс сертификации Microsoft для подписи своего вредоносного кода, злоумышленники не нуждались в серверах обновлений Microsoft. Они могли доставлять свои вредоносные программы на компьютеры с любого сервера и выдавать их за законный код Microsoft.
  
  18 Эллен Накашима, “США и Израиль разработали компьютерный вирус Flame, чтобы замедлить ядерные усилия Ирана, говорят официальные лица”, Washington Post, 19 июня 2012.
  
  19 С помощью Duqu злоумышленники начали операцию по очистке после появления новостей о вредоносном ПО, но тот факт, что команда, стоящая за Flame, начала свою очистку примерно за десять дней до появления новостей о Flame, предполагал, что они заранее знали, что их прикрытие вот-вот будет раскрыто. Исследователи Касперского, вероятно, непреднамеренно предупредили их, когда подключили к Интернету тестовую машину, зараженную Flame. Как только машина вышла в Интернет, вредоносная программа попала на один из командных серверов Flame. Злоумышленники, должно быть, поняли, что машины не было в их списке целей, и, возможно, даже идентифицировали ее как компьютер Касперского и пришли к выводу, что дни Flame сочтены. В панике они стерли командные серверы и разослали модуль уничтожения под названием Browse32 на зараженные машины, чтобы стереть все следы вредоносного ПО, чтобы жертвы никогда не узнали, что они были заражены.
  
  Кампания по очистке была успешной по большей части. Но у Browse32 был фатальный недостаток; он оставил после себя один контрольный файл ~ DEB93D.tmp, который выдал его. Это был временный файл, который создавался всякий раз, когда Flame выполнял ряд различных операций на зараженной машине. Как только операция была выполнена, Flame должен был автоматически удалить временный файл. Из-за этого злоумышленники не внесли его в список файлов, которые Browse32 должен был удалить, поскольку они не ожидали, что он будет на компьютерах. Однако по иронии судьбы, если модуль уничтожения Browse32 прибыл на компьютер, когда Flame все еще выполнял одну из операций, которые создали временный файл, модуль уничтожения удалил Flame, прежде чем он смог удалить временный файл. Касперский обнаружил бесхозный временный файл, оставленный на сотнях систем, которые были заражены Flame. Именно этот файл, фактически оставленный на компьютере в Иране, заставил исследователей Касперского в первую очередь наткнуться на Flame.
  
  20 Это была не единственная ошибка, которую они допустили. Они также провалили операцию по очистке серверов, к которым они могли получить доступ. Они создали сценарий под названием LogWiper.sh стереть журналы активности на серверах, чтобы никто не мог видеть действия, которые они предприняли в системах. Как только сценарий закончил свою работу, он также должен был стереть себя, подобно змее Уроборос, пожирающей собственный хвост. Но злоумышленники ошиблись с командой удаления внутри скрипта, указав файл скрипта с неправильным именем. Вместо команды скрипту удалить LogWiper.черт, они приказали ему удалить logging.sh . В результате скрипт LogWiper не смог найти себя и был оставлен на серверах для поиска Касперским. Также злоумышленники оставили имена или клички программистов, которые написали сценарии и разработали алгоритмы шифрования и другую инфраструктуру, используемую Flame. Названия появились в исходном коде некоторых разработанных ими инструментов. Это была ошибка, которую могли бы совершить неопытные хакеры, поэтому исследователи были удивлены , увидев это в операции национального государства. Один из них, по имени Хикару, оказался руководителем группы, который создал большую часть серверного кода, включая сложное шифрование. Райу назвал его мастером шифрования. И кто-то по имени Райан работал над некоторыми сценариями.
  
  21 Казалось, что злоумышленники управляли своим проектом как жестко организованной военной операцией, в которой несколько команд выполняли тщательно распределенные задачи. Была команда менеджеров, которая наблюдала за операцией и выбирала жертв; были программисты, которые создавали модули Flame, и команда командования и контроля, которая настраивала и управляла серверами, доставляла модули Flame на зараженные машины и извлекала украденные данные с машин; и, наконец, была группа разведки, ответственная за анализ украденной информации и отправку запросов на дополнительные файлы для кражи с машин, которые, как оказалось, содержали ценные данные. Это была именно та установка, которую, как предполагали документы Сноудена, АНБ имело.
  
  Команда, управляющая командными серверами, имела ограниченное представление об общей операции и, возможно, даже не знала истинного характера миссий, которым способствовала их работа. Процесс загрузки новых модулей на зараженные машины строго контролировался, так что ни они, ни какие-либо посторонние лица, которые могли бы получить доступ к серверам, не могли изменять модули или создавать новые для отправки на зараженные машины. Командные модули, например, были доставлены на серверы в предварительно написанном виде, где они были автоматически проанализированы системой и помещены в каталог для доставки жертвам командой сервера, которой достаточно было нажать кнопку, чтобы отправить их в путь. Данные, украденные у жертв, также были зашифрованы с помощью сложного алгоритма и открытого ключа. Закрытый ключ для его расшифровки нигде не был найден на сервере, что позволяет предположить, что данные, вероятно, были переданы отдельной команде, которая была единственной, кто мог их расшифровать и изучить.
  
  22 Протоколы были идентифицированы как Old Protocol, Old E Protocol, SignUp Protocol и Red Protocol.
  
  23 Два названия — Flame и Flamer — появились в разных частях кода. Касперский решил назвать вредоносную программу Flame, но Symantec в своем отчете о ней предпочла назвать ее Flamer.
  
  24 Возможно, в какой-то момент Gauss содержал тот же эксплойт Windows font, который Duqu использовал для установки на компьютеры, хотя никаких признаков этого не было. Если бы оно использовалось, злоумышленники могли бы удалить его после того, как Microsoft исправила уязвимость, которой оно воспользовалось в 2011 году.
  
  25 Злоумышленники проверяли, установлена ли на компьютере очень специфическая программа, которая, вероятно, была уникальной для региона, в котором она находилась. Целевая программа была неизвестна, но исследователи Касперского говорят, что она начиналась со странного символа, и поэтому они полагали, что у программы могло быть арабское или еврейское название.
  
  26 Обнаружение SPE оставило неоткрытыми две из четырех вредоносных программ, используемых на серверах Flame, — SP и IP. Райу предположил, что SP, скорее всего, была ранней версией SPE, которая не была зашифрована.
  
  27 Файлы Гаусса были названы в честь элитных математиков и криптографов, но SPE приняла более популистский подход, используя такие имена, как Фиона, Соня, Тиффани, Элвис и Сэм.
  
  28 Когда вредоносные файлы отправляются в VirusTotal, веб-сайт отправляет копию файла любой из антивирусных компаний, чей сканер не смог обнаружить файл, хотя иногда он также отправляет файлы, которые также обнаруживаются. Общая информация о отправке этого раннего файла Stuxnet показывает, что файл отправлялся на сайт по крайней мере дважды, 15 и 24 ноября. Оба раза только один из тридцати шести антивирусных сканеров на сайте пометил файл как подозрительный, что было бы хорошей новостью для злоумышленников. Как ни странно, в представлении отсутствует информация запись, которая обычно появляется в записях других файлов, представленных на сайте. Категория, указывающая общее количество отправок файла на сайт, пуста, как и категория, указывающая страну происхождения, откуда был отправлен файл, которая могла бы предоставить ценную информацию о местонахождении злоумышленников, если они были теми, кто отправил файл, или о первой жертве, если файл был отправлен кем-то, зараженным файлом. Неясно, была ли эта информация намеренно удалена из записи. VirusTotal был основан командой инженеров в Испании, но Google приобрела его в сентябре 2012 года, всего за пару месяцев до того, как Symantec наткнулась на эту раннюю версию Stuxnet. Google не ответил на запросы о том, почему данные отсутствуют в записи.
  
  29 Из данных конфигурации в этой версии Stuxnet было даже легче понять, чем в более поздних версиях, что Stuxnet искал точную настройку в Натанзе. Код указывал, что он ищет объект, на который нацелены системы, обозначенные как A21 - A28. В Натанзе было два каскадных зала, зал A и зал B. Центрифуги были только в зале А, когда Stuxnet нанес удар. Зал был разделен на каскадные комнаты, или модули, каждый из которых был помечен как блок A21, A22 и так далее, вплоть до A28.
  
  30 У Stuxnet 0.5 была дата уничтожения инфекции 4 июля 2009 года. Как только наступит эта дата, он больше не будет заражать новые машины, хотя он оставался бы активным на уже зараженных машинах, если бы его не заменили другой версией Stuxnet. Следующая версия Stuxnet была выпущена 22 июня 2009 года, всего за две недели до даты уничтожения Stuxnet 0.5.
  
  31 Как и более поздние версии Stuxnet, эта имела возможность обновляться на зараженных машинах, которые не были подключены к Интернету. Это было сделано с помощью одноранговой связи. Все, что нужно было сделать злоумышленникам, это доставить обновление с одного из командных серверов на компьютер, подключенный к Интернету, или доставить его через флэш-накопитель USB, и другие компьютеры в локальной сети получат обновление с этого компьютера.
  
  32 Еще одно замечание об этой версии заключается в том, что в ней был файл драйвера, который вызывал принудительную перезагрузку зараженных компьютеров Windows через двадцать дней после их заражения. Интересно отметить, что Stuxnet был обнаружен в 2010 году после того, как машины в Иране постоянно выходили из строя и перезагружались. Хотя версия Stuxnet, обнаруженная на этих машинах, не была равна 0.5, это повышает вероятность того, что эта версия Stuxnet или ее драйвера могли скрываться на этих машинах и заставляли их перезагружаться неоднократно. Хотя VirusBlokAda так и не обнаружила Stuxnet 0.5 на машинах, они, возможно, просто пропустили его.
  
  33 Обнаружив Stuxnet 0.5 в своем архиве, исследователи Symantec провели поиск по нему и обнаружили ряд случайных и бездействующих инфекций в Иране, а также в Соединенных Штатах, Европе и Бразилии.
  
  34 Серверы были установлены в Соединенных Штатах, Канаде, Франции и Таиланде. Командные серверы были разработаны для маскировки под интернет-рекламную фирму под названием Media Suffix, чтобы скрыть свои истинные намерения, если кто-то получит к ним доступ. Домены для servers-smartclick.org , best-advertising.net , internetadvertising4u.com и ad-marketing.net — у каждого была одна и та же домашняя страница поддельной рекламной компании, слоган которой гласил: “Доставьте то, о чем может мечтать разум.” Домашняя страница гласила: “Интернет широко становится самым популярным средством рекламы и маркетинга в мире. MediaSuffix уделяет особое внимание интернет-сегменту рекламы. MediaSuffix готов показать вашей компании, как извлечь выгоду из этого невероятно растущего рынка. Не отставайте.… Мы предлагаем клиентам беспрецедентный спектр творческих ответов на разнообразные потребности наших клиентов ”.
  
  35 Stuxnet 0.5, возможно, был выпущен раньше ноября 2007 года, но это первая запись о его появлении. Согласно дате компиляции, найденной в компоненте Stuxnet, представленном VirusTotal, он был составлен в 2001 году, хотя Чиен и О'Мурчу считают, что дата неточна.
  
  36 Интервью автора, проведенное с Чиеном, апрель 2011.
  
  OceanofPDF.com
  
  ГЛАВА 16
  ОЛИМПИЙСКИЕ ИГРЫ
  
  В 2012 году Цзянь, возможно, размышлял о темном и сложном будущем, которое создал Stuxnet, но четырьмя годами ранее архитекторы кода размышляли о другом темном будущем, если Ирану удастся создать ядерную бомбу.
  
  В апреле 2008 года президент Ахмадинежад совершил широко разрекламированную экскурсию по обогатительным фабрикам в Натанзе, чтобы отметить вторую годовщину работы завода, и в процессе дал специалистам по контролю над вооружениями возможность впервые осмысленно заглянуть внутрь таинственного завода. Одетый в белый лабораторный халат и синие ботинки заводских техников, Ахмадинежад был запечатлен фотографами, когда он вглядывался в ряд компьютерных мониторов в диспетчерской, показал камерам ироничный знак “мир” и повел свиту ученых и бюрократов с суровым видом вдоль двух рядов сверкающих центрифуг высотой шесть футов, стоящих по стойке смирно, как военные в парадной форме, вышедшие на инспекцию.
  
  Администрация президента опубликовала около пятидесяти фотографий тура, которые взволновали ядерных аналитиков, впервые взглянув на усовершенствованные центрифуги IR-2, о которых они так много слышали. “За эту информацию можно умереть”, - написал об изображениях один лондонский аналитик.1
  
  Но среди свиты, сопровождавшей Ахмадинежада во время его визита в Натанз, был министр обороны Ирана — странное дополнение к вечеринке, учитывая настойчивость Ирана в том, что его программа обогащения урана носит мирный характер.
  
  Иранские технические специалисты потратили весь 2007 год на установку 3000 центрифуг в одном из подземных залов в Натанзе, и во время своего визита Ахмадинежад объявил о планах начать установку еще 6000 центрифуг, поставив Иран в один ряд с горсткой стран, способных обогащать уран на промышленном уровне. Это был приятный триумф над многими препятствиями, с которыми Иран столкнулся за последнее десятилетие, включая технические трудности, препятствия для закупок и санкции, а также все политические махинации и скрытый саботаж, которые были направлены на прекращение его программы. Успех программы обогащения теперь казался гарантированным.
  
  Но Натанз еще не вышел из положения. Для производства обогащенного урана в промышленных масштабах потребовались тысячи центрифуг, вращающихся со сверхзвуковой скоростью в течение нескольких месяцев подряд практически без перерыва.2 И пока Ахмадинежад совершал свой круг почета среди устройств, что-то, скрытое глубоко в битах и байтах машин, которые ими управляли, готовилось вызвать новые проблемы.
  
  В КОНЦЕ 2007 года президент Буш, по сообщениям, запросил и получил от Конгресса 400 миллионов долларов для финансирования масштабной эскалации тайных операций, направленных на подрыв ядерных амбиций Ирана. Деньги были предназначены для операций по сбору разведданных, политических операций по дестабилизации правительства и стимулированию смены режима, а также тайных операций по саботажу оборудования и объектов, используемых в ядерной программе.3 Последнее включало экспериментальные попытки манипулировать компьютерными системами управления в Натанзе.
  
  Хотя советники Буша, по сообщениям, предложили цифровой саботаж где-то в 2006 году, подготовка к нему началась задолго до этого, возможно, даже за годы до этого, если верить временным меткам в файлах атаки — блоки вредоносного кода, которые Stuxnet внедрил в ПЛК 315 и 417, имели временные метки, указывающие на то, что они были скомпилированы в 2000 и 2001 годах, а также мошеннический Step 7 .DLL, который Stuxnet использовал для взлома законного Siemens Step 7 .У DLL была временная метка 2003 года.4
  
  Однако вполне вероятно, что часы на компьютере, использованном для компиляции файлов, устарели или что программисты манипулировали временными метками, чтобы сбить с толку судебных следователей. Но если временные метки были точными, это означало бы, что злоумышленники держали вредоносный код в резерве в течение трех-шести лет, пока Соединенные Штаты ждали, чтобы увидеть, как закончится дипломатическая игра с Ираном, а затем вытащили код только в 2006 году, когда стало ясно, что переговоры и санкции провалились.
  
  Часть кода атаки была общей для многих систем Siemens и не была специально адаптирована к системам в Натанзе, поэтому было возможно, что части кода атаки выросли из общего исследовательского проекта, направленного на выявление уязвимостей во всех ПЛК Siemens, а не только в Natanz. Системы управления Siemens широко использовались по всему Ирану в различных отраслях промышленности — нефтяной и газовой, а также нефтехимической и минерально—сырьевой - не только в его ядерной программе. Они также широко использовались в других регионах Ближнего Востока. Поскольку в конце 90-х годов кибервойна уже маячила на горизонте, Соединенным Штатам и Израилю имело смысл инвестировать в ранние исследования по выявлению уязвимостей в системе Step 7 и связанных с ней ПЛК Siemens, которые появились на рынке в середине 90—х годов, в ожидании, что знания пригодятся позже.
  
  Однако не весь код был настолько универсален для систем Siemens: блоки, предназначенные для преобразователей частоты и клапанов, были специфичны для конфигурации в Натанзе и потребовали бы предварительного знания точных компонентов, которые Иран планировал установить на заводе, а также сведений об их точной конфигурации и работе. Чтобы временные метки в этих кодовых блоках были надежными, программисты должны были бы знать в 2001 году, какое оборудование будет установлено на заводе, который еще даже не был построен.
  
  Эта часть не так диковинна, как кажется: Иран уже опробовал свой процесс обогащения урана в небольших каскадах центрифуг на заводе Kalaye Electric примерно в 1999 году. Кроме того, в 2000 и 2002 годах ЦРУ завербовало ключевых поставщиков в сети Khan, которые предоставили агентству разведданные о некоторых компонентах, которые сеть поставляла Ирану и другим клиентам Khan. Таким образом, к моменту начала операции в Натанзе в 2000 году разведывательное управление, возможно, уже знало, какое оборудование Иран планировал установить на заводе, включая системы управления Siemens.
  
  Дэвид Олбрайт из ИГИЛ согласен с тем, что большая часть информации о Натанзе могла быть известна в 2001 году.
  
  “Детали каскада, включая 164 центрифуги на каскад, количество ступеней [в каскаде], большинство клапанов, датчиков давления и трубопроводов, могли быть известны [так рано]”, - говорит он.5 Но информация о преобразователях частоты Vacon и Fararo Paya, возможно, тогда была недоступна. “Преобразователи частоты - это другое дело, поскольку в тот период Иран приобретал их за границей у различных компаний. Поэтому было бы трудно поверить, что конструкторы Stuxnet в 2001 году могли рассчитывать на то, что они будут из Финляндии или отечественной сборки [Фараро Пайя]. Более того, первый модуль [каскадов, установленных в Натанзе в 2007 году] был построен с использованием ряда импортных преобразователей частоты ”.6
  
  В 2003 году, когда временная метка для двойника Step 7 указывает на то, что он был скомпилирован, стало доступно больше информации о Натанзе.
  
  Когда инспекторы МАГАТЭ нанесли свой первый визит в Натанз в феврале 2003 года, Иран уже имел небольшой каскад на экспериментальной установке и готовился установить там до 1000 центрифуг к концу года. И в рамках расследования МАГАТЭ ядерной программы Ирана Иран должен был предоставить списки оборудования, закупленного для Натанза и других ядерных объектов, — списки, которые включали станки, клапаны и вакуумные насосы.7 Спецслужбы также следили за секретной закупочной деятельностью Ирана и знали, что компания под названием Neda Industrial Group — ведущая фирма по промышленной автоматизации в Тегеране — участвовала в закупках для ядерной программы. Компания работала с Kalaye Electric, бывшей часовой фабрикой, которая была преобразована в завод по производству центрифуг, для установки оборудования в Натанзе.8 Neda также была местным партнером Siemens в Иране, и в 2000 и 2001 годах, согласно веб-сайту компании, она установила ПЛК Siemens S7 на других объектах в стране — ту же модель ПЛК, которую атаковал Stuxnet. Не было преувеличением предположить, что если Neda установила эти системы на других объектах, то она установила их и в Натанзе.
  
  Компания Siemens, по сути, вела оживленный бизнес по продаже оборудования для автоматизации различных неядерных отраслей промышленности в Иране, но ее машины нашли применение и в ядерных отраслях. Письмо 2003 года от одной иранской фирмы к другой, которое позже получили западные источники, показало, что контроллеры Siemens S7-300 и S7-400 вместе с программным обеспечением SIMATIC, необходимым для связи с ними, были закуплены компанией под названием Kimia Maadan, которая занималась переработкой урана в Иране.9 Считалось, что контроллеры были приобретены для иранской шахты Гачин, где Иран планировал добывать природный уран для переработки в центрифугах.10 Вся эта информация была бы известна Соединенным Штатам и Израилю.
  
  Хотя первоначальный заговор, возможно, был разработан стратегическим командованием США под командованием ген. Джеймс Картрайт, выполнить его должны были кибервойны АНБ и киберкомандования США, работающие совместно с программистами из элитного подразделения Израиля 8200.
  
  Чтобы осуществить атаку, требовалось гораздо больше интеллекта, чем просто знание оборудования в Натанзе. Злоумышленникам нужно было знать, например, точную частоту, на которой работали преобразователи, и точную конфигурацию оборудования. Они не могли полагаться только на старые чертежи и планы, которые могли устареть. Им также требовались обширные знания о том, как работает система Step 7 и как компьютеры в Натанзе были объединены в сеть, чтобы убедить юридических консультантов Белого дома в том, что код не вызовет каскадных эффектов на другие системы. Если бы они предположили, что связи не было с помощью внешних компьютеров, а они существовали, код вырвался бы на свободу и распространился на другие машины, возможно, повредив их и разоблачив операцию. Вот где пригодились бы такие инструменты, как Flame и Duqu, для сбора данных с компьютеров системных администраторов, которые помогали устанавливать и обслуживать сети, а также от подрядчиков и других лиц, которые программировали ПЛК. Если использовался Duqu, он мог быть доставлен с помощью фишинг-атаки, подобной той, которая использовалась для заражения венгерской компании. Это сработало для машин, подключенных к Интернету, таких как ноутбук программиста. Но в ПЛК, которые не были подключены к Интернету, были также спрятаны данные конфигурации о таких вещах, как количество подключенных к ним карт Profibus, а также модель и количество преобразователей частоты.
  
  Чтобы добраться до этих данных, если их нельзя было получить другим способом, злоумышленникам понадобился флэш-накопитель, чтобы преодолеть воздушный зазор и установить свой шпионский инструмент на компьютер, подключенный к ПЛК. Поскольку, как отмечалось ранее, программисты ПЛК обычно работают на ноутбуках, не подключенных к сети управления, затем физически подключают свой ноутбук к компьютеру в сети ПЛК или копируют свои файлы программирования на флэш-накопитель и переносят его на компьютер в этой сети, это был бы простой способ добиться этого. Злоумышленники могли получить данные о ПЛК и сети управления в обратном порядке — используя вредоносное ПО, которое записывало данные из этих систем на флэш-накопитель, который программист перенес бы на свой подключенный к Интернету ноутбук, где его можно было бы восстановить. Также сообщалось, что спецслужбы использовали специальные имплантаты, встроенные в несетевые машины в Иране, которые передавали данные о зараженных системах с помощью радиоволн.11
  
  Возможно, потребовались бы месяцы, чтобы получить необходимые злоумышленникам данные. Но некоторая разведывательная работа могла быть проведена еще в 2005 году, когда были зарегистрированы домены для серверов командования и управления, используемых с Stuxnet 0.5. Хотя Stuxnet был выпущен позже, изначально домены могли использоваться для связи со шпионскими инструментами. Разведка также могла быть проведена примерно в мае 2006 года, когда исследователи обнаружили, что был создан код для серверов командования и управления, используемых с более поздними версиями Stuxnet.
  
  Как только информация о системах была собрана, можно было приступить к окончательной работе над кодом атаки. По оценкам Symantec, коды атаки 315 и 417 были созданы двумя отдельными командами на основе различных способов их написания. Работали ли Соединенные Штаты и Израиль над ними обоими вместе или израильтяне работали только над ракетной частью, в то время как американцы обрабатывали полезную нагрузку, неизвестно. Третья команда, возможно, работала над кодом, который взломал систему Step 7, чтобы заменить законную .DLL на rogue one от Stuxnet и внедрить вредоносные команды в ПЛК. По оценкам Symantec, на написание этой части кода, описанной в Шаге 7, ушло около шести месяцев, и немного меньше времени на написание вредоносных блоков кода ПЛК. Тестирование, однако, также потребовало бы времени.
  
  Кто бы ни был ответственен за фактический код, эта часть операции должна была быть точной. Было так много способов, по которым атака могла пойти не так, но не было места для ошибок, и было бы трудно оценить эффекты кода в полевых условиях или настроить его после того, как он был запущен. Это означало, что злоумышленникам пришлось провести обширное тестирование — не только на испытательном стенде Siemens, чтобы убедиться, что их код не заблокировал систему Step 7 или ПЛК, но также, в случае вариантов, выпущенных в 2009 и 2010 годах, на всех версиях операционной системы Windows, чтобы убедиться, что вредоносное ПО распространяется и устанавливается беспрепятственно без обнаружения.12
  
  Больше всего злоумышленникам требовалось точное знание того, как каждое изменение кода повлияет на центрифуги, особенно потому, что то, к чему они стремились, было атакой не грубой силы, а тонкой. Малейшая ошибка - и они могут разрушить центрифуги слишком быстро или уничтожить слишком много одновременно и разоблачить саботаж, сорвав операцию.
  
  Чтобы осуществить это, им понадобилась бы команда ученых-материаловедов и экспертов по центрифугам, которые понимали плотность и прочность алюминиевых роторов и корпусов центрифуг, и которые понимали, как подшипники в нижней части каждой центрифуги, которые поддерживают их вращение в равновесии, будут реагировать на повышенную вибрацию. Им также нужно было рассчитать нормальное давление на стенках внутри центрифуг и определить, насколько оно увеличится по мере роста давления газа внутри центрифуг.13
  
  Чтобы сделать все это, им нужны были настоящие центрифуги, на которых можно было протестировать атаки. К счастью, как отмечалось ранее, Национальная лаборатория Оук-Ридж Министерства энергетики в Теннесси располагала несколькими центрифугами P-1, на которых были основаны IR-1 в Натанзе.
  
  История приобретения центрифуг Оук-Риджем началась в августе 2003 года, через три года после того, как ЦРУ проникло в сеть незаконных ядерных поставок А. К. Хана и через шесть месяцев после того, как МАГАТЭ впервые посетило Натанз. Шпионское агентство перехватило партию компонентов для обогащения урана на черном рынке, включая 25 000 корпусов центрифуг, а также насосы, трубки и другие компоненты, которые направлялись из Малайзии на секретный завод по обогащению в Ливии. Захваченные ящики использовались Западом, чтобы предъявить ливийскому диктатору Муаммару Каддафи доказательства его секретной ядерной программы и заставить его отказаться от нее. 19 декабря министр иностранных дел Ливии объявил по национальному телевидению, что страна отказывается от своих программ по ядерному оружию и химическому оружию — программ, наличие которых она до этого не признавала.
  
  МАГАТЭ узнало, что в Ливии уже находится больше оборудования для обогащения, которое власти США планируют демонтировать и отправить обратно в лабораторию Ок-Ридж. Итак, во время рождественских каникул Олли Хейнонен, его босс Мохаммед Эль-Барадеи и другие коллеги из МАГАТЭ отправились в Триполи, чтобы провести инвентаризацию оборудования, прежде чем оно исчезнет. Там они обнаружили более ста тонн оборудования стоимостью около 80 миллионов долларов, включая регуляторы UPS из Турции (аналогичные тем, которые позже были саботированы в Иране в 2006 году), двести центрифуг P—1 из Пакистана, которые ливийцы уже собрали в небольшой каскад, а также компоненты для строительства примерно четырех тысяч других центрифуг.14 К марту 2004 года захваченное оборудование было упаковано и отправлено в комплекс национальной безопасности Y-12 в Ок-Ридже, где оно охранялось охраной, вооруженной автоматами, и было выставлено на обозрение журналистов.
  
  “По любым объективным меркам, “ заявил тогда собравшимся журналистам министр энергетики США Спенсер Абрахам, - Соединенные Штаты и страны цивилизованного мира находятся в большей безопасности в результате этих усилий по обеспечению безопасности и вывозу ядерных материалов Ливии”.15 Возможно, так оно и было, но захваченная добыча на самом деле означала, что у Соединенных Штатов теперь был шанс построить секретный завод для изучения центрифуг и тестирования атаки против них.16
  
  Национальная лаборатория ОУК-Ридж, основанная в 1943 году и расположенная за пределами Ноксвилла, управляется UT-Battelle — некоммерческой компанией, основанной в 2000 году Мемориальным институтом Баттелла и Университетом Теннесси, — и позиционирует себя как научный центр, специализирующийся на исследованиях передовых материалов, ядерной науке, чистой энергии и суперкомпьютерах. Но именно прибыльная секретная работа по национальной безопасности, которую лаборатория выполняет для Министерства обороны, Министерства энергетики и разведывательных агентств — сосредоточенная на ядерном нераспространении, интеллектуальном анализе разведывательных данных, взломе шифрования и других областях — действительно удерживает ее в бизнесе.
  
  Секретный завод по производству центрифуг, являющийся частью десятилетней секретной программы по исследованию разрушения центрифуг, был построен где-то после 2005 года на лесной стоянке в резервации Оук-Ридж площадью 35 000 акров, невидимый и недоступный для большинства сотрудников лаборатории, имевших допуски службы безопасности. К тайному объекту, получившему название “Холм” или иногда “куриное ранчо”, по словам одного человека, который знал об этом, можно было добраться по дороге без опознавательных знаков, которая тянулась на десять миль, окруженная с обеих сторон густым лесом деревьев, прежде чем доставить машины сначала к одним воротам безопасности, а затем к другим.17
  
  Холм фактически состоял из двух объектов — одного надземного, другого под ним. Подземный зал, ранее существовавшее сооружение, построенное задолго до этого для другой цели, было реквизировано для первого этапа программы центрифугирования, которая первоначально была сосредоточена только на выяснении того, как работали центрифуги, полученные из Ливии. Лаборатория получила центрифуги P-1 и P-2 из Ливии для изучения, но устройства доставлялись по большей части в разобранном виде без руководства. У исследователей были ящики, заполненные деталями, но у них не было предыдущего опыта работы с конструкциями, и поэтому они потратили много времени на то, чтобы сначала просто выяснить, как собрать компоненты вместе и заставить их работать.
  
  Исследователи из Ок-Риджа столкнулись с некоторыми из тех же проблем, с которыми столкнулись иранцы при эксплуатации темпераментных и хрупких устройств. Совки и шарикоподшипники оказались для них особенно проблематичными и на некоторое время задержали их продвижение.
  
  Вначале программа заключалась не в создании вируса для атаки на центрифуги; речь шла просто о том, чтобы изучить, как работают центрифуги и каскады, чтобы понять их возможности и оценить, как далеко продвинулись иранцы в своей программе обогащения, и определить, насколько близко они могут быть к тому, чтобы иметь достаточно обогащенного урана для изготовления ядерной бомбы. Когда ученые из Ок-Риджа завершили свои первоначальные исследования и испытания, они подсчитали, что Ирану потребуется от двенадцати до восемнадцати месяцев, чтобы произвести достаточное количество расщепляющегося материала для бомбы.
  
  Изучение центрифуг не было чуждым для Оук-Риджа. Лаборатория имеет долгую историю исследований и разработок центрифуг, выпустив некоторые из первых роторных центрифуг в 1960-х годах. Но в 1985 году его программа центрифугирования была прекращена после того, как лазеры заменили центрифуги в качестве основного метода обогащения урана в Соединенных Штатах. Закрытие привело к перемещению тысяч квалифицированных рабочих и исследователей, чьи специализированные знания больше не были нужны.
  
  Затем, в 2002 году, примерно в то время, когда мир узнал о секретном объекте Ирана по обогащению в Натанзе, центрифужное обогащение вернулось, и Ок-Ридж возродил свою программу по разработке центрифуг нового поколения для Корпорации по обогащению Соединенных Штатов, которая в настоящее время является производителем обогащенного урана для коммерческих атомных электростанций в Соединенных Штатах. Чтобы укомплектовать эту операцию, лаборатория отозвала многих своих бывших специалистов по центрифугам с пенсии — некоторым из них сейчас за семьдесят и восьмидесятые — для работы вместе с молодыми учеными.
  
  После того, как в Ливии был изъят тайник с ценными центрифугами, многие из этих ученых были переведены для изучения устройств. По словам человека, знакомого с программой, он полагал, что работа проводилась под эгидой Национальной администрации ядерной безопасности (NNSA), подразделения Министерства энергетики, которое управляет безопасностью ядерного оружия страны, но также управляет программой исследований и разработок в области ядерного нераспространения, известной как NA-22.18 Последний собирает разведданные о незаконных ядерных операциях и проводит дистанционное зондирование и экологические испытания для сбора доказательств тайной деятельности по обогащению и ядерных взрывов, совершенных режимами-изгоями и действующими лицами.19
  
  АНБ некоторое время пыталось заполучить иранские центрифуги, поэтому поставка P-1 и P-2, полученных из Ливии в 2004 году, на которых базировались иранские центрифуги, была огромным благом.
  
