Вирус Stuxnet и ядерная программа Ирана

Выход из строя столь большого количества центрифуг заставил задуматься — а не является ли это следствием какой-то диверсии спланированной при помощи недавно появившегося компьютерного вируса Stuxnet — который именно в Иране получил довольно большое распространение по сравнению с другими государствами, что может служить доказательством того, что разработчики вируса метили именно в Иран. И, как получается, непосредственно в завод по обогащению урана, используя известные уязвимости его операционной системы и пресловутый «человеческий фактор».

Но заказчик — неизвестен, гипотетический исполнитель — якобы сотрудник концерна «Сименс» (Siemens), вставивший инфицированный флеш-накопитель в управляющую систему производства. Ущерб же, причиненный ядерной программе Ирана, в данном случае сопоставим с ущербом от пресловутого удара израильских ВВС в 1981 году, как раз накануне пуска АЭС, когда была полностью разрушена вся инфраструктура предприятия.

 

Как свидетельствуют результаты проведенного расследования, именно кибернетические атаки как раз и могут стать идеальным инструментом столь масштабного повреждения оборудования — они стремительны, высокоэффективны в своей разрушительности и, в то же время, абсолютно анонимны

.

При этом следует отметить, что вирус Stuxnet атакует на уровне логических контроллеров (контроллеры — компьютеры, занимающиеся управлением крупных производственных и энергетических комплексов), заражая программную основу системы. В списке его целей — преобразователи частотно регулируемых приводов (VFD). Среди обнаруженных в теле вируса активируемых частот есть и такие, которые могут влиять на электронное оборудование иранских центрифуг IR-1. Хотя само по себе это обстоятельство еще ничего не значит.

 

Чего на самом деле добивались разработчики вируса, неизвестно. Если они ставили перед собой именно задачу физического разрушения центрифуг, то их план не сработал, так как вирус Stuxnet этого не обеспечил. Но если они намеревались повредить те или иные узлы центрифуг или вывести их из строя на длительное время, то, возможно, они даже преуспели, так как нанесенный вирусом урон оказался внезапным и весьма ощутимым. Следует отметить, что когда персонал осознал, что с работой центрифуг происходит что-то неладное и отключил подачу на них электроэнергии, — было уже поздно, а обстановка в цеху напоминала последствия террористического акта, связанного с применением множества взрывных устройств одновременно.

 

Официально Иран не признал, что завод оказался под ударом компьютерного вируса. Однако на самом высшем уровне подтверждается, что кибератаки на его ядерные объекты ведутся. Так, в конце ноября 2010 г. президент Махмуд Ахмадинежад заявил, что у «ограниченного числа центрифуг» возникли проблемы с программным обеспечением в электронике.

 

В то же время Глава организации по атомной энергии Ирана доктор Али Акбар Салехи обозначил дату, когда вирус Stuxnet появился на иранских ядерных объектах, — это середина 2009 года. Следовательно, время, которое потребовалось вредоносному вирусу на прохождение пути от первых зараженных персональных компьютеров до заводских цехов составляет более одного года.

 

При этом в 2009–2010 гг. иранские специалисты демонтировали и заменили порядка 1 000 центрифуг IR-1 на заводе. И до этого данная довольно устаревшая модель центрифуг часто выходила из строя (порядка 10 % ежегодно), но замена столь большой партии, как в 2010 г., заставила задуматься, начать расследование и глубокое научное изучение этого вопроса.

 

Разумеется, завод по обогащению урана — это закрытое предприятие с ограниченным доступом, высоким уровнем режима секретности системы управления и контроля и не соединен с Интернетом. По оценкам специалистов, добраться до управляющих компьютеров вирус мог только через персональные компьютеры специалистов завода — сначала заразив их домашние компьютеры, или через компьютеры людей, как-то связанных с заводом, а потом уже посредством их флешек вирус мог попасть на компьютеры систем управления.

 

Передовицы мировой прессы заполонили мрачные пророчества о наступлении эры кибернетических войн. Над разгадкой тайны вируса Stuxnet, поразившего завод по обогащению урана Ирана, бьются специалисты самых разных направлений: от IT-безопасности до лингвистики и антропологии. Следует отметить, что вирус Stuxnet был обнаружен антивирусными лабораториями достаточно давно, однако об истинных масштабах заражения мир узнал только в конце сентября 2010 г.

