Viitorul războiului poate tocmai a început, dar, mai degrabă decât a fi anunțat de o explozie, a început fără un sunet sau o singură victimă.
Este primul de acest gen și ar putea fi un semnal al modurilor în care se luptă toate războaiele de acum înainte. Este o armă cibernetică atât de precisă încât poate distruge o țintă mai eficient decât un exploziv convențional și apoi pur și simplu se șterge, lăsând victimele lăsate să se învinovățească. Este o armă atât de groaznică încât ar putea face, în mod imaginabil, mai mult decât doar deteriorarea obiectelor fizice, ar putea ucide ideile. Este viermele Stuxnet, numit de mulți drept prima armă reală a războiului cibernetic din lume, iar prima sa țintă a fost Iranul.
Zori de război cibernetic
Stuxnet este aproape ca ceva din romanul lui Tom Clancy. În loc să trimită rachete pentru a distruge o centrală nucleară care amenință întreaga regiune și întreaga lume și este supravegheată de un președinte care a susținut că ar dori să vadă o întreagă rasă de oameni „șterse de pe hartă”, un simplu virus computerizat pot fi introduse care vor face treaba mult mai eficient. A ataca o structură cu rachete poate duce la război și, în plus, clădirile pot fi reconstruite. Dar infectarea unui sistem atât de complet încât oamenii care îl folosesc încep să se îndoiască de credința lor în propriile abilități va avea efecte mult mai devastatoare pe termen lung.
Într-un moment rar de deschidere din Iran, națiunea a confirmat că malware-ul Stuxnet (numele provine din cuvintele cheie îngropate în cod) care a fost descoperit inițial în iulie, a afectat ambițiile nucleare ale țării. Deși Iranul minimizează incidentul, unele rapoarte sugerează că viermele a fost atât de eficient, încât s-ar putea să fi retras programul nuclear iranian cu câțiva ani.
În loc să infecteze pur și simplu un sistem și să distrugă tot ceea ce atinge, Stuxnet este mult mai sofisticat de atât și mult mai eficient.
Viermele este inteligent și adaptabil. Când intră într-un sistem nou, acesta rămâne inactiv și învață sistemul de securitate al computerului. Odată ce poate funcționa fără să declanșeze alarma, apoi caută ținte foarte specifice și începe să atace anumite sisteme. În loc să-și distrugă pur și simplu țintele, face ceva mult mai eficient - le induce în eroare.
Într-un program de îmbogățire nucleară, o centrifugă este un instrument fundamental necesar pentru rafinarea uraniului. Fiecare centrifugă construită urmează aceeași mecanică de bază, dar producătorul german Siemens oferă ceea ce mulți consideră a fi cel mai bun din industrie. Stuxnet a căutat controlerele Siemens și a preluat comanda modului în care centrifuga se învârte. Dar, mai degrabă decât să forțeze pur și simplu mașinile să se învârtă până când s-au distrus singure - ceea ce viermele era mai mult decât capabil să facă - Stuxnet a făcut schimbări subtile și mult mai subțiri la mașini.
Când o probă de uraniu a fost introdusă într-o centrifugă infectată cu Stuxnet pentru perfecționare, virusul ar fi comandat mașinii să se învârtă mai repede decât a fost conceput, apoi sa oprit brusc. Rezultatele au fost mii de mașini care s-au uzat cu ani înainte de termen și, mai important, au distrus probele. Dar adevăratul truc al virusului a fost acela că, în timp ce sabotează utilajele, acesta va falsifica citirile și ar face să pară că totul funcționează în limitele parametrilor așteptați.
După luni de zile, centrifugele au început să se uzeze și să se spargă, dar pe măsură ce citirile păreau încă să se încadreze în norme, oamenii de știință asociați cu proiectul au început să se ghicească. Agenții de securitate iranieni au început să investigheze eșecurile, iar personalul instalațiilor nucleare trăia sub un nor de frică și suspiciune. Acest lucru a durat mai mult de un an. Dacă virusul ar fi reușit să evite complet detectarea, în cele din urmă s-ar fi șters complet și i-ar lăsa pe iranieni să se întrebe ce fac greșit.
Timp de 17 luni, virusul a reușit să-și croiască drum în liniște în sistemele iraniene, distrugând încet probele vitale și deteriorând echipamentul necesar. Poate mai mult decât avariile mașinilor și eșantioanelor a fost haosul în care a fost aruncat programul.
