Российские ученые предупредили Кремль об угрозе «нового Чернобыля» в иранском Бушере, если строящуюся там при помощи Москвы первую атомную станцию придется активировать этим летом, как настаивает Тегеран. Виной тому – масштабный ущерб из-за таинственного компьютерного вируса Stuxnet, атаковавшего иранские ядерные объекты.                                                                                                                                
        

В докладе ученых, копией которого располагает The Daily Telegraph, говорится, что, несмотря на выполнение простых, базовых тестов на реакторе в Бушере, российские специалисты не могут гарантировать его безопасный запуск.

Авторы документа также жалуются, что их иранские коллеги, находясь под постоянным давлением со стороны своих властей, пренебрегают «профессиональной и моральной ответственностью и человеческими жизнями», требуя жестко соблюдать установленный в прошлом году график промышленного пуска АЭС.

Станция, которую начали возводить еще в 1970-е годы, в силу разных причин отстает от изначального плана активации более чем на 10 лет. В августе прошлого года была начата физическая активация ее энергоблока, а в ноябре было объявлено о первом запуске реактора.

Глава иранского МИДа и национальной Организации по атомной энергии Али Акбар Салехи ранее в январе заверил, что график 2011 года будет соблюден. Он назвал не более чем слухами сообщения о том, что Stuxnet повредил компьютеры на Бушерской АЭС.

Как отмечает издание, власти в Тегеране категорически против дальнейших задержек и отклонений от намеченного плана запуска станции, считая, что это станет ударом по национальной гордости и международному престижу Ирана. В подобных условиях российские ученые обратились напрямую в Кремль с просьбой добиться того, чтобы активация АЭС была отложена как минимум до конца 2011 года.

Британская газета упоминает вчерашнюю публикацию в The New York Times, где говорилось, что «червь» Stuxnet – это результат совместной разработки американских и израильских спецслужб. В статье утверждалось, что они провели испытания вируса в израильском секретном центре ядерных исследований в Димоне (пустыня Негев).

По данным издания, Stuxnet состоит из двух основных компонентов: первый заставляет центрифуги работать в нештатном режиме, а второй передает ложные данные о нормальной работе. Разработка вируса велась два года, утверждает американская газета, отмечая, однако, что официальных подтверждений этому не звучало.

Западные аналитики сразу вслед за этой мощнейшей кибератакой на иранские атомные объекты предположили, что за ней стоят США и Израиль. Они прежде всех других стран заинтересованы в остановке ядерной программы Тегерана, целью которой, по их мнению, является разработка бомбы.

Американский госдепартамент не исключает, что Иран успеет создать атомную бомбу до того, как его экономика рухнет под бременем международных санкций. Об этом говорится в депешах ведомства, рассекреченных скандальным сайтом WikiLeaks, сообщает NEWSru Israel.

В очередной порции разоблачений, опубликованных в воскресенье норвежской газетой Aftenposten, говорится, что в создании ядерного оружия Тегерану помогают более 30 стран – они поставляют технологии, оборудование и сырье. Согласно депешам, между 2006 и 2010 годом в этом процессе были задействованы более 350 иранских компаний и организаций.

Отметим также, что на причастность к хакерской атаке израильских специалистов указывает расшифровка Stuxnet, выявившая много любопытного. В программном коде был найден след библейской ветхозаветной истории о превентивной акции евреев против персов, которые стремились уничтожить весь еврейский народ.

Аллюзию на нее дешифровщики увидели в слове »myrtus», которое может означать как веточку мирта, так и имя Есфирь (по-еврейски Hadassah). Эта иудейка была одной из жен персидского царя Ксеркса. Согласно Ветхому Завету, будучи хитроумной и смелой, эта женщина раскрыла и предупредила заговор персов против евреев. В результате израильтяне спасли свои жизни и отомстили угнетателям. В воспоминание об этом у евреев установлен праздник Пурим.

Мнение. Хакеры проникли в системы атомной электростанции в Иране. Кто может за этим стоять?

Еще летом этого года аналитики Symantec зафиксировали за 72 часа около 14,000 уникальных IP адресов, инфицированных данным червем. Тогда массовая общественность не придала этому особого значения. Но уже тогда ученых заинтересовал тот факт, что 60 процентов зараженных систем находилось не где нибудь, а в Иране.