 

По вполне понятным и логичным причинам разработчики вируса Stuxnet предпочитают держаться в тени. Однако специалисты акцентируют внимание на том, что совершенно очевидно, — сложность этого вируса можно назвать беспрецедентной, а создание подобного проекта требует огромных интеллектуальных и финансовых инвестиций, а значит, под силу лишь структурам государственного масштаба. Эксперты сходятся во мнении, что этот вирус не является плодом усилий просто «группы энтузиастов». Лоран Эсло, руководитель отдела систем безопасности фирмы Symantec, предполагает, что над созданием вируса Stuxnet работали как минимум до 10 человек на протяжении шести-девяти месяцев. Франк Ригер, технический директор GSMK, поддерживает своего коллегу: по его словам, вирус создавала команда опытных программистов, а разработка заняла около полугода. Ригер называет и ориентировочную стоимость создания вируса Stuxnet: она составляет не менее $ 3 млн. О диверсионном предназначении вируса говорит Евгений Касперский, генеральный директор «Лаборатории Касперского»: «Stuxnet не крадет деньги, не шлет спам и не ворует конфиденциальную информацию. Этот зловред создан, чтобы контролировать производственные процессы и в буквальном смысле управлять огромными производственными мощностями. В недалеком прошлом мы боролись с кибер-преступниками и интернет-хулиганами, теперь, боюсь, наступает время кибертерроризма, кибероружия и кибервойн». Тильман Вернер, участник содружества специалистов в области интернет-безопасности, уверен: хакеры-одиночки на такое не способны.

«Stuxnet настолько совершенен с технической точки зрения, что следует исходить из того, что в разработке вредоносной программы принимали участие специалисты из госструктур или что они, по крайней мере, оказывали какую-то значимую помощь в ее создании», — утверждает Вернер.

Специалисты отмечают, что вирус Stuxnet проникает в компьютер через гнездо USB из зараженного носителя, обычно disk-on-key, в народе именуемого флешкой. С этого момента инфицированный компьютер сам становится источником заразы.

 

А «червь» внутри него (у вируса Stuxnet отмечают шесть различных способов проникновения и закрепления в операционной системе компьютера) начинает действовать в автономном режиме. Никакая команда извне ему уже не нужна. Он от рождения знает, что ему делать. Вирус Stuxnet тестирует содержимое компьютера, поступающие и исходящие из него команды и ведет себя совершенно нормально по отношению к поглотившей его системе, никак не вредит ни ей самой, ни ее партнерам, пока не наткнется на признаки цели, для охоты на которую он создан, — программы управления производством концерна «Сименс». И тогда он превращается в жестокого хищника-разрушителя.

 

Специализация вируса Stuxnet — это компьютерные программы крупномасштабных систем управления промышленными предприятиями SCADA (Supervisory Control and Data Acquisition), т. е. «диспетчерское управление и сбор данных». Эти системы регулируют технологические процессы электростанций, нефте- и газопроводов, военных заводов, предприятий гражданской инфраструктуры и т. п.

Вирус Stuxnet, обладая необходимыми исходными возможностями системного администратора и зная уязвимые места операционной системы, которые не знает, кроме него и его создателей, никто, поднимает себя в сложившейся управленческой иерархии до уровня инициирования команд, фактически захватывает власть в системе и переадресует ее на выполнение собственной разрушительной цели.

 

Первым делом он меняет компьютеру «голову» и перепрограммирует программу PLC (Programmable Logic Controler — программируемый логический контроллер), отвечающую за логику. И начинает сам отдавать команды.

 

По мнению специалиста по промышленной безопасности в концерне «Сименс» Ральфа Лангнера, вирус Stuxnet может изменить параметры работы «оперативного блока 35», ведущего мониторинг критических производственных ситуаций, требующих срочной реакции в 100 миллисекунд. Если так, озверевшему «червю» ничего не стоит привести систему к разрушительной аварии.

 

Взяв управление на себя, вирус Stuxnet последовательно ведет систему к разрушению производства. Он вовсе не шпион, как надеялись поначалу многие, он диверсант. Как только исходный код PLC перестает выполняться, утверждает Ральф Лангнер, можно ожидать, что вскоре какое-то звено взорвется, разрушится. И, скорее всего, это окажется что-то важное.

 

Эксперты сходятся во мнении, что разработка и внедрение такого сложного вируса — задача непосильная ни хакеру, ни группе хакеров, ни какой-либо частной структуре. Это явно дело рук государства. Только государство могло себе позволить запустить такого дорогостоящего «червя», тем самым фактически рассекретив его, только ради крайне важной для него цели и только потому, что не могло больше ждать.