  В конце концов, они также получили детали непосредственно из иранской программы через разведывательные источники. Эти детали были очень ценными — считалось, что Северная Корея использует центрифуги той же общей конструкции - и рабочим было сказано быть очень осторожными и оперативными в использовании компонентов, потому что в некоторых случаях источники разведки отдали свои жизни, чтобы получить их. Другими словами, не было простого способа заменить их, и поэтому каждый тест на оборудовании должен был учитываться.
  
  Исследование устройств уже велось в 2006 году, когда Иран объявил, что начнет обогащать уран в Натанзе, но, по словам человека, знакомого с программой, исследования продвигались медленно. Но в 2007 году операция развернулась всерьез, когда Иран начал устанавливать свои первые центрифуги в подземном зале в Натанзе.
  
  Тем временем наземный зал был построен с единственной целью тестирования — и уничтожения — центрифуг. Считается, что некоторые из этих исследований, возможно, изначально были сосредоточены на определении возможных разрушительных последствий кинетической атаки, такой как воздушная бомбардировка центрифуг, расположенных глубоко под землей, и что кибератака стала частью уравнения только позже. Затем, когда цифровая операциябыло предложено, первоначально целью было не уничтожить центрифуги в Натанзе вирусом, а просто внедрить код наблюдения в оборудование на заводе для сбора данных, которые помогли бы ученым определить, где Иран находился в процессе обогащения. Но в какой-то момент программа уничтожения центрифуг и разведывательная операция объединились, чтобы создать план цифровой кинетической атаки. Вероятно, большинство ученых, тестировавших центрифуги, никогда не знали о плане такой атаки, а просто были сосредоточены на оценке воздействия различных условий на центрифуги — таких как увеличение и уменьшение скорости или увеличение давления на стенках внутри центрифуги — способом, который был отделен от причин этих условий.
  
  В большом испытательном зале высокие стеллажи с системами управления от Siemens и других поставщиков были расположены как стеллажи в библиотеке в передней части пещерообразного пространства, в то время как более дюжины центрифуг размером с человека были расставлены по всему залу напротив них. От некоторых центрифуг отходили кабели, подсоединенные к датчикам, для записи диагностики и измерения таких показателей, как нагрев корпуса или колебание и вибрация штифта и шарикоподшипника, которые поддерживали центрифугу в равновесии.
  
  Некоторые центрифуги вращались месяцами, пока собирались данные о них. Однако это были исследовательские образцы. Были и другие, чья судьба была более печальной. Прямо у входа в зал была большая усиленная клетка из акрила и металлической сетки — так могла бы выглядеть больничная комната для наблюдения за детьми, если бы ее спроектировала команда из Разрушителей легенд, — куда отправляли умирать приговоренных центрифуг. Рабочие на заводе всегда знали, когда центрифуга разрушается в защитной клетке, потому что она издавала ужасающий взрывной звук, сопровождаемый грохотом в земле.
  
  К 2008 году операция была в самом разгаре, центрифуги уничтожались иногда ежедневно. “Можно сказать, что бюджет значительно подскочил”, - говорит источник. Президенту Бушу, возможно, не случайно, только что удалось получить от Конгресса 400 миллионов долларов на тайные операции против ядерной программы Ирана.
  
  В то время как испытания проводились в Ок-Ридже, другие испытания, как сообщается, проводились на центрифугах на израильском ядерном объекте в Димоне. Неясно, сколько времени заняли все эти испытания или когда официальные лица решили, что у них достаточно убедительных данных для проведения успешной атаки.
  
  Во время тестирования 2006 года разработка кода атаки уже шла полным ходом. Точные сроки этой разработки неясны, но исследователи Symantec обнаружили, что ключевая функция, используемая в коде атаки, была изменена в мае 2006 года. Это был код, который Stuxnet использовал для инициирования связи с преобразователями частоты при атаке на ПЛК 315. И, как уже отмечалось, код, используемый для двух командных серверов, которые использовались с этой версией Stuxnet-mypremierfutbol.com и todaysfutbol.com — также был составлен в мае 2006 года. Другие ключевые функции в коде атаки были изменены в сентябре 2007 года. Всего через два месяца после этого, в ноябре 2007 года, версия Stuxnet 0.5 появилась на веб-сайте VirusTotal после того, как она была отправлена либо тестировщиками, либо зараженной жертвой.
  
  В какой-то момент некоторые центрифуги в Оук-Ридже или другой лаборатории были сняты для другого вида испытаний — для непосредственного измерения эффективности цифрового оружия против центрифуг. По сообщениям, официальные лица представили Бушу результаты своего труда — остатки разрушенной центрифуги, которые доказали, что возмутительный план действительно может увенчаться успехом.20 Как и испытание генератора Aurora, проведенное дочерним предприятием Oak Ridge Lab в штате Айдахо в начале 2007 года, испытание центрифуги показало, что тяжелое оборудование не может сравниться с частью хорошо разработанного кода.
  
  КАК Или КОГДА Stuxnet 0.5 был внедрен на компьютеры в Натанзе, до сих пор остается загадкой.21 Поскольку промышленные системы управления в Натанзе не были напрямую подключены к Интернету, а в этой версии Stuxnet было мало механизмов распространения, злоумышленникам приходилось преодолевать воздушный зазор, заходя на объект пешком или отправляя его по электронной почте. У этой версии Stuxnet был только один способ распространения — через зараженные файлы проекта Step 7. Это означало, что оно должно было быть введено непосредственно в компьютер программиста или оператора либо с помощью флэш—накопителя USB — возможно, ничего не подозревающим подрядчиком, который не понимал, что он был переносчиком червя, либо платным "кротом", либо отправив зараженный файл проекта по электронной почте кому-то в Натанзе.22 От машины программиста или оператора до целевого ПЛК было всего один или два шага. В отличие от последующих версий, которые сохраняли лог-файл каждой зараженной системы, а также временную метку, указывающую, когда произошло каждое заражение, исследователи не нашли цифровых макетов, чтобы проследить путь, пройденный Stuxnet 0.5.
  
  Эта версия не предназначалась для 315 ПЛК и преобразователей частоты, но вместо этого атаковала 417 ПЛК и клапанов, открывая и закрывая последние для управления потоком уранового газа.
  
  Каскады в Натанзе были разделены на пятнадцать ступеней, на каждой из которых было установлено разное количество центрифуг; по мере того как газ переходил с одной ступени на другую, а количество обогащаемого газа уменьшалось по мере прохождения этапов, количество центрифуг, необходимых для обогащения газа, также уменьшалось.
  
  Например, на десятой стадии, которая была “стадией подачи”, где в каскад закачивались новые партии газа, было двадцать четыре центрифуги. Поскольку роторы внутри центрифуг вращались с высокой скоростью и разделяли изотопы, газ, содержащий концентрат U-235, был извлечен и отправлен на девятую ступень, на которой было двадцать центрифуг, где он был дополнительно обогащен, а затем на восьмую ступень, на которой было шестнадцать центрифуг. Тем временем обедненный газ, содержащий концентрацию изотопов U-238, был перенаправлен на одиннадцатую стадию, где он был дополнительно разделен. Концентрация U-235 с этой стадии затем перешла на восьмую стадию, когда он был готов присоединиться к другому обогащенному газу. Это продолжалось до тех пор, пока обогащенный газ не достиг последней стадии каскада, и последний истощенный газ не был выброшен. Последняя ступень каскада, куда отправлялся обогащенный уран, обычно состояла всего из одной центрифуги и запасной на случай ее неисправности.
  
  Каждый каскад имел вспомогательные клапаны, которые контролировали подачу газа в каскад и из него, а также в каждую стадию обогащения и из нее. Кроме того, каждая центрифуга IR-1 имела наверху три узкие трубы с клапанами на каждой трубе, которые регулировали подачу газа в центрифугу и из нее. Загрузочный клапан открылся для подачи газа в центрифугу, после чего обогащенный уран был извлечен через выпускной клапан, в то время как обедненный газ был извлечен через выпускной клапан и трубу.
  
  Stuxnet атаковал не все клапаны в Натанзе. Скорее, это было избирательное нападение. Подземный зал, где были установлены центрифуги, был разделен на модули, или каскадные помещения. Каждый модуль мог вмещать 18 каскадов по 164 центрифуги в каждом, в общей сложности около 3000 каскадов на помещение. На момент запуска Stuxnet только одна комната в подземном зале была заполнена 18 каскадами. Но Stuxnet нацелился только на шесть каскадов. Не все центрифуги в каждом каскаде также были затронуты. Stuxnet нацелился на клапаны на только 110 из 164 центрифуг в этих каскадах, оставив клапаны на оставшихся 54 нетронутыми.
  
  Как только эта версия Stuxnet оказалась в системе в Натанзе, она бездействовала около тридцати дней, прежде чем начать свое наступление, проводя системные проверки, чтобы убедиться, что различные клапаны, датчики давления — для измерения давления газа — и другие компоненты присутствуют и отслеживают их активность.23
  
  При отображении системы Stuxnet также записывал различные данные, относящиеся к нормальной работе каскада, чтобы воспроизвести их операторам после начала саботажа, точно так же, как это сделал код атаки 315. Например, он ненадолго открывал клапаны на последней ступени каскада, чтобы снять показания давления, а затем воспроизводил эти показания нормального давления операторам во время атаки, чтобы скрыть тот факт, что давление увеличилось.
  
  Как только он собрал все необходимые данные, он подождал, пока не будут выполнены определенные условия каскада, прежде чем продолжить. Например, отдельный каскад должен был работать более 35 дней до начала атаки, или все шесть целевых каскадов — если они все были запущены — должны были работать в общей сложности 298 дней или более.
  
  Как только это началось, Stuxnet закрыл различные клапаны, за исключением тех, что находились на стадии подачи, где газ поступал в каскад. Например, на девятой стадии он закрыл выпускные клапаны только на четырнадцати из двадцати центрифуг, а на восьмой стадии он закрыл выпускные клапаны на тринадцати из шестнадцати центрифуг. Клапаны, которые он закрывал на каждой стадии, были выбраны случайным образом в ходе сложного процесса.
  
  Закрыв все эти клапаны, Stuxnet сидел и ждал, пока давление внутри центрифуг возрастет, поскольку газ продолжал поступать в них, но не мог вырваться. Он ждал два часа, или пока давление в центрифугах не увеличится в пять раз, в зависимости от того, что было раньше. Как только любой из этих эффектов был достигнут, Stuxnet перешел к следующему шагу, открыв все вспомогательные клапаны, за исключением трех клапанов, которые, как считается, находятся рядом со ступенью подачи. Затем он подождал около трех минут и передал операторам еще больше поддельных данных, не позволяя вносить какие-либо изменения в систему в течение дополнительных семи минут. К концу атаки он открыл набор из примерно двадцати пяти клапанов. Олбрайт и его коллеги из ISIS подозревали, что эти клапаны были на “линии сброса”. Каждая ступень каскада имела трубу, которая соединялась с линией сброса, так что, если что-то пошло не так с центрифугами или процессом обогащения, газ мог быть сброшен из каскада в охлаждаемый резервуар. Если Stuxnet откроет клапаны для сливной линии, то газ внутри каскада попадет в резервуар, что приведет к его растрате впустую.
  
  Как только все это было сделано, атака завершилась и сбросила себя.
  
  Тот факт, что были затронуты только некоторые клапаны центрифуг и что атака длилась всего два часа, в течение которых операторам передавались ложные показания, вызвал большое замешательство среди технических специалистов в Натанзе, которые могли видеть проблемы, возникающие в центрифугах с течением времени, а также уменьшение количества обогащенного урана, не будучи в состоянии обнаружить закономерность или точно определить причину.
  
  Исследователи до сих пор точно не знают, какие клапаны были открыты и закрыты Stuxnet, поэтому невозможно с уверенностью сказать, каковы были последствия. Но, основываясь на определенных предположениях, Олбрайт и его коллеги выдвинули два сценария. В одном случае конечный продукт и выпускные клапаны в конце каскада были закрыты, так что газ продолжал закачиваться в каскад, но не мог выйти. В этом сценарии давление быстро возрастало бы, и как только оно достигло бы пятикратного нормального уровня, газообразный уран внутри центрифуг начал бы конденсироваться и затвердевать. Поскольку полученное твердое вещество попало во вращающийся ротор центрифуги, это могло повредить ротор или привести к его дисбалансу и удару о стенку центрифуги. Это колебание также дестабилизировало бы подшипники в нижней части центрифуги, в результате чего центрифуга вышла бы из равновесия. Вращающаяся центрифуга, отрывающаяся от причала на высокой скорости, является разрушительной вещью и выведет из строя другие центрифуги вокруг нее.
  
  В этом сценарии давление на более поздних стадиях каскада нарастало бы быстрее, чем на более ранних, что привело бы к отказу этих центрифуг первыми. Олбрайт и его команда подсчитали, что такая атака могла бы уничтожить около 30 центрифуг на каскад. Считается, что, сосредоточив свои усилия на центрифугах на более поздних стадиях каскадов, где обогащенный уран был наиболее концентрированным, саботаж имел бы больший эффект. Если центрифуга была разрушена вблизи стадии подачи, где концентрация U-235 была наименьшей, было потеряно меньше времени и работы, чем если бы газ прошел через весь каскад и был обогащен почти до точки завершения, прежде чем конечные центрифуги были разрушены и газ был потерян.
  
  Однако также возможно, что Stuxnet не закрыл продукт и выпускные клапаны в конце каскада. Если бы это было так, основной эффект Stuxnet был бы более скромным — он просто уменьшил бы количество обогащаемого газа. Газ должен был подаваться в каскад, но при закрытых клапанах на 110 из 164 центрифуг он мог бы проходить только через 54 центрифуги в каждом каскаде, которые не были затронуты Stuxnet, что привело бы к меньшему количеству обогащаемого газа и меньшему достижению обогащения.
  
  В то время как Stuxnet проводил саботаж и передавал ложные данные операторам, он также отключил систему безопасности на каскаде, предназначенную для изоляции центрифуг до того, как они смогут нанести ущерб. Система безопасности была довольно сложной и включала акселерометр на каждой центрифуге — для контроля вибрации центрифуги - а также пару десятков датчиков давления на каскад для контроля давления. Если центрифуге угрожал сбой, система экстренного реагирования действовала быстро — в течение миллисекунд после обнаружения проблемы — чтобы закрыть клапаны на центрифуге, чтобы изолировать газ внутри нее.24 Кинетическая энергия неисправной центрифуги создаст импульс горячего газа, который, если его не сдерживать, выйдет через каскад и повредит другие центрифуги. Система экстренного реагирования должна была действовать быстро, чтобы остановить поток газа из этой центрифуги, но Stuxnet отключил эту систему, поэтому не было ничего, чтобы изолировать ущерб.
  
  Тогда штурмовые возможности Stuxnet 0.5 были многогранными — он увеличивал давление газа, чтобы повредить центрифуги и испортить газ, он сбрасывал часть газа из каскада, чтобы его нельзя было обогатить, и, наконец, он уменьшал количество работающих центрифуг, так что количество обогащенного урана, выходящего из конца каскада, уменьшалось. Неясно, насколько успешной была эта версия Stuxnet. Но, судя по отчетам МАГАТЭ, это, похоже, оказало некоторое влияние на программу.
  
  УСТАНОВКА каскадов в Натанзе проходила в три этапа, каждый из которых инспекторы МАГАТЭ отслеживали во время своих посещений.25 Сначала была введена в действие каскадная инфраструктура — трубы, насосы и клапаны. Затем были установлены центрифуги, и их двигатели включились, чтобы запустить их вращение. На этом этапе вакуумные насосы удалили воздух, который мог вызвать чрезмерное трение и нагрев. Когда центрифуги достигли оптимальной скорости, газ был подан по трубопроводу, чтобы начать обогащение.
  
  Иран начал устанавливать центрифуги в зале А, одном из двух похожих на пещеры подземных залов Натанза, в начале 2007 года. Как отмечалось ранее, зал был спроектирован так, чтобы иметь восемь больших комнат или блоков — от A21 до A28 - с восемнадцатью каскадами в каждом. Каждый каскад был рассчитан на 164 центрифуги, в общей сложности 2952 центрифуги в каждой установке.26
  
  Технические специалисты начали устанавливать первые центрифуги в блоке A24 в феврале того же года и планировали установить все восемнадцать каскадов в блоке к маю. Но этого не произошло.27 К середине августа было установлено только двенадцать устройств для обогащения газа. Потребовалось до ноября, чтобы установить остальные из них на место. Но к тому времени появились признаки проблемы. Технические специалисты подавали в центрифуги меньше газа, чем они были рассчитаны, и удерживали часть газа в “технологическом буфере” между точкой подачи и каскадами. С февраля по ноябрь они подали около 1670 кг газа в питающий корпус, но сохранили 400 кг его в буферной зоне, так что только 1240 кг фактически попали в каскады. Более того, газ, попавший в каскады, произвел гораздо меньше обогащенного урана, чем ожидалось. Он должен был произвести 124 кг низкообогащенного урана — 10 процентов от количества, подаваемого в каскады. Но вместо этого иранцы получили от него всего 75 кг.28 Это тенденция, которая оставалась неизменной на протяжении большей части 2007 года, когда в центрифуги поступало больше сырья, чем выходило продукта. Уровень обогащения также был низким. Технические специалисты утверждали, что они обогащают газ на уровне 4,8 процента, но тесты МАГАТЭ показали, что газ был обогащен до 3,7-4,0 процента.
  
  Был ли Stuxnet 0.5 в игре, возился с клапанами и уровнями обогащения? Трудно сказать наверняка, но проблемы не остались незамеченными посторонними. В оценке Национальной разведки 2007 года, опубликованной Соединенными Штатами в декабре того же года, отмечалось, что у Ирана возникли “значительные технические проблемы с эксплуатацией” его центрифуг. Скорость сбоев в работе центрифуг на 20 процентов превышала ожидаемую. Высокопоставленный сотрудник МАГАТЭ сообщил Дэвиду Олбрайту, что поломка привела к сбросу частично обогащенного газа в контейнеры для отходов, что, вероятно, и стало причиной низких показателей производства.29
  
  В то время Олбрайт и его коллеги объясняли высокий процент поломок плохой конструкцией центрифуги и тем фактом, что Иран все еще “изучал трудности эксплуатации центрифуг в большом количестве”. Но проблемы соответствовали тому, что произошло бы, если бы клапаны управлялись Stuxnet 0.5.
  
  Какова бы ни была причина, Иран не мог позволить себе тратить урановый газ. У него был ограниченный запас урана, импортируемого из-за рубежа, а его рудник в Гачине не производит достаточно урана для поддержания своей ядерной программы.30
  
  В период с ноября 2007 по февраль 2008 года технические специалисты не устанавливали новых каскадов в зале и вместо этого сосредоточились на попытке решить то, что создавало проблемы. Однако после февраля все, казалось, изменилось. К тому времени, когда Ахмадинежад совершил свою триумфальную поездку по заводу той весной, каскады работали более стабильно, с меньшим количеством поломок. Уровни обогащения постоянно колебались на уровне 4 процентов, и если раньше технические специалисты загружали в центрифуги только половину объема газа, с которым они могли справиться, то теперь они загружали в них 85 процентов их мощности. Повысилась даже производительность отдельных центрифуг.
  
  Судя по всему, Иран, похоже, справился со своими проблемами с каскадами. Технические специалисты начали устанавливать каскады с головокружительной скоростью — темп, который был намного быстрее, чем советовали разум или осторожность. Как только один каскад был установлен, они начали подавать в него газ, а затем перешли к следующему каскаду. В мае 2008 года Иран располагал 3280 центрифугами для обогащения газа, но к августу их число выросло до 3772, что на 500 центрифуг больше за три месяца.31
  
  Внутри Ирана было много политического давления, чтобы быстро продвигаться по ядерной программе. Санкции ООН и отсутствие прогресса в переговорах с Западом раздражали иранских лидеров, и они устали от задержек. Но внезапное наращивание было опрометчивым и, вероятно, не было поддержано иранскими учеными и инженерами. Даже при нормальных условиях установка центрифуг и обеспечение их правильной работы были непростым делом. Добавьте к этому присущую IR-1 хрупкость, и не имело смысла действовать так быстро.
  
  “С инженерной точки зрения, это своего рода безрассудная процедура, потому что, если вы едва управляли каскадом центрифуг из 164 машин, зачем вам участвовать в гонках и пытаться управлять восемнадцатью или тридцатью каскадами одновременно?” - говорит Олбрайт. “Инженер сказал бы, делайте это очень медленно и убедитесь, что вы поняли, как работать со всеми этими вещами как единое целое, прежде чем начинать масштабирование подобным образом”.32
  
  Но за этот период возникло несколько проблем, и к концу лета технические специалисты в Натанзе, должно быть, начали обретать уверенность в том, что прежние проблемы остались позади. Затем условия снова начали ухудшаться.
  
  Отчеты МАГАТЭ рассказывали историю в серии сухих цифр.
  
  Во время своего турне в апреле 2008 года Ахмадинежад оптимистично объявил, что технические специалисты вскоре добавят 6000 центрифуг к 3000 центрифуг, уже установленных в подземном зале. Но после того, как в августе было установлено всего 3772 центрифуги, технические специалисты остановились, и в течение следующих трех месяцев новые центрифуги не добавлялись. Уровень производства также значительно снизился. С начала обогащения в начале 2007 года технические специалисты подали 7600 кг газа в каскады, но к августу 2008 года центрифуги произвели только 480 кг обогащенного урана, вместо 760, которые они должны были произвести. Низкие производственные показатели сохранялись до конца 2008 года. В период с августа по ноябрь технические специалисты подали в каскады 2150 кг газа, но за это время произвели только 150 кг обогащенного урана. Как и в 2007 году, они, казалось, теряли необычное количество газа.
  
  Однако, несмотря на все эти проблемы, 2008 год в целом был лучшим годом для Ирана, чем 2007.33 В то время как за весь 2007 год в Натанзе было произведено всего 75 кг обогащенного урана, к концу 2008 года этот показатель вырос до 630 кг. Олбрайт и его коллеги из ISIS подсчитали, что при дальнейшем обогащении в оптимальных условиях Иран может превратить от 700 до 800 кг низкообогащенного урана в 20-25 кг оружейного урана, достаточного для создания грубого ядерного оружия. Тем не менее, невозможно было обойти тот факт, что ядерная программа Ирана не была на том уровне, на котором она должна была быть на тот момент.
  
  Время возникновения проблем в конце 2008 года, похоже, совпало с тем, как Stuxnet 0.5 был разработан для работы. Как только Stuxnet заразил 417 PLC, саботажу потребовалось время, чтобы развернуться. Этап разведки занял не менее месяца, пока Stuxnet записывал данные для воспроизведения операторам, и каскады должны были быть активными в течение периода времени, прежде чем началась диверсия - не менее 35 дней в случае одного каскада или более 297 дней для всех шести каскадов вместе взятых. После завершения атаки прошло еще 35 дней, прежде чем она началась снова. Проблемы в конце 2008 года, казалось, были сосредоточены в блоке A26, где технические специалисты весной начали устанавливать центрифуги. Если Stuxnet был представлен контроллерам для этого устройства в конце 2007 или начале 2008 года, могли потребоваться месяцы, чтобы проявились негативные последствия атаки — от повышения давления внутри центрифуг.
  
  Примечательно, что примерно в это же время канадско-иранский мужчина пытался приобрести партию датчиков давления у двух западных производителей для отправки в Иран. Устройства использовались, среди прочего, для измерения давления газа внутри центрифуги. В период с декабря 2008 по март 2009 года Махмуд Ядегари купил десять датчиков стоимостью 11 000 долларов и отправил два из них в Иран через Дубай. Он разместил заказ еще на двадцать штук у второй фирмы, но компания отклонила заказ после того, как он не смог подтвердить личность конечного получателя. Он был арестован в апреле того года после того, как власти были проинформированы о подозрительном заказе.34 Пытался ли Иран приобрести преобразователи для замены тех, которые, как оказалось, вышли из строя в Натанзе, или не было никакой связи между усилиями Ядегари и проблемами, возникшими в Натанзе?
  
  Когда Иран вступил в 2009 год, технические специалисты начали быстро добавлять новые центрифуги и каскады к блоку A26. К февралю в этом подразделении было девять каскадов под вакуумом. Но вместо подачи газа центрифуги стояли в своих каскадах пустыми. В прошлом технические специалисты начинали подавать газ в новые каскады сразу после их установки, но по какой-то причине сейчас этого не было. В то же время количество рабочих единиц разделения — показатель того, сколько работы затрачивает каждая центрифуга в процессе обогащения, — резко сократилось с 0,80 до 0,55 для центрифуг, которые обогащали в A24 и A26. Уровень обогащения также снизился с 4 процентов, где он колебался на протяжении большей части 2008 года, до 3,49 процента. Если последствия были вызваны Stuxnet, то, похоже, цифровое оружие делало именно то, для чего оно было разработано.
  
  Но затем злоумышленники решили изменить ситуацию.
  
  В НАЧАЛЕ 2009 года избранный президент Барак Обама был приглашен в Белый дом, чтобы встретиться с президентом Бушем для стандартного подведения итогов, которое проходило между новыми президентами и их предшественниками, когда они готовились обменяться эстафетной палочкой. В ходе беседы Буш изложил детали цифровой атаки и тонкую магию, которую она использовала в течение последнего года для подрыва центрифуг в Натанзе.35 Был достигнут прогресс в том, чтобы немного приостановить иранскую программу, но для успеха операции требовалось больше времени. Однако, чтобы это продолжалось, это должно было быть санкционировано действующим президентом, что означало, что Обаме пришлось возобновить президентское решение, которое его одобрило. Учитывая, что другие варианты до тех пор не срабатывали, а авиаудар был единственной вероятной альтернативой, Обаму в конечном счете не требовалось особых уговоров.36
  
  Летом 2008 года, еще в разгар своей президентской кампании, Обама совершил ознакомительное турне по Израилю, где он сказал израильтянам, что чувствует их боль. Вооруженный ядерным оружием Иран, по его словам, станет “серьезной угрозой” миру не только на Ближнем Востоке, но и во всем мире.37 Он пообещал, что под его руководством все варианты останутся на столе, чтобы помешать Ирану получить ядерное оружие. Хотя по сути это означало и военный вариант, Обама, как и Буш, хотел избежать военного столкновения любой ценой. Поэтому секретная операция, в которой использовались байты вместо бомб, была более желанным выбором.
  
  Вступая в должность, Обама уже столкнулся с большим давлением на нескольких фронтах. С Ираном по дипломатическим каналам был достигнут незначительный прогресс, и санкции также не возымели желаемого эффекта. И были опасения, что израильтяне могут взять дело в свои руки, если Соединенные Штаты в ближайшее время не покажут результатов. По этим и другим причинам Обама решил не только повторно санкционировать программу цифрового саботажа, но и ускорить ее. Именно в этой обстановке он дал зеленый свет для запуска новой, более агрессивной версии Stuxnet — той, которая предназначалась для преобразователей частоты в Натанзе.
  
  Зачем начинать новую атаку, когда первая, казалось, была успешной? Операция против клапанов была эффективной, но медленной. У создателей Stuxnet заканчивалось время, и им требовалась более быстрая атака, которая была бы нацелена более непосредственно на центрифуги и более решительно отбросила иранскую программу. Они также хотели запутать технических специалистов другим набором проблем.
  
  Ирония заключалась в том, что в то время как Обама санкционировал эту новую атаку на компьютерные системы Ирана, он также объявлял о новых федеральных инициативах по обеспечению безопасности киберпространства и критически важной инфраструктуры в Соединенных Штатах — чтобы защитить их, то есть, от того самого разрушения, которое произвел Stuxnet.38 Цифровая инфраструктура страны является стратегическим национальным достоянием, сказал он во время выступления через несколько недель после своей инаугурации, и ее защита является приоритетом национальной безопасности. “Мы позаботимся о том, чтобы эти сети были безопасными, заслуживающими доверия и устойчивыми”, - сказал он. “Мы будем сдерживать, предотвращать, обнаруживать и защищать от атак и быстро восстанавливаться после любых сбоев или повреждений”.39
  
  В то время как Обама повторно санкционировал секретную операцию, ее детали уже подвергались риску раскрытия. Не было секретом, что Соединенные Штаты и их союзники предпринимали усилия по саботажу ядерной программы Ирана. В феврале 2009 года лондонская "Телеграф" сообщила, что Израиль начал широкомасштабную тайную войну против ядерной программы Ирана, которая включала наемных убийц, подставные компании, двойных агентов и саботаж.40 В статье бывший офицер ЦРУ, казалось, намекал на существование Stuxnet, раскрывая, что саботаж был задуман для замедления хода программы таким образом, чтобы иранцы никогда не узнали, что его вызвало. Цель, по его словам, заключалась в том, чтобы “откладывать, откладывать, откладывать, пока вы не сможете придумать какое-то другое решение или подход.… Это хорошая политика, если не считать их военного уничтожения, что, вероятно, сопряжено с неприемлемыми рисками ”.
  
  Примерно в то же время New York Times также сообщила, что была начата новая тайная кампания против Ирана, но не стала вдаваться в подробности.41
  
  Неясно, видели ли иранцы эти новости или, если видели, связали их с проблемами, с которыми они столкнулись в Натанзе. Они, безусловно, хорошо знали о рисках саботажа, поскольку уже испытали это в 2006 году с регуляторами мощности из Турции. Но подозревать, что что-то саботируется, - это одно. Наведение на деталь или компонент, который вызывал это, было другим.
  
  Пока злоумышленники готовились к запуску следующей версии Stuxnet, Обама выполнил еще одно из предвыборных обещаний, которые он дал в отношении Ирана. Во время предвыборной кампании он пообещал вести более активную дипломатию с Исламской Республикой. В рамках этого обещания он сделал беспрецедентный шаг, напрямую обратившись к мусульманскому миру во время своей телевизионной инаугурационной речи. “Мы ищем новый путь вперед, основанный на взаимных интересах и взаимоуважении”, - сказал он. “Тем лидерам по всему миру, которые стремятся посеять конфликт или обвинить Запад в бедах своего общества, — знайте, что ваши люди будут судить вас по тому, что вы можете построить, а не по тому, что вы разрушаете”.42
  
  Он снова обратился непосредственно к иранцам 20 марта, когда обратился к лидерам Исламской Республики и ее народу в речи, переданной через Голос Америки в Навруз, персидский Новый год.
  
  “В этот сезон новых начинаний я хотел бы четко поговорить с иранскими лидерами”, - сказал он. Соединенные Штаты заинтересованы в продолжении конструктивных отношений с Ираном, которые были бы “честными и основанными на взаимном уважении”, сказал он, и стремятся к будущему, в котором иранский народ, их соседи и международное сообщество в целом могли бы жить “в большей безопасности и мире”. Он завершил свое выступление цитатой из персидского поэта Саади: “Дети Адама являются конечностями друг для друга, будучи созданы из одной сущности.”Соединенные Штаты, - сказал он, - готовы протянуть руку дружбы и мира, “если вы готовы разжать кулак”.43
  
  Но пока Обама протягивал одну метафорическую руку мира иранскому народу, другие руки готовили новый раунд цифровых атак на Натанз.
  
  
  
  1 Комментарий появился в сообщении о турне Ахмадинежада, опубликованном на веб-сайте Wonk по контролю над вооружениями. Уильям Дж. Броуд, “Дразнящий взгляд на ядерную программу Ирана”, New York Times, 29 апреля 2008 года.
  
  2 По словам Олбрайт, для прохождения партии газа через каскад и завершения обогащения потребовалось всего день или два, но центрифуги вращаются без остановки годами, поскольку в них постоянно подаются новые партии газа.
  
  3 Джоби Уоррик, “Говорят, что США расширяют тайные операции в Иране”, Washington Post, 30 июня 2008 года.
  
  4 Код, который заразил блоки OB1 и OB35 в ПЛК — организационных блоках, которые контролировали считывание команд на ПЛК и системе сигнализации, — имел дату компиляции 7 февраля 2001 года. Код, который саботировал преобразователи частоты и манипулировал клапанами, имел похожие временные метки. Например, в атаке 315, которая саботировала преобразователи частоты Vacon и Fararo Paya, было тридцать блоков кода; два из них, по-видимому, были скомпилированы в мае 2000 года, в то время как временная метка для остальных блоков была 23 сентября 2001 года. Блоки кода, использовавшиеся для управления клапанами во время атаки 417, имели временную метку того же сентябрьского дня, хотя и тремя часами позже, как будто человек, составлявший их, взял обеденный перерыв, а затем вернулся, чтобы закончить работу.
  
  5 Как отмечалось ранее, каскады разделены на несколько стадий обогащения, причем каждая стадия содержит разное количество центрифуг, в зависимости от того, сколько их требуется для этой стадии процесса обогащения.
  