Активно обсуждать угрозу начали, когда иранские власти подтвердили факт проникновения Stuxnet в системы атомной электростанции в Бушере. Этот инцидент является почти классическим примером успешной компьютерной атаки и образцом того, как эти атаки будут использоваться в будущем.
Успешное проведение атаки позволило нападающим украсть конфиденциальные документы с описанием архитектуры и данных об использовании системы SCADA (автоматизированной системы управления рабочим процессом).
Начнем с того, что мы не знаем, кто стоит за этой атакой, и история свидетельствует о том, что лишь в редких случаях удается определить организаторов атак. Однако, если бы месяц назад кто-нибудь предложил этот тип атаки, хотя мы бы и согласились с тем, что такая атака теоретически возможна, большинство специалистов отбросило бы перспективность ее проведения как замысел, который больше подходит для сценария фильма. Более того, подобные атаки редко предаются огласке.
Мы знаем, что за этой атакой стоят не любители, но их конечная мотивация непонятна.
Основные факты в этом случае следующие:

• Нападающие выявили и использовали т.н. «уязвимость нулевого дня», существующую во всех версиях Microsoft Windows. Всего использовалось целых четыре уязвимости такого рода
• Они разработали и использовали «руткит» (специальная программа) для того, чтобы скрыть свое присутствие в системе.
• Атака была направлена на специализированное программное обеспечение, которое используется для контроля за промышленным оборудованием и процессами; при этом были использованы глубокие знания внутренних механизмов работы данного ПО.
• Хакеры подписывали свои файлы, используя действующие цифровые сертификаты, выпущенные третьей стороной, которая не принимала участия в атаке. Действие одного цифрового сертификата закончилось в июне, но версия с новой цифровой подписью появилась уже в июле; она была подписана с использованием цифрового сертификата другой компании. Обе этих компании — Тайваньские. Возможно, хакеры украли персональные ключи, или им удалось каким-то образом подписать свои файлы. В распоряжении нападающих могут быть и другие взломанные цифровые подписи.
• Хакеры не использовали характерных инструментов для проведения направленной атаки. Вместо этого, вирус распространяется через USB-носители и может инфицировать любой компьютер, использующий операционную систему Windows.

«Уязвимость нулевого дня», руткит для скрытия своего присутствия в системе, двоичный код основных файлов, украденные цифровые сертификаты, глубокое знание программного обеспечения SCADA – все это является инструментами проведения атаки. Объединение этих факторов делает этот вид атаки чрезвычайно редким, если не беспрецедентным.

«Волк-одиночка»
Рассмотрим возможность организации данной атаки прототипом хакера, сидящего в мамином подвале. Его мотивом может быть жажда славы. Путем кражи интеллектуальной собственности, волк-одиночка может стремиться продемонстрировать свои навыки взлома систем или работать за денежное вознаграждение. Хотя подобный сценарий и возможен, нападающий украл два цифровых сертификата, использовал «уязвимость нулевого дня», и владеет неимоверно глубокими знаниями системы SCADA. Для того, чтобы накопить такие ресурсы для атаки, необходимо, чтобы хакер был очень терпеливым и хорошо мотивированным. Организовать такую атаку за выходные невозможно. Возможность организации атаки волком-одиночкой маловероятна.

«Недовольный сотрудник»
Глубокое знание системы SCADA дало основания некоторым наблюдателям утверждать, что атака могла быть проведена инсайдером, например, недовольным сотрудником компании, которая использует данное программное обеспечение. Однако, вероятность того, что среднестатистический недовольный сотрудник смог выявить «уязвимость нулевого дня», а также выкрасть два цифровых сертификата, мала.