 

В связи с этим тот же Ральф Лангнер высказывает логичное предположение, что вирус Stuxnet уже, скорее всего, сделал свое дело. Все же «червь», хоть явно и не шпионская программа, но кое-какую информацию дает, в том числе для широкой публики, хотя бы самим фактом своего существования.

 

Проблемы концерна «Сименс»

Широко известным фактом является то, что Бушерскую АЭС построили специалисты российского «Атомстройэкспорта» по российским технологиям и с использованием компьютерных систем управления производством концерна «Сименс».

 

Следует отметить, что, по оценке специалистов, вирус Stuxnet поражает лишь конкретный тип контроллеров концерна «Сименс», а именно SIMATIC S7, который, по сведениям МАГАТЭ (Международное агентство по атомной энергии), используется Ираном. При этом порядка 60 % компьютеров, зараженных вирусом Stuxnet, находится в Иране, а остальные 40 % — в странах, так или иначе связанных с ним: Индонезии, Индии и Пакистане.

 

Важной деталью рассматриваемого вопроса является то, что именно концерн «Сименс» принимал активное участие в 70-х гг. прошлого века в обеспечении высокотехнологическим оборудованием ядерной программы Ирана. После победы исламской революции концерн прекратил работу в стране, но затем немцы вернулись, и Иран стал для них одним из крупнейших заказчиков специфического оборудования. Однако после введения международных санкций, с большой неохотой и под жестким давлением правительства Германии, концерн «Сименс» объявил о прекращении контрактов с Ираном. На этот факт до сих пор ссылаются представители концерна в ответ на то и дело возникающие упреки. Однако вскоре их поймали на поставках запрещенного оборудования и комплектующих двойного назначения, которые могут быть использованы для установки на ядерных объектах Ирана, о чем речь пойдет ниже.

 

Версия программной поддержки

Как и во всем мире предприятия ядерного цикла, завод по обогащению урана — предприятие закрытое и имеет большие ограничения, в том числе связанные с доступом посторонних на свою территорию. Но некоторые представления о специфике производственного процесса у организаторов диверсии были. Так, в 2007–2008 гг. завод посещали инспекторы МАГАТЭ — тогда иранские власти еще не закрыли перед ними двери. Специалисты узнали немало интересной информации даже из официальной иранской теле- и фотосъемки, посвященной визиту на завод президента страны Махмуда Ахмадинежада в 2008 г. Службы безопасности сработали тогда на удивление непрофессионально. Так, на фото можно было разглядеть мониторы компьютеров, работающих под операционной системой Windows; стало точно известно, какие центрифуги используются в Натанзе (в обход эмбарго на поставки запрещенного оборудования Иран закупал центрифуги в Пакистане); а компьютерное управление моторами центрифуг производится с помощью контроллеров концерна «Сименс». Владея этой информацией, необходимо было только решить, каким надежным образом занести вредоносную программу в компьютерную сеть предприятия, ведь из соображений безопасности она не подсоединена к Интернету. И авторы вируса Stuxnet разработали хитроумное решение:

Так как под нужды конкретного производства для сименсовских контроллеров всегда создается специальное программное обеспечение (собственно система управления), то управленческие программы «пишутся» на них под заказ, следовательно, разработчики впоследствии занимаются их плановой поддержкой и регулярно доставляют на производство файлы обновлений. Наиболее возможным способом доставки информации в закрытую сеть завода являются внешние носители. Хакеры «закинули» вирус Stuxnet в шесть иранских компаний — разработчиков программного обеспечения, которые, по их мнению, могли иметь контакты с заводом в Натанзе. Заразить компьютеры этих компаний было делом техники ввиду того, что они подключены к Интернету, и их сотрудники пользуются электронной почтой. Как и следовало ожидать, расчет на то, что рано или поздно вирус попадет по назначению, полностью оправдался: зараженные компьютеры, которые управляют производством, в какой-то момент подали команду на раскручивание центрифуг до тех пор, пока часть из них не вышла из строя. Только тогда обслуживающий персонал завода заметил неладное и обесточил их.

 

Израильский след

Иран превратился в объект повышенного международного внимания, когда западные страны начали всячески предпринимать шаги по срыву его ядерных программ, направленных, по их мнению, на создание своего ядерного оружия. В этих условиях проводится работа по развалу его экономики при одновременной атаке военно-промышленного и научного секторов. Такой вывод содержится в вышедшей в Евросоюзе книге специалиста в области разведки Ивонника Деноэля «Секретные войны Моссада». В этом издании впервые подробно рассказывается об операции по срыву работы центрифуг по обогащению урана с помощью компьютерного вируса.

