Александр Куприянов, ИТ-директор, НПО им. С.А.Лавочкина: «Stuxnet. Жизнь и творчество»
09.03.2011

Александр Куприянов, ИТ-директор, НПО им. С.А.Лавочкина: «Stuxnet. Жизнь и творчество»

Мне пером была тростинка, тушью — озеро агата .

Мой армейский экс-коллега и однокашник Е. Касперский оценил Stuxnet, как кибероружие, применением которого против Ирана стартовала гонка кибервооружений.

Тенденция, полагаю, одного исторического масштаба со случившейся в прошлом веке гонкой, символом начала которой может служить ядерная бомбардировка Хиросимы. Посему происхождение и жизнь этого выдающегося виртуального человеческого порождения достойны такого же внимания, как создание и применение атомного оружия, тем более что нацелено оно было как раз на ядерные объекты.

Кибервойна против Грузии
И царю поведал витязь… 
Как в сражении великом
Сто чудовищ он убил,
Как, одетый в шкуру тигра,
По ущелиям бродил.

Вы–то, наверное, и слыхом не слыхивали про такую войну с приставкой «кибер». Или, если слышали, то в контексте использования грузинскими ВС в 2008 г. американских «глушилок» против российских войск во время известных событий. А американская исследовательская организация US CCU , специализирующаяся на оценках рисков в киберпространстве, даже отчет  о ней написала, изданный в 2009-м, спустя год после конфликта, и посвященный, понятно, российской киберагрессии.

Казалось бы, где США, и где — Грузия? Однако, как следует из документа, грузинские инстанции теснейшим образом взаимодействовали с US CCU по кибервоенным вопросам в режиме реального времени, получая при этом технические консультации и поддержку со стороны Эстонии, с которой Россия, как мы узнаем из того же источника, кибервоевала годом ранее, в 2007-м. Впрочем, российский след в кибератаках на Грузию оказался еще более призрачным, нежели в киберпартизанских антиэстонских DDoS-операциях 2007 г., выводивших из строя серверы государственных органов. Аналитики вынуждены были признать их спонтанно-партизанский характер при активном вовлечении криминально-хакерских сообществ. Оставив в стороне приятную мысль о проявленном нашими хакерами патриотизме, сконцентрируем внимание на том, что, по мнению американцев, участие России в киберсражениях подтверждается согласованием по времени политических мероприятий и боевых действий российских Вооруженных Сил с атаками в киберпространстве.

А выявили они его анализом временных рядов, то есть исторических последовательностей событий. Прежде чем перейти к следующему разделу, в котором воспользуемся культивируемым US CCU методом исторического анализа, к возникновению и распространению Stuxnet, отметим для памяти, что отчет подписан Скоттом Боргом, руководителем (CEO) CCU.

Происхождение

Эта повесть, из Ирана занесенная давно,
По рукам людей катилась, как жемчужное зерно.

Концепция вируса была разработана на основе совместных исследований, проведенных Siemens и подразделением Департамента внутренней безопасности США DHS  — Национальной лабораторией прикладных ядерных и энергетических исследований Айдахо INL , спонсированных DHS в рамках правительственной программы оценки безопасности систем реального времени  с мая по ноябрь 2008 г., результаты которых были представлены специалистами безопасности США и корпорации Siemens .

Откуда такая уверенность? К такому убеждению приводит историческая последовательность событий, стартовавших вслед за исследованием INL+Siemens. Перечисляя их, выстроим цепочку, аналогичную использованной US CCU при анализе киберопераций в Грузии.

Объектом совместных исследований Siemens и INL, равно как и последовавшей через полгода атаки Stuxnet, явилась система PCS7/WinCC, состоящая из предназначенных для управления технологическими процессами «сименсовских» контроллеров PCS7 с программным обеспечением WinCC, работающих под управлением компьютеров с ОС Windows NT/2000/… Используется она для управления многими, в том числе — опасными химическими и ядерными, объектами.