  6 Авторское интервью с Олбрайт, ноябрь 2013. Считается, что первый модуль каскадов, известный как A24, был поражен Stuxnet версии 0.5, которая предназначалась только для клапанов на центрифугах, а не для преобразователей частоты. Считается, что более поздние версии, нацеленные на преобразователи частоты, были сосредоточены на другом модуле, A26, который Иран начал устанавливать в конце 2007 или начале 2008 года.
  
  7 Иран обвинил МАГАТЭ в предоставлении Соединенным Штатам и Израилю разведданных о своей ядерной программе. Но даже если МАГАТЭ не предоставляло информацию добровольно, взлом компьютеров МАГАТЭ для получения информации о Натанзе был вариантом для западных и израильских спецслужб. Недавние новости показали, как спецслужбы США шпионили за Советом Безопасности ООН, головной организацией МАГАТЭ, и взломали систему видеоконференцсвязи ООН, чтобы собрать информацию о деятельности ООН.
  
  8 Смотрите эта страница для получения дополнительной информации о Neda.
  
  9 Содержанием документа, датированного 4 мая 2003 года и озаглавленного “Относящегося к ПЛК-устройству Siemens TTE, проданному Кимиану Мадаану [так] для шахты Г'чин”, поделился со мной человек, которому был предоставлен доступ к нему. Письмо было отправлено компанией Tehran Tamman Engineering Кимии Маадан и указывало, что Иран приобрел аппаратное и программное обеспечение для мониторинга и управления ПЛК SIMATIC S7-300 в 2002 году. В следующем году, согласно документу, Иран получил еще один S7-300 и два S7-400, а также программное обеспечение Siemens SIMATIC WinCC для мониторинга ПЛК. Оборудование было описано в письме как “компьютеризированная система для мониторинга и управления производственным процессом с помощью информации , полученной от физических измерительных датчиков, таких как давление, температура и контроллеры на клапанах, нагрев / охлаждение, с использованием специализированного программного обеспечения”. Описание точно соответствует тому, что будет делать система управления каскадом.
  
  10 Когда в 2010 году был обнаружен Stuxnet и выяснилось, что цифровое оружие атакует контроллеры Siemens, многие в обществе задались вопросом, установлены ли в Иране контроллеры Siemens в Натанзе. Но всего за предыдущий год британские военно-морские силы перехватили секретную партию из 111 коробок контроллеров Siemens в порту Дубая, которые, по-видимому, направлялись для иранской программы обогащения урана. Siemens отправила их покупателю в Китае, откуда они были переправлены в Иран через Дубай. Обнаружение груза вызвало своего рода международный инцидент — поскольку продажа технологий для ядерной программы Ирана запрещена санкциями ООН — и в конечном итоге вынудило Siemens объявить в начале 2010 года, что она не будет начинать новый бизнес в Иране после лета 2010 года.
  
  11 Дэвид Э. Сэнгер и Том Шанкер, “АНБ разрабатывает радиоканал в компьютеры”, New York Times, 14 января 2014 года.
  
  12 В 2011 году Ральф Ленгнер предположил, что тесты Национальной лаборатории штата Айдахо, проведенные летом 2008 года на системе Siemens PCS7, которая включала программное обеспечение Step 7 и WinCC, а также ПЛК S7—400, использовались для выявления уязвимостей— которые Stuxnet мог атаковать. Тесты проводились в рамках программы оценки поставщиков лаборатории, в рамках которой исследователи изучали различные промышленные системы управления на предмет уязвимостей в системе безопасности. Лангнер впервые предположил, что тесты INL сыграли определенную роль в разработке Stuxnet после того, как он обнаружил презентацию PowerPoint, подготовленную INL об испытаниях. Но тесты INL были проведены между июлем и сентябрем 2008 года, и теперь мы знаем, что самая ранняя обнаруженная версия Stuxnet — Stuxnet 0.5 — была разработана до проведения этих испытаний и уже была доступна в ноябре 2007 года, когда кто-то загрузил ее на веб-сайт VirusTotal. И если верить временной метке в rogue Step 7 .DLL Stuxnet, он был скомпилирован в 2006 году. Руководители INL настаивали журналистам во время экскурсии по лаборатории в 2011 году, в которой участвовал автор, на том, чтобы она никому не предоставляла информацию об уязвимостях в системе Siemens для разработки Stuxnet.
  
  13 Некоторые предполагают, что Германия и Великобритания, две страны в консорциуме Urenco, которые произвели оригинальные центрифуги, послужившие основой для иранских IR-1, возможно, оказали некоторую помощь в понимании центрифуг.
  
  14 Цифры варьируются в зависимости от учетной записи. Соединенные Штаты сообщили журналистам, что в Ливии было обнаружено 4000 центрифуг, но, по подсчетам ИГИЛ, их было больше 200. Остальные были просто компонентами для центрифуг — корпуса были на месте (полый алюминиевый цилиндр), а также другие компоненты, но у них отсутствовали роторы, чтобы заставить их работать.
  
  15 Джоди Уоррик, “США демонстрируют ядерные части, переданные Ливией”, Washington Post, 15 марта 2004 года.
  
  16 Уильям Броуд, Джон Маркофф и Дэвид Э. Сэнгер, “Израильское испытание червя, названное решающим в иранской ядерной задержке”, New York Times, 15 января 2011 года.
  
  17 Ок-Ридж расположен на бывших сельскохозяйственных угодьях, и “куриное ранчо” может относиться к настоящему птицефабрике, которая существовала на этой земле в 1940-х годах, до того, как фермеры были перемещены, когда правительство скупило их землю для военных действий.
  
  18 АНБ размещено в Оук-Ридже в многопрограммном исследовательском центре, или MRF, крупном центре SIGINT, в подвале которого находится суперкомпьютер, частично используемый для сбора данных для АНБ. Другие сотрудники MRF, многие из которых бывшие сотрудники ЦРУ и АНБ, технически проницательны и работают над различными другими разделенными программами, включая попытки взломать шифрование и объединение данных — то, что работники иногда называют “информационной диареей”, — которая включает в себя объединение данных из различных подразделений разведки по всему миру.
  
  19 Для этого используются различные методы, такие как исследование газовых шлейфов с подозрительных заводов на наличие следов частиц или измерение температуры воды вблизи подозрительных объектов. Многие ядерные объекты построены вблизи рек и других источников воды, и температура воды может указывать на ядерную активность. Другой метод включает измерение мерцания света в заводских окнах с большого расстояния. Поскольку центрифуги работают на определенных частотах, узор в мерцающих огнях иногда может указывать на наличие и тип центрифуг, используемых в здании.
  
  20 Дэвид Э. Сэнгер, Противостоять и скрывать (Нью-Йорк: Crown, 2012), 197.
  
  21 Учитывая, что первая версия Stuxnet появилась в полевых условиях в ноябре 2007 года, это наводит на мысль, что саботаж мог начаться в том же году. Дэвид Сэнгер пишет, что несколько версий червя были выпущены, когда Буш все еще находился у власти; исследователи обнаружили только одну версию того периода. Остальные датируются сроком пребывания Обамы у власти.
  
  22 В 2008 году в Иране повесили иранского поставщика электроники по имени Али Аштари, который, по сообщениям иранских новостей, признался в попытке внедрить вирусы и GPS-устройства производства Моссада в оборудование, используемое членами Революционной гвардии. После того, как Stuxnet был обнаружен, появились сообщения, в которых говорилось, что он помог доставить Stuxnet в Натанз. Но новости из Ирана часто ненадежны, поскольку они обычно поступают от связанных с государством изданий с определенной повесткой дня. На протяжении многих лет Иран обвинял многих людей в том, что они были шпионами Моссада, часто имея мало доказательств в поддержку этого утверждения.
  
  23 Stuxnet 0.5 ожидал, что его цель, например, будет иметь от двух до двадцати пяти вспомогательных клапанов и от трех до тридцати датчиков давления для измерения давления газа на каждой ступени каскада.
  
  24 Совместно различные системы постоянно отслеживают подачу электроэнергии на центрифуги, их скорость и вибрацию, а также давление и температуру газа и температуру воды, используемой для их нагрева или охлаждения.
  
  25 Инспекторы МАГАТЭ посещали Натанз примерно двадцать четыре раза в год. Каждые три месяца инспекторы публиковали отчет, в котором перечислялось количество центрифуг во время их последнего посещения, которые вращались в вакууме, но в них еще не было газа, и количество центрифуг, которые фактически обогащали газ. В отчетах также отслеживалось, сколько газа технические специалисты подали в каскады и сколько обогащенного урана было произведено из него.
  
  26 Смотрите примечание 29 за предыдущее обсуждение устройства зала А и точные знания Stuxnet об этом. Позднее, в ноябре 2010 года, Иран увеличит количество центрифуг на каскад, но до тех пор количество центрифуг на каскад оставалось постоянным - 164.
  
  27 Доклад МАГАТЭ Совету управляющих “Осуществление соглашения о стандартах ДНЯО и соответствующих положений Резолюции 1737 (2006) Совета Безопасности в Исламской Республике Иран”, 22 февраля 2007 г., доступен по адресу iaea.org/Publications/Documents/Board/2007/gov2007-08.pdf.
  
  28 Доклад МАГАТЭ Совету управляющих “Осуществление Соглашения о гарантиях в рамках ДНЯО и соответствующих положений резолюций 1737 (2006) и 1747 (2007) Совета Безопасности в Исламской Республике Иран”, 15 ноября 2007 г., доступен по адресу iaea.org/Publications/Documents/Board/2007/gov2007-58.pdf.
  
  29 Представитель МАГАТЭ в частном порядке рассказал ИГИЛ о поломке центрифуг и потере газа.
  
  30 Дэвид Олбрайт, Жаклин Шир и Пол Брэннан, “У Ирана заканчивается желтый пирог?”, Институт науки и международной безопасности, 11 февраля 2009 г., доступно по адресу http://isis-online.org/publications/iran/Iran_Yellowcake.pdf; Барак Равид, “Израиль критикует заявление Клинтон по ядерному Ирану”, Гаарец, 22 июля 2009 г.; Марк Фитцпатрик, “Заявление перед Комитетом Сената по международным отношениям”, 3 марта 2009 г., доступно по адресу iranwatch.org/sites/default/files/us-sfrc-fitzpatrick-iranrealities-030309.pdf.
  
  31 В дополнение к восемнадцати каскадам в A24, в которые подавался газ, в пять каскадов в A26 подавался газ, еще один каскад находился в вакууме, и строительство оставшихся двенадцати каскадов в этом модуле продолжалось. См. Доклад Совета управляющих МАГАТЭ “Осуществление Соглашения о гарантиях в рамках ДНЯО и соответствующих положений резолюций 1737 (2006), 1747 (2007) и 1803 (2008) Совета Безопасности в Исламской Республике Иран” от 15 сентября 2008 года, доступный по адресу iaea.org/Publications/Documents/Board/2008/gov2008-38.pdf.
  
  32 Авторское интервью с Олбрайт, январь 2012.
  
  33 Дэвид Олбрайт, Жаклин Шир и Пол Браннан, “Доклад МАГАТЭ по Ирану: работа центрифуги значительно улучшается; Тупик в предполагаемых проблемах с созданием оружия”, 15 сентября 2008 г., доступен по адресу isis-online.org/publications/iran/ISIS_Report_Iran_15September2008.pdf.
  
  34 Ядегари был осужден, и объяснение Суда Онтарио с подробным изложением причин его осуждения можно найти на веб-сайте Института науки и международной безопасности: isis-online.org/uploads/isis-reports/documents/Yadegari_Reasons.pdf.
  
  35 Броуд, Маркофф и Сэнгер, “Израильское испытание червя названо решающим в иранской ядерной отсрочке”.
  
  36 Майк Шустер, “Внутри секретного саботажа Соединенных Штатов в Иране”, NPR.org, 9 мая 2011, доступно на npr.org/2011/05/09/135854490/inside-the-united-states-secret-sabotage-of-iran. Встреча между президентом Бушем и Бараком Обамой описана Сэнгером, Противостоять и скрывать, 200-3.
  
  37 Ребекка Харрисон, “Обама говорит, что ядерный Иран представляет ”серьезную угрозу" ", Reuters, 23 июля 2008, доступно по адресу reuters.com/article/2008/07/23/us-Iran-usa-Obama-idUSL23104041320080723.
  
  38 В мае того же года он объявил о создании должности главы кибербезопасности, чтобы помочь защитить критически важную инфраструктуру США от кибератак.
  
  39 Ким Зеттер, “Обама говорит, что новый киберпреступник не будет шпионить в сети”, Wired, 29 мая 2009 г., доступно по адресу wired.com/threatlevel/2009/05/netprivacy.
  
  40 Филип Шеруэлл, “Израиль начинает тайную войну против Ирана”, Телеграф, 16 февраля 2009 года.
  
  41 Дэвид Сэнгер, “США отвергли помощь в связи с израильским рейдом на иранский ядерный объект”, New York Times, 10 января 2009 года.
  
  42 Смотрите whitehouse.gov/blog/inaugural-address.
  
  43 Смотрите whitehouse.gov/the_press_office/videotaped-remarks-by-the-president-in-celebration-of-nowruz.
  
  OceanofPDF.com
  
  ГЛАВА 17
  ТАЙНА ЦЕНТРИФУГ
  
  Две недели, предшествовавшие обнародованию следующей атаки, были бурными в Иране. 12 июня 2009 года президентские выборы между действующим президентом Махмудом Ахмадинежадом и претендентом Мир-Хосейном Мусави прошли не так, как ожидалось. Гонка должна была завершиться, но когда были объявлены результаты — через два часа после закрытия избирательных участков — Ахмадинежад победил с 63 процентами голосов против 34 процентов у Мусави. Электорат возмущался, и на следующий день толпы разгневанных протестующих вышли на улицы Тегерана, чтобы выразить свое возмущение и неверие. По сообщениям СМИ, это был крупнейший гражданский протест, который страна видела с тех пор, как революция 1979 года свергла шаха, и вскоре он перерос в насилие. Протестующие разгромили магазины и подожгли мусорные баки, в то время как полиция и басиджи, лояльные правительству ополченцы в штатском, пытались разогнать их дубинками, электрошокерами и пулями.
  
  В то воскресенье Ахмадинежад произнес вызывающую победную речь, провозгласив новую эру для Ирана и назвав протестующих не более чем футбольными хулиганами, расстроенными потерей своей команды. Однако протесты продолжались всю неделю, и 19 июня в попытке успокоить толпы аятолла Али Хаменеи санкционировал результаты выборов, настаивая на том, что перевес в 11 миллионов голосов был слишком велик, чтобы быть достигнутым путем мошенничества. Толпы, однако, не успокоились.
  
  На следующий день двадцатишестилетняя женщина по имени Неда Ага-Солтан попала в пробку, вызванную протестующими, и была ранена в грудь пулей снайпера после того, как она и ее учитель музыки вышли из машины, чтобы понаблюдать.
  
  Два дня спустя, 22 июня, в понедельник, Совет стражей, который наблюдает за выборами в Иране, официально объявил Ахмадинежада победителем, и после почти двух недель протестов в Тегеране стало устрашающе тихо. Полиция применила слезоточивый газ и боевые патроны для разгона демонстрантов, и большинство из них уже ушли с улиц. В тот день, около половины пятого по местному времени, пока иранцы переживали шок и скорбь по поводу событий предыдущих дней, была собрана и запущена новая версия Stuxnet.1
  
  В то время как УЛИЦЫ Тегерана были в смятении, технические специалисты в Натанзе переживали период относительного спокойствия. Примерно в начале года они снова начали устанавливать новые центрифуги, и к концу февраля их было около 5400, что близко к 6000, которые Ахмадинежад обещал годом ранее. Еще не все центрифуги занимались обогащением урана, но, по крайней мере, снова наметилось движение вперед, и к июню их число подскочило до 7052, причем 4092 из них использовались для обогащения газа.2 В дополнение к восемнадцати каскадам обогащения газа на установке A24, теперь было двенадцать каскадов обогащения газа на установке A26. Дополнительные семь каскадов были даже установлены в A28 и находились под вакуумом, готовясь к приему газа.
  
  Производительность центрифуг также улучшалась. Ежедневное производство низкообогащенного урана в Иране выросло на 20 процентов и оставалось неизменным в течение лета 2009 года.3 Несмотря на предыдущие проблемы, Иран преодолел технический рубеж и преуспел в производстве 839 кг низкообогащенного урана — достаточно для создания потенциала прорыва ядерного оружия.4 Если бы это продолжалось такими темпами, у Ирана было бы достаточно обогащенного урана, чтобы в течение года изготовить два ядерных боеприпаса.5 Однако эта оценка была основана на мощности центрифуг IR-1, установленных в настоящее время в Натанзе. Но Иран уже установил центрифуги IR-2 в небольшом каскаде на экспериментальной установке, и как только испытания на них будут завершены и техники начнут устанавливать их в подземном цехе, смету придется пересмотреть. Потребовалось 3000 центрифуг IR-1, чтобы произвести достаточно урана для ядерного оружия за один год, но для того, чтобы сделать то же самое, потребовалось бы всего 1200 центрифуг IR-2.
  
  Вспомните Stuxnet 1.001, который появился в конце июня.
  
  Чтобы доставить свое оружие на завод, злоумышленники начали наступление на компьютеры, принадлежащие четырем компаниям. Все компании были вовлечены в промышленный контроль и обработку того или иного рода, либо производя продукты и собирая компоненты, либо устанавливая системы промышленного контроля. Все они, вероятно, были выбраны потому, что имели какую-то связь с Натанзом в качестве подрядчиков и обеспечивали шлюз, через который Stuxnet передавался в Натанз через зараженных сотрудников.
  
  Чтобы обеспечить больший успех при получении кода там, где это необходимо, в этой версии Stuxnet было на два способа распространения больше, чем в предыдущей. Stuxnet 0.5 мог распространяться только путем заражения файлов проекта Step 7 — файлов, используемых для программирования ПЛК Siemens. Однако эта версия может распространяться через USB-накопители с использованием функции автозапуска Windows или через локальную сеть жертвы с использованием эксплойта нулевого дня очереди печати, который Kaspersky и Symantec позже обнаружили в коде.
  
  Судя по лог-файлам в Stuxnet, первой жертвой стала компания под названием Foolad Technique. Он был заражен в 4:40 утра 23 июня, во вторник.6 Но тогда прошла почти неделя, прежде чем была поражена следующая компания.
  
  В следующий понедельник около пяти тысяч участников марша молча прошли по улицам Тегерана к мечети Коба, чтобы почтить память жертв, погибших во время недавних протестов против выборов. Поздно вечером того же дня, около 11:20 вечера, Stuxnet поразил машины, принадлежащие его второй жертве — компании под названием Behpajooh.
  
  Было легко понять, почему Бехпаджух был целью. Это была инженерная фирма, базирующаяся в Исфахане — на месте нового иранского завода по переработке урана, построенного для превращения измельченной урановой руды в газ для обогащения в Натанзе, а также на месте расположения иранского центра ядерных технологий, который, как считалось, был базой для программы разработки ядерного оружия Ирана. Бехпаджух также фигурировал в документах федерального суда США в связи с незаконной закупочной деятельностью Ирана.7
  
  Бехпаджух занимался установкой и программированием промышленных систем управления и автоматизации, включая Siemens systems. На веб-сайте компании не упоминалось о Натанзе, но упоминалось, что компания установила ПЛК Siemens S7-400, а также программное обеспечение Step 7 и WinCC и модули связи Profibus на сталелитейном заводе в Исфахане. Это было, конечно, все то же оборудование, которое Stuxnet предназначалось для Натанза.
  
  В пять утра 7 июля, через девять дней после нападения на Бехпаджух, Stuxnet поразил компьютеры промышленной группы Neda, а также компанию, указанную в журналах только как CGJ, предположительно контролируемую Гостаром Джахедом. Обе компании разработали или установили промышленные системы управления.
  
  Компания Neda разработала и установила системы управления, прецизионные контрольно-измерительные приборы и электрические системы для нефтегазовой промышленности Ирана, а также для электростанций, горнодобывающих и технологических объектов. В 2000 и 2001 годах компания установила ПЛК Siemens S7 на нескольких газопроводах в Иране, а также установила системы Siemens S7 на Исфаханском сталелитейном комплексе.8 Как и Behpajooh, Neda была включена в список наблюдения за распространением за ее предполагаемую причастность к незаконной закупочной деятельности и была названа в обвинительном заключении США за получение контрабандных микроконтроллеров и других компонентов.9
  
  Примерно через две недели после того, как он поразил Neda, инженер по управлению, работавший в компании, появился на форуме пользователей Siemens 22 июля, жалуясь на проблему, с которой столкнулись работники его компании со своими машинами. Инженер, опубликовавший заметку под именем пользователя Behrooz, указал, что на всех компьютерах его компании возникла идентичная проблема с файлом Siemens Step 7 .DLL, который продолжал выдавать сообщение об ошибке. Он подозревал, что проблема заключалась в вирусе, который распространялся через флэш-накопители.10
  
  Когда он использовал DVD или CD для переноса файлов с зараженной системы на чистую, все было в порядке, писал он. Но когда он использовал флэш-накопитель для передачи файлов, у нового ПК начались те же проблемы, что и у другой машины. Флэш-накопитель USB, конечно, был основным методом распространения Stuxnet. Хотя Бехруз и его коллеги провели сканирование на наличие вирусов, они не обнаружили вредоносного ПО на своих компьютерах. В теме обсуждения не было никаких признаков того, что они когда-либо решали проблему в то время.
  
  Неясно, сколько времени потребовалось Stuxnet, чтобы достичь своей цели после заражения машин в Neda и этих других компаниях, но в период с июня по август количество центрифуг, обогащающих уран в Натанзе, начало сокращаться. Было ли это результатом исключительно новой версии Stuxnet или затяжных эффектов предыдущей версии, неизвестно. Но к августу того же года на заводе работало только 4592 центрифуги для обогащения, что на 328 центрифуг меньше, чем в июне. Проблема, опять же, была в блоке A26, где ранее возникали проблемы. В июне на этой установке было двенадцать каскадов обогащения газа. Но к ноябрю газ был удален из половины из них, и только шесть каскадов A26 теперь обогащались. Общее количество центрифуг для обогащения в Натанзе сократилось до 3936, что на 984 меньше за пять месяцев. Более того, хотя новые машины все еще устанавливались, ни одна из них не питалась газом. В A28 также было установлено семнадцать каскадов, но ни одна из этих почти 3000 центрифуг не использовалась для обогащения газа.
  
  Очевидно, что с каскадами были проблемы, и технические специалисты понятия не имели, в чем они заключались. Однако изменения точно соответствовали тому, для чего был разработан Stuxnet.
  
  Эта версия Stuxnet, как упоминалось ранее, увеличила частоту вращения роторов центрифуги до 1410 Гц на пятнадцать минут — скорость почти 1000 миль в час, — а затем через три недели снизила ее до 2 Гц на пятьдесят минут.11 Изменения, после ряда циклов, начали бы повреждать центрифуги и влиять на уровень обогащения газа.
  
  Но Олбрайт и его коллеги определили, что двигателям центрифуг потребовалось бы больше пятнадцати минут, чтобы достичь 1410 Гц — частоты, которая была бы наиболее разрушительной для центрифуг. Вероятно, за это время они достигли бы только 1324-1381 Гц. Тем не менее, поскольку изменяющаяся скорость и постоянное ускорение и замедление продолжались с течением времени, это создало бы дополнительную нагрузку и повреждение роторов центрифуги. Увеличение скорости также привело бы к расширению алюминиевых центрифуг и их дисбалансу.
  
  IR-1 уже были хрупкими по конструкции, и малейшее несовершенство могло привести к их выходу из строя — пыль в камере, например, могла привести к их самоуничтожению. Глава Организации по атомной энергии Ирана Голам Реза Агазаде рассказал во время интервью в 2006 году, что в первые дни программы обогащения IR-1 часто распадались из-за микробов на машине. Первоначально они не могли понять, почему взрывались центрифуги, но он сказал, что в конечном итоге они приписали проблему техническим специалистам, собирающим центрифуги без перчаток. Микробы, оставленные на машинах, буквально превратили их в пыль, как только машины начали вращаться. “Когда мы говорим, что машина уничтожена, - сказал он интервьюеру, - мы имеем в виду, что она превращается в порошок”.12
  
  Центрифуги имели подшипники в верхней части и основании, которые помогали им сохранять устойчивость, подобно вращающемуся волчку.13 Вращающуюся центрифугу приходилось медленно разгонять. Как только это началось, на это было красиво и элегантно смотреть. Но в мгновение ока все может пойти не так. Если центрифуга начнет раскачиваться, она быстро выйдет из-под контроля. Сам корпус центрифуги был массивным и не разбился, но он мог расколоться вдоль, как хот-дог в микроволновой печи, или согнуться, из-за чего крышки на обоих концах вылетели. А внутри корпуса ротор и другие компоненты развалились бы на части.
  
  Увеличение скорости, вызванное Stuxnet, могло вызвать вибрации, которые в конечном итоге привели бы к износу подшипников после нескольких циклов атаки, что привело бы к дисбалансу центрифуг и их опрокидыванию. Но из-за того, что операторам возвращались ложные данные, они не увидели бы приближающихся разрушений или смогли бы выяснить впоследствии, что пошло не так.
  
  Вторая последовательность атак, которая снизила частоту центрифуг до 2 Гц на пятьдесят минут, заставила предположить, что злоумышленники также пытались разложить обогащенный уран, а не просто повредить центрифуги. Центрифуге, вращающейся со скоростью 1,064 Гц, потребуется время, чтобы замедлиться до 2 Гц. Олбрайт и его команда определили, что через пятьдесят минут частота, вероятно, снизится примерно до 864 Гц, прежде чем саботаж закончится и скорость вернется к норме. Но, снизив частоту вращения центрифуги даже всего на 50-100 Гц, Stuxnet может сократить обогащение вдвое. При обогащении урана центрифуги должны постоянно вращаться с высокой скоростью, чтобы отделить изотопы U-235 и U-238 в газе. Если скорость меняется, особенно если она замедляется на пятьдесят минут, это нарушает процесс разделения. Технические специалисты в Натанзе ожидали бы получить один сорт урана из каскада, но вместо этого получили бы что-то другое. Этот эффект был гораздо более тонким, чем прямое уничтожение центрифуг, и сам по себе был бы недостаточен для замедления иранской программы. Но в сочетании с другими эффектами это привело к саботажу программы под другим углом. В этой последовательности атак пострадал не только процент обогащения, но и объем произведенного обогащенного урана, который стал неустойчивым. В феврале 2009 года центрифуги производили около 0,62 разделительных рабочих единиц, но в мае этот показатель снизился до 0,49. А в июне и августе он колебался между 0,51 и 0,55.
  
  Вернувшись в Соединенные Штаты, Олбрайт и его коллеги из ISIS прочитали отчеты МАГАТЭ, отметив изменения в Натанзе, и не были удивлены, увидев, что у Ирана возникли проблемы, учитывая, как быстро технические специалисты установили каскады в блоке A26. Он узнал из источников, что технические специалисты в Натанзе снизили скорость центрифуг в попытке решить проблемы, но Олбрайт подозревал, что происходит нечто большее, чем обычная поломка и технические трудности. Он связался с источниками в правительстве и в МАГАТЭ, чтобы узнать, что происходит, но не получил однозначных ответов.
  
  С наступлением 2010 года численность в Натанзе продолжала падать. Количество установленных центрифуг составляло 8 692, но количество центрифуг, активно обогащающих уран, в настоящее время сократилось до 3772, что на 1148 меньше, чем в июне. До сих пор проблемы ограничивались A26, но теперь они, похоже, распространяются также на A24 и A28. Например, газ был удален из одного каскада в A24.14
  
  Наиболее показательным, однако, был тот факт, что технические специалисты начали отключать и снимать центрифуги с некоторых каскадов. В августе МАГАТЭ установило больше камер в подземном зале, чтобы не отставать от роста объекта, поскольку технические специалисты установили больше каскадов. Теперь они снимали изображения снующих рабочих, снимающих центрифуги с установок. В январе МАГАТЭ сообщило, что технические специалисты сняли неопределенное количество центрифуг с одиннадцати каскадов в A26, а также сняли все 164 центрифуги с каскада в A28. Ни один из оставшихся шестнадцати каскадов в A28 не был обогащающим.15 Washington Post позже сообщит, что за этот период было заменено 984 центрифуги, что эквивалентно шести целым каскадам.
  
  Но работа Stuxnet все еще не была завершена.
  
  По мере того, как 2009 год ПОДХОДИЛ к концу, давление на Соединенные Штаты с целью остановить ядерную программу Ирана росло.
  
  В конце сентября, когда число жертв в Натанзе снижалось, президент Обама объявил на саммите Совета Безопасности ООН по ядерному нераспространению и ядерному разоружению, что в Иране был обнаружен новый секретный объект по обогащению урана. Это оружие находилось на военной базе, погребенной более чем на 150 футов под горой в Фордо, примерно в 30 километрах от священного города Кум.
  
  Завод был намного меньше, чем в Натанзе, и был рассчитан всего на 3000 центрифуг по сравнению с 47 000 в Натанзе. Но оно было достаточно большим, чтобы обогащать уран для производства одной или двух бомб в год, если Иран решит использовать его для этой цели. “Иран имеет право на мирную ядерную энергетику, которая удовлетворяет энергетические потребности своего народа. Но размер и конфигурация этого объекта несовместимы с мирной программой”, - сказал Обама во время своего объявления о Фордо.16
  
  Иранцы сообщили представителю МАГАТЭ Мохаммеду Эль-Барадеи, что завод был просто резервным для Натанза, что угроза военного удара по Натанзу побудила их построить его на случай непредвиденных обстоятельств. Новый завод все еще находился в стадии строительства и, как ожидается, не будет завершен до 2011 года, но, по данным разведки США, работы на нем, вероятно, начались где-то между 2002 и 2004 годами, что означало, что инспекторы МАГАТЭ много раз проезжали мимо секретного объекта по пути в Натанз на протяжении многих лет, не зная о его существовании. Обама узнал об этом заводе ранее в том же году во время своего брифинга перед инаугурацией в Белом доме, но спецслужбы знали об этом по крайней мере с 2007 года, когда глава Революционной гвардии Ирана перешел на сторону Запада и сообщил ЦРУ, что Иран строит второй секретный завод по обогащению где-то в пределах своих границ. С тех пор спутниковая разведка обнаружила объект в Фордо.17
  
  Завод в Фордо, хотя и меньший, чем Натанз, на самом деле представлял гораздо большую опасность, чем Натанз. Поскольку инспекторы МАГАТЭ внимательно следили за последним объектом, маловероятно, что Иран мог тайно перенаправить ядерный материал с этого завода, чтобы обогатить его до оружейного материала. Однако гораздо большее беспокойство вызывали секретные заводы, такие как Фордо, где оружейное обогащение можно было производить без ведома МАГАТЭ.
  
  Фордо также вызывал особую озабоченность, потому что он строился под более чем сотней футов твердой породы, что делало его недосягаемым для нынешнего урожая бомб, разрушающих бункеры, и, возможно, даже для бомб нового поколения, которые разрабатывали Соединенные Штаты.18
  
  Премьер-министр Великобритании Гордон Браун отреагировал на новость о Фордо, назвав ядерную программу Ирана “самой неотложной проблемой распространения, с которой мир сталкивается сегодня”. Он сказал, что у международного сообщества не было выбора, кроме как “провести черту на песке” над “многолетним серийным обманом Ирана”.19
  
  Иранские официальные лица, однако, казались невозмутимыми из-за откровений о Фордо, демонстративно заявляя, что они планируют построить еще десять заводов по обогащению урана в ближайшие десятилетия, чтобы обеспечить топливом парк атомных электростанций, которые они также планировали построить.20 Все обогатительные фабрики будут похоронены глубоко под горами, чтобы защитить их от нападения, сказал глава AEOI.21
  
  После новостей из Фордо Израиль стал более настойчивым в том, что нужно что-то делать с ядерной программой Ирана. На ноябрьской встрече в Тель-Авиве израильский военный лидер сказал официальным лицам США, что 2010 год станет “критическим годом” в противостоянии с Ираном. Если они не начнут действовать в ближайшее время, Иран укрепит свои ядерные объекты, и вывести их из строя будет все труднее и труднее.22 США уже тайно пообещали Израилю поставку нового поколения бомб, разрушающих бункеры, которые они производили, но до доставки этого боеприпаса оставалось еще шесть месяцев.
  