Первые данные о подземном заводе по обогащению урана в г. Натанзе западные спецслужбы получили в 2002 году, когда агенты германской разведки завербовали иранского бизнесмена, чья компания принимала участие в создании этого объекта. Исходя из слов автора — иранец согласился предоставить карты, фотографии, техническое описание и иные сведения об этом объекте в обмен на обещание вывезти его позднее из страны и предоставить немецкое гражданство. Однако, отмечает Деноэль, иранская контрразведка разоблачила этого агента в 2004 г. и ликвидировала его. Тем не менее его супруга смогла вывезти из Ирана в Германию портативный компьютер погибшего мужа.

«Компьютер стал подлинной пещерой Али-Бабы, а немецкой разведке потребовались месяцы, для того чтобы изучить попавшие в ее руки документы», — замечает автор книги.

Вслед за этим в 2006 г. на заводе в Натанзе и ядерном центре Исфахана последовала «подозрительная» серия взрывов, когда из строя были выведены трансформаторы во время запуска газовых центрифуг, на которых происходит обогащение урана. В результате в Натанзе были повреждены до 50 центрифуг.

 

Между тем в 2009 году на ядерном объекте Израиля «Димона» в пустыне Негев была создана совместная с США группа специалистов по мониторингу израильской ядерной программы. Одновременно израильские спецслужбы создали на основе полученной разведкой документации точную рабочую копию иранского обогатительного завода в Натанзе. Данные работы облегчались тем, что как в «Димоне», так и в Натанзе использовалась французская ядерная технология. Деноэль пишет, что израильским спецслужбам удалось приобрести на мировом «черном рынке» центрифуги, аналогичные которым использует Иран для обогащения урана.

 

В результате, как считают независимые специалисты, создание Израилем «зеркального Натанза» с его производственным циклом позволяет ему в реальном времени следить за прогрессом в ключевой области иранской ядерной программы — работами по обогащению урана. По данным автора, именно центрифуги завода в Натанзе и стали объектом атаки западных спецслужб, использовавших для этого компьютерные сети.

 

Как сообщает Деноэль, в 2008 г. осуществлявший сделки с Ираном, немецкий машиностроительный концерн «Сименс» «согласился на сотрудничество с Министерством внутренней безопасности США с целью помочь его специалистам найти уязвимые места в компьютерной системе вооруженных сил Ирана». Этому способствовал тот факт, что «Сименс» участвовал в создании компьютеров, которые занимаются управлением крупных производственных и энергетических комплексов (контроллеры). Как оказалось, компьютерное оборудование немецкой компании использовалось иранцами и на заводе в г. Натанзе.

 

Одновременно спецслужбами Израиля и США была организована группа по созданию компьютерного вируса Stuxnet, начавшая работу в «Димоне». В этой связи газета «Нью-Йорк таймс» писала, что без воссоздания производственного процесса иранского завода в Натанзе в израильском ядерном центре вирус Stuxnet не смог бы сработать с высокой эффективностью. При этом Израиль привлек к работам ранее ушедших на пенсию ученых и техников, работавших в ядерном секторе в 50–60-х гг. – настолько специфичным, да и, более того, довольно устарелым оказался производственный процесс в Натанзе. Но именно эти специалисты-ветераны обладали необходимыми знаниями для воссоздания технологических процессов иранской ядерной программы.

 

Операция по промышленному саботажу в Иране имела несколько уровней. Так, в июне 2009 г. специалисты США и Израиля создали и запустили в Интернет упрощенную версию вируса Stuxnet, источник происхождения которого невозможно было определить. Первоначально данный вирус позволял похищать хранящуюся в компьютерах информацию, идентификационные номера, пароли и кодовые слова, сведения о конфигурации сетей.

 

Спустя несколько недель вслед за первым появлением в мировой Сети вируса Stuxnet была выпущена его сложная версия, направленная на атаку иранских производственных объектов. Именно ее направили специалисты США и Израиля в сети завода в г. Натанзе, где он взял под контроль систему управления центрифугами. Согласно Деноэлю, вирус вынуждал контрольные программы сообщать о «нормальной работе», проникая в то же время все глубже в производственные системы.

«Тем самым в компьютерной системе Натанза была создана виртуальная действительность, которая не позволяла иранским специалистам заподозрить факт вирусной атаки», — отмечает автор книги.

Все говорит о том, что в 2010 г. был отдан приказ о начале атаки, и вирус, взяв под контроль управление центрифугами, заставил их увеличить скорость вращения ротора с 1 000 оборотов в секунду до 1 400. При достижении подобной скорости происходит поломка и выход из строя центрифуги.