Iranienii recunosc cu râvnă unele dintre pagube
Președintele iranian Mahmoud Ahmadinejad a susținut că Stuxnet „a reușit să creeze probleme pentru un număr limitat de centrifuge”, ceea ce reprezintă o schimbare față de afirmația anterioară a Iranului conform căreia viermele a infectat 30.000 de computere, dar nu a afectat instalațiile nucleare. Unele rapoarte sugerează că la instalația Natanz, care găzduiește programele de îmbogățire iraniene, 5.084 din 8.856 de centrifuge utilizate în instalațiile nucleare iraniene au fost scoase offline, posibil din cauza avariilor, iar centrala a fost forțată să oprească cel puțin de două ori din cauza efectele virusului.
Stuxnet a vizat, de asemenea, turbina de abur fabricată în Rusia, care alimentează instalația Bushehr, dar se pare că virusul a fost descoperit înainte de a putea fi făcute daune reale. Dacă virusul nu ar fi fost descoperit, în cele din urmă ar fi rulat RPM-urile turbinelor prea mari și ar fi provocat daune ireparabile întregii centrale. De asemenea, sistemele de temperatură și răcire au fost identificate ca ținte, dar rezultatele viermelui pe aceste sisteme nu sunt clare.
Descoperirea viermelui
În iunie a acestui an, specialiștii în antivirus din Belarus, VirusBlokAda, au găsit un program malware necunoscut anterior pe computerul unui client iranian. După ce a cercetat-o, compania antivirus a descoperit că a fost concepută special pentru a viza sistemele de management Siemens SCADA (control de supraveghere și achiziție de date), care sunt dispozitive utilizate în producția pe scară largă. Primul indiciu potrivit căruia ceva era diferit în legătură cu acest vierme a fost că, odată ce alerta a fost declanșată, fiecare companie care a încercat să transmită alerta a fost ulterior atacată și forțată să se închidă cel puțin 24 de ore. Metodele și motivele atacurilor sunt încă un mister.
Odată ce virusul a fost descoperit, companii precum Symantec și Kaspersky, două dintre cele mai mari companii antivirus din lume, precum și mai multe agenții de informații, au început să cerceteze Stuxnet și au găsit rezultate care au făcut rapid evident faptul că acesta nu era un malware obișnuit.
Până la sfârșitul lunii septembrie, Symantec a descoperit că aproape 60% din toate mașinile infectate din lume se aflau în Iran. Odată ce acest lucru a fost descoperit, a devenit din ce în ce mai evident că virusul nu a fost conceput pur și simplu pentru a provoca probleme, așa cum sunt multe piese malware, ci avea un scop și o țintă foarte specifice. Nivelul de sofisticare a fost, de asemenea, cu mult peste orice a fost văzut înainte, determinându-l pe Ralph Langner, expertul în securitate informatică care a descoperit virusul pentru prima dată, să declare că a fost „ca sosirea unui F-35 pe un câmp de luptă din primul război mondial”.
Cum a funcționat
Stuxnet vizează în mod specific sistemele de operare Windows 7, care este, nu întâmplător, același sistem de operare utilizat la centrala nucleară iraniană. Viermele folosește patru atacuri zero-day și vizează în mod specific software-ul SiADA de WinCC / PCS 7 SCADA. O amenințare de zi zero este o vulnerabilitate necunoscută sau neanunțată de producător. Acestea sunt, în general, vulnerabilități critice pentru sistem și, odată ce acestea sunt descoperite, parchetate imediat. În acest caz, cele două elemente de zi zero fuseseră descoperite și erau aproape de a fi eliberate soluții, dar alte două nu au fost niciodată descoperite de nimeni. Odată ce viermele a fost în sistem, a început apoi să exploateze alte sisteme din rețeaua locală pe care o viza.
Pe măsură ce Stuxnet și-a făcut drum prin sistemele iraniene, securitatea sistemului a fost provocată să prezinte un certificat legitim. Programul malware a prezentat apoi două certificate autentice, unul de la producătorul de circuite JMicron, iar celălalt de la producătorul de hardware al computerului Realtek. Ambele companii sunt situate în Taiwan, la doar câțiva pași distanță una de cealaltă, iar ambele certificate au fost confirmate că au fost furate. Aceste certificate autentice sunt unul dintre motivele pentru care viermele a fost capabil să rămână nedetectat atât de mult timp.
