Кивино гнездо: Ещё раз про Stuxnet Берд Киви

Кивино гнездо: Ещё раз про Stuxnet

Берд Киви

Опубликовано 27 января 2011 года

За несколько первых недель 2011 года череда независимых друг от друга событий сложилась таким образом, что общая картина вокруг загадочного компьютерного червя Stuxnet стала выглядеть значительно отчётливее. Известные прежде подробности туманной истории про некие «тайные силы», сумевшие подорвать иранскую ядерную программу с помощью весьма эффективного компьютерного вируса, можно найти, к примеру, на сайте «КТ» (здесь и здесь). В последнее же время происходило вот что.

В январе этого года уходивший в отставку директор израильской разведслужбы Mossad Меир Даган и госсекретарь США Хиллари Клинтон отдельно и независимо друг от друга объявили, что, по имеющимся у них сведениям, усилия Ирана по созданию ядерного оружия оказались отброшены на несколько лет назад. Правда, в аккуратном заявлении мадам Клинтон, сделанном в ходе её недавнего вояжа по государствам Ближнего Востока, причиной столь серьёзных проблем названы возглавляемые Америкой экономические санкции против Ирана, существенно подорвавшие возможности этой страны по закупке необходимых технических компонентов и ведению международного бизнеса.

Куда менее дипломатичный Меир Даган (ведомство которого открыто обвиняется Ираном в недавних убийствах ведущих иранских учёных-ядерщиков), выступая в Кнессете, сообщил израильским законодателям, что Иран ныне попал в такие технологические трудности, которые способны задержать создание ядерной бомбы до 2015 года. Это заявление прозвучало особенно сильно по сравнению с прежними заявлениями Израиля, согласно которым выходило, что Иран в данной области стоит практически на грани успеха.

Ни Меир Даган, ни тем более Хиллари Клинтон не уточняли, какого именно рода технические проблемы столь серьёзно осложнили усилия Ирана. По мнению же многочисленных экспертов, важнейшим фактором представляется компьютерный червь Stuxnet — «наиболее сложный и изощрённый вид кибероружия из когда-либо применявшихся в мире».

Любопытное дополнение к уже известным сведениям о Stuxnet предоставили доклады на январской конференции Black Hat DC. Согласно устоявшейся уже традиции в проведении хакерских форумов Black Hat, дополнительно к основному летнему мероприятию Black Hat/DefCon в Лас-Вегасе, в зимние месяцы на другом конце континента — в столичном округе Колумбия — проводится аналогичная конференция Black Hat DC, как бы заточенная под интересы правительственных структур. Вполне естественно, что на очередном форуме этого ряда, несколько дней назад закончившемся в городе Арлингтон под Вашингтоном, одной из центральных тем стал компьютерный червь Stuxnet.

Наиболее содержательный, вероятно, доклад на эту тему сделал Том Паркер, консультант по безопасности из фирмы Securicon, углублённо изучавший коды программы Stuxnet. Как показал Паркер, код Stuxnet представляет собой продукт совместного творчества по крайней мере двух разных групп. Одна из них, судя по всему, состояла из весьма талантливых программистов, которые создали основную часть кода червя и его «эксплойтов», то есть инструментов для использования незалатанных дыр в компьютерной защите систем. Вторая же группа, по всем признакам менее продвинутая и искушённая, занималась адаптацией — причём весьма торопливой адаптацией — всего этого мощного инструментария под конкретную задачу.

При анализе Stuxnet Паркер одновременно обращал внимание и на качество кода, и на то, насколько хорошо код справляется со своей задачей. Было обнаружено несколько признаков, свидетельствующих, что если оценивать код в целом, то сделан он не очень хорошо. Это, впрочем, не мешает ему в некоторых случаях быть исключительно эффективным.

Кроме того, Паркер написал специальную программу, которая анализирует схожесть между кодом Stuxnet и кодами некоторых других хорошо известных червей. С одной стороны, в сравнении с прочими вредоносными программами общее качество кода Stuxnet выглядит довольно невысоким. Но с другой стороны, многофункциональность Stuxnet настолько велика, что коллективное авторство его программного наполнения не вызывает никаких сомнений...

Практически одновременно с началом конференции Black Hat DC газета «Нью-Йорк Таймс» (NYT) опубликовала большой материал команды журналистов, занимавшейся самостоятельным расследованием тайн, которые окружают Stuxnet. Обширные связи журналистов, работающих на ведущую американскую газету, позволили восстановить подробности этой истории в таком объёме, что загадок здесь в общем-то уже и не осталось.

Расследование подтвердило, что Stuxnet — это результат тайной операции США и Израиля. Её ключевым звеном был объект, представляющий интерес и сам по себе, — израильский ядерный комплекс Dimona в пустыне Негев. Последние два года он служил полигоном для совместных усилий США и Израиля по подрыву иранской ядерной программы. За рядами колючей проволоки, окружающей комплекс Dimona, работали ядерные центрифуги, практически идентичные тем, что обогащали уран на иранской фабрике в Натанзе.

Хотя американские и израильские официальные лица категорически отказываются публично обсуждать любые вопросы, связанные с происходящим на объекте Dimona, журналистам New York Times удалось добыть достаточно интригующих свидетельств из других источников.

В частности, достоверно установлено, что в начале 2008 года немецкая компания Siemens вела некий совместный проект с одним из научно-исследовательских центров министерства энергетики США (именно это ведомство отвечает за американское ядерное оружие). Цель состояла в выявлении уязвимостей в компьютерных контроллерах для управления промышленными процессами, которые эта компания продает по всему миру. По данным американских разведслужб, такие же контроллеры работали на иранских фабриках по обогащению урана. Как раз тогда, скорее всего, и были найдены дыры в защите систем Siemens, которые спустя год использовал червь Stuxnet.

Среди новых подробностей о работе Stuxnet недавно всплыла, к примеру, такая: функционально особенности вредительских действий червя можно разделить на две основные компоненты. Одна из них была сконструирована для того, чтобы управлять вращением ядерных центрифуг иранцев и заставить их работать в нештатных режимах, радикально нарушающих процесс обогащения урана. Другая же часть программы работает так, словно позаимствована с экранов шпионских или криминальных кинотриллеров.

Данная компонента имела возможность скрытно записывать все характеристики того, как выглядит функционирование ядерной фабрики в нормальном режиме, а затем воспроизводила эту картину вновь для операторов, управляющих работой оборудования фабрики. Словно заранее записанная видеолента службы безопасности в фильмах об ограблении банков, эта программа воссоздавала на мониторах и датчиках картину нормальной работы, хотя на самом деле центрифуги работали далеко за границами допустимых режимов.

(Окончание следует)

К оглавлению