Впрочем, создателям вируса, попавшего под микроскоп Уласеня, не приходилось привлекать пользователей к его активации. Они нашли для этого новую и эффективную технику. Когда вы подключаете к компьютеру USB-флешку, на экране появляется маленькая иконка, говорящая о ее присутствии. Хакеры умудрились спрятать часть кода вируса в программе для создания таких иконок. Для заражения достаточно было просто вставить флешку и просмотреть ее содержимое, даже ни на что не кликая[307]. После этого вирус предпринимал попытки заразить другие компьютеры в сети.
Такого трюка прежде никто не видел, и для Уласеня и «ВирусБлокАды» он стал настоящей сенсацией. 17 июня 2010 года на сайте компании появилось предупреждение о том, что обнаруженный вирус «следует добавить в категорию чрезвычайно опасных, поскольку он сопряжен с риском вирусной эпидемии»[308]. Вскоре после того как об этом стало известно, в дело вступила компания Microsoft, программное обеспечение которой эксплуатировал вирус. Там вирус назвали Stuxnet по последовательности букв в его коде.
Сообщество специалистов по кибербезопасности не оставило без внимания объявление «ВирусБлокАды» и принялось разбирать по кусочкам вирусный код. Один из исследователей обнаружил в нем фрагменты «Siemens», «WinCC» и «Step7»[309]. Простому обывателю они ни о чем не говорят, но специалисты энергетического сектора, увидев их, насторожились. Немецкая компания Siemens производит программное обеспечение для оборудования, устанавливаемого на заводах и электростанциях. WinCC и Step7 – названия ее малоизвестных узкоспециализированных программных пакетов. Они указывались в коде не случайно: вирус не разворачивался в полной мере, если не находил на компьютере жертвы специфических программ Siemens. Было очевидно, что Stuxnet выбивается из ряда обычных вирусов, которые пытаются украсть номера кредитных карт или запустить атаку типа «отказ в обслуживании». Его создатель хотел вывести из строя реальные механизмы, что в заводской среде чревато серьезными опасностями – и даже может стоить жизни.
Другие исследователи установили уже известный Уласеню факт о том, что вирус пустил корни на территории Ирана. После распространения Stuxnet аналитики из компании Symantec выявили тридцать восемь тысяч зараженных компьютеров и обнаружили, что более двух третей из них имеют иранские IP-адреса. Они тоже заметили, что вирус ориентируется на программы Siemens, сложили два и два и сделали вывод: «Stuxnet представляет угрозу и нацеливается на конкретную автоматизированную систему управления, вероятнее всего в Иране, например на газопровод или электростанцию»[310].
Фрагменты мозаики постепенно вставали на свои места, но только специалист по автоматизированным системам управления (АСУ) смог разгадать загадку вируса Stuxnet.
Ральф Лангнер руководил своей компанией, работающей в Гамбурге, в Германии. В отличие от многих исследователей технологической безопасности он прекрасно разбирался в устройстве электростанций. Кроме того, он работал с некоторыми устройствами, используемыми в отрасли, – в частности, с блоками управления, которые связывают компьютеры энергетических компаний с оборудованием, установленным на станциях. Зная, что вирус заражает такие блоки через программы Siemens, Лангнер стал тестировать на них Stuxnet. Никто пока точно не знал, как Stuxnet воздействует на это оборудование. Лангнер решил, что, как только вирус поймет, что оказался на верном компьютере, он развернется на полную и покажет, в чем состоят его задачи.
Но когда он запустил вирус, ничего не произошло. Чтобы он «проснулся», Лангнер и его команда стали изменять настройки тестовых блоков управления, которые использовались в качестве наживки. В итоге они нашли верную конфигурацию, которая активировала Stuxnet, и вирус попытался отдать оборудованию ряд новых команд.
Сделав этот шаг, Лангнер с командой совершили потрясающее открытие: Stuxnet искал не любую электростанцию – он был настроен предельно точно и активировался лишь при обнаружении весьма специфической конфигурации[311].
Лангнер понял, что Stuxnet представляет собой цифровой эквивалент управляемого оружия. Вирус был нацелен на одну-единственную электростанцию в мире.
Иран стоит на четвертом месте в мире по объему разведанных запасов сырой нефти[312]. В связи с этим может показаться удивительным, что в течение некоторого времени перед атакой Stuxnet он был чистым импортером бензина.