Programul malware a avut, de asemenea, capacitatea de a comunica prin partajare peer-to-peer atunci când era prezentă o conexiune la Internet, ceea ce i-a permis să se actualizeze după cum este necesar și să raporteze progresul său. Serverele cu care Stuxnet a comunicat erau situate în Danemarca și Malaezia și ambele au fost închise odată ce viermele a fost confirmat că a intrat în instalația Natanz.
Pe măsură ce Stuxnet a început să se răspândească în toate sistemele iraniene, a început să vizeze doar „convertoarele de frecvență” responsabile de centrifugă. Folosind unități de frecvență variabilă ca markeri, viermele a căutat în mod specific unitățile de la doi furnizori: Vacon, cu sediul în Finlanda, și Fararo Paya, cu sediul în Iran. Apoi monitorizează frecvențele specificate și atacă numai dacă un sistem rulează între 807Hz și 1210Hz, o frecvență destul de rară care explică modul în care viermele ar putea viza atât de specific centralele nucleare iraniene, în ciuda răspândirii în întreaga lume. Stuxnet se ocupă apoi de modificarea frecvenței de ieșire, care afectează motoarele conectate. Deși cel puțin alte 15 sisteme Siemens au raportat infecție, niciunul nu a suferit vătămări.
Pentru a ajunge mai întâi la instalația nucleară, viermele a trebuit să fie adus în sistem, posibil pe o unitate USB. Iranul folosește un sistem de securitate „gap aerian”, ceea ce înseamnă că facilitatea nu are nicio conexiune la internet. Acest lucru ar putea explica de ce viermele s-a răspândit până acum, întrucât singura modalitate prin care acesta poate infecta sistemul este să vizeze o zonă largă și să acționeze ca troian în timp ce așteaptă ca un angajat nuclear iranian să primească un fișier infectat departe de instalație și adu-l în plantă. Din această cauză, va fi aproape imposibil să știm exact unde și când a început infecția, deoarece ar fi putut fi adusă de mai mulți angajați nebănuși.
Dar de unde a venit și cine a dezvoltat-o?
Bănuielile despre originea viermelui sunt răspândite, iar cel mai probabil singur suspect este Israelul. După cercetarea amănunțită a virusului, Kaspersky Labs a anunțat că nivelul atacului și rafinamentul cu care a fost executat ar fi putut fi efectuate „doar cu sprijinul statului național”, care exclude grupurile private de hackeri sau chiar grupurile mai mari care au a folosit hackingul ca mijloc de finalizare, cum ar fi mafia rusă, care este suspectată de crearea unui vierme troian responsabil de furtul a peste 1 milion de dolari de la o bancă britanică.
Israelul recunoaște pe deplin că consideră că războiul cibernetic este un pilon al doctrinei sale de apărare, iar grupul cunoscut sub numele de Unitatea 8200, o forță de apărare israeliană considerată a fi echivalentul grosier al NSA al Statelor Unite, ar fi cel mai probabil grup responsabil.
Unitatea 8200 este cea mai mare divizie din Forța de Apărare a Israelului și, cu toate acestea, majoritatea operațiunilor sale sunt necunoscute - chiar și identitatea generalului de brigadă care conduce unitatea este clasificată. Printre numeroasele sale exploatări, un raport susține că în timpul unui atac aerian israelian asupra unei presupuse instalații nucleare siriene în 2007, Unitatea 8200 a activat un comutator secret de ucidere cibernetică care a dezactivat secțiuni mari ale radarului sirian.
Pentru a da mai multă credință acestei teorii, în 2009, Israelul a respins data când se așteaptă ca Iranul să aibă armament nuclear rudimentar până în 2014. Acest lucru ar fi putut fi rezultatul auzirii unor probleme sau ar putea sugera că Israelul nu știa ceva pe nimeni. altfel a făcut-o.
SUA este, de asemenea, un suspect principal și, în luna mai a acestui an, Iranul a susținut că a arestat 30 de persoane despre care susține că ar fi fost implicate în a ajuta SUA să ducă un „război cibernetic” împotriva Iranului. Iranul a mai susținut că administrația Bush a finanțat un plan de 400 de milioane de dolari pentru a destabiliza Iranul folosind atacuri cibernetice. Iranul a susținut că administrația Obama a continuat același plan și chiar a accelerat unele dintre proiecte. Criticii au afirmat că afirmațiile Iranului sunt pur și simplu o scuză pentru eliminarea „indezirabilelor”, iar arestările reprezintă unul dintre numeroasele puncte de dispută dintre Iran și SUA.
