Необычайно необычный…
В своем блоге, я уделяю такое внимание червю Stuxnet именно потому, что он является необычной компьютерной программой. Ведь согласитесь, не поворачивается язык назвать его классическим зловредом. Он не ворует пароли у домохозяек, не наносит бессмысленный вред, повреждая файлы, не блокирует систему требуя выкуп. Подобные "штучки" – удел прыщавых подростков, которым не хватает денег на покупку мотоцикла.
Stuxnet – это высокоточное кибер оружие, предназначенное для нанесения ударов по ядерным объектам противника. По мере вскрытия очередных участков кода этого червя, становится все понятнее, что такое под силу только серьезным парням, имеющим воинские звания и доступ информации и ресурсам любого рода, в какой бы точке земного шара это все не находилось. Ведь никто не станет спорить с тем фактом, что для написания такого кода нужно до мелочей понимать как работают системы управления от Siemens.
Нужно знать не только технологию обогащения урана, но и как работают и какова конструкция центрифуг конкретного типа, и еще кучу всякой информации. Нужно переварить огромное количество технической документации, не доступной простому смертному и.т.д и.т.п. Далее, написанный код нужно отладить на работающей системе или хотя бы на ее прототипе. Для этого к ней нужно иметь непосредственный доступ в течении нескольких дней или даже недель. Затем нужно было раздобыть (украсть или выкупить за большие деньги у инсайдеров какой-либо легальной компании) цифровую подпись, чтобы не вызвать подозрения, ну и так далее. Я уже высказывал, в одном из прошлых постов посвященных Stuxnet-у предположение о том, что подобные операции способны провернуть только спецслужбы заинтересованных государств. И чем больше я узнаю подробностей об этом черве, тем сильнее я склоняюсь к тому что мое предположение верно. Теперь по порядку.
Сам код червя Stuxnet, является сложнейшим софтверным механизмом, который нацелен именно (или по крайней мере, по большей части) на системы контроля и управления (SCADA) ядерными установками произведенными компанией Siemens. Собственно персональные компьютеры его не интересуют и Stuxnet использует их исключительно для того, чтобы добраться до вышеупомянутых систем управления ядерными объектами. Он умеет себя перепрограммировать, для того чтобы максимально скрыть результаты своей работы. Совершенно очевидно, что основным результатом деятельности этого червя, является саботаж систем управления, причем делает он это так, чтобы специалистам по безопасности, обслуживающим такие системы, было крайне сложно понять суть происходящих неполадок. Я не стану останавливаться на том, что Stuxnet использует сразу четыре 0-day уязвимости, для вторжения в целевую систему.
Это всего лишь "ракета-носитель", не представляющая особого интереса. Такого "добра" и без Stuxnet-а хватает, хотя код написан крайне искусно. Самая интересная, по крайней мере для меня, часть этого червя находится в другой его части. Основной "заряд" Stuxnet-а нацелен на частотные преобразователи, работающие на частотах свыше 800 Гц. Тщательно маскируясь, Stuxnet перехватывает управляющие коды частотных преобразователей, изменяя поведение контролируемых ими устройств. Stuxnet посылает команды, предписывающие создание скачка выходной частоты преобразователя, сначала до 1410 Гц, затем падения до 2 Гц, затем подъема до 1064 Гц. В течении очень короткого интервала.
Определяем цели
Согласно данным, полученным инженерами Symantec, червя Stuxnet, интересуют исключительно частотные преобразователи иранской компании Fararo Paya и финской Vacon. До сих пор не было доподлинно известно, является ли иранская Fararo Paya поставщиком частотных конвертеров для иранской же ядерной программы. Хотя мне трудно представить, что иранская компания не стала бы поставлять что-либо для ядерной программы исламского государства. Дело в том, что частотные преобразователи с рабочим диапазоном 600-2000 Гц, считаются продуктами двойного применения. Они могут быть использованы, например, в молекулярных вакуумных насосах, и это по большому счету никого особо не волнует.
Однако, и так же могут быть использованы в установках по обогащению урана, а это тема более деликатная. Поставка таких продуктов строго регламентируется, и вряд ли Ирану удалось бы купить их за пределами страны. Подобные преобразователи обслуживают центрифуги типа Р1, поставленные в свое время Ирану Пакистаном. Кроме того, Иран налаживает производство собственных центрифуг под названием IR-1. Центрифуги такого типа работают на предприятиях по обогащению урана в городе Натанз (Natanz), и Stuxnet вполне был способен вывести их их строя, или по крайней мере саботировать их работу.