О том, что на заводе в г. Натанзе происходят какие-то события, немедленно сообщили инспекторы МАГАТЭ. Обычно на этом предприятии, где были развернуты 8 700 центрифуг, количество выходивших из строя не превышало 10 % в год. Однако в течение трех месяцев 2010 г. иранские техники заменили до 2 тыс. центрифуг, сообщили представители МАГАТЭ. Как считают западные аналитики, технологическая атака позволила отбросить назад на 24 месяца прогресс в работах по обогащению урана. Так, по мнению бывшего главы «Моссад» Меира Дагана, «успешная операция задержала начало производства Ираном обогащенного оружейного урана на несколько лет».

 

Тем не менее, по словам Деноэля, эта операция не смогла остановить ядерную энергетическую программу Ирана. Поврежденные центрифуги были заменены, а согласно данным западных разведок, Тегеран имеет до 8 тысяч резервных центрифуг.

 

Материалы расследования

Согласно статистическим данным, собранным до событий 2010 г., имевшиеся в распоряжении Тегерана резервные центрифуги — это довольно устаревшая модель (IR-1), и они также часто выходят из строя. Так, еще в 2009–2010 гг. иранские специалисты демонтировали и заменили порядка 1 000 центрифуг IR-1 на заводе по обогащению урана.

 

Опубликованные данные МАГАТЭ подтверждают, что в начале 2010 г. на заводе происходило нечто странное. В цеху (технологический модуль A26) было отключено 11 из 18 каскадов центрифуг — всего 1 804 машины. В других цехах ситуация выглядела лучше, хотя и там фиксировались отключения одного-двух каскадов.

 

Монтаж модуля A26 производился в 2008 г. Это второй модуль, собранный на заводе. По состоянию на июнь 2009 г., 12 из 18 каскадов этого модуля обогащали уран. В августе 2009 г. обогащением занималось 10 каскадов, а в ноябре только шесть.

 

Такое уменьшение числа каскадов, обогащающих уран, подтверждает, что на модуле A26 возникли существенные проблемами. А в период между ноябрем 2009 г. и концом января 2010 г. (точнее сказать нельзя) случилось нечто, потребовавшее выключения сразу 11 каскадов.

 

В то же время следует отметить, что сам по себе факт отказа центрифуг IR-1 не является из ряда вон выходящим событием. Центрифуги IR-1 ломаются и делают это часто. По неофициальным оценкам специалистов МАГАТЭ, в год на этом заводе выходит из строя до 10 % от общего количества установленных центрифуг, т. е. по 800–900 машин ежегодно.

 

Не исключено, что центрифуги модуля A26 отказали по «естественным» причинам, хотя количество вышедших из строя машин достаточно велико и превышает годовую норму отказов.

 

Есть и другое объяснение, исключающее всякий внешний саботаж, — это качество установки узлов центрифуг в модуле A26, которое может быть низким, что могло дать о себе знать. Так, известно, что центрифуги первого иранского модуля (A24) работают устойчиво. Но на втором модуле (A26) качество работ при установке узлов центрифуг, проводимых после введения международного запрета (на поставку соответствующего специфического оборудования), могло оказаться ниже, чем для первого. Такое объяснение не противоречит реалиям. Непонятно, правда, почему заводской брак сказался спустя год с лишним после пуска второго модуля.

 

Есть и третья версия. Так, первый модуль (A24) мог быть изготовлен из официально закупленных импортных составляющих, а второй (A26) — из неизвестно как попавших в Иран комплектующих. В этом случае, массовый выход центрифуг второго модуля из строя не должен вызывать особого удивления.

 

При этом следует отметить, что эксперты фирмы Symantec определили, что вирус Stuxnet среди прочего атакует частотные преобразователи, которые выпускались иранской компанией Fararo Paya и финской Vacon. Соответствующие последовательности команд в теле вируса эксперты обозначили как «A» и «B». Частотные преобразователи на центрифугах нужны для системы управления моторами, которая позволяет с большой точностью задавать скорости вращения роторов центрифуг.

 

Преобразователи, в которые целил вирус Stuxnet, имеют ограниченную сферу применения, в том числе и предназначены для установки на центрифугах. Многие специалисты после сообщения фирмы Symantec» поверили в то, что вирус был разработан для борьбы с ядерной программой Ирана.

 

В то же время Иран никогда не указывал тип преобразователей в своих декларациях и не позволял инспекторам получить эти данные.

 

(Окончание следует)