Согласно документу «2481 — Control System Security Assessments» , тестирование целевой для Stuxnet системы проводилось в период c 01.07.08 по 15.09.08 в Айдахо на полигоне INL. Отчет в Siemens был подготовлен к 15 ноября 2008 г., а к 15 мая 2009-го немецкая компания внесла необходимые изменения в свои инструктивные документы.

Уже через месяц после того как Siemens завершил работу над собственными дырами в безопасности PC7/WinCC, в июне 2009-го, было зафиксировано распространение первой пробной версии Stuxnet с ограниченными возможностями . Позднее эксперты определили, что в программировании вируса участвовало несколько команд программистов, и расчетная продолжительность разработки — около полугода. Таким образом, у разработчиков было два месяца (с ноября 2008 по январь 2009) на выработку концепции, проведение необходимых согласований и подбор первоначальной команды. Как раз в январе 2009-го президент США Дж. Буш-младший и подписал директиву о подрывных тайных операциях, направленных против электрических и компьютерных систем в Натанзе, как тогда же сообщила всезнающая The New York Times...

А 7 июля 2009 г. газета Israel News опубликовал статью  с подзаголовком: «Американский эксперт говорит, что вредоносное ПО может быть внедрено для порчи, перехвата управления или уничтожения контроллеров таких важных объектов, как заводы по обогащению урана». Эксперт, о котором идет речь, — Скотт Борг, руководитель US CCU, столь глубоко проанализировавший грузинскую и эстонскую кибервойны. Поскромничал: «Судя по моим контактам с израильскими экспертами на различных международных форумах, Израиль определенно способен проводить успешные кибератаки». Ему по должности положено знать результаты исследований INL/Siemens, меры, принятые для заделывания брешей в «сименсовском» софте и, судя по анализируемому временному ряду, ход разработки и тестирования Stuxnet, — в общих чертах, разумеется, в объеме, необходимом для обеспечения кибербезопасности США. Возможно, Борг и не ожидал, что его расплывчатая формулировка будет столь прямолинейно привязана израильтянами к планируемой кибератаке на ядерный объект в Натанзе. Логично полагать, что его мнение основано не только на результатах ранее проведенных исследований, но и на результатах «обкатки» выпущенного в свет прототипа.

По-видимому, и это зафиксировано в статье Israel News, тестирование прототипа было сочтено удачным, и последовала дальнейшая годичная работа по доводке и распространению вируса. На этой фазе спешили не очень, ибо какой смысл распространять вирус, против которого нет вакцины у национальных предприятий? США в 2009 г. ускоренно создает в составе департамента внутренней безопасности DHS новое подразделение, отвечающее за безопасность систем промышленного контроля ICS-CERT , конструируя тем самым государственную подсистему оповещения и защиты от угроз в этой области. С июня 2009 г. начинается формирование в составе ВС США Киберкомандования, USCYBERCOM.

Хотя Stuxnet был доведен до пригодности к боевому применению в середине 2009-го и к концу этого года нанес существенный урон одному из трех установленных в Натанзе модулей (А26) , состоящему из примерно трех тысяч центрифуг, он в эти же полгода подвергся существенной переработке, и его действовавшие в 2010 г. компоненты были окончательно скомпилированы 1 января и 3 февраля 2010-го.

При его создании использовались MS Visual Studio 2005 и 2008 , что дополнительно подтверждает участие не менее двух независимых команд разработчиков в программировании.

Позднейшая по времени доработка — драйвер jmidebs.sys, подписанный 14 июля 2010 г. и идентифицированный ESET тремя днями позже, содержала подлинный сертификат компании JMicron Technology Corp в дополнение к скомпрометированному Realtek Semiconductor Corp, и, судя по всему, завершила доработки Stuxnet как высокоточного оружия, способного достичь поставленной цели.