  В январе 2010 года давление усилилось, когда в СМИ просочился документ, раскрывающий секретную военную ветвь иранской программы ядерных исследований, известную как FEDAT. Говорили, что отделение возглавлял Мохсен Фахризаде, профессор Университета Имама Хоссейна в Тегеране.23 В следующем месяце МАГАТЭ сообщило, что получило “в целом последовательную и заслуживающую доверия” информацию о том, что Иран разрабатывает ядерное оружие. “Это вызывает обеспокоенность по поводу возможного существования в Иране прошлой или текущей нераскрытой деятельности, связанной с разработкой ядерного боезаряда для ракеты”.24
  
  Кроме того, переговоры, призванные ослабить опасения по поводу растущего запаса низкообогащенного урана в Иране, потерпели крах. В течение многих лет Иран заявлял, что ему нужен уран для производства топливных стержней для своего исследовательского реактора в Тегеране для проведения исследований рака и лечения онкологических заболеваний, но Соединенные Штаты и другие страны всегда были обеспокоены тем, что уран в какой-то момент будет дополнительно обогащен для производства оружия. Итак, в середине 2009 года советник Белого дома разработал умный компромисс, чтобы разрешить опасения Запада по поводу урана. Согласно плану Белого дома, Иран отправит большую часть этого низкообогащенного урана в Россию и Францию, чтобы эти две страны могли превратить его в топливные стержни для иранского реактора. Предложение было гениальным, потому что оно обеспечило бы Иран всем топливом, которое, по его словам, было необходимо для его реактора, лишив иранских чиновников возможности дальнейшего обогащения своих запасов до оружейного материала.
  
  Иранские официальные лица заявили в 2009 году, что им нужно время для рассмотрения этого предложения. Но 19 января они объявили, что отклоняют его. Это было еще не все. Они также объявили, что уже взяли часть низкообогащенного урана, произведенного в подземном цехе в Натанзе, и начали дальнейшее обогащение его почти до 20 процентов на экспериментальной установке — уровень, который, по их словам, им был необходим для медицинских исследований.25
  
  Шесть дней спустя команда, стоящая за Stuxnet, начала подготовку к новому раунду атак.
  
  На протяжении всего своего первого года в должности президент Обама внимательно следил за прогрессом в области цифрового оружия. От его успеха зависело многое, и пока новости были хорошими. На самом деле, это было лучше, чем ожидалось. Несмотря на то, что Stuxnet нацелился на ограниченное количество центрифуг, иранцы усиливали его воздействие, выводя из строя целые каскады центрифуг в своих усилиях по выявлению источника проблем, что способствовало дальнейшим задержкам в их программе. Казалось, они все еще понятия не имели, что проблемы заключаются в компьютерах, контролирующих их каскады, поэтому на данный момент не было причин прекращать саботаж. Особенно когда росло давление с целью предпринять военные действия против Ирана.
  
  Итак, 25 января злоумышленники подписали два файла драйверов Stuxnet цифровым сертификатом, украденным у RealTek на Тайване. 1 марта они скомпилировали свой код. Затем они, похоже, стали ждать.
  
  20 марта наступил Новруз, и Обама снова обратился к иранскому народу с четким посланием о мирном сотрудничестве, как он это делал во время предыдущего празднования персидского Нового года. Но на этот раз он говорил прямо о ядерной программе Ирана. “Вместе с международным сообществом Соединенные Штаты признают ваше право на мирную ядерную энергию — мы настаиваем только на том, чтобы вы придерживались тех же обязанностей, которые применяются к другим странам”, - сказал он. “Мы знакомы с вашими обидами из прошлого — у нас тоже есть свои обиды, но мы готовы двигаться вперед. Мы знаем, против чего вы выступаете; теперь расскажите нам, за что вы ”.
  
  Его тон стал мрачнее, когда он сделал завуалированную ссылку на недавний отказ Ирана от компромиссного предложения по ядерному топливу. “Столкнувшись с протянутой рукой, ” сказал Обама, “ лидеры Ирана показали только сжатый кулак”.26
  
  За несколько недель до его выступления иранские технические специалисты усердно работали над устранением проблем, созданных Stuxnet, восстановив количество каскадов в блоке A24 на полную мощность со всеми восемнадцатью каскадами обогащения и восстановив центрифуги, которые они сняли с нескольких каскадов в A26. Они также увеличили количество газа, которое они подавали в центрифуги, которые все еще работали, чтобы наверстать упущенное время и увеличить выход обогащенного газа. Но они понятия не имели, что их вот-вот снова ударят.
  
  Празднование персидского Нового года продолжалось в Иране тринадцать дней, хотя только первые четыре дня были официальным государственным праздником. 23 марта, на четвертый день праздника, когда большинство работников все еще были дома со своими семьями и друзьями, обрушилась следующая волна Stuxnet. Полезная нагрузка была идентична той, что была выпущена в июне прошлого года, но эта версия включала большую коллекцию эксплойтов нулевого дня и другие механизмы распространения, в том числе .Эксплойт LNK, который в конечном итоге привел к его открытию.
  
  Однако, несмотря на все эти дополнительные навороты, на этот раз злоумышленники, похоже, нацелились только на одну компанию — Behpajooh. Неясно, когда они обнародовали свой код, но он поразил первые машины в Бехпаджухе около шести утра 23 марта. Бехпаджух также пострадал в результате атаки 2009 года, и он будет поражен в ходе последующей атаки, которая произошла в следующем месяце, в апреле 2010 года. Фактически, это была единственная компания, которая, как известно, пострадала во всех трех раундах, что позволяет предположить, что она могла иметь более высокую ценность как канал доступа к целевым компьютерам в Натанзе, чем другие. К сожалению, именно жертва запустила тысячи других инфекций в Иране и за его пределами.
  
  В последующие дни, когда отдыхающие работники вернулись в свои офисы, червь начал активно размножаться, сначала распространившись по офисам Behpajooh в Иране, Великобритании и Азии, прежде чем вырваться на свободу и заразить другие компании в этих странах и за их пределами.27 Позже, когда исследователи Symantec проанализировали различные образцы Stuxnet, собранные с зараженных компьютеров, они смогли проследить тысячи случаев заражения вплоть до этих первоначальных заражений в Behpajooh.28
  
  Почему нападавшие увеличили свою огневую мощь, чтобы достичь своей цели в этот момент, неясно. Возможно, два года, которые они провели внутри компьютеров Натанца, просто сделали их безрассудными, самоуверенными. Но наиболее вероятным объяснением является то, что более ранние версии Stuxnet были доставлены через инсайдера или кого-то с близким доступом к целевым машинам. Если бы создатели Stuxnet впоследствии потеряли этот доступ, они бы почувствовали необходимость увеличить мощность распространения, чтобы повысить свои шансы на достижение своей цели. Одним из косвенных доказательств, подтверждающих это объяснение, являются различные задержки между тем, когда были составлены атаки, и тем, когда они заразили своих первых жертв. Во время атаки в июне 2009 года прошло всего около двенадцати часов с момента компиляции червя и до того, как он поразил свою первую жертву.29 Но версия от марта 2010 года была скомпилирована утром 1 марта, а затем не заражала свою первую машину до 23 марта. (Последняя известная версия, выпущенная в апреле, имела аналогичную задержку в двенадцать дней между датой компиляции и заражением.) Короткое время заражения в 2009 году позволило предположить, что злоумышленники, возможно, использовали внутреннего сообщника или невольную жертву, которая была предварительно выбрана для операции. Когда пришло время запускать последующие версии Stuxnet, злоумышленникам, возможно, пришлось ждать дольше, пока не появилась возможность использовать его.
  
  По мере того, как Stuxnet распространялся повсюду, он звонил домой своим контроллерам через серверы командования и контроля - и поэтому вскоре официальные лица в Вашингтоне узнали, что их червь вышел из строя. В этот момент стало ясно, что операция, которая более трех лет была одним из самых тщательно скрываемых секретов в Вашингтоне, внезапно оказалась под угрозой разоблачения.
  
  Как получилось, что цифровое оружие, столь тщательно разработанное и контролируемое так долго, теперь уничтожено? Изначально пальцы указывали на Израиль. Весной 2010 года Белый дом, АНБ и израильтяне, как сообщается, “решили перейти границы дозволенного”, нацелившись на конкретную группу из 1000 центрифуг, которые они хотели атаковать.30 Вероятно, это была группа из шести каскадов в блоке A26. Предыдущий раунд Stuxnet сократил A26 с двенадцати каскадов обогащения урана всего до шести. Возможно, именно с этими последними шестью нападавшие теперь хотели покончить. Шесть каскадов по 164 центрифуги в каждом в сумме давали 984 центрифуги. Израильтяне, по-видимому, добавили последние штрихи — дополнительные нулевые дни и другие механизмы распространения — чтобы увеличить его. Сэнгер сообщает, что источники сообщили ему, что червь был запущен в Натанзе и вырвался, когда иранский ученый подключил свой ноутбук к зараженному элементу управления компьютер на заводе, а затем перенес инфекцию на свой ноутбук в Интернет. Но это не соответствует судебно-медицинским доказательствам, которые исследователи обнаружили в коде. Как отмечалось ранее, каждый образец Stuxnet содержал файл журнала, который отслеживал каждую зараженную им машину. Эти файлы показали, что первые заражения произошли на компьютерах, принадлежащих Behpajooh и другим компаниям, компьютерах, которые, как оказалось, были универсальными системами, а не программными компьютерами внутри Natanz, которые содержали файлы Step 7 или программное обеспечение Siemens. Возможно, это были ноутбуки, принадлежащие подрядчикам, которые работали в Натанзе. Но Сэнгер также пишет, что червь должен был распознать, когда его окружение изменилось, и он приземлился на машины за пределами своего целевого окружения. Однако ни в одной из версий Stuxnet, которые исследовали исследователи, не было ничего, что служило бы механизмом для распознавания этого и предотвращения распространения Stuxnet за пределами Натанза. Единственные ограничения, которые были у Stuxnet, касались того, где он поджигал свою полезную нагрузку, а не где она распространялась.
  
  Однако важно отметить, что операторы, которые управляли командными серверами, которые взаимодействовали со Stuxnet, действительно имели возможность остановить распространение оружия, как только увидели, что оно выходит из-под контроля. В Stuxnet была функция дезинфекции, которая позволяла злоумышленникам удалять его с зараженного компьютера. Поскольку Stuxnet начал бесконтрольно распространяться, и злоумышленники начали видеть, как зараженные машины сообщают о своих серверах из Индонезии, Австралии и других стран, они могли отправить команду дезинфекции для удаления кода с этих машин. Было ограниченное количество возможных причин, по которым они этого не сделали. “Либо им было все равно, что оно распространяется, либо оно распространялось быстрее, чем они ожидали, и они не могли его уничтожить”, - говорит О'Мурчу. О'Мурчу не думает, что это произошло из-за некомпетентности. “У них был полный контроль над зараженными машинами, и я думаю, что это было сознательное решение [ничего не делать]”. Даже после того, как новости о распространении Stuxnet дошли до Вашингтона, было принято замечательное решение позволить операции продолжаться без видимых попыток остановить ее распространение. Хотя, опять же, детали туманны, согласно источникам Сэнгера, по крайней мере, еще две версии Stuxnet были выпущены после марта, но были изменены, чтобы устранить “ошибку”, которая привела к распространению предыдущей.
  
  14 апреля злоумышленники скомпилировали еще одну версию Stuxnet, но полезная нагрузка на этот раз была точно такой же, как и в марте. Хотя в этом были те же механизмы распространения, оно не распространилось так далеко и широко, как мартовская версия.31 Никаких других версий Stuxnet, датируемых после этого, в дикой природе обнаружено не было.
  
  Возможно, что последующие версии Stuxnet были выпущены, но контролировались настолько жестко, что их так и не нашли. Был намек на это, когда исследователи обнаружили случайный файл драйвера в июле 2010 года, который, как они думали, был связан со Stuxnet. Это был драйвер, обнаруженный ESET, который был подписан сертификатом от J-Micron. Как уже отмечалось, драйвер был найден сам по себе, без какого-либо основного файла Stuxnet, сопровождающего его, но считается, что это могло быть частью другой атаки Stuxnet.
  
  Во время апрельской атаки техника Foolad стала первой жертвой, которая пострадала, как и во время атаки в июне 2009 года. Червь поразил компанию 26 апреля и, похоже, заразил тот же компьютер, что и годом ранее. Недели спустя, 11 мая, цифровое оружие было выпущено на трех компьютерах, принадлежащих компании, использующей доменное имя Kala, предположительно Kala Electric или Kala Electronics, подставной компании, которую Иран использовал для управления Натанзом и тайной закупки компонентов для своей ядерной программы — той самой компании, которую Алиреза Джафарзаде упомянул на своей пресс-конференции 2002 года, разоблачающей Натанз.32 Бехпаджух был поражен этой же версией Stuxnet 13 мая.
  
  Примечательно, что, хотя Neda Industrial Group не отображается в журналах для образцов инфекции 2010 года, которые исследовали исследователи, Бехруз, инженер по управлению, который опубликовал сообщение на форуме пользователей Siemens в прошлом году, снова появился, жалуясь на продолжающиеся проблемы. 2 июня он написал, что все компьютеры с Windows в его компании по-прежнему испытывают ту же проблему, что и в предыдущем году.
  
  Работники других компаний вмешались, чтобы сказать, что у них тоже была такая же проблема. Один пользователь, который также написал, что все компьютеры в его компании были заражены, сказал, что проблема, по-видимому, касается только Ирана. “[B] потому что вы можете видеть, что многие люди в Иране [на форуме] сталкиваются с той же проблемой, что и по крайней мере 1 [месяц] назад”, - написал он. Обсуждение продолжалось весь июль, и Бехруз временами был настолько расстроен, что заканчивал некоторые свои сообщения сердитым, покрасневшим смайликом. Затем внезапно, 24 июля, он опубликовал сообщение о том, что наконец-то тайна была разгадана. Он включил ссылку на новостную статью о Stuxnet, которая недавно была обнародована, и закончил свое сообщение тремя улыбающимися смайликами. Конечно, пройдет еще несколько месяцев, прежде чем он и остальной мир узнают, на что оно нацелено.
  
  В отличие от нападения 2009 года, неясно, какой эффект атаки в 2010 году оказали на Натанз. Сэнгер пишет, что после того, как злоумышленники запустили третью версию Stuxnet в 2010 году, это привело к “резкой остановке 984 центрифуг”.33 Как отмечалось ранее, в это время на установке A26 в шести каскадах работало ровно 984 центрифуги для обогащения, но в отчетах МАГАТЭ нет указаний на то, что они прекратили обогащение. В сентябре на установке А26 все еще работало шесть каскадов обогащения газа и еще шесть вращались в вакууме. Вполне возможно, что центрифуги, о которых идет речь, действительно остановились, а затем восстановились или были заменены в какой-то момент между майскими и сентябрьскими отчетами МАГАТЭ. Также возможно, что источники Сэнгера перепутали даты и имели в виду около 1000 центрифуг, снятых техническими специалистами в конце 2009 и начале 2010 года, которые МАГАТЭ зафиксировало своими камерами.
  
  Трудно сказать, что именно произошло с центрифугами в 2010 году, потому что в июне того же года официальные лица в Иране начали обвинять МАГАТЭ в утечке информации в прессу о его операциях. В письме от 3 июня Иран предупредил агентство, что если конфиденциальная информация о ядерной программе “каким-либо образом просочится и/или [будет] передана средствам массовой информации”, будут последствия, первое из которых заключается в том, что Иран отзовет свое одобрение для некоторых инспекторов МАГАТЭ, которым было разрешено посещать его ядерные объекты.34 В том же месяце Иран реализовал угрозу и удалил два имени из своего утвержденного списка из примерно 150 инспекторов МАГАТЭ, сославшись на “ложные и неверные заявления”, сделанные МАГАТЭ в его майском отчете. В докладе утверждалось, что в Иране пропало некоторое ядерное оборудование. Затем в сентябре были отстранены еще два инспектора на том основании, что они допустили утечку информации в СМИ до того, как МАГАТЭ опубликовало ее публично в своем отчете.35
  
  Упрек, по-видимому, оказал пагубное влияние на объем публичной информации, опубликованной МАГАТЭ о Натанзе впоследствии. К ноябрю МАГАТЭ прекратило указывать подробности о центрифугах в своих квартальных отчетах. Вместо того, чтобы перечислять количество центрифуг, установленных и обогащающих в каждом блоке, он объединил цифры из всех трех блоков — A24, A26 и A28 — в единый подсчет. Это устранило основные средства, которыми располагала общественность для определения воздействия Stuxnet на завод.36
  
  Что мы знаем, так это то, что в июле 2010 года центрифуги все еще производили только от 45 до 66 процентов мощности. ИГИЛ впервые отметило в одном из своих отчетов, опубликованном в июле, что "саботаж” может быть причиной некоторых проблем в Натанзе.37 К тому времени Stuxnet был обнаружен и обнародован, но до его связи с ядерной программой Ирана и Натанзом оставалось еще несколько месяцев.
  
  Также ясно, что количество установленных центрифуг и обогатительных фабрик в 2010 году радикально колебалось. В ноябре 2009 года, на пике мощности завода, в Иране было установлено 8 692 центрифуги. Это число сократилось до 8528 в мае 2010 года (с обогащением 3936), но увеличилось до 8 856 в сентябре (с обогащением 3772), прежде чем снизиться до 8426 в ноябре (с обогащением 4816). Возможно, центрифуги продолжали ломаться в течение года даже после обнаружения Stuxnet, и это стало причиной колебаний. Хотя значительный скачок на 1000 центрифуг для обогащения с сентября по ноябрь свидетельствует о том, что завод оправился от затяжного воздействия Stuxnet, в Иране все еще было установлено 3600 центрифуг, которые просто стояли каскадами, не обогащая.38 Это говорит, по крайней мере, о некоторых сохраняющихся проблемах. Вскоре после этого, 16 ноября, официальные лица в Натанзе полностью закрыли завод на шесть дней после того, как Symantec сообщила, что Stuxnet был разработан для саботажа преобразователей частоты.39 Некоторое время в том же месяце они также добавили дополнительные центрифуги к шести каскадам, предполагая, что они, возможно, пытались изменить конфигурацию каскадов, чтобы помешать полезной нагрузке Stuxnet.40
  
  В Вашингтоне разговоры о Stuxnet продолжались на протяжении всего 2010 года. Где-то в начале лета директор ЦРУ Леон Панетта и генерал Дж. Джеймс Картрайт сообщил президенту новость о неконтролируемом распространении червя. Откровение вызвало много вопросов у Обамы. Были ли какие-либо признаки того, что иранцы уже обнаружили его? Если да, могут ли они определить, что оно делает, или отследить его до источника? Он также был обеспокоен сопутствующим ущербом для машин, зараженных за пределами Натанза. И, принимая все это во внимание, должны ли они теперь отменить операцию? Его советники напомнили ему, что червь - это высокоточное оружие высокой точности, которое запускает свою полезную нагрузку только на машины, соответствующие определенным критериям; хотя это в определенной степени повлияет на другие машины, просто по характеру их заражения, это не причинит им вреда.
  
  Удовлетворенный тем, что операция по большей части все еще находится под их контролем, Обама приказал им продолжать.41
  
  Учитывая сложность Stuxnet и большие шансы на то, что его не обнаружат или не расшифруют, решение, должно быть, казалось вполне разумным в то время. Действительно, даже первоначальная реакция Symantec и других охранных компаний после разоблачения Stuxnet, казалось, подтверждала, что их тайная операция была безопасной — все признаки указывали на то, что сообщество безопасности, загнанное в тупик сложностью и непривычностью вредоносного ПО, прекратило свою работу над кодом после выпуска сигнатур для его обнаружения и двинулось дальше.
  
  Но Вашингтон не рассчитывал на упорную решимость исследователей Symantec докопаться до сути таинственного кода или на прямоту и откровенность Ральфа Ленгнера о том, что он атаковал. Шли месяцы, и от Langner и Symantec поступало все больше информации, и все, что кто-либо в Вашингтоне и Тель-Авиве мог делать, это сидеть и наблюдать, как каждый кусочек головоломки встает на свои места, пока, наконец, картина не станет полной.
  
  
  
  1 Временная метка в версии Stuxnet, выпущенной в июне 2009 года, указывает на то, что злоумышленники скомпилировали вредоносное ПО 22 июня в 16:31 по местному времени (местное время на компьютере, на котором был скомпилирован код) и что оно поразило свою первую жертву на следующий день в 4:40 утра (по местному времени жертвы), с очевидной разницей в двенадцать часов, в зависимости от часового пояса, в котором находился компьютер для компиляции. Время заражения было указано в файле журнала, который был скрыт в каждом найденном образце Stuxnet. Каждый раз, когда Stuxnet заражал компьютер, он записывал время (на основе внутренних часов компьютера) в этот журнал. Неизвестно, начали ли злоумышленники атаку сразу после ее компиляции — и вредоносной программе потребовалось двенадцать часов, чтобы добраться до своей жертвы, — или они ждали ее запуска до следующего дня.
  
  2 Дэвид Олбрайт, Торгуя опасностью: как секретная ядерная торговля вооружает врагов Америки (Нью-Йорк: Свободная пресса, 2010), 202-3.
  
  3 Дэвид Олбрайт и Жаклин Шир, “Доклад МАГАТЭ по Ирану: увеличение количества центрифуг и НОУ; Отказано в доступе к реактору в Араке; Нет прогресса по нерешенным вопросам”, 5 июня 2009 г., доступно по адресу isis-online.org/publications/iran/Iran_IAEA_Report_Analysis_5June2009.pdf.
  
  4 Олбрайт, Торгующий опасностью, 202-3.
  
  5 Олбрайт и Шир, Доклад МАГАТЭ, 5 июня 2009 года.
  
  6 Техника Foolad, по-видимому, работает под доменным именем ISIE. Возможно, ISIE была либо приобретена Foolad, либо являлась подразделением этой компании.
  
  7 В 2006 году американцу иранского происхождения было предъявлено обвинение в попытке контрабанды запрещенных оружейных технологий в Иран. Обвиняемый приобрел датчики давления у компании в Миннеаполисе и отправил их посреднику в Дубае, который должен был переслать их в Behpajooh. См. “Дубайская фирма, замешанная в расследовании иранского компонента бомбы в США”, Khaleej Times, 12 мая 2006 года.
  
  8 Одним из других клиентов Neda была станция повышения давления газа на острове Харг в Иране, где произошел один из взрывов, привлекших внимание Эрика Чиена в 2010 году после обнаружения Stuxnet. Согласно веб-сайту Neda, в период с 2008 по 2010 год компания обновила системы управления на турбокомпрессорных установках завода. Нет никаких доказательств того, что взрыв на заводе был вызван цифровым саботажем, но тот факт, что Stuxnet заразил компьютеры в Neda, показывает, насколько просто может быть проводить цифровые атаки против других типов объектов в Иране.
  
  9 В 2004 году торговая компания в Дубае заказала 7500 микроконтроллеров у фирмы из Аризоны и перенаправила партию в Neda, очевидно, для использования военными Ирана. Дело находится в окружном суде США, Мейроу Дженерал Трейдинг и др., обвинительное заключение, 11 сентября 2008 г., доступно по адресу dodig.mil.iginformation/Mayrow%20Mayrow%20Superseding%20Indictment.pdf.
  
  10 Хотя он опубликовал свои комментарии под именем Behrooz, он подписал свои сообщения внизу “M. R. Tajalli”. Поиск по Бехрузу и другому имени привел к тому, что профиль LinkedIn и другие идентифицировали его как Мохаммада Резу Таджалли, инженера по управлению, который работал в Neda с 2006 года. Согласно его профилю в LinkedIn, Таялли специализировался на системах управления для нефтяной промышленности. Он не ответил на запросы автора.
  
  11 Смотрите главу 13, эта страница и эта страница.
  
  12 Уильям Броуд, “Дразнящий взгляд на ядерную программу Ирана”, New York Times, 29 апреля 2008 года.
  
  13 Центрифуги имеют колпачки на каждом конце и ненадежно балансируют на шарикоподшипнике, прикрепленном к штифту или игле. Верхняя часть иглы прикреплена к колпачку, который расположен в нижней части центрифуги, в то время как нижняя половина иглы с подшипником вставлена в чашку, которая прикреплена к пружине. Все это хитроумное устройство позволяет центрифуге слегка раскачиваться при вращении, сохраняя при этом ее стабильность. Однако чрезмерное движение может дестабилизировать центрифугу и привести к износу этих деталей.
  
  14 В интервью с авторами несколько источников предположили, что центрифуги в A24 могли быть сконфигурированы иначе, чем в A26, — что преобразователи частоты, используемые для управления ими, были другой модели. Если это правда, возможно, что Stuxnet 0.5, который нацелен на клапаны на центрифугах и каскадах, был использован против A24, и что последующие версии Stuxnet, которые нацелены на преобразователи частоты, были использованы против каскадов в A26. Это может объяснить, почему у каскадов в A24 были проблемы в 2008 году, когда Stuxnet 0.5 был выпущен, но имел меньше проблем в 2009 году, когда более поздняя версия Stuxnet совершала свой саботаж.
  
  15 МАГАТЭ, “Осуществление Соглашения о гарантиях в рамках ДНЯО и соответствующих положений Резолюции Совета Безопасности 1737 (2006), 1747 (2007), 1803 (2008) и 1835 (2008) год в Исламской Республике Иран”, 18 февраля 2010 года, доступно по адресу iaea.org/Publications/Documents/Board/2010/gov2010-10.pdf.
  
  16 “Заявления президента Обамы, президента Франции Саркози и премьер-министра Великобритании Брауна по иранскому ядерному объекту”, 25 сентября 2009 года, в конференц-центре Питтсбурга в Питтсбурге, штат Пенсильвания, доступно по адресу whitehouse.gov/the-press-office/2009/09/25/statements-president-obama-french-president-sarkozy-and-british-prime-minister-Brown-on-Iranian-Nuclear-Facility.
  
  17 Спутниковые снимки первоначально запечатлели то, что выглядело как туннели и подземное строительство, ведущееся в Фордо, затем, в 2008 году, на них были запечатлены рабочие, укладывающие большие цементные подушки у входа в туннель. Площадки напоминали цементные платформы, которые используются на обогатительных фабриках для удержания каскадов. Соединенные Штаты подумывали о том, чтобы тайком направить в Иран группу специальных операций для установки пусковых площадок таким образом, чтобы они уничтожили центрифуги позже, но рискованное начинание так и не продвинулось дальше этого. См. Дэвид Э. Сэнгер, Противостоять и скрывать: Тайные войны Обамы и удивительное использование американской мощи (Нью-Йорк: Crown, 2012), 152, 155.
  
  18 Совет по оборонным наукам, который рекомендовал Пентагону создать оружие в 2004 году, написал, что туннельное сооружение, скрытое глубоко в скале, может представлять “значительную проблему” даже для новых бомб. “Несколько тысяч фунтов бризантных взрывчатых веществ, соединенных с туннелем, необходимы, чтобы снести взрывные двери и распространить смертельный воздушный поток”, - написали они. Уильям Броуд, “Иран защищает свои ядерные усилия в лабиринте туннелей”, New York Times, 5 января 2010 года.
  
  19 “Заявления президента Обамы, президента Франции Саркози и премьер-министра Великобритании Брауна по иранскому ядерному объекту”, Белый дом.
  
  20 Год спустя, в сентябре 2010 года, когда исследователи Symantec и Ральф Ленгнер все еще расшифровывали полезную нагрузку Stuxnet, иранская диссидентская группа, которая разоблачила Натанз, заявила, что у нее есть информация о еще одном секретном заводе по обогащению урана, строящемся около Абека, примерно в 120 километрах к западу от Тегерана. См. Дэвид Э. Сэнгер, “Диссиденты утверждают, что Иран строит новое место для обогащения”, New York Times, 9 сентября 2010 года.
  
  21 Брод: “Иран прикрывает свои ядерные усилия”.
  
  22 Телеграмма Госдепартамента США “40-я совместная военно-политическая группа: исполнительная власть”, 18 ноября 2009 года, опубликованная WikiLeaks на wikileaks.org/cable/2009/11/09TELAVIV2500.html.
  
  23 Дитер Беднарц, Эрих Фоллат и Хольгер Старк, “Разведданные из Тегерана вызывают беспокойство на Западе”, Der Spiegel, 25 января 2010 года.
  
  24 Эрих Фоллат и Хольгер Старк, “Рождение бомбы: история ядерных амбиций Ирана”, Der Spiegel, 17 июня 2010 года.
  
  25 Олли Дж. Хейнонен, “Иран наращивает обогащение урана”, блог о власти и политике, 20 июля 2011 г., опубликовано Центром Белфера при Гарвардской школе Кеннеди, 20 июля 2011 г., доступно по адресу powerandpolicy.com/2011/07/20/Iran-ramping-up-uranium-enrichment/#.UtM6Z7SYf8M.
  
  26 “Выступление президента Обамы по случаю Новруза”, Белый дом, 20 марта 2010 года, доступно по адресу whitehouse.gov/the-press-office/remarks-president-obama-marking-nowruz.
  
  27 Он потратил почти месяц на то, чтобы проникнуть в компьютеры Behpajooh, и 24 апреля он стал золотым, когда попал в компьютер с именем “Менеджер 115”. Stuxnet записал, что на этом компьютере была zip-папка с файлами проекта Step 7, хранящимися в нем. В течение следующих нескольких месяцев вредоносная программа вырвалась из сети Behpajooh и распространилась на другие компании. Компании идентифицируются в файле журнала только по их доменным именам, которые могут быть или не быть также названием компании. Например, к ним относятся MSCCO, Melal и S-Adari.
  
  28 В пяти зараженных компаниях было десять "нулевых пациентов”. То есть нападавшие нацелились на десять машин в этих пяти компаниях. И с помощью этих десяти компьютеров исследователи Symantec смогли составить список из примерно 12 000 других инфекций. Из этих пяти компаний Behpajooh была ответственна за 69 процентов из этих 12 000 случаев заражения.
  
  29 Время компиляции и заражения не всегда точное. Системные часы либо на компьютере компилятора, либо на компьютере жертвы в данном случае могли устареть, либо код мог быть скомпилирован в часовом поясе, отличном от часового пояса жертвы. Сравнивая время, прошедшее между компиляцией трех версий Stuxnet и заражением первых компьютеров, исследователи предположили, что компилирующая машина и машины-жертвы находились в одном часовом поясе.
  
  30 Сэнгер, Противостоять и скрывать, 204.
  
  31 Хотя некоторые компании подвергались атаке несколько раз, каждый раз это была не одна и та же машина. Злоумышленники, возможно, каждый раз искали машины с лучшим расположением или те, которые предоставляли им разные маршруты доступа к цели. Неясно, почему апрельская версия не распространилась так широко, как мартовская, поскольку она имела все те же механизмы распространения нулевого дня, а также поразила Behpajooh, компанию, пострадавшую в мартовской атаке, после которой Stuxnet широко распространился по всему миру. Возможно, машины, пострадавшие во время апрельской атаки, не были так широко связаны, как те, которые пострадали в марте, что уменьшило его распространение.
  
  32 Доменное имя компьютера иногда может идентифицировать название компании, которой он принадлежит, но не всегда.
  
  33 Сэнгер, Противостоять и скрывать, 206. Сэнгер пишет, что АНБ перехватило разведданные, указывающие на то, что центрифуги остановились.
  
  34 Иран обвинил МАГАТЭ в утечке информации агентству Рейтер за материал от 14 мая и Associated Press за материал от 30 мая.
  