Тонкости жанра
Для центрифуги типа Р1, выходная частота преобразователя 1410 Гц, транслируется в тангенциальную скорость моторного ротора, равную 443 метра в секунду, что немного больше того что может выдержать ее алюминиевый ротор. Поэтому, подобная ситуация воспринимается системой управления как аварийная, в результате чего, она должна послать команду на снижение скорости вращения или даже полной остановки центрифуги, поскольку максимально допустимое значение для установок типа Р1 равна 400 метров в секунду. Stuxnet перехватывает эту команду и подсовывает свою, на снижение частоты преобразователя до 2-х Гц, что приводит к очень быстрому уменьшению тангенциальной скорости ротора. Это представляет опасность для самой центрифуги, если она загружена урановым сырьем. Дело в том, что центрифуги спроектированы так, чтобы в случае какой-либо неполадки, из них очень быстро, на ходу, выгружалось все урановое сырье. Если этого не сделать вовремя, то в процессе остановки ротор центрифуги может разбалансироваться или даже разрушиться. Поскольку Stuxnet перехватывая управление посылает не аварийную команду на снижение до 2 Гц, выходной частоты преобразователя, система управления не замечает неполадок и не сбрасывает урановое сырье из центрифуги, тем самым подвергая ротор риску разбалансировки.
Затем Stuxnet, вновь увеличивает выходную частоту преобразователя до 1064 Гц, что транслируется в тангенциальную скорость ротора 334 метра в секунду. Это нормальная скорость для центрифуг типа Р1. Таким образом, Stuxnet заметает следы, выводя центрифугу на рабочий диапазон частот. Вышеописанный фокус Stuxnet, проделывает раз в несколько месяцев и на очень короткое время. Понятно, что заметить такое крайне сложно, особенно если вся системы управления центрифугами, находится под неусыпным контролем червя.
Подобное изменение выходных частот преобразователей, порождает не только изменения в работе соответствующих центрифуг, что кстати влияет на их эффективность, но и способно спровоцировать проблемы, которые по своей природе являются производными. Сущность возникновения подобных проблем, крайне сложна для понимания, что делает вторжение в целевую систему еще менее заметным. Такие неполадки, не замеченные и следовательно не устраненные, в течении длительного времени, способны полностью вывести из строя центрифуги.
Немного политической теории
Иранская ядерная программа уже давно беспокоит западный политические круги. И хотя Иран заявляет, что ему нужен исключительно мирный атом, оснований верить такому заявлению пожалуй нет. Во всяком случае, так считают на Западе. Всем известны "полит корректные" высказывания президента Ирана Ахмади-Нежада, особенно в адрес Израиля. И если бы еврейское государство не сдерживалось заокеанским "старшим братом", вряд ли оно удержалось бы от соблазна нанести ракетно-бомбовый удар по ненавистным исламским центрифугам.
ВВС Израиля находятся в полной боевой готовности, и способны в любую минуту выполнить приказ. Это ни для кого не секрет. Но администрация США, понюхав пороха в Ираке, и глотая пыль афганских дорог, которые никто и никогда даже и не думал асфальтировать, вряд ли способна на то, чтобы создать еще одну горячую точку, да еще и под боком России, с ее модернизациями и перезагрузками. Да и вряд ли Китай, главный кредитор США, будет в восторге. Все-таки не так далеко от его границ. А тут еще под боком исламский Пакистан с его ядерной бомбой.
Вобщем геополитическая ситуация в регионе сложная и запутанная. Никто не сможет предсказать, как все повернется, если кто-то (не будем переходить на личности) попытается разнести в пух и прах иранские центрифуги. Ну а само исламское государство, никак не соглашается покупать обогащенный уран для своей атомной станции в Бушере, у ядерных тяжеловесов, и тянет время, что в свою очередь очень нервирует некоторых соседей Ирана. Так что русская пословица "не мытьем так катаньем", как раз изумительно подходит для ситуации со злосчастным Stuxnet-том.
Теперь, когда многие аспекты деятельности Stuxnet стали понятны и очевидны, я не исключаю того, что появятся клоны этого червя, направленные на объекты никак не связанные с иранской ядерной программой, для того чтобы "размыть" очевидное и замести следы. Однако, всем должно быть понятно, что с появлением червя Stuxnet, мир входит в новую эру, эру военных действий в которых нет пуль, снарядов и ракет. Это эра кибер войн, когда можно будет выводить из строя инфраструктуру, обесточивать мегаполисы, взрывать атомные станции без единого выстрела, сидя за монитором. Это уже реальность. Это понимают в США, Евросоюзе, Китае, Индии…
А что же мы?
Но похоже в Росиии этот вопрос никого особо не возбуждает. Да, есть некое подразделение "К" при МВД. Но чем оно занимается? Ловит контрафактников, и придурков, обкладывающих "членами", членов правительства в своих блогах? На Западе, по крайней мере проводятся кибер учения, разрабатываются способы отражения кибер атак. Я уверен, что и про кибер оружие там не забывают и Stuxnet, ярчайшее тому доказательство. Может быть я идеалист, но мне хотелось бы чтобы и моя страна что-то делала в этом направлении. Пока еще не поздно. Иначе мы опять отстанем от них, как отстали в высокотехнологичном производстве, да по большому счету и в оружии. Пока есть время. И очень надеюсь, что руководители страны это понимают.
Источник: tv86p91.wordpress.com