На государственный уровень организации разработки Stuxnet указывает не только экспертно оцениваемая десятком человеко-лет трудоемкость его создания, но и наличие даты прекращения распространения вируса «kill date» – 24 июня 2012 г. , наподобие привычной ответственным саперам даты самоликвидации мин.

Миссия

Недалеко от пещеры,
Над пустынною рекою,
Тариэл стоял могучий,
Попирая льва ногою.

Шуточка про основную задачу криптоаналитика, то есть взломщика кодов («по имеющемуся колбасному фаршу определить форму куска мяса, из которого он получен, конструкцию мясорубки и установить фамилию оператора (человека крутившего ручку/нажимавшего кнопку)») представляется уместной преамбулой к следующему разбору случайно сохранившейся отладочной строчки текста Stuxnet, восхитившей эксперта «Лаборатории Касперского» Александра Гостева :

b:myrtussrcobjfre_w2k_x86i386guava.pdb

Врезка
Библейский код:

Myrtus — в данном случае название операции — мирта, растение, на иврите Hadassah, имя, данное при рождении библейской героине Эсфири (Esther), прославленной уничтожением персов. Жена персидского царя иудейка Эсфирь сообщила мужу о заговоре перса Амана против своих единоверцев и добилась от него разрешения евреям защищать себя и убивать своих врагов. Это выглядит явной библейской аналогией с современной ситуацией применения Stuxnet, в которой Израиль играет роль Эсфири, США — царя, ее мужа, и завод по обогащению урана в Натанзе — Амана, врага евреев, подлежащего уничтожению …

В стиле «код да Винчи»:

Src  — Sabotage by Rate Conversion — диверсия преобразованием частоты: Stuxnet через модификацию программ «сименсовских» контроллеров управляет преобразователями частоты, задающими скорость вращения роторов центрифуг, ведущих обогащение урана, неспешно и нObjfre Objective–Frequency of Rotor Elements («цель–частоты роторов»). В блоге аналитика Symantec Эрика Шьена  сообщается, что действие Stuxnet на «сименсовские» контроллеры того типа, что установлены в Натанзе, состоит в изменении на 15 мин частоты вращения центрифуг со штатного значения 1064 Гц на 1410 Гц, что соответствует нижнему пределу разрушения (1400–1432 Гц), а затем, через 27 дней — на 2 Гц в течение 50 минут, в обоих случаях с последующим возвращением к норме, и далее по циклу с периодом 27 дней. 
.
guava — растение семейства миртовых, растущее на американском континенте. “Myrtus” в сочетании с “guava” истолковывается в иудейской прессе как символ израильско-американского единения вокруг Stuxnet .

Проект «Мирта», модуль «Гуава»… в принципе, это можно счесть убедительной аргументацией в пользу того, что в написании основной части кода принимал участие некто, глубоко знающий иудейскую культуру, хотя остается неизвестным, более того, несущественным, по какую сторону Тихого океана он располагался во время работы…

Эта строчка внесла коррективы в мое представление о том, что не только концепция, но и код Stuxnet был выполнен распределенной командой, контролируемой американскими спецслужбами в рамках разведывательного сообщества США, а распространение и «выведение на цель» осуществляли их израильские и английские коллеги. По-видимому, работы велись с более глубокой степенью международной и профессиональной интеграции.

Литературная вольность в истолковании src, objfre не повлияла на точность изложения фактов и, надеюсь, простительна.

Супероружие

О печальный мир, скажи мне,
В чем твоя сокрыта тайна? 
Что ты гонишь человека
И гнетешь необычайно?