  35 Ферейдун Аббаси, который был назначен главой иранской организации по атомной энергии после покушения на его жизнь в 2010 году, в интервью 2014 года обвинил Запад в использовании отчетов МАГАТЭ о ядерной деятельности Ирана для “калибровки” своего саботажа против ядерной программы и “оценки уровня разрушений, которые они оказывают” на ядерную технику Ирана с каждым раундом атаки. “Получив доступ к просочившимся данным из наших отчетов, они могут сказать, сколько центрифуг работает на иранских ядерных объектах и сколько из них будут установлены с какими необходимыми деталями”, - сказал он. Когда Иран представляет в МАГАТЭ отчеты о конструкции своих ядерных объектов и оборудовании, которое он планирует закупить для программы, разведывательные службы используют список, чтобы “заминировать устройства” и “установить вирусы в свои системы управления”, добавил он. Со временем иранцы стали осторожнее показывать инспекторам МАГАТЭ точное оборудование, которое они установили в каскадных помещениях — в какой-то момент они даже наклеили наклейки на названия брендов на оборудование, чтобы инспекторы не смогли их идентифицировать. Они также следовали за инспекторами с камерой, чтобы наблюдать за всем, что они делали. Абасси также сказал, что Stuxnet была не первой и не последней подобной атакой США и Израиля против ядерной программы, и что они неоднократно проникали в цепочку поставок для ядерной программы Ирана, чтобы саботировать вакуумные клапаны, клапанные насосы и другое оборудование. “Шпионские агентства корректируют свои атаки, исходя из наших потребностей; они блокируют обычные каналы для наших закупок и оставляют открытыми только те, которые они могут полностью контролировать для передачи своих модифицированных материалов на наши объекты”, - сказал он, обвинив Siemens в соучастии в программе. “Вот как они проникли в наши электронные инфраструктуры, прослушивали нас и устанавливали вредоносные программы, такие как Stuxnet. Они внедрили вирус в датчики, которые мы приобрели у Siemens, а также [поместили] взрывчатку в устройства ”. Смотрите “Как Запад проник в ядерную программу Ирана, объясняет бывший высокопоставленный ядерный чиновник”, Взгляд Ирана, 28 марта 2014, www.iransview.com/west-infiltrated-irans-nuclear-program-ex-top-nuclear-official-explains/1451.
  
  36 Бывший сотрудник МАГАТЭ сказал мне, что причина, по которой отчеты изменились в конце 2010 года, не имела ничего общего с обвинениями со стороны Ирана, а была связана с неуверенностью в точности собранных данных. После того, как иранцы удалили газ из некоторых центрифуг в 2009 и 2010 годах и вывели из эксплуатации другие центрифуги, они продолжали эксплуатировать некоторые каскады, в которых работало менее 164 центрифуг. Это заставило должностных лиц МАГАТЭ осознать, что у них нет возможности узнать, сколько центрифуг в каждом каскаде фактически функционируют и обогащают газ одновременно, сказал он. В прошлом они просто предполагали, что если каскад обогащает уран, то все 164 центрифуги каскада были задействованы в обогащении урана.
  
  37 Дэвид Олбрайт, Пол Браннан и Андреа Стрикер, “Какова компетенция Ирана в эксплуатации центрифуг?” ISIS, 26 июля 2010, доступно по isis-online.org/isis-reports/detail/what-is-irans-competence-in-operating-centrifuges/8.
  
  38 Иван Элирч из Федерации американских ученых отмечает, что на самом деле на тот момент было больше центрифуг для обогащения, но они работали только на 20 процентов своей эффективности.
  
  39 Дэвид Олбрайт и др., “Участок обогащения в Натанзе: пустышка или часть комплекса по производству атомной бомбы?” ISIS, 21 сентября 2011, доступно по isis-online.org/isis-reports/detail/natanz-enrichment-site-boondoogle-or-part-of-an-atomic-bomb-production-comp.
  
  40 Где-то в ноябре 2010 года технические специалисты увеличили количество центрифуг в шести каскадах с 164 до 174. См. Совет управляющих МАГАТЭ, “Осуществление Соглашения о гарантиях в рамках ДНЯО и соответствующих положений резолюций Совета Безопасности в Исламской Республике Иран” (доклад, 23 ноября 2010 г.), доступный по адресу iaea.org/Publications/Documents/Board/2010/gov2010-62.pdf. Хотя некоторые наблюдатели считают, что Иран увеличил количество центрифуг, чтобы увеличить количество газа, которое они могли бы обогатить в каскадах, — возможно, чтобы наверстать время, потерянное для Stuxnet, — источник в МАГАТЭ сказал мне, что центрифуги были добавлены на последней стадии каскадов, что не помогло бы увеличить количество газа, которое могло бы быть обогащено в каскаде. Он предположил, что дополнительные центрифуги были просто предназначены для изменения конфигурации каскадов, чтобы предотвратить работу с ними любых устаревших копий Stuxnet.
  
  41 Сэнгер отмечает, что встреча между Панеттой и Обамой произошла в середине лета, то есть где-то в июле, примерно в то время, когда Stuxnet был разоблачен. Но он также говорит, что в течение нескольких недель после этой встречи злоумышленники выпустили две другие версии червя. Это говорит о том, что новые версии Stuxnet были выпущены после того, как антивирусные фирмы уже выпустили сигнатуры для его обнаружения. Как уже отмечалось, более поздняя версия Stuxnet найдена не была.
  
  OceanofPDF.com
  
  ГЛАВА 18
  КВАЛИФИЦИРОВАННЫЙ УСПЕХ
  
  Через год после того, как официальные лица МАГАТЭ впервые начали замечать, что технические специалисты извлекают необычное количество центрифуг из подземного зала в Натанзе, тайна исчезающих устройств была, наконец, раскрыта. Но когда Stuxnet, наконец, определили в качестве причины и раскрыли подробности об обширных ресурсах, стоящих за ним, напрашивалась пара других вопросов: насколько успешным был Stuxnet в достижении своих целей? И стоили ли того риски, затраты и последствия?
  
  “Если целью Stuxnet было уничтожение всех центрифуг [в Натанзе]”, то это, безусловно, провалилось, отметил Дэвид Олбрайт из ISIS в отчете за 2010 год. Но если целью было уничтожить ограниченное количество центрифуг, чтобы немного приостановить программу Ирана по обогащению урана, то “возможно, это удалось, - писал он, - по крайней мере, на некоторое время”.1
  
  Не было никаких сомнений в том, что ядерная программа Ирана была не там, где она должна была быть в 2010 году, когда был обнаружен Stuxnet. Два огромных подземных зала в Натанзе были способны вместить 47 000 центрифуг, однако более чем через десять лет после завершения их строительства только в одном из залов вообще находились центрифуги, да и тот был заполнен лишь на треть. “Если смотреть с этой точки зрения — что Иран изначально планировал и где сейчас находится программа, ситуация ухудшилась ...” Олбрайт написала.
  
  Но сколько из этого было связано со Stuxnet, а сколько с другими причинами — санкциями, дипломатическим давлением и последствиями других тайных попыток саботажа — остается неясным. Ральф Ленгнер считал, что атака на Натанз имела огромный успех и была “почти такой же эффективной, как военный удар”, без всех рисков и затрат, которые влечет за собой военный удар. New York Times заявила, что Stuxnet, по-видимому, является “крупнейшим фактором, определяющим время на ядерных часах”.2
  
  Но были разные мнения о том, на сколько центрифуг повлиял Stuxnet и как далеко в результате была приостановлена ядерная программа Ирана.
  
  Еще в 2003 году израильские официальные лица предупреждали, что к 2007 году у Ирана будет достаточно обогащенного урана для создания бомбы, если ядерная программа не будет остановлена. Но две добровольные приостановки и множество других факторов отодвинули время назад, заставив израиль пересмотреть сроки создания бомбы сначала на 2008, а затем на 2010 год. Теперь, после Stuxnet, сроки снова отодвинулись назад.
  
  Когда уходящий глава Моссада Меир Даган оставил свою работу в начале 2011 года, он заявил израильскому кнессету, что Иран теперь не сможет создать ядерный арсенал до 2015 года.3 Однако официальные лица США были менее щедры в своих оценках, заявив, что программа была отложена всего на восемнадцать-двадцать четыре месяца, а не на четыре года. По словам госсекретаря США Хиллари Клинтон, ядерная программа была “замедлена” технологическими проблемами и санкциями, но не до такой степени, чтобы кто-либо мог расслабиться. “У нас есть время, - сказала она, - но не так много времени”.4 Иванка Барзашка, научный сотрудник Центра исследований науки и безопасности Королевского колледжа в Лондоне, считает, что ядерная программа вообще не была отложена. Она изучила корреляции между номерами центрифуг в отчетах МАГАТЭ и датами, когда Stuxnet был активен в 2009 году, и обнаружила, что доказательства воздействия атаки были косвенными и неубедительными. Если Stuxnet и оказал влияние на программу обогащения урана, оно быстро сошло на нет.
  
  “Если саботаж действительно имел место, то он был кратковременным и, скорее всего, произошел в период с мая по ноябрь 2009 года”, - заключила она. “Вредоносная программа не остановила иранскую программу обогащения, хотя, возможно, она могла бы временно замедлить темпы расширения Ирана”.5
  
  Иранцы, по сути, продемонстрировали замечательную способность восстанавливаться после любых повреждений и задержек, вызванных Stuxnet и другими факторами.
  
  Например, в начале 2010 года, вскоре после того, как технические специалисты в Натанзе заменили центрифуги, которые вызывали у них проблемы, они активизировали свою деятельность по обогащению, подав больше газа в центрифуги, чтобы увеличить производимую ими продукцию. В результате производство низкообогащенного урана в Иране фактически увеличилось в 2010 году и после этого оставалось довольно стабильным. Осенью 2008 года, например, в период, когда Stuxnet 0.5 управлял клапанами на каскадах, центрифуги производили только 90 кг низкообогащенного урана в месяц. В конце 2009 года, когда был запущен следующий раунд Stuxnet, количество немного снизилось до 85 кг в месяц. Но в 2010 году, несмотря на то, что было выпущено по меньшей мере еще два снаряда Stuxnet, уровень производства подскочил до 120-150 кг в месяц, и к 2011 году Иран стабильно производил 150 кг низкообогащенного урана в месяц.
  
  Однако следует отметить, что эти производственные показатели все еще были значительно ниже того, что центрифуги должны были производить по дизайну. В 2010 году для производства такого объема обогащенного газа потребовалось 4820 центрифуг, но в 2011 году Иран использовал 5860 центрифуг для производства того же количества, что говорит о том, что центрифуги работали менее эффективно, чем раньше, возможно, из-за затяжного воздействия Stuxnet.6
  
  Но, в конце концов, Иран все еще добивался прогресса и продолжал производить обогащенный уран. К середине 2011 года центрифуги произвели в общей сложности 4400 кг низкообогащенного урана.7 Более того, Иран передал по меньшей мере 1950 кг этого урана на экспериментальную установку для дальнейшего обогащения до 19,75 процента, и к началу 2011 года Иран имел 33 кг урана, обогащенного до этого уровня, и объявил о планах утроить это количество.
  
  Официальные лица начали обогащать уран до этого более высокого процента после уничтожения центрифуг Stuxnet. Иранские официальные лица заявили, что им нужен высокообогащенный уран для исследований в области лечения рака. Но более высокообогащенный уран создал большую проблему для тех, кто выступал против программы обогащения, потому что при 20-процентном обогащении Иран был ближе к 90 процентам оружейного материала, необходимого для бомбы. “Начиная с этого более высокого уровня обогащения, Иран сокращает свое время более чем наполовину для производства оружейного высокообогащенного урана с обогащением около 90 процентов”, - отметил Барзашка. В связи с этим, если “целью [Stuxnet] было уменьшить потенциал иранского ядерного оружия, это явно провалилось”.8
  
  Тем временем технические специалисты также начали устанавливать более совершенные центрифуги на экспериментальной обогатительной фабрике в Натанзе — центрифуги IR-2m и IR-4. Эти центрифуги были намного эффективнее, чем IR-1. В то время как по конструкции IR-1 могли производить около 1,0 рабочих единиц разделения в день (хотя они редко достигали этого уровня), более совершенные центрифуги могли производить примерно в три-пять раз больше. Они также были более устойчивыми, чем IR-1, что означало, что они были менее подвержены поломке при нагрузке, создаваемой Stuxnet.
  
  Несмотря на кажущееся быстрое восстановление Ирана после Stuxnet, цифровое оружие оказало по крайней мере два более длительных воздействия на программу обогащения. Во-первых, это сократило поставки Ирану уранового газа. Несколько тонн обогащенного урана оказались в мусорных баках в период, когда Stuxnet занимался саботажем. Потери, вероятно, произошли не только из-за Stuxnet, поскольку технические специалисты столкнулись с рядом различных проблем с центрифугами, но Stuxnet, без сомнения, способствовал потере. Как отмечалось ранее, Иран располагал ограниченными запасами урана (часть импортировалась из-за границы, часть добывалась на собственной земле), и любой газ, который был потрачен впустую, приходился на эти запасы.
  
  Но у Ирана также был ограниченный запас центрифуг и материалов для изготовления новых. В условиях ужесточения санкций, как никогда ранее, замена поврежденных центрифуг теперь станет более сложной задачей. По оценкам МАГАТЭ, в 2008 году у Ирана было достаточно компонентов и материалов для строительства 10 000 центрифуг.9 Если Stuxnet уничтожит 1000 из них, это сократит запасы центрифуг на 10 процентов. Вдобавок ко всему, Иран ежегодно терял около 10 процентов центрифуг из-за нормального износа. При таких темпах истощения “через пять лет эти ребята готовы”, - говорит Олли Хейнонен из МАГАТЭ.10
  
  Но Хейнонен на самом деле считал, что Stuxnet повредил более 1000 центрифуг. Он полагал, что число было ближе к 2000. Он основывал свою оценку на том факте, что отчеты МАГАТЭ содержат лишь краткую информацию об условиях в Натанзе в течение трехмесячного периода, а также на том факте, что в Натанзе были проблемы с пломбами системы безопасности, которые не поддавались взлому, что повышает вероятность того, что Иран мог тайно заменить некоторые из своих поврежденных центрифуг без ведома МАГАТЭ.11
  
  Хотя инспекторы МАГАТЭ посещали завод в среднем двадцать четыре раза в год, их отчеты публиковались только раз в квартал, и цифры в каждом отчете основывались только на количестве центрифуг, которые инспекторы наблюдали на заводе во время своего последнего визита перед каждым отчетом. Таким образом, у технических специалистов было множество возможностей в промежутках между визитами поменять центрифуги подальше от любопытных глаз инспекторов — при условии, что они делали это вне поля зрения камер МАГАТЭ, которые, теоретически, должны были сделать такие скрытые замены невозможными.
  
  Каждый раз, когда на заводе строился новый модуль cascades, технические специалисты устанавливали вокруг него переносные стены и делали доступ к нему только через одну дверь — дверь, за которой снаружи была установлена камера МАГАТЭ для наблюдения. На стыках стен также были установлены пломбы, защищающие от несанкционированного доступа, чтобы гарантировать, что дверь действительно является единственным средством проникновения, и что технические специалисты не могли просто отодвинуть стены в сторону, чтобы убрать центрифуги из поля зрения камер. Но в Натанзе возникли проблемы с таинственным взломом печатей безопасности.12 Иранские официальные лица заявили, что перерывы были случайными и что операторам было сказано “проявлять больше бдительности”. Но Хейнонен говорит, что в Иране появилась ”необычная картина" сломанных уплотнений, повышающая вероятность того, что стены могли быть сдвинуты, чтобы украдкой удалить и заменить поврежденные центрифуги.13
  
  Но даже если количество поврежденных центрифуг превысило 1000, Stuxnet явно не был волшебной пулей, которой он мог бы стать, если бы был разработан для более немедленного и широкомасштабного уничтожения - для уничтожения тысяч центрифуг одним ударом - а не для более медленных, более постепенных эффектов.
  
  Некоторые, на самом деле, задавались вопросом, почему Stuxnet не был разработан для более быстрого и серьезного повреждения. Но риск последствий такой агрессивной атаки был выше. Если бы Stuxnet уничтожил от 3000 до 4000 машин одновременно, не было бы никаких сомнений в том, что причиной был саботаж, и Иран, вероятно, воспринял бы это как военное нападение, на которое следует ответить тем же. Таким образом, медленная и скрытная атака Stuxnet была своего рода компромиссом, который затруднил достижение более масштабных результатов, но также затруднил для Ирана возможность нанести ответный удар.
  
  Тем не менее, оставались вопросы о том, чего могло бы достичь цифровое оружие, если бы оно не было обнаружено в 2010 году. Программа обогащения урана только начиналась, когда Stuxnet нанесла удар, и код все еще находился на ранних стадиях разрушения, когда он был раскрыт. Никто не мог сказать, чего это могло бы достичь со временем, поскольку Иран установил больше центрифуг и каскадов. По этой причине Барзашка считал, что злоумышленники допустили ошибку, запустив Stuxnet слишком рано. Если бы это было отложено до тех пор, пока не было установлено больше центрифуг и не было задействовано больше уранового газа, его воздействие на программу могло бы быть более пагубным.
  
  Одно было несомненно: теперь атакующим будет сложнее повторить подвиг. Stuxnet, как отметил Ленгнер, был фактически одноразовым оружием: атака, однажды обнаруженная, сделала иранцев более осторожными, тем самым затруднив будущие атаки с использованием тех же средств. После этого в любое время, когда оборудование в Натанзе выходило из строя, иранцы немедленно подозревали саботаж и реагировали более оперативно. При первых признаках неполадок технические специалисты отключали системы и более тщательно проверяли их на наличие вредоносных программ или манипуляций.
  
  Но независимо от всех факторов, которые ограничивали эффекты Stuxnet и сокращали срок его службы, скрытая атака сделала по крайней мере одну группу очень счастливой.
  
  “В сообществе, занимающемся нераспространением, Stuxnet - это просто отрадное событие”, - говорит Дэвид Олбрайт. “Это означает, что нам не придется воевать с Ираном”.14
  
  НО ДАЖЕ ЕСЛИ операция Stuxnet дала участникам дипломатических переговоров немного больше времени, оружие явно не положило конец политическому кризису или полностью устранило возможность войны. В 2011 году против Ирана был введен пятый раунд санкций ООН, и Соединенные Штаты размещали ракеты Patriot по всему Ближнему Востоку, чтобы защитить своих союзников в случае войны. А противники Ирана продолжали применять смертоносные меры против его ученых в попытке подорвать ядерную программу. В июле 2011 года тридцатипятилетний физик по имени Дариуш Резаинеджад был ранен в горло, когда забирал свою дочь из детского сада в Тегеране. По сообщениям, двое боевиков сбежали на мотоциклах. МАГАТЭ заявило, что Резаинеджад участвовал в разработке высоковольтных переключателей для запуска взрывов, необходимых для запуска ядерной боеголовки.15
  
  Затем, в январе 2012 года, всего через день после того, как начальник военного штаба Израиля заявил, что 2013 год станет решающим годом для ядерной программы Ирана, убийцы на мотоциклах снова нанесли удар по Ирану, на этот раз убив Мостафу Ахмади Рошана взрывчаткой, прикрепленной к его машине. Первоначально Рошан был идентифицирован как тридцатидвухлетний химик, работавший в Натанзе, но иранский чиновник позже показал, что он фактически управлял объектом в Натанзе, а также занимался закупкой специализированного оборудования для ядерной программы Ирана. Должность Рошана была заместителем по торговым вопросам в компании Kala Electronics, которая поставляла запчасти для Natanz. Kala, конечно, была одной из компаний, которые, как полагают, пострадали от Stuxnet.16
  
  Череда таинственных взрывов также начала поражать Иран. В ноябре 2011 года в результате мощного взрыва на полигоне для испытаний ракет большой дальности погибли более тридцати членов Революционной гвардии Ирана, включая генерала, которого называют архитектором ракетной программы Ирана.17 Иран отрицал, что взрыв был результатом саботажа, настаивая на том, что это был несчастный случай. Но источник в западной разведке сообщил New York Times, что фактическая причина мало что значит. “Все, что выигрывает нам время и отдаляет тот день, когда иранцы смогут установить ядерное оружие на точную ракету, - это маленькая победа”, - сказал он. “На данный момент мы возьмем все, что сможем получить, что бы ни случилось”.
  
  В том же месяце произошел взрыв на заводе по переработке урана в Исфахане, в результате которого, как сообщается, был поврежден объект, где хранилось сырье для программы обогащения урана.18 Затем, в августе 2012 года, взрывы вывели из строя линии электропередач, подающие электричество из города Кум на подземную обогатительную фабрику в Фордо. В новостных сообщениях указывалось, что один из взрывов произошел, когда силы безопасности обнаружили электронное устройство мониторинга, замаскированное под камень, и попытались сдвинуть его. Сообщается, что заминированное устройство было разработано для перехвата данных с компьютерных и телефонных линий на обогатительной фабрике.19 Обсуждая инцидент, иранский чиновник сообщил, что линии электропередач, питающие электростанцию в Натанзе, также были выведены из строя в ходе отдельного инцидента, хотя он не сказал, когда и не предложил дополнительных подробностей.20 Какими бы ни были достижения Stuxnet, их было недостаточно, чтобы позволить Западу расслабиться.
  
  По словам Генри Сокольски, исполнительного директора Образовательного центра политики нераспространения, ничто из этого не должно было никого удивлять. Каждый президент, начиная с Билла Клинтона, пытался провести тайные операции, чтобы сорвать ядерную программу Ирана, отметил он Новой Республике, и ни один из них не преуспел. “Буш сделал это, Обама делает это”, - сказал он. Но тайные действия никогда не заменяли разумной внешней политики. По его словам, это может быть только “сдерживающим действием”, а не решением.21
  
  Вопросы об истинной природе ядерных устремлений Ирана остались. Ближе к концу 2011 года в отчете МАГАТЭ, который АГЕНТСТВО назвало “самым ужасным докладом, когда-либо опубликованным” об Иране, говорилось, что Исламская Республика работает над созданием ядерного оружия с 2003 года, несмотря на более ранние утверждения американской разведки о том, что Иран отказался от своей программы создания оружия в том же году.22 Доклад МАГАТЭ был основан не на новой информации, а на более ранних документах, полученных агентством, в том числе от иранского крота, известного как “Дельфин”. Но хотя информация не была новой, готовность МАГАТЭ теперь утверждать, что документы были доказательством программы создания ядерного оружия, была.23 Премьер-министр Израиля Биньямин Нетаньяху вновь повторил свой призыв к военному удару по Ирану. Однако на этот раз иранцы приветствовали это. Министр иностранных дел Ирана Али Акбар Салехи вызывающе заявил, что Иран “готов к войне” с Израилем.24
  
  ЕСЛИ И есть что-то, что можно сказать в пользу Stuxnet, так это то, что цифровая атака, наряду с другими тайными операциями, действительно помогла предотвратить опрометчивое военное нападение на Иран. И, несмотря на сохраняющуюся напряженность и игру, никто не был готов пойти на этот шаг вслед за Stuxnet — факт, который в конечном итоге оставил дверь открытой для исторических переговоров с Ираном по его ядерной программе, которые начались в 2013 году. Первоначальные обсуждения привели к тому, что Иран согласился заморозить основные части своей ядерной программы, включая остановку установки новых центрифуг и ограничение количества производимого Ираном обогащенного урана, в обмен на некоторое ослабление санкций против него.25
  
  Но любые достижения Stuxnet также должны быть сопоставлены с негативными остаточными эффектами. В то время, когда Соединенные Штаты боролись с эпидемией кибершпионажных атак из Китая, нападение на Иран затруднило осуждение других стран за киберпреступления против Соединенных Штатов. Будучи стороной, применившей первое известное цифровое оружие, Соединенные Штаты больше не могли проповедовать воздержание другим.
  
  Одно из последних и более долговременных последствий Stuxnet также необходимо было сопоставить с его ограниченными и неопределенными преимуществами: выпуск вредоносной программы запустил гонку цифровых вооружений между большими и малыми странами, которая навсегда изменит ландшафт кибератак. Авторы Stuxnet наметили новую границу, за которой неизбежно последуют другие хакеры и нападающие на национальные государства; и когда они это сделают, целью саботажа в конечном итоге однажды станут Соединенные Штаты.
  
  
  
  1 Дэвид Олбрайт, Пол Браннан и Кристина Уолронд: “Вывезла ли Stuxnet 1000 центрифуг на обогатительной фабрике в Натанзе? Предварительная оценка”, Институт науки и международной безопасности, 22 декабря 2010 г., доступно по адресу isis-online.org/isis-reports/detail/did-stuxnet-take-out-1000-centrifuges-at-the-natanz-enrichment-plant.
  
  2 Уильям Броуд, Джон Маркофф и Дэвид Э. Сэнгер, “Израильское испытание червя, названное решающим в иранской ядерной задержке”, New York Times, 15 января 2011 года.
  
  3 Йоси Мелман, “Уходящий глава Моссада: Иран не будет обладать ядерным потенциалом до 2015 года”, Гаарец, 7 января 2011.
  
  4 Марк Ландлер, “США говорят, что санкции вредят ядерной программе Ирана”, New York Times, 10 января 2011.
  
  5 Иванка Барзашка, “Эффективно ли кибероружие?” Королевский объединенный институт исследований в области обороны и безопасности, 23 июля 2013 г., доступно по адресу tandfonline.com/doi/pdf/10.1080/03071847.2013.787735. Следует отметить, что Барзашка изучил только отчеты МАГАТЭ за 2009 год и не принял во внимание другие атаки Stuxnet в 2008 и 2010 годах.
  
  6 Дэвид Олбрайт и Кристина Уолронд, “Производительность центрифуги IR-1 в Натанзе”, Институт науки и международной безопасности, 18 октября 2011 г., доступно по адресу isis-online.org/isis-reports/detail/test1.
  
  7 Олли Дж. Хейнонен, “Иран наращивает обогащение урана”, блог о власти и политике, 20 июля 2011 г., опубликовано Центром Белфера при Гарвардской школе Кеннеди, 20 июля 2011 г., доступно по адресу powerandpolicy.com/2011/07/20/Iran-ramping-up-uranium-enrichment/#.UtM6Z7SYf8M.
  
  8 Барзашка, “Эффективно ли кибероружие?”
  
  9 Дэвид Олбрайт, Жаклин Шир и Пол Браннан, “Производство обогащенного урана стабильно: ожидается, что количество центрифуг резко возрастет; Проверка реактора Арак заблокирована”, Институт науки и международной безопасности, 19 ноября 2008 г., доступно по адресу isis-online.org/publications/iran/ISIS_analysis_Nov-IAEA-Report.pdf.
  
  10 Авторское интервью с Хейноненом, июнь 2011.
  
  11 Хейнонен покинул МАГАТЭ в октябре 2010 года, до того, как центрифуги были демонтированы, поэтому у него не было доступа к отчетам самих инспекторов, чтобы увидеть точные цифры, но он был уверен, что количество поврежденных центрифуг превысило 1000.
  
  12 В письме МАГАТЭ Ирану от июля 2010 года упоминался “ряд инцидентов”, связанных со сломанными пломбами на заводе. См. Совет управляющих МАГАТЭ, “Осуществление Соглашения о гарантиях в рамках ДНЯО и соответствующих положений резолюций Совета Безопасности в Исламской Республике Иран” (доклад, 6 сентября 2010 г.), 3; доступно по адресу iaea.org/Publications/Documents/Board/2010/gov2010-46.pdf. В докладе не уточняется, имеются ли в виду пломбы, установленные на стенах, или пломбы, установленные на газовых баллонах и другом оборудовании, но источник в МАГАТЭ сказал мне, что они имели в виду пломбы на стенах.
  
  13 Источник в МАГАТЭ сказал мне, что именно Иран предупредил инспекторов о сломанных печатях, а не инспекторы обнаружили их самостоятельно. МАГАТЭ исследовало сломанные печати и не обнаружило нарушений со стороны Ирана. Но расследование, по его словам, было сосредоточено только на том, мог ли Иран взломать печати, чтобы убрать ядерный материал из помещений вне поля зрения камер, а не на том, могли ли центрифуги быть тайно удалены из помещений. Когда инспекторы обнаружили, что весь уран был учтен, они пришли к выводу, что пломбы не были намеренно сломаны в незаконных целях, но они оставили неисследованной возможность того, что они были намеренно сломаны для удаления сломанных центрифуг.
  
  14 Авторское интервью с Олбрайт, февраль 2011.
  
  15 Ульрике Путц, “Моссад стоит за убийствами в Тегеране, говорит источник”, Spiegel Online, 2 августа 2011 года, доступно по адресу spiegel.de/international/world/sabotaging-iran-s-nuclear-program-mossad-behind-tehran-assassinations-says-source-a-777899.html. Смотрите также “Израиль, ответственный за убийство Ирана: отчет”, Лента новостей глобальной безопасности, 2 августа 2011 г., доступно по адресу nti.org/gsn/article/israel-responsible-for-iran-killing-report.
  
  16 После его смерти Рошану было присвоено звание “молодой ядерный мученик”, а городские улицы и площади были названы в его честь. Саид Камали Дехган и Джулиан Борджер, “Иранский химик-ядерщик, убитый мотоциклистами-убийцами”, Guardian, 11 января 2012 года. См. также Цви Барель, “Внутренняя напряженность в Иране нарастает, поскольку Запад борется со своей ядерной программой”, Гаарец, 8 апреля 2014. Дэвид Олбрайт заметил мне, что когда убивают ученого, участвующего в ядерной программе, цель состоит в том, чтобы устранить экспертные знания и нанести ущерб программе. Но убийство кого-либо, участвующего в закупках для программы, предназначено для отправки сообщения и отпугивания других от выполнения подобной роли.
  
  17 Дэвид Э. Сэнгер и Уильям Дж. Броуд, “Взрыв, сравнявший базу с землей, рассматривается как большая неудача для иранских ракет”, New York Times, 4 декабря 2011.
  
  18 Шира Френкель, “Второй взрыв”, направленный на прекращение планов Тегерана по созданию ядерного оружия", "Times" (Лондон), 30 ноября 2011 года. Иранские информационные агентства первоначально сообщили о взрыве, хотя позже сообщения были удалены с веб-сайтов, а официальные лица отказались от сделанных ими заявлений, подтверждающих факт взрыва. В феврале 2012 года в израильской рекламе шутили о взрыве. Реклама израильской кабельной телекомпании HOT позже была отключена. В нем участвовали участники израильского комедийного сериала Асфур, которые проникают в Иран в одежде мусульманских женщин — вероятно, это шутливая ссылка на то время, когда бывший палестинский лидер Ясир Арафат, как говорили, избежал захвата, переодевшись мусульманкой. Все трое прибывают в Исфахан, на место установки по переработке урана в Иране, где произошел таинственный взрыв. Когда комики идут по городу, за ними виден ядерный объект, один из них намазывает лицо солнцезащитным кремом. Когда его товарищи косо смотрят на него, он отвечает: “Что? Разве вы не знаете, сколько здесь радиации?” сбившиеся с толку путешественники затем сталкиваются со скучающим агентом Моссада, сидящим в кафе на открытом воздухе, который говорит им, что он был в городе два месяца, проводя наблюдение, и убивал время, просматривая эпизоды по запросу Асфур на Samsung Galaxy планшет, подарок, который он и его жена получили за подписку на HOT. “Ядерный реактор или не ядерный реактор, я не пропускаю Как”, - говорит он. Один из путешественников тянется к планшету и спрашивает: “Что это за приложение здесь?” Когда он нажимает что-то на экране, огненный шар взрывается позади них на ядерном объекте. Его товарищи смотрят на него в шоке, и он отвечает: “Что? Просто еще один загадочный взрыв в Иране ”.
  
  19 “Источники: Иран разоблачил шпионское устройство на ядерном заводе в Фордо”, Ynet (новостной онлайн-сайт израильской газеты Едиот Ахронот), 23 сентября 2012 г., доступно по адресу ynetnews.com/articles/0 ,7340,L-4284793,00.html.
  
  20 Фредрик Даль, “За взрывом линии электропередачи могут стоять террористы, внедренные в систему ядерного контроля ООН”, Reuters, 17 сентября 2012 г., доступно по адресу news.nationalpost.com/2012/09/17/terrorists-embedded-in-un-nuclear-watchdog-may-be-behind-power-line-explosion-iran. Иранский чиновник раскрыл оба инцидента на генеральной конференции МАГАТЭ в Вене, обвинив МАГАТЭ в сговоре. Он отметил, что на следующий день после взрыва, в результате которого были выведены из строя линии электропередач, питающие Фордо, инспектор МАГАТЭ попросил провести там необъявленную инспекцию. “Кто, кроме инспектора МАГАТЭ, может получить доступ к комплексу за такое короткое время, чтобы записывать сбои и сообщать о них?”, - спросил чиновник.
  
  21 Эли Лейк, “Операция саботаж”, Новая Республика, 14 июля 2010 года.
  
  22 Джордж Джан, “ООН сообщает о работе Ирана, ”специфичной" для ядерного оружия", Associated Press, 8 ноября 2011 г., доступно по адресу news.yahoo.com/un-reports-iran-specific-nuke-arms-184224261.html.
  
  23 Али Ваез, “Еще не поздно мирным путем уберечь Иран от бомбы”, The Atlantic, 11 ноября 2011 года.
  
  24 “Иран заявляет о единстве и ”готовности к войне" с Израилем", Гаарец, 3 ноября 2011 года.
  