Переработка сырой нефти в автомобильное топливо осуществляется на нефтеперегонных заводах, но из-за действующих санкций и недостатка финансирования Иран не справлялся с обеспечением спроса на бензин со стороны населения и даже вынужден был ввести квоты на его продажу в 2009 году[313]. В силу неспособности страны удовлетворить свои энергетические потребности особое значение приобрело ее стремление к переходу на ядерную энергетику (который продолжается с 1950-х годов). Иранские лидеры неоднократно подчеркивали, что их ядерная программа ориентирована исключительно на мирные цели, однако их заверения не способны развеять подозрения США и некоторых их союзников в том, что Иран тайно ведет разработку ядерного оружия.
Ситуация усугубилась в 2002 году, когда стало известно о том, что Иран начал строительство нового ядерного центра в Натанзе, примерно в ста пятидесяти километрах к югу от столичного Тегерана. Иран подписал Договор о нераспространении ядерного оружия и согласился на мониторинг со стороны Международного агентства по атомной энергии (МАГАТЭ), однако не поставил агентство в известность о строительстве центра в Натанзе[314].
Задачей этого центра было обогащение урана – очистка насыщенного ураном газа путем его быстрой перегонки в металлических трубках, в ходе которой происходит отделение более полезных и более тяжелых урановых газов. Степень обогащения урана измеряется в процентах. Для использования на электростанциях подходит уран с обогащением всего до нескольких процентов. Уран военного назначения обогащается до 85 % и выше. Когда инспекторы МАГАТЭ наконец попали в центр в Натанзе, они обнаружили там частицы урана, обогащенного до 70 %, и это стало поводом для опасений, что Иран собирает ингредиенты для создания атомной бомбы[315]. По словам генерального директора МАГАТЭ, в ходе этих проверок Иран «пытался скрыть многие свои разработки»[316].
Но особенно тревожным оказалось то, что ключевые части построенного в Натанзе реактора находились глубоко под землей. Если опасения были небезосновательны и Натанзе использовали для разработки материала военного назначения и если бы противники Ирана захотели остановить этот процесс, не сработала бы даже отчаянная попытка разбомбить станцию (кроме того, она была осуществима только с помощью опасных и легко обнаруживаемых вылазок над территорией враждебных государств).
В результате центр в Натанзе стал первым в истории ядерным объектом, атакованным исключительно кибернетическим оружием. Нанести удар по нему было непросто: в отличие от множества целей, описанных на страницах этой книги, установленное на нем оборудование для обогащения урана не было подключено к интернету. Чтобы атаковать его, хакерам необходимо было обойти так называемый воздушный зазор, то есть найти способ физическим образом доставить вирус на объект и его компьютеры, чтобы он мог сделать свое дело. Оказавшись на объекте, вирус должен был «работать вслепую», выполняя поставленные задачи самостоятельно, без присмотра со стороны человека.
Создатели Stuxnet решили эту проблему изящно: они написали вирус, который распространялся широко – и тем самым повышал свои шансы оказаться на компьютерном оборудовании, предназначенном для центра в Натанзе, – но причинял серьезный ущерб, только если понимал, что проник на объект. Это было подобно ковровой бомбардировке, в которой бомбы разрывались только при попадании в конкретное здание.
Получается, что Уласень, Лангнер и другие исследователи обнаружили вирус, запрограммированный распространяться с компьютера на компьютер, но сбрасывать свою тайную бомбу только на определенную конфигурацию промышленного программного обеспечения Siemens – ту, что использовалась на атомной станции в Натанзе.
По крайней мере, так было в теории. На практике все прошло не так гладко.
В ходе беспорядочного распространения Stuxnet было заражено более ста тысяч компьютеров[317]. Многие их владельцы не заметили никаких отрицательных эффектов, поскольку вредоносная программа у них на устройствах не активировалась в полной мере. Тем не менее их цифровая собственность оказывалась заражена. Как выяснили иранские компании, представители которых связались с белорусским исследователем Сергеем Уласенем, Stuxnet все же причинял сопутствующий ущерб, даже когда не должен был этого делать, и из-за этого на компьютерах появлялся «синий экран смерти».
Кроме того, помимо практических последствий, возникли и серьезные вопросы о том, насколько вообще этично использовать самораспространяющееся кибернетическое оружие, как бы его создатели ни старались ограничить и направить его действие. Особенно остро подобные вопросы встают тогда, когда оружие эксплуатирует уязвимости нулевого дня, которые не раскрываются, чтобы люди могли себя защитить, а, напротив, накапливаются и используются кибернетической армией государства.