«Действия коммерческих конкурентов»
Еще одной версией организации атаки являются действия конкурента, который любой ценой пытается получить преимущества перед компаниями, которые стали объектом атаки хакеров. Конкуренты могут использовать документацию об архитектуре производственных систем для воссоздания секретных производственных процессов или даже санкционирования отказа работы систем конкурентов. Исторически, подобные атаки организовывались нанятыми хакерами. Однако, такие атаки, обычно, являются достаточно узконаправленными. В данном случае, угроза слепо распространяется на все компьютеры, использующие ОС Windows, независимо от того, принадлежат ли эти компьютеры целевой компании или нет, установлена ли на компьютере система SCADA или нет. Если данная атака является примером коммерческого шпионажа, нападающие могли расчитывать приблизится к целевым системам и через последовательное заражение USB-носителей, надеясь в финале заразить целевую SCADA систему. Тот факт, что вирус со временем заразит множество других компьютеров по всему миру, вероятно, рассматривался нападающими как побочный ущерб, и они надеялись достигнуть цели атаки до того, как угроза вируса попадет в поле зрения компаний, которые разрабатывают антивирусное ПО.

«Государственный шпионаж»
В последнее время были случаи, когда правительства обвиняли в санкционировании атак хакеров за пределами границ их государств. Правительство может пытаться украсть государственные или военные секреты. Если данная атака была организована правительством, ее мотивация может быть похожа на мотивы коммерческих конкурентов, а целью может быть получение военных секретов. Сложность и качество инструментов, которые были использованы в данной атаке, дает основания некоторым наблюдателям утверждать, что только у государства есть достаточные ресурсы для проведения такой атаки. Однако, факт использования второго цифрового сертификата кажется несколько странным. Логичным выглядит предположить, что после успешного проведения атаки, государство ушло бы в прикрытие и не использовало понапрасну второй цифровой сертификат. Вместо этого, подписав очень похожий двоичный файл, злоумышленники дали возможность компаниям, занимающимся безопасностью систем, моментально определить код второго украденного сертификата, что сделало невозможным его повторное использование при взломе систем.

«Националистические, политические, религиозные и другие подобные мотивы»
Часто атаки, приписываемые государствам, на самом деле проводятся гражданами, которые руководствуются националистическими, политическими, религиозными или другими мотивами. Хакеры, объединенные единой целью, могут направить свои усилия на страну, организацию или компанию, которых они считают своими врагами. У таких групп хакеров часто есть достаточно выдержки и знаний для формирования подобного инструментария для атаки. Более того, преследуя цель проведения долгосрочной атаки, нападающие могут усовершенствовать используемые инструменты атаки после того как предыдущий инструментарий был обезврежен или обнаружен. Для этого, при помощи новых украденных цифровых сертификатов повторно подписываются файлы, хранящиеся на дисках, изменяются двоичные файлы для предупреждения их идентификации средствами безопасности, переносятся центры управления и контроля на другие хостинговые сервера после того, как предыдущие выводятся из строя.
«Терроризм»

Одной из наиболее мрачных мотиваций для проведения данной атаки может быть терроризм. Если нападающим удастся установить контроль над электростанцией или другими ключевыми объектами, они могут спровоцировать хаос, закрытие данного объекта или нанести ущерб путем нарушения стандартных процессов на данном объекте. Этот сценарий кажется более схожим на сюжет из фильма, и, хотя для большинства атак мы сразу же отбрасываем терроризм как возможную мотивацию, принимая во внимание объем и качество использованного инструментария для проведения атаки, в данном случае, можно рассматривать терроризм как одну из возможных мотиваций.

Выводы
Большинство специалистов по безопасности, когда смотрят фильмы в стиле «экшн», в которых искусный хакер вымогает от организаций или даже стран выкуп за ненанесение им вреда, просто отбрасывают подобную возможность как фантазию. Однако, случай со Stuxnet очень похож на последний голливудский блокбастер. Это первый преданный огласке случай, когда была показана возможность установления контроля над производственными процессами и передачи управления ими в руки злоумышленников. Данный случай также демонстрирует, что в нашем взаимосвязанном мире ИТ безопасность важна как никогда ранее, и что даже те сценарии, которые ранее считались невероятными, теперь должны приниматься во внимание.

Хотя мы пока не знаем личности нападающих, они все-таки оставили одну улику. Один из драйверов вируса содержит в себе строку с названием проекта: “b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb”. Гуава– это дерево семейства миртовых. Почему именно гуава или миртовые? Пусть этот вопрос станет отправной точкой для дальнейших изысканий.

econo.com.ua