Dar, pe măsură ce virusul continuă să fie studiat și au apărut mai multe răspunsuri cu privire la funcția sa, se ridică mai multe mistere despre originile sale.
Potrivit Microsoft, virusul ar fi luat cel puțin 10.000 de ore de codificare și ar fi luat o echipă de cinci persoane sau mai mult, cel puțin șase luni de muncă dedicată. Mulți speculează acum că ar necesita eforturile combinate ale comunităților de informații ale mai multor națiuni care lucrează împreună pentru a crea viermele. În timp ce israelienii ar putea avea hotărârea și tehnicienii, unii susțin că ar necesita nivelul tehnologiei Statelor Unite pentru codificarea malware-ului. Pentru a cunoaște natura exactă a utilajelor Siemens în măsura în care Stuxnet ar putea sugera implicarea germană, este posibil ca rușii să fi fost implicați în detalierea specificațiilor utilajelor rusești utilizate. Viermele a fost adaptat pentru a funcționa pe frecvențe care implică componente finlandeze, ceea ce sugerează că Finlanda și, probabil, NATO sunt implicate, de asemenea. Dar există încă mai multe mistere.
Viermele nu a fost detectat din cauza acțiunilor sale la instalațiile nucleare iraniene, ci mai degrabă ca urmare a infecției pe scară largă a Stuxnet. Nucleul central de procesare al uzinei de procesare nucleară iraniană este situat adânc în subteran și este complet separat de Internet. Pentru ca viermele să infecteze sistemul, acesta trebuie să fi fost adus pe computer sau pe o unitate flash a unui membru al personalului. Tot ce ar fi nevoie este ca un singur angajat să ducă munca acasă cu ei, apoi să se întoarcă și să introducă ceva la fel de inofensiv ca o unitate flash în computer, iar Stuxnet își va începe marșul tăcut către mașinile specifice dorite.
Dar întrebarea devine atunci: De ce oamenii responsabili pentru virus au dezvoltat o armă cibernetică atât de incredibil de sofisticată și apoi au lansat-o în ceea ce este probabil o metodă atât de neglijentă? Dacă scopul a fost să rămână nedetectat, eliberarea unui virus care are capacitatea de a se replica la viteza pe care a arătat-o este neglijentă. Era o chestiune când, dacă nu, dacă virusul va fi descoperit.
Cel mai probabil motiv este că dezvoltatorilor pur și simplu nu le păsa. Pentru a planta malware-ul mai atent ar fi trebuit mult mai mult timp, iar transmiterea viermelui în sistemele specifice ar putea dura mult mai mult. Dacă o țară caută rezultate imediate pentru a opri ceea ce ar putea fi considerat un atac iminent, atunci viteza ar putea depăși precauția. Centrala nucleară iraniană este singurul sistem infectat care a raportat daune reale de la Stuxnet, astfel încât riscul pentru alte sisteme pare a fi minim.
Deci ce urmează?
Siemens a lansat un instrument de detectare și eliminare pentru Stuxnet, dar Iranul încă se luptă să elimine complet malware-ul. Încă pe 23 noiembrie, facilitatea iraniană a lui Natanz a fost forțată să se închidă și se așteaptă și alte întârzieri. În cele din urmă, programul nuclear ar trebui să fie reluat și să funcționeze.
Într-o poveste separată, dar posibil înrudită, la începutul acestei săptămâni doi oameni de știință iranieni au fost uciși de atacuri cu bombe separate, dar identice, la Teheran, Iran. A doua zi, la o conferință de presă, președintele Ahmadinejad a declarat reporterilor că „Fără îndoială, mâna regimului sionist și a guvernelor occidentale este implicată în asasinare”.
La începutul zilei de astăzi, oficialii iranieni au susținut că au făcut mai multe arestări în bombardamente și, deși identitățile suspecților nu au fost eliberate, ministrul iranian de informații a spus „Cele trei agenții de spionaj din Mossad, CIA și MI6 au avut un rol în (atacuri) și , odată cu arestarea acestor oameni, vom găsi noi indicii pentru a aresta alte elemente ”
Combinația bombardamentelor și daunele cauzate de virusul Stuxnet ar trebui să cântărească în timpul negocierilor viitoare dintre Iran și o confederație de șase națiuni din China, Rusia, Franța, Marea Britanie, Germania și SUA în 6 și 7 decembrie. discuțiile sunt menite să continue dialogul cu privire la posibilele ambiții nucleare ale Iranului.