  25 Энн Гирен и Джоби Уоррик, “Иран и мировые державы достигли исторической ядерной сделки”, Washington Post, 23 ноября 2013 г., доступно по адресу washingtonpost.com/world/national-security/kerry-in-geneva-raising-hopes-for-historic-nuclear-deal-with-iran/2013/11/23/53e7bfe6-5430-11e3-9fe0-fd2ca728e67c_story.html.
  
  OceanofPDF.com
  
  ГЛАВА 19
  ЦИФРОВАЯ ПАНДОРА
  
  30 мая 2009 года, всего за несколько дней до того, как новая версия Stuxnet была запущена на компьютерах в Иране, президент Барак Обама выступил перед пресс-службой Белого дома в Восточном зале, чтобы обратиться к серьезному состоянию кибербезопасности в Соединенных Штатах. “Мы встречаемся сегодня в момент трансформации, - сказал он, - момент в истории, когда наш взаимосвязанный мир представляет нам одновременно большие перспективы, но и большую опасность”.
  
  Так же, как мы не смогли в прошлом инвестировать в физическую инфраструктуру наших дорог, мостов и железных дорог, мы не смогли инвестировать в безопасность нашей цифровой инфраструктуры, сказал Обама. Кибернетические злоумышленники, предупредил он, уже проникли в нашу электрическую сеть, а в других странах погрузили во тьму целые города. “Этот статус-кво больше не приемлем, - сказал он, - не тогда, когда так много поставлено на карту”.1
  
  Насколько ироничными оказались его слова год спустя, когда было обнаружено, что Stuxnet распространяется в дикой природе, и общественность узнала, что Соединенные Штаты не только нарушили суверенное пространство другой страны в результате агрессивной кибератаки, но и в отместку спровоцировали аналогичные атаки на уязвимые американские системы.
  
  В то время как Обама и другие официальные лица били тревогу о противниках, скрывающихся в системах США, и закладывали основу для будущих атак на энергосистему, американские военные и разведывательные агентства проникали в иностранные системы в Иране и в других местах, накапливая запасы цифрового оружия и открывая новую эру войны, и все это без публичного обсуждения правил ведения боевых действий при проведении таких атак или последствий этого. Возможно, именно знание того, что Соединенные Штаты делают в Иране и в других местах, побудило президента срочно предупредить о рисках для систем США.
  
  Майкл В. Хейден, который был директором ЦРУ в то время, когда Stuxnet был разработан и запущен, сказал репортеру после того, как цифровое оружие было раскрыто, что “кто-то перешел рубикон”, выпустив его.2 Этим кем-то, как оказалось, были Соединенные Штаты. И, как уже отмечалось, там, где лидировали Соединенные Штаты, за ними последуют другие.
  
  Сегодня страны по всему миру стремятся расширить существующие кибернетические возможности или создать новые. Более десятка стран, включая Китай, Россию, Великобританию, Израиль, Францию, Германию и Северную Корею, имеют программы цифровой войны или объявили о планах их создания. Китай начал развивать свои наступательные операции в конце 90-х, в то же время Соединенные Штаты предприняли свои первые набеги на эту новую область боевых действий. Даже Иран разрабатывает программу кибервойны. В 2012 году аятолла Али Хаменеи объявил о создании оборонительной и наступательной киберпрограммы и сказал группе студентов университета, что они должны подготовиться к наступающей эпохе кибервойны с врагами Ирана.3
  
  Что касается Соединенных Штатов, киберкомандование Министерства обороны в настоящее время имеет годовой бюджет более 3 миллиардов долларов и планирует увеличить свою рабочую силу в пять раз, с 900 человек до 4900, что касается как оборонительных, так и наступательных операций.4 Агентство перспективных исследовательских проектов в области обороны, или DARPA, также запустило исследовательский проект стоимостью 110 миллионов долларов под названием Plan X для разработки технологий кибервойны, которые помогут Пентагону доминировать на цифровом поле боя. Список технологических пожеланий включает в себя постоянно обновляемую картографическую систему для отслеживания каждой системы и узла в киберпространстве, чтобы составить график потока данных, определить цели для атаки и определить входящие атаки. Пентагону также нужна система, способная наносить удары со скоростью света и контрудары по заранее запрограммированным сценариям, чтобы не требовалось вмешательство человека.5
  
  Однако из всех стран, у которых есть программа кибервойны, Соединенные Штаты и Израиль являются единственными, о которых известно, что они применили разрушительное кибероружие против другого суверенного государства — государства, с которым оно не воевало. При этом он потерял моральную основу, с которой можно критиковать другие страны за то же самое, и создал опасный прецедент для узаконивания использования цифровых атак для достижения политических целей или целей национальной безопасности.
  
  “Это была хорошая идея”, - сказал Хейден 60 минутам о Stuxnet. “Но я также признаю, что это тоже была отличная идея. Остальной мир смотрит на это и говорит: ‘Очевидно, кто-то узаконил этот вид деятельности как приемлемый ”.6
  
  Цифровые атаки теперь могут рассматриваться другими государствами как жизнеспособный вариант разрешения споров.
  
  Генерал Гражданской войны Роберт Э. Ли, как известно, сказал, что хорошо, что война такая ужасная, “иначе мы бы слишком полюбили ее”.7 Ужасы и издержки войны побуждают страны выбирать дипломатию, а не битву, но когда кибератаки устраняют многие из этих затрат и последствий, а виновники могут оставаться анонимными, становится гораздо заманчивее начать цифровую атаку, чем участвовать в раундах дипломатии, которые могут никогда не привести к результатам.
  
  Но цифровое оружие не просто положило начало новой эре войн, оно изменило ландшафт для всех кибератак, открыв дверь для нового поколения нападений со стороны государственных и негосударственных субъектов, которые потенциально могут нанести физический ущерб и даже привести к гибели людей способами, которые никогда ранее не демонстрировались. “Я предсказываю, что все мы будем испытывать ностальгию по дням массовых почтовых рассылок в поисках славы и сетевых червей”, - написал Кевин Хейли из Symantec о будущем после Stuxnet.8 LoveLetter, червь Conficker и даже банковский троян Zeus станут причудливыми напоминаниями о днях, когда атаки были проще и, по сравнению, более невинными.
  
  Stuxnet был замечательным достижением, учитывая его сложность и целенаправленность. Но это было также удивительно безрассудно. Потому что, подобно атомным бомбам, взорванным над Хиросимой и Нагасаки, это привело к использованию мощной технологии, последствия которой будут иметь последствия в последующие годы. Кеннет Бенедикт, исполнительный директор Бюллетеня ученых-атомщиков, отметила несколько параллелей между Stuxnet и первыми атомными бомбами в статье, которую она написала для этого издания об отсутствии предвидения, которое привело к разработке и внедрению обеих технологий. В обоих случаях правительственные и научные лидеры спешили разработать оружие для Соединенных Штатов из страха, что противники создадут и пустят его в ход первыми. Долгосрочные последствия сброса атомных бомб были также плохо поняты в 1940-х годах, как и последствия применения цифрового оружия сегодня — не только в отношении ущерба, который они нанесут, но и в отношении глобальной гонки вооружений, которую они создадут. “Мы узнали, как ядерное оружие может уничтожить общества и человеческую цивилизацию”, - написал Бенедикт. “Мы еще не начали понимать, как кибервойна может разрушить наш образ жизни”.
  
  И в другой параллели с атомными бомбами, несмотря на тревожные сигналы об их использовании, Соединенные Штаты продолжали разрабатывать сначала атомное оружие, а теперь цифровое, без публичного обсуждения того, как оно должно использоваться или его влияние на глобальную безопасность и мир.9 Какая ирония, отметил Бенедикт, “что первое признанное военное применение кибервойны якобы направлено на предотвращение распространения ядерного оружия. Начнется новая эра массового уничтожения в попытке закрыть главу из первой эры массового уничтожения ”.
  
  Несмотря на параллели, есть по крайней мере одно решающее различие между атомными бомбами 1940-х годов и Stuxnet. Планка была высока для того, чтобы кто—то мог создать или получить ядерное оружие - или любую обычную ракету и бомбу, если уж на то пошло. Но кибероружие можно легко приобрести на подпольных рынках или, в зависимости от сложности целевой системы, создать на заказ с нуля опытным программистом-подростком. Задача упрощается тем фактом, что в каждое кибероружие встроены чертежи его дизайна. Когда вы запускаете кибероружие, вы не просто отправляете оружие своим врагам, вы отправляете интеллектуальную собственность, которая его создала, и возможность использовать оружие против вас.10 Это было бы сравнимо со сценарием, в котором, если бы в 1945 году на Хиросиму и Нагасаки обрушились не только радиоактивные осадки от бомб, но и все научные уравнения и схемы для их построения.
  
  Страны, конечно, которые больше всего подвержены риску разрушительной цифровой атаки, - это страны с наибольшей связью. Маркус Ранум, один из первых новаторов компьютерного брандмауэра, назвал Stuxnet “камнем, брошенным людьми, которые живут в стеклянном доме”.11
  
  Stuxnet стал доказательством того, что цифровая атака, состоящая всего лишь из двоичных команд, может привести к примерно тем же разрушительным результатам, что и обычная бомба. Но это также показало, что даже такая могущественная нация, как Соединенные Штаты, с непревзойденной воздушной и морской обороной, может быть уязвима для аналогичного нападения со стороны противников, которым никогда не приходилось выходить за пределы своих границ, чтобы начать атаку. Как сказал Майк Макконнелл, бывший директор национальной разведки, комитету Сената США в 2011 году: “Если бы нация начала войну сегодня, в кибервойне, мы бы проиграли. Мы самые уязвимые. Мы самые подключенные. Нам есть что терять”.12
  
  Цели, которым больше всего угрожает цифровая атака в Соединенных Штатах, — это не только военные системы, но и гражданские - транспортные, коммуникационные и финансовые сети; пищевые и химические заводы; газопроводы, системы водоснабжения и электроснабжения; даже заводы по обогащению урана.13 “Сейчас мы живем в мире, где промышленные системы управления могут быть атакованы в случае кризиса”, - сказал Стюарт Бейкер, бывший помощник секретаря DHS. “У нас нет серьезного плана защиты наших систем промышленного контроля, хотя все наше гражданское общество зависит от этого”.14
  
  Критическая инфраструктура всегда была потенциальной целью во время войны. Но гражданская инфраструктура в Соединенных Штатах долгое время пользовалась особой защитой из-за географической удаленности страны от противников и полей сражений. Однако это преимущество теряется, когда полем битвы становится киберпространство. В мире сетевых компьютеров каждая система потенциально является передовой. “Нет ‘защищенных зон’ или ‘тыловых районов’; все они одинаково уязвимы”, - сказал генерал. Кевин Чилтон, командующий стратегическим командованием США, заявил Конгрессу.15
  
  Законы войны запрещают прямые нападения на больницы и другую гражданскую инфраструктуру, если только это не считается необходимостью войны, а военачальники подвергаются обвинениям в совершении военных преступлений, если они нарушают это. Но защита, предусмотренная законом, рушится, когда авторство становится размытым. Поскольку взлом кибернетической армии в Тегеране или Пекине может быть легко спроектирован так, чтобы выглядеть как взлом из Огайо, будет трудно отличить атаку на национальное государство, предпринятую Ираном, от атаки, предпринятой группой хакеров, просто стремящихся к хаосу или гражданскому протесту. Stuxnet был сложным и имел все признаки атаки на национальное государство, но не каждая атака была бы настолько заметной.16
  
  Некоторые утверждают, что атаки со стороны национальных государств будет легко обнаружить, потому что они будут происходить в разгар существующей напряженности между нациями, что сделает личность агрессора очевидной — например, серия атак типа "отказ в обслуживании", которые отключили правительственные веб-сайты в Грузии в 2008 году в преддверии российского вторжения в Южную Осетию. Но даже тогда третьей стороне было бы легко воспользоваться существующей напряженностью между двумя странами и начать анонимную атаку на одну, которая, казалось, исходила от другой, чтобы разжечь взрывоопасную ситуацию.17
  
  В ноябре 2013 года Израиль провел имитационные учения в Тель-Авивском университете, которые продемонстрировали трудности идентификации злоумышленника, особенно когда третьи стороны вступают в конфликт с намерением эскалации военных действий между другими. Используя то, что было описано как экстремальные, но реалистичные сценарии, военная игра натравила Иран и поддерживаемую Ираном "Хезболлу" в Ливане и Сирии на Израиль и началась с серии имитированных физических столкновений с Израилем, которые переросли в кибератаки, угрожавшие втянуть Соединенные Штаты и Россию в конфликт для защиты своих союзников.
  
  Моделирование началось со взрыва на морской буровой платформе, когда ракеты перелетели границу из Ливана на север Израиля и прогремели в Тель-Авиве, а затем последовали сбои в работе сети, которые парализовали работу больницы в Израиле. Кибератаки были прослежены до иранского сервера, но Иран отрицал ответственность, настаивая на том, что израильтяне пытались возложить вину на это, чтобы заручиться поддержкой Запада для нанесения удара по Тегерану. Затем сетевые атаки распространились на Соединенные Штаты, вынудив прекратить торговлю на Уолл-стрит и отключив управление воздушным движением в аэропорту Кеннеди. Белый дом объявил чрезвычайное положение после того, как два самолета совершили аварийную посадку и погибли 700 человек. На этот раз атаки были прослежены сначала до сервера в Калифорнии, но затем, что вызывает недоумение, до Израиля.
  
  Когда игра закончилась, Израиль готовился начать физические атаки против "Хезболлы" в Сирии и Ливане — из-за кибератак, приписываемых им и Ирану, — и напряженность в отношениях между Соединенными Штатами и Израилем достигла опасной точки из-за вопросов о том, кто несет ответственность за кибератаки против Соединенных Штатов.18 “Если бы мы вовремя не остановились, весь регион мог быть охвачен пламенем”, - сказал Хаим Асса, эксперт по теории игр, который разработал упражнение.
  
  Симуляция была поучительной для участников на нескольких уровнях. Соединенные Штаты “осознали, насколько сложно, если не невозможно, установить источник атаки”, генерал армии США в отставке. Уэсли Кларк, участвовавший в учениях, сказал. И израильский чиновник отметил, “как быстро локальные киберсобытия могут стать опасно динамичными, когда лидеры плохо подготовлены к действиям в киберпространстве.” С этой целью они узнали, что лучшая защита в цифровой сфере - это не хорошее нападение, а хорошая защита, потому что без должным образом защищенной критической инфраструктуры у лидеров было мало места для маневра при принятии решений, когда произошла атака. Когда поражались гражданские системы и гибли граждане, лидеры оказывались под давлением, вынуждая принимать быстрые решения, часто основанные на ошибочных и неполных выводах.19
  
  ЛЕГКО понять, почему военные и правительства используют кибероружие. Помимо обеспечения анонимности и предполагаемого снижения сопутствующего ущерба, кибероружие быстрее ракет, с возможностью прибыть к месту назначения за считанные секунды, и его можно настроить на лету для борьбы с контрзащитой. Если уязвимость нулевого дня будет исправлена, злоумышленники могут воспользоваться запасом альтернативных эксплойтов — как это сделали разработчики Stuxnet — или изменить и перекомпилировать код, чтобы изменить его сигнатуры и помешать обнаружению.
  
  “Кибернетика, по моему скромному мнению, скоро станет крупнейшей революцией в военном деле, больше, чем порох и использование авиации в прошлом веке”, - израильский генерал-майор. Сказал Авив Кохави.20
  
  Но кибероружие имеет ограниченное применение. При тщательной настройке, позволяющей избежать сопутствующего ущерба, как это было с Stuxnet, каждое из них может быть развернуто только против небольшого набора целей без повторного проектирования. И в отличие от бомбы, разрушающей бункеры, или ракеты-невидимки, кибероружие может мгновенно устареть, если изменится конфигурация целевой системы или сети. “Я не знаю ни о каких других системах вооружения в истории войн, которые могут быть отключены их целями одним нажатием кнопки мыши”, - отмечает Маркус Ранум.21 И каждый раз, когда кибероружие подвергается воздействию, сжигается не только это оружие, но и любое другое оружие, использующее те же новые методы, которые оно использовало. “На данный момент мы можем быть уверены, что любой, кто строит каскад газовых центрифуг, будет немного более осторожен в отношении своего программного обеспечения, чем обычно”, - сказал Томас Рид, специалист по военным исследованиям в Королевском колледже Лондона.22
  
  Но еще одна проблема с цифровым оружием заключается в том, что им может быть трудно управлять. Хорошее кибероружие должно действовать предсказуемым образом, чтобы оно оказывало контролируемое воздействие и давало ожидаемые результаты каждый раз, когда оно используется, нанося минимальный сопутствующий ущерб или вообще не нанося его. Ему нужен точный дизайн, чтобы оно срабатывало только по команде или автоматически, как только находит свою цель; и оно должно быть отзываемым или иметь механизм самоуничтожения в случае изменения условий и необходимости прерывания миссии. Энди Пеннингтон, бывший офицер системы вооружений ВВС, упомянутый в предыдущей главе, сравнивает неконтролируемое кибероружие с биологическим агентом, вышедшим из-под контроля. “Если у вас нет положительного контроля над оружием … у вас нет оружия, у вас есть свободная пушка. Мы создали соглашения и заявили, что не собираемся использовать биологическое и химическое оружие, потому что у нас нет точного целеуказания, у нас нет контроля доступа, оно не подлежит отзыву и не способно к самоуничтожению ”.23
  
  В Stuxnet были встроены некоторые элементы управления, но отсутствовали другие. Это было целенаправленное высокоточное оружие, которое использовало свою полезную нагрузку только на конкретные системы, для атаки на которые оно было разработано. И у него был механизм замедления, так что он инициировал саботаж только тогда, когда были выполнены определенные условия на целевых машинах. Но после запуска Stuxnet нельзя было отозвать, и у него не было механизма самоуничтожения — у него была только дата уничтожения инфекции, которая предотвращала ее распространение после определенной даты через три года в будущем. И хотя самые ранние версии Stuxnet имели ограниченные возможности распространения , версия, выпущенная в марте 2010 года, была явно “неуправляемой пушкой”, хотя и обезвреженной, поскольку, хотя она бесконтрольно распространялась на тысячи машин, которые не были ее целью, она не саботировала их.
  
  Будет ли другое цифровое оружие таким же хорошо спроектированным или таким же удачливым? Сопутствующий ущерб в киберпространстве имеет больший охват, чем в физической сфере. Бомба, сброшенная на цель, может нанести сопутствующий ущерб, но он будет локальным. Компьютерные сети, однако, представляют собой сложные лабиринты взаимосвязей, и путь и воздействие кибероружия после его запуска не всегда предсказуемы. “У нас пока нет возможности оценить сопутствующий ущерб от всех кибератак”, - отметил Джим Льюис из Центра стратегических и международных исследований. “При атаках, которые выводят из строя сети, может быть непредсказуемый ущерб не только для цели, но и для некомбатантов, нейтральных лиц или даже злоумышленника, в зависимости от взаимосвязей целевой сети или машины. Это делает политический риск непреднамеренных последствий непредсказуемым (например, атака на сербскую сеть наносит ущерб коммерческой деятельности союзников по НАТО) и влечет за собой риск эскалации конфликта (атака на Северную Корею наносит ущерб услугам в Китае)”.24
  
  НЕСМОТРЯ на ОЧЕВИДНОЕ продвижение к цифровой войне, инициированное Stuxnet, справедливо спросить, какова вероятность того, что когда-либо произойдет катастрофическое цифровое событие. Министр обороны Леон Панетта заявил, что Соединенные Штаты переживают “момент, предшествующий 11 сентября”, когда противники замышляют и готовятся к подходящей возможности для проведения разрушительных кибератак на свои системы. Но Томас Рид назвал кибервойну “скорее шумихой, чем опасностью” — “блестящей новинкой”, которая привлекла внимание военных, как сверкающий новый поезд, открытый рождественским утром. На самом деле, по его мнению, это окажет гораздо меньшее влияние, чем люди себе представляют.25 Любое будущее использование цифрового оружия, скорее всего, будет дополнением к обычному бою, а не его заменой. Критики цифровых предсказателей конца света также указывают на тот факт, что на сегодняшний день не произошло ни одной катастрофической атаки, как на свидетельство того, что предупреждения раздуты.
  
  Но другие утверждают, что до 11 сентября пассажирские самолеты также не врезались в небоскребы. “Я думаю ... говорить, что это невозможно, маловероятно, на самом деле слишком рано. В ближайшие пару лет может произойти все, что угодно”, - говорит Джейсон Хили, глава Инициативы по управлению кибербезопасностью в Атлантическом совете в Вашингтоне, округ Колумбия, который был первоначальным членом первой военной целевой группы по кибербезопасности. “По мере того, как все больше систем подключается к Интернету, а кибератаки прогрессируют от простого разрушения единиц и нулей до разрушения объектов, сделанных из бетона и стали, все изменится, и дни, когда никто не погиб от кибератаки или последствий кибератаки, пройдут”.26
  
  Некоторые считают, что угроза преувеличена, потому что большинство действующих лиц, способных осуществить атаку, были бы разубеждены риском контрудара. Фактически, некоторые задавались вопросом после того, как Stuxnet был обнаружен, был ли он намеренно сожжен Израилем или Соединенными Штатами, чтобы отправить сообщение Ирану и другим странам о возможностях цифровых атак этих двух стран. Тот факт, что он так долго оставался незамеченным и был обнаружен только малоизвестной антивирусной фирмой в Беларуси, заставил некоторых поверить, что Stuxnet не столько был обнаружен, сколько раскрыт. Gen. Джеймс Картрайт, бывший заместитель председателя Объединенного комитета начальников штабов — человек, который, как говорят, сыграл большую роль в проведении Олимпийских игр в Соединенных Штатах, — на самом деле был сторонником заявлений о кибернетических возможностях США на службе сдерживания.
  
  “Чтобы кибернетическое сдерживание сработало, “ сказал Картрайт в 2012 году, - вы должны верить в несколько вещей: первое, что у нас есть намерение; второе, что у нас есть возможности; и третье, что мы практикуем — и люди знают, что мы практикуем”.27 С тех пор Министерство юстиции провело расследование в отношении Картрайта по подозрению в утечке секретной информации о Stuxnet в New York Times, хотя на момент написания этой статьи ему не было предъявлено никаких обвинений в совершении каких-либо правонарушений, и он отрицал обвинения.
  
  Но в то время как сдерживание такого рода может сработать для некоторых стран — до тех пор, пока они считают, что нападение может быть приписано им, — иррациональных субъектов, таких как государства-изгои и террористические группы, не останавливают те же вещи, которые сдерживают других. “В тот день, когда террористическая группа получит возможности для кибератак, они их используют”, - заявил Джим Льюис Конгрессу в 2012 году.28
  
  Льюис ожидает, что в будущем между Соединенными Штатами и Россией или Китаем могут возникнуть ограниченные цифровые конфликты, которые нарушат работу систем военного командования и контроля, но эти страны, скорее всего, не будут атаковать критически важную инфраструктуру “из-за риска эскалации”. Но как только такие страны, как Иран и Северная Корея, приобретут возможности для кибератак, удар по гражданским объектам в Соединенных Штатах станет более вероятным. По мере того, как силы США будут наносить удары по целям в своих странах, они будут чувствовать “мало или [вообще] ограничений против нападения на цели в наших”, - писал он в статье 2010 года.29 И угрозы возмездия, сделанные Соединенными Штатами для сдерживания таких атак, окажут незначительное влияние на такие группы, поскольку “их расчет при принятии решения о нападении основан на различном восприятии рисков и вознаграждений”, - отметил он. Аналогичным образом, по мере того, как небольшие страны и негосударственные повстанцы приобретают цифровые средства для нанесения ударов по удаленным целям, “сбои в политических целях и даже кибератаки, направленные на нанесение ущерба или уничтожение, могут стать обычным делом”, - говорит он. У талибов в Афганистане или Аль-Шабааб в Сомали мало шансов нанести обычный ответный удар нанесите удар по территории США, но когда они в конечном итоге приобретут или наймут способность наносить эффективные кибератаки, это изменится. “Эти удары будут привлекательны для них, поскольку это создает возможность перенести войну на родину США”, - отмечает Льюис. Хотя они, возможно, не смогут проводить массированные атаки, ”атаки с целью преследования", направленные на конкретные цели, такие как Вашингтон, округ Колумбия, по словам Льюиса, безусловно, будут в пределах их возможностей, и в зависимости от серьезности атаки или ее каскадных эффектов, основные системы и услуги могут быть потеряны на длительные периоды времени.
  
  Поскольку кибероружие находится в руках других, Соединенным Штатам также может потребоваться пересчитать риск ответного удара при планировании обычных атак, отмечает Льюис. В 2003 году американские войска, вторгшиеся в Ирак, встретили небольшое сопротивление, но что, если Ирак обладал кибероружием, которое он запустил в отместку? “Это не изменило бы исход вторжения, но обеспечило бы определенную степень мести [за Ирак]”, - говорит он.30
  
  Если существуют разногласия по поводу вероятности цифровых атак на критически важную инфраструктуру, существуют также разногласия по поводу уровня ущерба, который могут нанести такие атаки. Леон Панетта и другие предупредили о цифровых атаках в Перл-Харборе и кибер 9/11, которые вселят страх по всей стране. Но другие отмечают, что вид цифрового уничтожения, предусмотренный предсказателями конца света, не так прост, как кажется. Проведение подрывной атаки, которая имеет долгосрочные последствия, “является значительно более сложным мероприятием, чем влететь самолетом в здание или взорвать грузовик, набитый взрывчаткой на людной улице”, - отмечает У. Эрл Боберт, бывший эксперт по кибербезопасности в Sandia National Laboratories, чья работа частично заключалась в исследовании таких сценариев. Сети и системы могут быть выведены из строя, но их также можно относительно быстро восстановить. “Требуется значительное планирование, чтобы повысить вероятность успеха до такой степени, чтобы можно было принять рациональное решение о дальнейших действиях”, - пишет он.31 Хотя можно утверждать, что атаки 11 сентября потребовали по меньшей мере такого же планирования и координации, как и разрушительная кибератака, хорошо спланированная цифровая атака — даже физически разрушительная — скорее всего, никогда не сравнится с визуальным воздействием или пугающим эмоциональным эффектом, который имели реактивные самолеты, летящие в башни-близнецы.
  
  НЕСМОТРЯ НА РИСКИ и последствия использования цифрового оружия, почти не было общественного обсуждения вопросов, поднятых наступательными операциями правительства. Критики отметили, что администрация Обамы более открыто обсуждала убийство Усамы бен Ладена, чем наступательную киберстратегию и операции страны. Когда во время слушаний по утверждению генерала были подняты вопросы о правилах применения цифровых атак. Кит Александер, назначенный главой киберкомандования США в 2010 году, Александр отказался выступать перед ними публично и сказал, что ответит только на закрытом заседании.32 И хотя в открытом доступе имеется множество доктринальных руководств, которые охватывают обычную войну, то же самое не относится к цифровой войне. Даже те, кто построил свою карьеру на секретности, заметили чрезвычайную секретность вокруг этого вопроса. “Это может показаться неожиданным, учитывая мой опыт работы в АНБ и ЦРУ и так далее, но я думаю, что эта информация ужасно засекречена”, - бывший директор ЦРУ и АНБ генерал Дж. Майкл Хейден сказал. “Корни американской кибервласти лежат в американском разведывательном сообществе, и мы, честно говоря, довольно привыкли работать в засекреченном мире . Я боюсь, что эта культура переросла в то, как мы относимся ко всем киберпространственным вопросам ”.33
  
  Без большей прозрачности, без готовности участвовать в дебатах о наступательных операциях у сторон, которые не имеют прямой заинтересованности в продолжении операций, мало возможностей оценить их успех, неудачу и риски.
  
  “Stuxnet выпустил джинна из лампы с точки зрения того, как вы могли бы проводить такого рода атаки. Теперь вы можете нацеливаться на все виды других устройств ”, - говорит один бывший государственный служащий. “Где это заканчивается? Не похоже, что есть какой-либо надзор за этими программами. К сожалению, ученые не отводят вожжи. Они рады, что кто-то дает им деньги на проведение этого исследования. Не думаю, что я когда-либо видел, чтобы кто-то задавался вопросом о том, что делается. Я не думаю, что об этом было много внимания ”.
  
  Не было никаких публичных дискуссий о последствиях гонки цифровых вооружений, начатой Stuxnet, или о последствиях выпуска оружия, которое может быть непредсказуемым и может быть обращено против Соединенных Штатов.
  
  В докладе Конгрессу в 2011 году разведывательное сообщество отметило, что защитники компьютерных сетей в Соединенных Штатах постоянно превосходят злоумышленников по вооружению и не могут идти в ногу с меняющейся тактикой, которую они применяют. Эксплойты и методы эксплуатации развиваются слишком быстро, чтобы методы обнаружения и контрмеры успевали за ними, проблема, которая будет только усугубляться по мере того, как страны разрабатывают и внедряют все более изощренные методы атаки. До сих пор эволюция компьютерных атак определялась инновациями в криминальном подполье, но это изменится, поскольку атаки на национальные государства, такие как Stuxnet и Flame, начнут стимулировать будущие достижения. Вместо правительственных хакеров, изучающих новые методы из подполья, подполье будет учиться у правительств. И по мере разработки контрмер для цифрового оружия будет расти потребность в производстве еще более совершенного оружия, что приведет к дальнейшим инновациям в вооружении. Один американский чиновник назвал Stuxnet оружием первого поколения, наравне с “первоначальными лампочками Эдисона или Apple II”, предполагая, что его уже заменили более сложные конструкции.34
  
  Преступное подполье получит выгоду от богатства финансируемых правительством исследований и разработок, направленных на цифровое оружие и шпионские инструменты, как они уже сделали с помощью Stuxnet и арсенала инструментов, используемых совместно с ним. Например, после того, как в 2011 году был обнаружен Duqu, эксплойты, атакующие ту же уязвимость для рендеринга шрифтов, которую он атаковал, появились в различных готовых наборах инструментов, продаваемых в криминальном подполье. В течение года после того, как Duqu использовал его, это была наиболее часто используемая уязвимость, которую преступники использовали для тайной установки банковских троянов и других вредоносных программ на компьютеры.35 Но даже когда негосударственные хакеры не могут воспроизвести сложную правительственную атаку по крупицам, они все равно могут учиться и извлекать из нее выгоду, как показало открытие Microsoft, что преступным хакерам потребовалось бы всего три дня, чтобы осуществить дешевую версию взлома Windows Update, которую совершил Flame.
  
  Брэд Аркин, старший директор по безопасности продуктов и конфиденциальности Adobe, сказал, что главная проблема безопасности его компании в наши дни - это не хакер-преступник, а хакер высокого уровня, спонсируемый государством, который обладает богатством и чемоданом, полным эксплойтов нулевого дня для атаки на программное обеспечение Adobe. “За последние восемнадцать месяцев единственные [дыры нулевого дня], обнаруженные в нашем программном обеспечении, были обнаружены ... противниками авианосного класса”, - сказал он на конференции в 2011 году. “Это группы, у которых достаточно денег, чтобы построить авианосец. Это наши противники ”.36 Эксплойты, используемые против продуктов Adobe, “очень, очень дороги и сложны в создании”, - сказал Аркин, и как только они разрабатываются и используются хакерами национальных государств, они попадают в инструменты для совершения преступлений.
  
  Главный кибервойна страны, генерал АНБ Александер, признал эту тенденцию перед комитетом Сената в 2013 году. “Мы считаем, что это только вопрос времени, когда сложные инструменты, разработанные хорошо финансируемыми государственными структурами, попадут в руки групп или даже отдельных лиц, которые в своем рвении сделать какое-либо политическое заявление не знают или не заботятся о сопутствующем ущербе, который они наносят прохожим и критически важной инфраструктуре”, - сказал он.37 Александр имел в виду хорошо финансируемые инструменты, которые такие страны, как Китай, создают для нападения на Соединенные Штаты, но никто в комитете не спросил его о вкладе, который его собственное агентство вносит в пул инструментов и методов, которые будут использоваться преступными хакерами и хактивистами. Они также не спрашивали об этике и последствиях накопления эксплойтов нулевого дня и сокрытия информации об уязвимостях безопасности от владельцев систем США, чтобы правительство могло использовать их для атаки на системы противников.
  
  Майкл Хейден отмечает, что всегда существовали стратегические компромиссы между наращиванием наступательных возможностей и укреплением обороны. Одна из ключевых концепций, которую правительство традиционно использовало при поиске компромиссов в кинетической сфере, что также относится к киберпространству, — это нечто, известное как NOBUS, или Никто, кроме нас.
  