Если верен упоминавшийся выше тезис Эрика Шьена об ограничении активной функции вируса в реальном мире только управлением частотой устройств, для которых нормальны значения в пределах 807–1280 Гц, известные версии Stuxnet — оружие высочайшей точности… снайперское, в том виде, в котором оно существует сегодня. И в этом месте мне хотелось бы поставить смайлик рядом со стилизованным лицом Горгоны Медузы, символизирующим ужас, вызванный возможными последствиями дальнейших применений оружия подобного типа…

По данным ноябрьского обзора, выполненного ESET, около половины всех заражений Stuxnet приходилось на Иран. В принципе, столь высокая концентрация в одной стране говорит о множественности путей заражения иранских компьютеров. Вирус распространяется на компьютеры с ОС Windows через съемные носители, локальную сеть, Интернет. Для достижения столь значительного превышения общемирового уровня заражения, очевидно, целенаправленно использовались все имеющиеся каналы. Учитывая высокую точность Stuxnet, в этом не было, как представляется, необходимости. Вполне хватило бы одной флэшки, последовательно вставленной в течение недели в несколько целевых компьютеров. Правда, при существовавшей зараженности персидского киберпространства, подобную версию — привнесения вируса агентурой — наверняка проверяли менее настойчиво, чем при других возможных обстоятельствах.

А если кто-то подошел вплотную к правильному решению… 
29.11.10, в период, когда Тегеран усиленно исследовал ситуацию с выходом из строя пятой части своих центрифуг в Натанзе , взорвали в собственном автомобиле вместе с женой  в подчеркнуто алькаидо-террористическом стиле иранского профессора-ядерщика Маджида Шахриари, специалиста по борьбе со Stuxnet . Домыслы? Пожалуй, но на несколько серий телебондианы подобных инцидентов хватило бы…

Весомым аргументом в пользу серьезной агентурной проработки внедрения вируса на завод в Натанзе выглядит история с сертификатом компании JMicron Technology Corp, включенным 14.07.10, менее чем за месяц до объявленного ранее старта иранской национальной программы обогащения урана. Возникает впечатление, что сертификат одной тайваньской компании  Realtek Semiconductor Corp, оказался скомпрометированным до достижения необходимой степени поражения трех установленных рабочих модулей, содержащих около 3000 центрифуг каждый. В экстренном порядке добыли сертификат ее соседки по технопарку и запрограммировали драйвер jmidebs.sys. Цель операции Myrtus — потеря уверенности иранского руководства в возможности устойчивой работы завода — стала достижима, и кто-то должен был это зафиксировать непосредственно на объекте атаки. Подобный способ действий предполагает участие находящегося на заводе, неплохо, но не блестяще информированного агента, непосредственно наблюдающего ситуацию на предприятии и корректирующего деятельность атакующих, а не работу самого Stuxnet в качестве виртуального шпиона-«трояна». По этому же каналу могла быть распространена и последняя версия вируса на заводе.

Как оружие, равномощное высокоточному ядерному, Stuxnet не мог обрести полной зрелости без тщательных испытаний. И они были своевременно проведены Израилем на национальном ядерном комплексе Димона в пустыне Негев с привлечением ветеранов национальной ядерной программы.

Слава

Он закутан в шкуру тигра, презирает он парчу.
Жжет его огонь смертельный и сжигает, как свечу.

Самой большой славы удостоились последствия применения Stuxnet. В январе текущего года о них — разумеется, без ссылки на примененное кибероружие — говорили Хилари Клинтон и бывший шеф израильской разведки «Моссад» Меир Даган. Оба сообщали о задержке в реализации иранской программы обогащения урана на несколько лет, по мнению израильтянина — не менее чем на три года.

Да и сам вирус получил высокое политическое признание. Например, на сенатских слушаньях США 17.11.10  Шин Макгурк, директор Центра Кибербезопасности уже упоминавшегося Департамента внутренней безопасности DHS, удостоил Stuxnet развернутой более чем на две страницы характеристики. Отметив уникальные выдающиеся качества вируса, использующего множество атакующих тактик и действующего скрытно от оператора атакованной системы, он высказал те же опасения, что и ранее Е. Касперский: данный код может быть относительно легко модифицирован кем угодно для более широкого круга задач уничтожения автоматизированных объектов критичной инфраструктуры.

Думаю, и даже уверен, что столь активная в отношении киберконфликтов на территории бывшего СССР US CCU не выпустит доступного публике правдивого отчета о кибервойне 2009 - 2010 гг. против Ирана.