  “Никто, кроме нас, не знает этого, никто, кроме нас, не может использовать это”, - сказал он мне. “Насколько уникальны наши знания об этом или наша способность использовать это по сравнению с другими?… Да, это слабость, но если вам нужно владеть половиной акра Cray [суперкомпьютеров], чтобы использовать его ....” Если бы это был NOBUS, сказал он, чиновники могли бы “пустить все на самотек” и воспользоваться уязвимостью на некоторое время, в то же время прекрасно понимая, “что чем дольше это будет продолжаться, тем больше других людей смогут ее использовать”.38
  
  Но, учитывая состояние компьютерной безопасности сегодня и количество ударов, которые Соединенные Штаты получают от кибератак, Хейден сказал, что он готов признать, что, возможно, пришло время пересмотреть этот процесс.
  
  “Если привычки агентства, которые были созданы в доцифровую, аналоговую эпоху ... являются привычками агентства, [которое] в культурном отношении слишком склонно к нападению в мире, в котором все сейчас уязвимы”, - сказал он, тогда правительство, возможно, захочет пересмотреть.
  
  В отчете, опубликованном советом по реформе надзора, созванным Белым домом после утечек Эдварда Сноудена, члены совета специально рассмотрели этот вопрос и рекомендовали Совету национальной безопасности установить процесс пересмотра использования правительством нулевых дней. “Политика США, как правило, должна быть направлена на то, чтобы обеспечить быструю блокировку нулевых дней, чтобы основные уязвимости были исправлены в правительственных и других сетях США”, - написал наблюдательный совет, отметив, что только “в редких случаях политика США может на короткое время разрешить использование нулевого дня для высокоприоритетного сбора разведданных после высокопоставленной межведомственной проверки с участием всех соответствующих департаментов”.39 Почти во всех случаях, писали они, “в национальных интересах устранять уязвимости программного обеспечения, а не использовать их для сбора разведданных США”. Группа также рекомендовала, чтобы кибероперации, проводимые Киберкомандованием США и АНБ, были рассмотрены Конгрессом таким же образом, как рассматриваются тайные операции ЦРУ, чтобы обеспечить большую подотчетность и надзор.
  
  Ричард Кларк, бывший царь кибербезопасности при администрации Буша и член группы, позже объяснил причину освещения использования нулевых дней в своем отчете. “Если правительство США обнаружит уязвимость нулевого дня, его первая обязанность - сообщить американскому народу, чтобы они могли ее исправить, а не убегать [и использовать ее] для взлома телефонной системы Пекина”, - сказал он на конференции по безопасности. “Первая обязанность правительства - защищать”.40
  
  В речи, посвященной отчету наблюдательного совета, президент Обама проигнорировал обе рекомендации комиссии по проведению нулевых дней и проведению надзора. Но во время слушаний по утверждению вице - адмирала . Майкл Роджерс в марте 2014 года, чтобы заменить уходящего в отставку генерала Александера на посту главы АНБ и киберкомандования США, Роджерс сообщил комитету Сената, что у шпионского агентства уже есть отработанный процесс работы с уязвимостями нулевого дня, обнаруженными в коммерческих продуктах и системах, и он работает с Белым домом над разработкой нового межведомственного процесса для борьбы с этими уязвимостями. Он сказал, что политика АНБ заключается в полном документировании каждой уязвимости, определении вариантов ее устранения и подготовке предложения о том, как ее раскрыть.41 По его словам, в условиях нулевых дней важно, чтобы “баланс был смещен в сторону смягчения любых серьезных рисков, связанных с сетями США и союзников”. И в тех случаях, когда АНБ предпочитает использовать нулевой день, а не раскрывать его, он сказал, что агентство пытается найти другие способы снижения рисков для систем США, работая с DHS и другими агентствами.
  
  Месяц спустя в новостных сообщениях указывалось, что президент Обама незаметно опубликовал новую правительственную политику в отношении уязвимостей нулевого дня после разоблачений Сноудена и отчета наблюдательного совета.42 Согласно новой политике, каждый раз, когда АНБ обнаруживает серьезную ошибку в программном обеспечении, оно должно сообщать об уязвимости поставщикам и другим лицам, чтобы недостаток можно было исправить. Но политика далеко не соответствует тому, что рекомендовал наблюдательный совет, и содержит лазейки.43 Это относится только к недостаткам, обнаруженным АНБ, без упоминания недостатков, обнаруженных правительственными подрядчиками, и любой недостаток, который имеет “явное значение для национальной безопасности или правоохранительных органов”, все еще может храниться в секрете правительством и использоваться. Комиссия по обзору заявила, что эксплойты должны использоваться только на временной основе и только для “высокоприоритетного сбора разведданных”, прежде чем они будут раскрыты. Политика Обамы, однако, дает правительству возможность хранить молчание о любом количестве критических недостатков, пока они могут оправдать их использование. В политике также нет упоминания о том, что правительство планирует делать с уязвимостями нулевого дня и эксплойтами, уже имеющимися в его арсенале цифрового оружия.
  
  Однако одна ПРОБЛЕМА, которую ДАЖЕ комиссия по обзору не рассмотрела, заключалась в подрыве доверия к цифровым сертификатам и системе обновления Windows для достижения дальнейших наступательных целей, как это сделали Stuxnet и Flame.
  
  Кристофер Согоян из ACLU сравнил захват Windows Update с ЦРУ, подрывающим надежную систему иммунизации, чтобы убить Усаму бен Ладена. В этом случае шпионское агентство, как сообщается, завербовало врача в Пакистане для раздачи прививок жителям определенного района, чтобы врач мог тайно собирать образцы ДНК у людей, живущих в обнесенном стеной комплексе, где, как полагают, проживал бен Ладен.
  
  Аналогичным образом, перехват Центра обновления Windows и другие подобные ему атаки подрывают надежные системы и потенциально могут вызвать кризис доверия, который может привести пользователей к отказу от систем, предназначенных для их защиты.
  
  “Автоматические обновления безопасности - это хорошо. Они обеспечивают нашу безопасность. Они обеспечивают безопасность всех ”, - сказал Согоян участникам конференции после обнаружения Flame.44 “Каким бы ни было краткосрочное преимущество взлома процесса обновления Windows, оно того просто не стоит”.
  
  Но Хейден говорит, что иногда подрыв надежной системы того стоит. Он говорит, что принял бы такое же решение, какое принял директор ЦРУ Леон Панетта, чтобы подорвать систему иммунизации, чтобы найти бен Ладена. “Я говорю вам, что такое [принятие решений] происходило постоянно”, - говорит он. Хотя он признает, что “[иногда] мы можем ошибиться”.45
  
  Если Соединенные Штаты несут ответственность за взлом Windows Update в Flame, как указывают отчеты, возникают вопросы о том, должен ли был взлом потребовать какого-либо уведомления и согласия от Microsoft, прежде чем это было сделано. Спецслужбы США не могут делать то, что может подвергнуть риску американский бизнес, если у них нет юридических полномочий высокого уровня, подписывающих операцию, и согласия компании. Они не могут, например, сделать IBM невольным сообщником ЦРУ, заставив агента выдавать себя за сотрудника IBM, не проинформировав кого-либо в компании, кто несет фидуциарные обязанности. “ЦРУ может это сделать”, - говорит Кэтрин Лотрионте, профессор права в Джорджтаунском университете и бывший адвокат в Офисе главного юрисконсульта ЦРУ, “но [агентство должно] уведомить генерального директора, потому что у него или нее есть фидуциарные обязанности перед советом директоров [компании]”.46
  
  Если использование сертификата Microsoft с цифровой подписью считалось “оперативным использованием” американской компанией — потому что оно включало использование законных учетных данных Microsoft для выдачи файла-подделки в качестве законного файла Microsoft — тогда Microsoft, возможно, нужно было уведомить. “Это зависит от того, что используется в техническом мире”, - говорит Лотрионте. “Мы знаем, как это выглядит, когда речь идет о человеке, [но] это технический бизнес, это сложный бизнес”.
  
  Когда вредоносная программа была впервые обнаружена, некоторые исследователи задавались вопросом, могли ли официальные лица Microsoft заранее знать об атаке Центра обновления Windows; но другие отмечают, что если бы Microsoft одобрила операцию, злоумышленникам не пришлось бы сталкиваться с коллизией хэша MD5 для получения сертификата — если только хэш MD5 не давал Microsoft правдоподобного отрицания сотрудничества.
  
  “Вопрос в том, допустила бы это Microsoft?” - Спрашивает Лотрионте. “Это то, что меня беспокоило бы. Разведывательное сообщество попробует все, и я часто задаюсь вопросом, почему компании подвергают себя риску. Я думаю, что если бы это было оперативное использование и если бы они были поставлены в известность, это было бы интересно ”.
  
  Источники, осведомленные о ситуации, говорят, что Microsoft не была уведомлена и не предоставила разрешения на операцию. “Если бы это произошло, это был бы конец компании”, - сказал один из них. “На такую авантюру никто [в компании] не пошел бы”. Он назвал правительственное вмешательство в процесс сертификации Microsoft “безответственным” и “за пределами шокирующего”.
  
  “Мы попали в очень сложные воды”, - сказал он. “Ребята, которые занимаются подобными вещами, собираются создать проблемы для частного сектора, о которых, я думаю, они просто не думали”.
  
  Но захват надежной системы Microsoft не только подорвал отношения Microsoft со своими клиентами, это также противоречило заявленной приверженности правительства укреплению компьютерной безопасности в Соединенных Штатах.
  
  В 2011 году Белый дом опубликовал свою Международную стратегию в отношении киберпространства, всеобъемлющий документ, излагающий видение президента в отношении Интернета, в котором подчеркивается ответственность правительства за то, чтобы помочь сделать сети и системы более безопасными и устойчивыми. Это отчасти было сделано путем установления ответственных норм поведения и создания системы обмена информацией об уязвимостях между государственным и частным секторами для укрепления систем. Но Джейсон Хили говорит, что действия правительства ставят под сомнение его искренность.
  
  “Если вы выступаете с политикой, которая подрывает сертификаты Microsoft, подрывает обновления Windows для распространения вредоносных программ, трудно достичь положения, когда киберпространство станет более безопасным и устойчивым”, - говорит он. “В некотором смысле я чувствую, что толпа из Форт-Мида - это израильские поселенцы киберпространства — не имеет значения, какова официальная политика, они могут выйти и захватить эти холмы, и они меняют факты на местах.… Если мы когда-либо собираемся добиться того, чтобы защита была лучше, чем нападение, некоторые вещи должны быть более священными, чем другие.…[Но] если у нас есть норма, согласно которой можно заниматься подобными вещами, если мы создаем этот кризис доверия ... это просто отразится на нас ”.
  
  Хили говорит, что бесцеремонный подход к наступательным операциям, который подрывает безопасность и доверие к критически важным системам, создает потенциал для того, чтобы информационная магистраль стала насыщенной уличными перестрелками и партизанской войной. “Мы можем подумать о том, что атаки становятся не просто лучше, а намного лучше. Где киберпространство - это не просто Дикий Запад, это Сомали ”.
  
  Не все согласятся с Хили и Согояном в том, что некоторые системы должны быть недоступны. Есть параллели в аналоговом мире, например, где ЦРУ использует уязвимости в дверных замках, сейфах и системах безопасности зданий для получения доступа и сбора разведданных. Никто никогда не предлагал, чтобы ЦРУ раскрыло эти уязвимости поставщикам, чтобы недостатки могли быть исправлены.
  
  Но без законодателей или независимого органа, задающего правильные вопросы для защиты долгосрочных интересов безопасности и доверия в Интернете, дискуссии о национальных наступательных операциях происходят только среди инсайдеров, чьи интересы заключаются в расширении возможностей, а не в их ограничении, и в постоянном расширении пределов возможного. “Все люди, имеющие допуски высокого уровня безопасности [которые принимают эти решения], и, вероятно, мало кто [среди них] когда-либо работал в реальном частном секторе, где им приходилось действительно защищать Критическая инфраструктура Америки”, - говорит Хили. “Таким образом, им очень легко принимать эти решения, чтобы продвигаться все дальше и дальше ... потому что правительство получает всю выгоду. Если мы используем нулевой день для Flame, правительство получает от этого выгоду. Контратакам подвергнется частный сектор, который пострадает от норм, которые сейчас создают США, которые говорят, что атаковать можно ”.
  
  Если Белый дом и Капитолийский холм не обеспокоены тем, как действия правительства подрывают безопасность компьютерных систем, они могут быть обеспокоены другим последствием наступательных действий правительства. Как отметил Стивен Кобб, старший исследователь безопасности в охранной фирме ESET, “Когда наше собственное правительство усиливает угрозу вредоносного ПО, это приводит к эрозии доверия, что подрывает цифровую экономику”.47
  
  ПОСКОЛЬКУ ПРАВИТЕЛЬСТВЕННЫЕ кибероперации настолько сильно засекречены, неясно, какой надзор — со стороны военных или законодателей — в настоящее время осуществляется для предотвращения неудач, или какие расследования, если таковые имеются, проводятся после возникновения неудач.
  
  Хейден говорит, что надзор является обширным. “Когда я был в правительстве, за кибероружием следили так пристально, что, на мой взгляд, было бы чудом, если бы мы когда-нибудь его использовали.… На самом деле это было препятствием на пути надлежащего использования нового класса оружия, было так трудно достичь консенсуса ”.
  
  Но в 2009 году, спустя много времени после того, как Stuxnet уже был запущен против систем в Иране, Национальная академия наук написала, что “политика и правовая база для руководства и регулирования возможностей кибератак США были плохо сформированы, неразвиты и крайне неопределенны”.48 Несмотря на десятилетие планирования и деятельности в области кибератак, мало что было решено относительно правил ведения цифровой войны с тех пор, как в 1998 году была создана первая целевая группа.
  
  Пентагон и Белый дом, наконец, предприняли шаги для решения этой проблемы в 2011 году — более чем через три года после первого запуска Stuxnet — когда Министерство обороны, по сообщениям, составило секретный список всего имеющегося в его распоряжении кибероружия и инструментов и начало устанавливать давно назревшие рамки для того, как и когда они могут быть использованы.49 Военные регулярно составляли список одобренных обычных вооружений, но это был первый раз, когда кибероружие было включено в список, сказал высокопоставленный военный чиновник Washington Post, назвав это самым значительным событием в военной кибернетической доктрине за последние годы.
  
  Затем, в 2012 году, президент подписал секретную директиву, устанавливающую некоторые правила борьбы с компьютерными сетевыми атаками, подробности о которых мы знаем только потому, что Эдвард Сноуден слил секретный документ.50 Согласно директиве, использование кибероружия без объявления войны требует одобрения президента, но во время войны военные лидеры получают предварительное одобрение на принятие быстрых мер по своему усмотрению. Цифровые атаки должны быть пропорциональны угрозе, а также ограничивать сопутствующий ущерб и избегать жертв среди гражданского населения — параметры, которые по-прежнему оставляют военным большую свободу действий.51 Любая цифровая операция, которая может нарушить работу компьютеров, уничтожить их или манипулировать ими или “с разумной вероятностью приведет к значительным последствиям”, также требует одобрения президента. Значительные последствия включают гибель людей, материальный ущерб и серьезные экономические последствия, а также возможное возмездие Соединенным Штатам или неблагоприятные последствия для внешней политики.
  
  Разрешение президента также требуется для установки логической бомбы в иностранной системе или маяка, помечающего ее для последующей атаки. Но не требуется для шпионских операций, которые проводятся ради простого сбора данных или составления карты сети, если только операция не связана с червем или другим вредоносным ПО, которое может распространяться. Примечательно, что прежде чем предпринимать действия, военные должны взвесить возможные последствия, которые операция может оказать на стабильность и безопасность Интернета, и установит ли она нежелательные нормы международного поведения. Хотя некоторые могут возразить, что Stuxnet и Flame уже нарушили это руководство и установили нежелательные нормы поведения, Герберт Лин, эксперт по кибербезопасности Национального исследовательского совета, указывает, что все, что говорится в директиве, - это то, что военные руководители должны задавать вопросы о том, может ли операция установить нежелательные нормы, а не о том, что они все равно не могут ее продолжить. “Установление нежелательной нормы, возможно, на самом деле было ценой, которую они были готовы заплатить, чтобы остановить иранскую ядерную программу”, - говорит он о Stuxnet и Flame.52
  
  Однако президентская директива касается только использования цифровых операций военными. Список исключений в документе исключает из него разведывательные агентства, такие как АНБ и ЦРУ, а также правоохранительные органы, такие как ФБР и Секретная служба. И хотя он устанавливает широкие основные правила для проведения наступательных военных киберопераций, в нем не рассматриваются вопросы, которые возникают, когда Соединенные Штаты сталкиваются с необходимостью реагирования на цифровую атаку. В 2011 году представители Пентагона сделали по крайней мере один шаг в этом направлении, когда объявили, что любая цифровая атака против Соединенных Штатов, которая выведет из строя части электросети или приведет к жертвам, будет рассматриваться как акт войны и получит соответствующий ответ — даже кинетический военный ответ, если ситуация потребует этого, с использованием “всех необходимых средств”.53 Другими словами, как выразился один военный чиновник, “Если вы отключите нашу энергосистему, возможно, мы запустим ракету в одну из ваших дымовых труб”.54 По крайней мере, они не утверждали, как это сделал Объединенный комитет начальников штабов в доктринальном заявлении в 2004 году, что Соединенные Штаты оставляют за собой право отвечать на некоторые кибератаки ядерным оружием. Эта формулировка исчезла в последующих заявлениях Объединенного комитета начальников штабов о доктрине, указывает Лин, но члены Совета по оборонным наукам, по-видимому, надеялись возродить ее, когда в 2013 году заявили, что Соединенные Штаты не должны исключать возможность ядерного ответа. Наверное, хорошо, что Научный совет является всего лишь консультативной группой и не имеет права голоса в политике.
  
  Хотя утечка президентской директивы Сноудена намекает на некоторые вопросы, которые правительство задавало внутри страны по этим вопросам, общественность все еще плохо понимает, на какие вопросы были даны ответы, а какие все еще остаются нерешенными. Лин говорит, что ради прозрачности есть важные разговоры, которые можно обнародовать без ущерба для секретных операций. “На самом деле мы могли бы начать дискуссию о том, что возможно, не говоря о том, что на самом деле делают США”, - говорит он. Также было бы возможно для киберкомандования США и АНБ привести примеры обстоятельств, при которых они будут использовать кибероружие, или объяснить обстоятельства, при которых они накапливают информацию об уязвимостях нулевого дня, в сравнении с тем, когда они могут разрешить раскрытие информации о дыре в системе безопасности, чтобы ее устранить. И было бы важно знать, по крайней мере, где правительство проводит черту в компрометации надежных систем, которые имеют решающее значение для целостности Интернета — если оно вообще проводит черту.
  
  “Сенаторы и конгрессмены должны быть осведомлены об этом”, - говорит Лин, не говоря уже об общественности. “И где-то должен быть отчет обо всех кибератаках, которые США проводят с любой целью ... который сообщает вам, что было атаковано и при каких обстоятельствах.… Это может быть засекречено, но, по крайней мере, это дало бы первый шаг к лучшему пониманию того, что на самом деле делают США ”. Законодатели, такие как Rep. Майк Роджерс (R-MI) настаивает на том, чтобы Конгресс провел частные обсуждения кибердеятельности правительства. Но до сих пор Капитолийский холм не проявлял особого интереса к проведению даже элементарных публичных дискуссий о наступательных операциях правительства.
  
  “Я без сомнения верю, что необходимо провести всесторонний разговор о доктрине и о правилах ведения боевых действий”, - заявил в 2011 году, до подписания президентской директивы, генерал ВВС Роберт Келер, нынешний глава Стратегического командования США. “Я не могу сказать, что все это должно быть в общественном достоянии”.55
  
  
  Однако, ПОКА Соединенные Штаты и другие страны бьют в барабан кибервойны, без ответа остаются не только вопросы политики. Многие юридические вопросы, связанные с цифровыми операциями, все еще остаются нерешенными.
  
  Некоторые, например, основатель "Лаборатории Касперского" Евгений Касперский, призвали к заключению договора о кибероружии для контроля за распространением цифрового оружия и установления норм его использования. Но, как отмечалось ранее, существуют очевидные проблемы с попытками контролировать накопление нефизического оружия. Правительства могут подписывать договоры о прекращении распространения ядерного оружия и использовать спутниковые снимки и инспекторов ООН для отслеживания перемещения ядерных материалов. Но спутники не могут отслеживать перемещение незаконного цифрового оружия, а таможенные инспекции не могут выявить контрабанду вредоносного кода через границы. Также никто не может отслеживать всех игроков-изгоев, которые могут появиться, чтобы воспользоваться уязвимостями в критически важных системах инфраструктуры, обнаруженными Stuxnet.
  
  Что касается разработки новых законов, регулирующих использование кибератак странами, то эксперты-юристы, похоже, единодушны в том, что существующие законы ведения войны будут работать просто отлично — просто необходимо разработать новые интерпретации этих законов для решения кибератак.
  
  В 2013 году группа из двадцати международных экспертов по правовым вопросам, созванная институтом, связанным с НАТО, попыталась сделать именно это. Результатом стало трехсотстраничное Таллиннское руководство, призванное помочь военным юрисконсультам в государствах-членах НАТО разработать кибердокументацию для своих армий.56 Но, несмотря на объем руководства, оно оставило многие вопросы без ответа. Эксперты обнаружили, что, хотя некоторые атаки в киберпространстве имеют четкие параллели с обычными атаками в физическом пространстве, другие являются более мрачными.
  
  В соответствии с Законом о вооруженных конфликтах Устава ООН, например, они определили, что взлом системы управления дамбой для сброса воды в долину был эквивалентен прорыву дамбы с помощью взрывчатки. И запуск атаки из прокси-системы, расположенной в нейтральной стране, будет запрещен точно так же, как армия не сможет пройти маршем через территорию нейтральной страны, чтобы вторгнуться во врага. Они также определили, что атака должна была нанести физический или личный ущерб, чтобы квалифицироваться как акт насилия — простое стирание жестких дисков, если это не привело к физическому повреждению или травме, не квалифицировалось. Но как насчет атаки на Уолл-стрит, которая нанесла ущерб экономике страны или была направлена на это? Здесь они обнаружили, что юридические воды менее прозрачны. Некоторые эксперты считали такую атаку квалифицированной, в то время как другие были менее убеждены.
  
  Эксперты также провели различие между применением силы и вооруженным нападением. Хотя последнее считается более серьезным, оно четко не определено. Обычно это интерпретируется как относящееся только к самому серьезному применению силы, о котором судят по последствиям атаки. Согласно статье 24 Устава ООН, государства могут реагировать на силовой акт только с помощью контрмер, не связанных с применением силы, таких как применение экономических санкций или разрыв дипломатических отношений с государством-нарушителем.
  
  Однако в соответствии со статьей 51 каждое государство имеет право защищать себя с применением смертоносной силы — индивидуально или коллективно от имени союзников — если оно или союзник подвергаются вооруженному нападению, при условии, что ответ необходим и пропорционален первоначальному нападению и происходит, пока сохраняется угроза первоначального нападения или существует угроза будущего нападения. Что касается того, какой уровень ущерба квалифицируется как вооруженное нападение и, следовательно, оправдывает ответ со смертельным исходом — жертва должна определить порог и отстаивать свое решение в Организации Объединенных Наций.57 Но как насчет атаки, которая предназначена для нанесения большого вреда, но не достигает его? Ракета, запущенная одной нацией против другой, которая отклоняется ракетой Patriot, по-прежнему является попыткой вооруженного нападения. Будет ли то же самое справедливо в киберпространстве? Кэтрин Лотрионте говорит "нет", поскольку важен эффект атаки, а не намерение. Но Гэри Браун, старший юрисконсульт Киберкомандования США с 2010 по 2012 год, говорит, что это, вероятно, будет считаться вооруженным нападением, “если вы можете привести аргумент [с доказательствами], что это должно было иметь кинетический эффект”.58
  
  А как насчет шпионажа? Согласно международному праву и политике США, шпионаж не является актом войны. Но поскольку шпионаж может быть прелюдией к разрушительной атаке, как это было со Stuxnet и шпионскими инструментами, которые злоумышленники использовали для сбора разведданных для этой операции, может ли обнаружение шпионских инструментов в системе указывать на намерение совершить вооруженное нападение? Согласно нынешней доктрине, вооруженное нападение должно быть текущим или неизбежным, чтобы заслужить применение силы со смертельным исходом в ответ, но что определяет неизбежность? После 11 сентября Соединенные Штаты заявили, что вторжение в Афганистан было актом самообороны в соответствии со статьей 51, поскольку в стране находились лидеры "Аль-Каиды", которые, как считалось, планировали дополнительные удары по Соединенным Штатам.
  
  В чем таллиннские эксперты единодушно согласились, так это в том, что Stuxnet был силовым актом, который, вероятно, нарушал международное право. Однако мнения разделились по вопросу о том, являлось ли это вооруженным нападением. В случае вооруженного нападения Иран имел бы полное право защищаться от цифрового нападения контрударом — цифровым или кинетическим — при условии, что он был пропорционален ущербу, нанесенному Stuxnet и произошедшему во время атаки. Как только атака утихла и не возникло надвигающейся угрозы центрифугам или угрозы другой надвигающейся атаки — то есть, как только оружие было обнаружено и обезврежено — надлежащим ответом была дипломатия или какая-либо другая мера, не связанная с применением силы.
  
  Важно отметить, что официальная политика США, в отличие от интерпретации таллиннских экспертов, не проводит различия между актом силы и вооруженным нападением — они считаются одним и тем же. Таким образом, при такой интерпретации Stuxnet был незаконным вооруженным нападением, и Иран мог бы привести доводы в пользу ответа в целях самообороны. Однако это также означает, что если бы кто-то использовал такое оружие, как Stuxnet, против Соединенных Штатов, правительство США сочло бы это вооруженным нападением, что, по словам Лотрионте, ее беспокоит.59
  
  Были противоречивые реакции на некоторые выводы Таллиннского руководства. Мартин Либицки, эксперт по кибервойне из корпорации RAND, ставит под сомнение разумность разрешения киберконфликтов с помощью кинетических атак. Он задается вопросом, не было бы разумнее применить “правила Лас-Вегаса” к кибервойне, чтобы то, что происходит в киберпространстве, оставалось в киберпространстве. “Ваш потенциал эскалации, если вы перейдете в кинетическую сферу, гораздо больше, чем если вы останетесь в киберпространстве”, - говорит он. “Таким образом, правило, гласящее, что вы можете сопоставлять кибер с кибер, накладывает ограничение на ваш риск сверху”.60
  
  Лотрионте, однако, говорит, что метод контратаки не имеет значения, поскольку эскалация контролируется тем фактом, что контратака должна быть необходимой и пропорциональной. “Необходимо означает, что вы должны определить, что нет другого способа устранить эту угрозу”, - говорит она. “Вы не можете говорить, вы не можете санкционировать или обратиться в Совет Безопасности. Если есть какой-либо другой способ остановить эти атаки, вы должны использовать его, а не применять силу. Вот как вы остановите эскалацию ”.61
  
  Другие указывают на сложность применения обычных законов войны в киберпространстве, где атрибуция является проблемой. Закон о вооруженных конфликтах требует, чтобы злоумышленник был идентифицирован для нанесения контрудара. Хотя принадлежность к цифровой атаке иногда можно определить — с помощью разведывательных средств, если не криминалистических, — анонимный характер кибератак затрудняет быстрое реагирование на атаку, в то время как угроза актуальна, если не сказать больше.
  
  “Дымящиеся пистолеты трудно найти в антитеррористической среде; курящие клавиатуры намного сложнее”, - заявил Конгрессу Фрэнк Силлуффо, директор Института политики национальной безопасности при Университете Джорджа Вашингтона. Киберпространство, по его словам, “создано для правдоподобного отрицания”.62
  
  Если всего этого было недостаточно, чтобы усложнить проблему кибервойны, то возникают дополнительные проблемы, связанные с отсутствием четкого понимания того, что представляет собой кибероружие. В кинетическом мире оружие - это то, что наносит ущерб, разрушает, убивает или ранит, что сильно отличается от инструмента шпионажа. Но Гэри Браун отмечает, что очень многие действия в киберпространстве выполняются “парнем, сидящим за клавиатурой, набирающим команды” и делающим все - от установки вредоносного ПО и уничтожения данных до уничтожения и повреждения системы или оборудования, которым система управляет. “Означает ли это, что программное обеспечение или техника, которые мы использовали для получения доступа к системе, превратились в оружие?” он спрашивает. “Это означало бы, что все [является оружием]. Это очень сложный вопрос. Я не чувствую, что мы очень хорошо с этим справляемся ”.
  
  Браун говорит, что отсутствие ясности в отношении того, что представляет собой цифровое оружие и что представляет собой атакующую активность в отличие от шпионажа, повышает риск эскалации ответных мер, поскольку те же методы и инструменты, которые используются для шпионажа и нанесения ущерба атакам в цифровой сфере, могут быть неразличимы для жертвы.63
  
  “Традиционный шпионаж с меньшей вероятностью приведет к эскалации, потому что его лучше понимали”, - говорит он. “Даже если вы прорвались через проволочное заграждение, на цыпочках проникли в офис и украли файлы ... не похоже, что мы начинаем войну.… В киберпространстве, если кто-то получил доступ к критически важной системе, возможно, к ядерному командованию и контролю ... возможно, они просто осматриваются. Или, может быть, они планируют отключить его и нанести ядерный удар.… Меня беспокоит эскалация такого рода ”.
  
  Очевидно, что Stuxnet и перспектива цифровой войны подняли множество проблем, которые еще предстоит надлежащим образом решить. И если кажется, что Соединенные Штаты запоздали взглянуть на них, это не единственный случай. “Есть страны [в Европе], которые даже близко не подходят к написанию правил”, - говорит Лотрионте.
  
  За ГОДЫ, прошедшие с момента появления Stuxnet, многое изменилось — не только для военных, но и для охотников за вредоносными программами. Для исследователей, которые потратили так много времени на разборку и анализ Stuxnet и сопутствующих шпионских инструментов, расшифровка вредоносного ПО была ни с чем не сравнимым волнением, которое расширило границы исследований вирусов. Но это также безвозвратно изменило параметры их профессии, придав ей степень риска и политизации, которой она никогда раньше не знала.
  
  В одной из заключительных оценок Stuxnet своей команды Эрик Чиен из Symantec написал, что они не могут сказать, приведет ли Stuxnet к новому поколению атак в реальном мире, нацеленных на критическую инфраструктуру, или это явление случается раз в десятилетие. Но он ясно дал понять о своих предпочтениях. По его словам, это был тип угрозы, “которую мы надеемся никогда больше не увидеть”.
  
  К счастью, на момент публикации этой книги еще не было никаких признаков контрударов по промышленным системам управления, о которых предупреждал Ральф Ленгнер, и не было признаков каких-либо других сопоставимых цифровых атак, предпринятых Соединенными Штатами или кем-либо еще. Stuxnet по-прежнему отличается тем, что является единственным известным случаем кибервойны в истории. Но это может измениться в любое время, теперь, когда цифровой ящик Пандоры был открыт.
  
  
  
  1 “Замечания Президента по обеспечению безопасности кибер-инфраструктуры нашей страны”, 29 мая 2009 г., доступно по адресу whitehouse.gov/the-press-office/remarks-president-securing-our-nations-cyber-infrastructure. Утверждение о том, что кибератаки погрузили иностранные города во тьму, часто повторялось многими официальными лицами, но было оспорено, хотя это не помешало чиновникам продолжать повторять это. Заявление было впервые сделано старшим аналитиком ЦРУ Томом Донахью во время выступления на конференции для профессионалов в области кибербезопасности в 2008 году: “У нас есть информация, что кибератаки использовались для нарушения работы энергетического оборудования в нескольких регионах за пределами США”, - сказал он. “По крайней мере, в одном случае сбой вызвал отключение электроэнергии, затронувшее несколько городов.” Он также сказал, что за вторжениями “последовали требования вымогательства”. (См. Томас Клабурн, “ЦРУ признает кибератаки в затемненных городах”, InformationWeek, 18 января 2008 г., доступно по адресу informationweek.com/cia-admits-cyberattacks-blacked-out-cities/d/d-id/10635137.) Донахью никогда не называл страну, где произошли атаки, но в 2009 году в "60 минутах" назвал ее Бразилией, утверждая, что отключение электроэнергии в 2007 году в Эспириту-Санту, в результате которого 3 миллиона человек остались без электричества, было вызвано хакерами. (Смотрите “Кибервойна: саботаж системы”, "60 минут", 6 ноября 2009 г., доступно на cbsnews.com/news/cyber-war-sabotaging-the-system-06-11-2009.) Другие утверждали, что Донахью имел в виду сбой в 2005 году в Бразилии. Согласно двум источникам, с которыми я разговаривал в 2009 году, у которых 60 минут взяли интервью для их истории, журнал отправил продюсера в Бразилию, чтобы попытаться проверить заявление о хакерстве / вымогательстве, но так и не смог этого сделать, хотя зрителям об этом не сказали. Правительство Бразилии оспорило это заявление после выхода в эфир шоу "60 минут", указав на пространный отчет об отключении 2007 года, в котором объяснялось это сажей и отказом оборудования. Furnas, бразильская энергетическая компания, которая столкнулась с отключениями электроэнергии, является клиентом Марсело Бранкиньо, который в то время управлял единственной фирмой по обеспечению безопасности ICS в Бразилии. Бранкиньо сказал мне, что нет никаких доказательств того, что отключение было вызвано чем-либо, кроме сбоя оборудования. “У нас есть полный доступ к документации и [правительственным отчетам о расследовании] того, что произошло во время этих двух отключений”, - сказал он мне в октябре 2011 года, имея в виду инциденты 2005 и 2007 годов. “Нет ни единого доказательства того, что здесь происходила хакерская активность. Оба события были вызваны проблемами с оборудованием, а не с программным обеспечением ”. Более того, он говорит, что подстанция, пострадавшая в результате отключения электроэнергии в 2007 году, не была даже автоматизированной системой SCADA, которой могли управлять хакеры. “Это было всего лишь аппаратное обеспечение, поэтому его все равно нельзя было взломать”, - говорит он. “Я не говорю, что нас нельзя взломать. Нас можно взломать; это довольно просто. Я считаю, что большинство электрических установок — не только здесь, но и во всем мире — имеют очень слабую защиту, если сравнивать их, например, с банком, который имеет достаточно высокий уровень инфраструктуры безопасности. Но ... в этом случае доказательства говорят нам, что нас не взломали ”. Возможно, истории о хакерском отключении были перепутаны с реальным инцидентом с киберпреступлением, который произошел в 2005 или 2006 году, но это не имело никакого отношения к отключению. Директор департамента информации и коммуникаций национальной безопасности Бразилии рассказал Wired.com что в этом случае злоумышленники взломали административную машину в правительственном учреждении, используя пароль по умолчанию, и удалили файлы на машине. Они также оставили записку с требованием выкупа за возврат данных. Но инцидент не привел к отключению электроэнергии. См. Марсело Соарес, “В опубликованном на WikiLeak сообщении говорится, что бразильский блэкаут 2009 года также не был хакерским”. Wired.com, 6 декабря 2010, доступно на wired.com/2010/12/brazil-blackout.
  
  2 Дэвид Э. Сэнгер, “Приказ Обамы ускорил волну кибератак против Ирана”, New York Times, 1 июня 2012 года.
  
  3 “Верховный лидер Ирана призывает студентов готовиться к кибервойне”, Russia Today, 13 февраля 2014 г., доступно по адресу rt.com/news/iran-israel-cyber-war-899.
  
  4 Эллен Накашима, “Пентагон усиливает силы кибербезопасности”, Washington Post, 27 января 2013.
  
  5 Эллен Накашима, “С помощью плана X Пентагон стремится распространить военную мощь США в киберпространстве”, Washington Post, 30 мая 2012.
  
  6 Интервью с Майклом В. Хейденом в “Stuxnet: компьютерный червь открывает новую эру войны”, 60 минут, CBS, первоначально транслировалось 4 июня 2012 года, доступно по адресу cbsnews.com/8301-18560_162-57390124/stuxnet-computer-worm-opens-new-era-of-warfare/?tag=pop ;истории.
  
  7 Выступая в 1862 году после битвы при Фредериксберге.
  
  8 Кевин Хейли, “Прогнозы безопасности Интернета на 2011 год: перспективы будущего”, блог Symantec, 17 ноября 2010 г., доступен по адресу symantec.com/connect/blogs/internet-security-predictions-2011-shape-things-come.
  
  9 Кеннет Бенедикт, “Stuxnet и бомба”, Бюллетень ученых-атомщиков, 15 июня 2012 г., доступен по адресу thebulletin.org/stuxnet-and-bomb.
  
  10 Есть способы уменьшить этот риск, тщательно зашифровав цифровое оружие, чтобы случайные лица, получившие код, не смогли его перепроектировать. Цифровое оружие должно расшифровать себя, чтобы задействовать свою полезную нагрузку, как только оно найдет систему, на которую нацелено, но ключи для этого не обязательно должны находиться внутри самого оружия, как это было со Stuxnet. Вместо этого, лучшим дизайном является тот, который использовал Gauss, который использовал сложную схему шифрования, которая использовала фактическую конфигурацию системы, на которую он нацеливался, для генерации ключа дешифрования. Gauss доставил и расшифровал свою полезную нагрузку только после того, как нашел эту конкретную конфигурацию. Конечно, это не сработает, если конфигурация целевой системы изменится, тем самым обезвредив цифровое оружие, но это сработает в случаях, когда конфигурация системы вряд ли изменится. Смотрите обсуждение Gauss на эта страница. Кроме того, чтобы ограничить воздействие цифрового оружия после его расшифровки в системе, на которую оно нацелено, его можно было бы сконструировать так, чтобы оно самоуничтожалось по завершении своей миссии, чтобы оно не задерживалось в системе дольше, чем необходимо. Однако это сработает не для всех видов оружия. Stuxnet необходимо было оставаться в системе в течение длительного времени, например, для достижения своей цели. Но это сработает для другого оружия, которое быстро наносит урон.
  
  11 Маркус Ранум, “Анализ кибервойны—часть 4: Лучшая защита - это хорошая защита”, опубликованная в его блоге Fabius Maximus 20 августа 2012 года, доступна по адресу fabiusmaximus.com/2012/08/20/41929.
  
  12 Грант Гросс, “Эксперт по безопасности: США проиграют кибервойну”, Служба новостей IDG, 23 февраля 2010 г., доступно по адресу computerworld.com/s/article/9161278/Security_expert_U.S._would_lose_cyberwar.
  
  13 Хотя системы управления Siemens не так широко используются в Соединенных Штатах, как в других частях мира, системы управления, которые доминируют на объектах в Соединенных Штатах, работают по тем же принципам проектирования с некоторыми из тех же недостатков. Злоумышленнику просто нужно будет изучить системы, чтобы найти способы атаковать их, что ряд исследователей безопасности уже сделали за годы, прошедшие с момента выпуска Stuxnet.
  
  14 Джерри Смит, “Stuxnet: США могут проводить кибератаки, но не защищаться от них, говорят эксперты”, Huffington Post, 1 июня 2012 г., доступно по адресу huffingtonpost/com/2012/06/01/stuxnet-us-cyberattack_n_1562983.html.
  
  15 Подготовленное заявление для Подкомитета по стратегическим силам Комитета Палаты представителей по вооруженным силам для слушаний 17 марта 2009 года, доступно по адресу gpo.gov/fdsys/pkg/CHRG-111hhrg51759/html/CHRG-111hhrg51759.htm.
  
  16 В августе 2012 года разрушительный вирус под названием Shamoon поразил компьютеры в Saudi Aramco, национальной нефтегазовой компании Саудовской Аравии, и уничтожил все данные с более чем 30 000 компьютеров — атака, которая стала наглядным напоминанием о том, как любая машина в Интернете может стать эпицентром уничтожения в политическом споре и как трудно может быть определить принадлежность впоследствии. Вирус не просто стер данные с компьютеров, он заменил каждый файл на них файлом, содержащим изображение горящего флага США — хотя ошибка в коде предотвратила появление флага изображение полностью разворачивается на зараженных машинах. Вместо этого при открытии файлов появлялся только фрагмент изображения; остальная часть изображения была пустой. Официальные лица США обвинили Иран в организации атаки, хотя и не представили никаких доказательств в поддержку этого заявления. Атака, возможно, была предпринята Ираном в качестве возмездия за атаку Wiper, которая стерла данные с компьютеров в Министерстве нефти Ирана и Иранской национальной нефтяной компании четырьмя месяцами ранее, или, возможно, это была месть за Stuxnet, направленная против союзника США, который был менее способен нанести ответный удар. Или, возможно, это просто была работа хактивистов, выступающих против внешней политики США на Ближнем Востоке (группа хакеров, называющая себя "Режущий меч правосудия", взяла на себя ответственность за атаку). Возможно, это даже была операция “под чужим флагом”, начатая другой страной, чтобы создать впечатление, что виновником был Иран (документы АНБ, опубликованные Эдвардом Сноуденом, раскрывают, что Великобритания иногда использует операции под чужим флагом, чтобы возложить вину на третьи стороны).
  
  17 В августе 2008 года армии компьютеров с российскими IP-адресами запустили распределенные атаки типа "отказ в обслуживании", которые отключили сайты правительства Грузии и СМИ, лишив правительство возможности общаться с общественностью. Время атак, прямо перед российским вторжением в Южную Осетию, было достаточным доказательством для многих, что цифровая кампания была частью военного наступления.
  
  18 Разработчики симуляторов в конце концов показали, что запутанная сеть приписок, стоящая за кибератаками, была ключевой частью их стратегии. Согласно их плану, именно "Аль-Каида" фактически начала первоначальные атаки против Израиля в надежде на эскалацию напряженности между Израилем и поддерживаемой Ираном "Хезболлой" в Ливане. Но именно Иран начал атаки на Соединенные Штаты. Последнее было сделано таким образом, чтобы все выглядело так, как будто Израиль запустил с намерением подставить Иран для них. США должны были думать, что Израиль сыграл самую грязную шутку — начал атаку против Соединенных Штатов, чтобы указать пальцем на Иран и заручиться поддержкой США израильского авиаудара по Тегерану.
  
  19 Барбара Опалл-Рим, “Израильская киберигра тянет НАС, Россию на грань ближневосточной войны”, Defense News, 14 ноября 2013 г., доступно по адресу defensenews.com/article/20131114/DEFREG04/311140020/Israeli-Cyber-Game-Drags-US-Russia-Brink-Mideast-War.
  
  20 “Израиль борется с кибератаками, ‘Крупнейшая революция в военном деле”, UPI, 31 января 2014 г., доступно по адресу upi.com/Business_News ?Security-industry/2014/01/31/Israel-combats-cyberattacks-biggest-revolution-in-warfare/UPI-24501391198261/.
  
  21 Маркус Ранум, “Анализ кибервойны—часть 3: синергия и вмешательство”, опубликованный в его блоге Fabius Maximus 13 августа 2012 года, доступен по адресу fabiusmaximus.com/2012/08/13/41567.
  
  22 Томас Рид, “Подумай еще раз: кибервойна”, внешняя политика, март / апрель 2012.
  
  23 Авторское интервью с Энди Пеннингтоном, ноябрь 2011.
  
  24 Джеймс А. Льюис, “Пороги и последствия кибервойны”, IEEE Security and Privacy (сентябрь 2011): 23-29.
  
  25 Rid, “Подумайте еще раз: кибервойна”.
  
  26 Эта и другие цитаты Хили взяты из интервью автора, октябрь 2013.
  
  27 Джулиан Барнс, “Пентагон окопался на фронте кибервойны”, Wall Street Journal, 6 июля 2012.
  
  28 Джеймс А. Льюис в своих показаниях перед Подкомитетом по кибербезопасности, защите инфраструктуры и технологиям безопасности, 16 марта 2012 г., доступно по адресу homeland.house.gov/sites/homeland.house.gov/files/Testimony%20Lewis.pdf.
  
  29 Джеймс А. Льюис, “Пороги кибервойны”, Центр стратегических и международных исследований, сентябрь 2010, доступно по адресу csis-org/публикация/пороги -кибервойна.
  
  30 Там же.
  
  31 У. Эрл Боберт, “Обзор проблем в атрибуции”, Материалы семинара по сдерживанию кибератак: информирующие стратегии и разрабатывающие варианты политики США. Опубликовано Национальной академией наук в na.edu/catalog/12997.html.
  
  32 Правила ведения боевых действий - это военные приказы, которые учитывают международное право и политику США для составления единого документа, который военные используют для проведения своих операций. Существуют правила ведения боевых действий для различных операций, поскольку правила будут меняться, будь то миротворческая миссия в Боснии или агрессивное вторжение в Ирак. Отдельно существует всеобъемлющий набор правил ведения боевых действий, который применяется к повседневным операциям вооруженных сил. Эти последние постоянные правила, которые в основном засекречены, включают кибер. По словам Гэри Брауна, который был легальным советник киберкомандования США с 2009 по 2012 год эти постоянные правила переписывались во время его работы в команде, и в 2014 году он сказал, что до сих пор не знает, были ли они выполнены. Военные использовали вторую версию правил, которая была завершена в 2005 году, известную как версия Bravo, когда он был там. Третья версия, известная как Charlie, должна была быть закончена в 2010 году, но все еще не была завершена, когда Браун ушел в 2012 году. Версия Bravo была посвящена кибербезопасности, но только в общих чертах. Предполагается, что версия Charlie рассмотрит это в более конкретных терминах.
  
  33 Крис Кэрролл, “Конус молчания окружает кибервойну США”, "Звезды и полосы", 18 октября 2011 года, доступно на stripes.com/news/cone-of-silence-surrounds-u-s-cyberwarfare-1.158090.
  
  34 Дэвид Э. Сэнгер, “Смертоносная динамика Америки в отношениях с Ираном”, New York Times, 5 ноября 2011 года.
  
  35 Duqu был публично разоблачен в сентябре 2011 года, и хотя Microsoft исправила ошибку в рендеринге шрифтов, которую он использовал, к концу 2012 года “атаки на эту единственную уязвимость резко возросли”, - отметила финская охранная фирма F-Secure в своем годовом отчете за 2013 год. Одна только эта уязвимость “составила поразительные 69 процентов всех отчетов об обнаружениях, связанных с эксплойтами”. Смотрите страницу 36 “Отчета об угрозах H1 2013”, F-Secure, доступного по адресу f-secure.com/static/doc/labs_global/Research/Threat_Report_H1_2013.pdf.
  
  36 Деннис Фишер, “Злоумышленники со стороны национальных государств беспокоят Adobe больше всего”, ThreatPost, блог по безопасности, опубликованный Лабораторией Касперского, 20 сентября 2011 г., доступен по адресу threatpost.com/nation-state-attackers-are-adobes-biggest-worry-092011/75673.
  
  37 Выступление в Сенатском комитете по ассигнованиям на тему “Кибербезопасность: подготовка к постоянной угрозе и реагирование на нее”, 12 июня 2013 г., доступно по адресу defense.gov/home/features/2013/0713_cyberdomain/docs/Alexander,_General_Keith_Testimony_6.12.13_Cybersecurity_Hearing.pdf.
  
  38 Все цитаты Хейдена здесь и на следующей странице взяты из интервью автора в феврале 2014 года.
  
  39 Президентская обзорная группа по разведывательным и коммуникационным технологиям, “Свобода и безопасность в меняющемся мире” (доклад, 12 декабря 2013 г.), 37. Отчет доступен по адресу whitehouse.gov/sites/default//files/docs/2013-12-12_rg_final_report.pdf.
  
  40 Кларк выступал на конференции RSA по безопасности в Сан-Франциско в феврале 2014 года.
  
  41 “Предварительные вопросы к вице-адмиралу Майклу С. Роджерсу, USN, кандидату на пост командующего Киберкомандованием Соединенных Штатов”, доступны на веб-сайте Комитета Сената по вооруженным силам по адресу armed-services.senate.gov/imo/media/doc/Rogers_03-11-14.pdf.
  
  42 Дэвид Э. Сэнгер, “Обама позволяет АНБ использовать некоторые недостатки Интернета, говорят официальные лица”, New York Times, 12 апреля 2014.
  
  43 Ким Зеттер, “Обама: АНБ должно выявить ошибки, подобные Heartbleed, если они не помогут АНБ”, Wired.com 15 апреля 2014 года.
  
  44 Согоян выступал на Форуме личной демократии в июне 2012 года в Нью-Йорке.
  
  45 Интервью с автором, 2014.
  
  46 Лотрионте работал в ЦРУ до 2002 года, затем занимал должности советника президентского консультативного совета по внешней разведке при Белом доме и юрисконсульта Специального комитета Сената по разведке. Она ушла из правительства в 2006 году, примерно в то время, когда Stuxnet был предложен и подготовлен.
  
  47 Стивен Кобб, “Негативное влияние на ВВП спонсируемых государством вредоносных программ, таких как Stuxnet и Flame”, We Live Security blog, 13 июня 2012, доступно по адресу blog.eset.com/2012/06/13/impact-on-gdp-of-state-sponsored-malware-like-stuxnet-and-flame.
  
  48 Уильям А. Оуэнс, Кеннет У. Дам и Герберт С. Лин (ред.), “Технология, политика, закон и этика в отношении приобретения и использования США возможностей для кибератак”, National Academies Press, 2009, доступно по адресу: steptoe.com/assets/attachments/3785.pdf.
  
  49 Эллен Накашима, “Список кибероружий, разработанных Пентагоном для оптимизации компьютерной войны”, Washington Post, 31 мая 2011.
  
  50 Лолита Балдор, “Пентагон получает рекомендации по кибервойне”, Associated Press, 22 июня 2011 г., доступно по адресу usatoday30.usatoday.com/news/military/2011-06-22-pentagon-cyber-war_n.htm.
  
  51 Гленн Гринвальд и Юэн Макаскилл, “Обама приказывает НАМ составить список зарубежных целей для кибератак”, Guardian, 7 июня 2013. Согласно документу, Президентская директива № 20 была выпущена в октябре 2012 года.
  
  52 Все цитаты Лина в этой главе взяты из интервью автора в январе 2014 года.
  
  53 “Международная стратегия в области киберпространства: процветание, безопасность и открытость в сетевом мире”, Белый дом, май 2011 г., доступно по адресу whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf.
  
  54 Шивон Горман и Джулиан Э. Барнс, “Кибербойня: акт войны”, Wall Street Journal, 30 мая 2011 года.
  
  55 Кэрролл, “Конус молчания”.
  
  56 Майкл Н. Шмитт, главный редактор, Таллиннское руководство по международному праву, применимому к кибервойне, Центр передового опыта совместной киберзащиты НАТО, доступно по адресу ccdcoe/org/249.html.
  
  57 Многие в средствах массовой информации и правительстве назвали атаки типа "отказ в обслуживании" на эстонские веб-сайты кибервойной, но они не квалифицируются как таковые. Атаки, запущенные ботнетом из 85 000 машин в 2007 году, продолжались в течение трех недель и на своем пике атаковали почти шестьдесят веб-сайтов, отключив крупнейший банк Эстонии, а также правительственные сайты. Но когда Эстония указала пальцем на Россию как на источник атак и обратилась за помощью к НАТО, попытавшись сослаться на соглашение о коллективной самообороне в соответствии со статьей 5 Организации Североатлантического договора, это было отвергнуто. НАТО определила, что нападение не является вооруженным нападением в соответствии с договором. Проблема заключалась в том, что ЕС и НАТО ранее не определили обязательства своих государств-членов в случае кибератаки против одного из них. НАТО также не определила кибератаку как явную военную акцию, поэтому статья 5 автоматически не вступила в силу. В соответствии со статьей 5 “вооруженное нападение на одного или более [членов] в Европе или Северной Америке считается нападением на них всех. Ожидается, что в случае такого нападения каждый член организации “окажет помощь Стороне или Сторонам, подвергшимся нападению, предприняв немедленно, индивидуально и совместно с другими Сторонами, такие действия, которые он сочтет необходимыми, включая применение вооруженной силы, для восстановления и поддержания безопасности в Североатлантическом регионе”.
  
  Однако премьер-министр Эстонии Андрус Ансип оспорил заключение НАТО, спросив: “В чем разница между блокадой гаваней или аэропортов суверенных государств и блокадой правительственных учреждений и веб-сайтов газет?” (См. Томас Рид, “Подумай еще раз: кибервойна”, Foreign Policy, 27 февраля 2012 г., доступно по адресу foreignpolicy.com/articles/2012/02/27/cyberwar.) Вопрос является действительным, который не был должным образом решен. Если блокирование коммерческих поставок может быть актом войны, будет ли противодействие электронной коммерции эквивалентным в киберпространстве? И какой реакции это заслуживает? В 2010 году НАТО попыталась решить этот вопрос, придя к выводу, что, если союзник подвергнется кибератаке, НАТО поможет защитить сети жертвы, но эта помощь не дотягивала до предложения помочь жертве провести контратаку.
  
  58 Авторское интервью с Брауном, февраль 2014.
  
  59 Гарольд Кох, бывший юрисконсульт Государственного департамента, выступая на Межведомственной юридической конференции Киберкомитета США в Форт-Миде в сентябре 2012 года, утверждал, что позиция правительства заключается в том, что применение силы приравнивается к вооруженному нападению. “На наш взгляд, не существует порога, при котором применение смертоносной силы квалифицировалось бы как "вооруженное нападение", которое может потребовать силового ответа”. Смотрите state.gov/s/l/releases/remarks/197924.htm.
  
  60 Авторское интервью с Либицки, октябрь 2012.
  
  61 Все цитаты из Lotrionte взяты из интервью автора, февраль 2014.
  
  62 Силлуффо выступал на слушаниях по “Иранской киберугрозе для родины США” на совместном слушании подкомитета Комитета по национальной безопасности, 26 апреля 2012 г., доступно по адресу gpo.gov/fdsys/pkg/CHRG-112hhrg77381/pdf/CHRG-122hhrg77381.pdf.
  
  63 Браун написал статью по этому вопросу. См. Гэри Д. Браун и Эндрю О. Меткалф, “Легче сказать, чем сделать: юридические обзоры кибероружия”, Журнал закона и политики национальной безопасности, опубликованный Georgetown Law, 12 февраля 2014 г., доступен по адресу jnslp.com/wp-content/uploads/2014/02/Easier-Said-than-Done.pdf.
  
  OceanofPDF.com
  
  БЛАГОДАРНОСТИ
  
  Когда я впервые начал писать о Stuxnet после его открытия летом 2010 года, не было никакого способа узнать, к чему это приведет. Только несколько месяцев спустя, после того как исследователи Symantec и команда Ральфа Ленгнера углубились в это, стало ясно, что необходимо рассказать более масштабную историю — не только об атаке на иранские центрифуги и открытии первого в мире цифрового оружия, но и о сообществе безопасности и его меняющемся характере на заре эры кибервойн. Банально говорить, что что-то меняет правила игры, но Stuxnet действительно таков. Все вредоносное ПО, существовавшее до его появления, вполне может быть помечено как BS — до Stuxnet, поскольку предшествовавший ему код представлял собой более простые, невинные времена, когда мотивы и амбиции злоумышленников были более понятными и их было легче распознать.
  
  Если расшифровка Stuxnet была сложной задачей, то написание этой книги было такой же сложной задачей. Объединить повествовательную структуру со сложными техническими деталями и политико-историческим контекстом, который был таким же запутанным, как и код, в то же время предлагая убедительное прочтение и отдавая должное напряженному труду, который исследователи вложили в анализ кода, было непростой задачей, особенно когда предметом этого повествования оказалась движущаяся мишень.
  
  Когда я всерьез взялся за книгу в начале 2012 года, все, что, как мы думали, мы знали о Stuxnet, пришлось пересмотреть, поскольку было сделано одно новое открытие за другим — сначала с Duqu, затем с Flame, а затем, в начале 2013 года, с презентацией Stuxnet 0.5, первой известной версии цифрового оружия, которую удалось найти. И цель все еще движется сегодня.
  
  Stuxnet и его вспомогательные инструменты для шпионажа были на современном уровне в то время, когда они были разработаны и выпущены, но это состояние, без сомнения, было превзойдено другими цифровыми инструментами, разработанными вслед за ним, которые еще предстоит обнаружить и, возможно, не будут обнаружены в течение многих лет.
  
  Хотя написание этой книги было трудным, оно облегчилось благодаря огромной помощи и поддержке, которые я получил от многих людей.
  
  Книга была бы невозможна без поощрения и поддержки моего агента Дэвида Фьюгейта, который впервые обратился ко мне в 2007 году после публикации серии из трех частей, которую я написал для Wired, о цифровом подполье кардинговых форумов и увлекательном сообществе воров банковских карт, которые их населяют. Хотя я решил не расширять эту серию в виде книги, Дэвид оставался на связи в течение следующих нескольких лет, периодически обращаясь к нам, чтобы сказать, что он по-прежнему заинтересован в сотрудничестве, и спрашивая, есть ли у меня на примете какой-либо проект.
  
  На протяжении всего процесса подачи предложений и написания этой книги он оставался непоколебимым сторонником, предоставляя ценные отзывы и опытную точку зрения ветерана издательского дела, оказывая необходимую поддержку, когда это было необходимо больше всего. Он своего рода защитник, которого должен иметь каждый писатель в своем уголке.
  
  Помимо Дэвида, Джулиан Павия, мой редактор в Crown / Random House, сыграл большую роль в формировании книги и поддержании ее на пути. Это был сложный проект для обсуждения, но Джулиан выполнил его с изяществом и терпением, несмотря на то, что содержание неожиданно изменилось, а сроки истекли. Кроме того, Джулиан проделал мастерскую работу по оптимизации технических деталей, чтобы сбалансировать повествовательный поток и усовершенствовать мою иногда неровную прозу.
  
  Я также хотел бы поблагодарить Ким Сильвертон, помощника редактора Random House, за ее своевременные и полезные отзывы о рукописи на этапе редактирования, а также команды по рекламе и маркетингу — Сару Брейвогель, исполнительного публициста Random House, Сару Пекдемир, старшего менеджера по маркетингу, и Джея Соунса, директора по маркетингу Crown — за их восторженную поддержку книги.
  
  Однако книга не существовала бы без всех талантливых исследователей, которые проделали тяжелую работу по расшифровке Stuxnet и его арсенала инструментов и которые оказывали мне неустанную помощь, чтобы помочь мне разобраться в деталях. Среди них Сергей Уласен из VirusBlokAda, а теперь и "Лаборатория Касперского", и Олег Купреев из VirusBlokAda, который первым поднял тревогу и заставил остальной мир обратить внимание на странный код, обнаруженный в Иране.
  
  В их число, конечно же, входит блестящая и трудолюбивая команда Symantec — Эрик Чиен, Лиам О'Мерчу и Николас Фаллиер, чье любопытство, настойчивость и мастерство обеспечили наиболее важные части головоломки Stuxnet и гарантировали, что код не будет незаметно забыт. Все трое были чрезвычайно щедры со своим временем и выдержали множество раундов вопросов в разгар напряженного графика, чтобы поделиться своими взглядами и опытом.
  
  Я не могу выразить достаточной благодарности им и не менее блестящей и неутомимой команде глобальных исследований и анализов в "Лаборатории Касперского" — Костину Райу, Алексею Гостеву, Роэлу Шувенбергу, Курту Баумгартнеру, Виталию Камлюку и остальным членам глобальной группы исследователей компании, – которые неоднократно поражали меня своим мастерством и преданностью изучению мельчайших деталей очень сложных атак, хотя работа с ними часто требовала телефонных звонков в 6 утра с моей стороны, чтобы учесть разницу во времени с Восточная Европа. Я особенно благодарен Костину за то, что он вышел за рамки call of duty, иногда за счет времени, проведенного с семьей, и за его замечательную мудрость, память и внимание к деталям, которые помогали мне отслеживать множество сводящих с ума фактов, которые становились все более обширными с каждым новым открытием.
  
  Я также очень благодарен Грегу Фунаро и Райану Нарейну из "Лаборатории Касперского", которые обладали сверхъестественной способностью предвидеть, что мне нужно, прежде чем я понял, что мне это нужно, и которые непоколебимо стремились не оставлять ни одного вопроса без ответа. Бывшая работа Райана в качестве ведущего журналиста по вопросам безопасности в сочетании с его техническим опытом сделали его идеальным связующим звеном с исследовательской группой.
  
  Помимо исследовательских групп Symantec и Kaspersky, история Stuxnet не могла бы быть рассказана без работы Ральфа Ленгнера и его коллег Ральфа Розена и Андреаса Тимма. Страсть Ральфа к Stuxnet оживила его в прессе и привлекла к нему внимание основных средств массовой информации, в то время как его обширные знания в области промышленных систем управления помогли общественности понять более широкие последствия Stuxnet для безопасности критически важной инфраструктуры. Я благодарен за многие часы, которые он провел со мной по телефону и лично, чтобы помочь мне разобраться в более широком контексте Stuxnet. Его откровенная и прямолинейная манера касалась сути проблем и гарантировала, что общественность не сможет игнорировать важность Stuxnet. Я также благодарен Ральфу Розену за время, которое он уделил, чтобы рассказать мне об их работе над Stuxnet, и за проверку некоторых завершенных текстов на предмет точности.
  
  Точно так же Болдисар Бенчат был чрезвычайно щедр со своим временем и опытом, оказывая добрую и бесценную помощь, которая помогла мне разгадать несколько тайн и понять, каким образом все атаки были связаны.
  
  Помимо этих исследователей, я в большом долгу перед Дэвидом Олбрайтом из Института науки и международной безопасности, который помог не только мне, но также Symantec и Ральфу Лангнеру понять влияние Stuxnet на Натанз и процесс обогащения. И он, и Олли Хейнонен, ранее работавший в МАГАТЭ, а ныне старший научный сотрудник Белферовского центра науки и международных отношений Гарвардского университета, предоставили большое представление об иранской ядерной программе в целом и о процессе обогащения в Натанзе в частности.
  
  Кроме того, я хотел бы поблагодарить Кори Хиндерштейн, которая сейчас работает в Инициативе по ядерной угрозе, за то, что она поделилась своими воспоминаниями из первых рук о пресс-конференции, на которой Натанз был впервые разоблачен, и ее работе по раскрытию печально известных спутниковых снимков.
  
  Я также хотел бы поблагодарить Дейла Питерсона, Перри Педерсона, Джо Вайса и Майка Ассанте за то, что помогли мне понять более широкое влияние Stuxnet и подобного ему оружия на критически важную инфраструктуру. Дейл и Перри были особенно полезны при чтении главы о промышленных системах управления и предоставлении обратной связи.
  
  Аналогичным образом, я хотел бы поблагодарить Джейсона Хили и Маркуса Сакса за предоставление справочной информации о первых днях правительственной программы цифровой войны, а также Джейсона за представление о последствиях Stuxnet и Flame и о том, куда мы идем дальше. Я также хотел бы поблагодарить Чарли Миллера и Чауки Бекрара за их откровенность при обсуждении рынка нулевого дня и за то, что они помогли мне понять мотивы, которые движут этим рынком.
  
  В дополнение ко всем этим людям, есть другие, которые сидели на собеседованиях или читали главы или части глав, чтобы предоставить желанные и полезные отзывы. Некоторые из них я назвал здесь; многие другие попросили остаться анонимными.
  
  Один читатель, которого я хотел бы особо поблагодарить, - это Андреа Матвишин, хороший и ценный друг, который поддерживал мою работу и карьеру в течение многих лет и который брал некоторые из этих глав с собой на конференции и праздники, чтобы своевременно предоставлять обратную связь, в которой я нуждался. Я также особенно хотел бы поблагодарить Джема Пайа, еще одного хорошего друга и сторонника моей работы, который взял главы на отдых в Турцию и даже несколько раз прочитал различные версии глав, чтобы убедиться, что технические детали были точными и последовательными.
  
  Эта книга о Stuxnet является кульминацией более чем десятилетнего опыта написания отчетов о кибербезопасности, хакерах и сообществе безопасности, которые помогли мне углубить свои знания и понимание этих сложных вопросов. Я хотел бы поблагодарить многих друзей, семью и коллег, которые на протяжении многих лет оказывали большую поддержку, вдохновение, руководство, ободрение, хорошее редактирование и голос разума, в том числе Ричарда Тима, Дэна Гудина, Элинор Миллс и Роба Лемоса, а также моего Коллеги из Wired в прошлом и настоящем — Чак Скватриглия, Джим Меритью, Кевин Поулсен, Райан Сингел и Дэвид Кравец. Я также хотел бы поблагодарить Дэвида Зеттера и Марка Зеттера за их постоянную поддержку и множество хороших воспоминаний.
  
  
 Ваша оценка:

Связаться с программистом сайта.

Новые книги авторов СИ, вышедшие из печати:
О.Болдырева "Крадуш. Чужие души" М.Николаев "Вторжение на Землю"

Как попасть в этoт список

Кожевенное мастерство | Сайт "Художники" | Доска об'явлений "Книги"