Представитель России в НАТО Д. Рогозин в минувшем январе настаивал на внутриблоковом расследовании источников заражения ядерных объектов Ирана вирусом Stuxnet с вполне ожидаемым негативным результатом. Вряд ли Дмитрий Олегович всерьез рассчитывал, что левая американская рука возьмется расследовать действия правой, но у дипломатии свои законы.
Профессиональное сообщество специалистов и организаций в области систем информационной безопасности опубликовало в Интернете множество посвященных прославленному вирусу исследовательских материалов, часть из которых я привел в сносках к статье. Особенно интересны публикации немецкого эксперта Ральфа Лангнера, россиянина Александра Гостева, сотрудника Symantec Эрика Шьена. 

Предтечи

Все равны мы перед смертью,
Всех разит ее копье.

Stuxnet беспрецедентен в очень многих отношениях: по эффектам, по объему и конструктивной сложности. Однако, поискав хорошенько, можно найти и его пращуров.

В упомянутой выше очень откровенной статье Israel News от 07.07.09, призванной утешить израильтян, расстроенных запретом Б. Обамы на нанесение ударов Вооруженными Силами Израиля по ядерным объектам Ирана, говорится, что идея применения разрушительного кибероружия возникла у представителей службы внутренней безопасности Израиля «Шин Бет», когда они в конце 90-х годов в целях самоконтроля «хакнули» систему управления склада ГСМ Pi Glilot севернее Тель Авива. То есть, проникли в систему управления и задумались: а ведь можем и уничтожить этот склад…

В американском хакерском сообществе распространено сравнение эффекта Stuxnet cо взрывом в районе Тобольска в 1982 г. на транссибирском газопроводе Уренгой–Сургут–Челябинск, вызванным, как утверждается, программной закладкой, внедренной в советские автоматизированные системы управления американским ЦРУ через Канаду . Соответствующий софт был, якобы, подсунут для похищения нашей разведкой.  Мощность взрыва по американским оценкам — около трех килотонн — вероятно, все же завышена. Факт взрыва не оспаривается, а о причине его по прошествии тридцати лет можно только гадать, хотя американская версия выглядит вполне правдоподобно.
Надо полагать, разведывательные службы США, в особенности в обосновании концепции Stuxnet и при подготовке упомянутой ранее январской 2009 г. директивы президента страны о тайных кибероперациях против Ирана, в полном объеме воспользовались полученным при организации Siberian Pipeline Sabotage опытом, вошедшим в книгу бывшего сотрудника Совета Национальной Безопасности США Томаса Рида.

В существующем виде Stuxnet и ему подобные виртуальные создания неопасны для обывателя, если он не находится вблизи или внутри критичных высокоавтоматизированных объектов инфраструктуры, способных взлететь на воздух или отравить всю округу в результате кибероперации. «Если Вы обнаружите в системе управления нашего суперскоростного поезда посторонний софт, не трогая его, немедленно сообщите об этом машинисту», - вряд ли когда-нибудь прозвучит по трансляции и о событиях такого рода можно будет узнать лишь по их последствиям – авариям, взрывам… Но с его появлением мир стал гораздо более опасным местом человеческого обитания. В отличие от ядерного оружия в области кибервооружений никакие договоры нераспространения невозможны в принципе, как свидетельствует не только опыт многолетней борьбы с пиратством в сфере ИТ, но и многочисленные киберпартизанские операции, подобные проведенной против государственных организаций Египта в феврале этого года.

 Защита от кибернетических угроз высокого класса проработки требует больших затрат, в частности на развитие безопасной сетевой инфраструктуры критичных объектов, исключающей использование съемных носителей из состава технологических процессов, и применения лишь тщательно проверенного компетентными отечественными службами лицензионного софта… Необходима система работы по обеспечению безопасности собственного киберпространства, не ограничивающаяся просторами Национальной Программной Платформы.