Так кончится этот мир (2)⁠⁠

Продолжаем знакомиться с книгой Николь Перлрот "Говорят, так кончится этот мир. Настоящая история".

Коротко для ЛЛ: американские спецслужбы развили бурную деятельность на ниве кибершпионажа и киберсаботажа. Чего ни сделаешь, чтобы избежать мировой войны.

Спецслужбы всегда живо интересовались тем, что плохо лежит. А в особенности тем, что лежит хорошо. В 1983 году работники американского посольства в Москве начали подозревать, что Советы в курсе любого их начинания. Конечно, они давно были под наблюдением. Но в этот раз было такое впечатление, что стены стали прозрачными. Наводку на источник утечки дали французы, рассказавшие о советском «жучке», сифонившего их телетайпы на протяжении шести лет. Президент Рейган принял решение: убрать всё электрооборудование, заменив его на свободное от жучков. Проект получил название Gunman. Я не буду пересказывать эту эпопею, скажу лишь, что в металлической пластине внутри пишущих машинок было вмонтировано устройство с магнитометром, регистрировавшее и передававшее по радио нажатие каждой клавиши. Целых восемь лет Советы дурачили американцев. Теперь у них открылись глаза.

Ага, как же. Сами монтировали видеокамеры и радиостанции в копировальные аппараты советских посольств десятилетиями раньше, а теперь вот Советы им «глаза открыли».

Крёстным отцом американской цифровой разведки автор называет Джеймса Гослера. Начав обычным компьютерщиком, этот человек продолжил свою карьеру выявлением критических уязвимостей в ядерном арсенале США. Столкнувшись с непрестанным усложнением микропроцессорных устройств, он сделал неизбежный вывод: больше нельзя быть уверенным в том, что они неуязвимы. Свою мысль он проиллюстрировал двумя экспериментами. В рамках первого он сделал две закладки в одно небольшое приложение и предложил коллегам обнаружить их. Одна закладка была простой, другая – «новаторским техническим достижением». После месяцев работы коллеги сдались, не обнаружив ничего. Во втором эксперименте закладчиком был другой человек, а Гослер с коллегами искали. Гослеру удалось, коллегам – нет.

Если такое получилось провернуть с приложением, исходник которого содержит всего 3 тысячи строк, что уж говорить о более сложных. Линукс начался с 176 тысяч, а в 2011 году весил уже 15 миллионов строк. Или о самолёте F-35 с его 8 миллионами строк? Больше кода – больше источников для ошибок и закладок. Гослеру удалось убедить в этом Роберта Морриса-старшего (младший написал первый в мире вирус, попортив нервы папане, который работал на АНБ). И вот уже Агентство Национальной Безопасности наняло Гослера в качестве «приходящего учёного». Уязвлённым проектом Gunman американским шпионам настало время поднимать квалификацию.

На новом рабочем месте Гослер не покладал рук, убеждая начальство действовать проактивно в быстрорастущем цифровом сегменте экономики. Через пару лет он вернулся к прежнему работодателю Sandia, где занялся взломом и закладками в оборудование потенциальных противников Соединённых Штатов. Деньги от нового заказчика потекли рекой. В этом свете не стоит удивляться скандалу со швейцарской Cripto AG, поставившей в Иран и другие страны на экспорт шифровальное оборудование, допускавшее лёгкий взлом американцами. Спецслужбы создали тогда целую классификацию потенциальных противников, начиная с ламеров категории I и заканчивая категорией VI, в которую входили страны, способные на цифровой саботаж массового характера: Китай, Россия, США.

Холодная война кончилась. Но появились новые враги, как то исламские фундаменталисты. Других «новых» автор не перечислила. Но упомянула Россию, Китай, Северную Корею, Кубу, Иран и Ирак. Короче, будем шпионить дальше с прежним рвением. Задача была наладить непрерывный сбор данных из буквально всех доступных и недоступных источников. Первыми занималось АНБ, вторыми ЦРУ. Туда и устроился Гослер в 1995 году. Интернет предоставил прекрасную возможность для выяснения необходимых деталей для шантажа личностей, представлявших интерес. А со временем и необходимость в таких личностях уменьшилась: данные стало возможно украсть без их посредничества. Хорошо продуманные вкладки обеспечивали выполнение задач, требовавших ранее долгих лет кропотливой работы. Число их превышало сотню, а география включала в себя всех старых-новых врагов.

Вся эта суперпрограмма не помогла предотвратить теракты 9/11. И, главное, данные-то были! На них просто не обратили внимания. Американцы стали закручивать гайки. Был принят Патриотический акт и расширен Акт о негласном наблюдении. Слежка усилилась. Телефонные компании стали сообщать данные о звонках спецслужбам. Прослушивали всех подряд, даже немецких канцлеров. Но от прослушки – лишь один шаг до саботажа. Эксплойты для того и другого – одни и те же.

Для «активной обороны» был создан хакерский отдел в TAO – секретном подразделении АНБ– ROC (Remote Operations Center). Число вкладок стало исчисляться десятками, сотнями тысяч. Возможности АНБ в нулевых годах заметно превосходили разоблачения Сноудена. Бывший работник TAO говорил:

Изначально они нацелили нас на каналы террористов, затем на операционные системы. Потом мы занялись браузерами и сторонними приложениями. В конце концов произошёл большой сдвиг, и мы взялись за металл с эксплойтами на уровне ядра.

Хакеры из ROC даже придумали подходящий лого:

Кибершпионаж встал на поток. Одни специалисты искали дыры и мастерили эксплойты, другие делали боевую начинку, третьи занимались агентурой для внедрения, четвёртые паразитировали на иностранной разведке. Цифровизация первого десятилетия существенно расширила возможности. Google раскрыл спецслужбам интересы каждого, Facebook побудил людей активно сообщать о себе, а смартфоны добавили геолокацию и всё прочее. Приложение Where ist my node, стало слать в АНБ сообщения при перемещениях клиента в пределах сети покрытия.

Любимое занятие за хорошие деньги – что ещё душа хакера пожелает? Только результатом были чьи-то смерти. В один прекрасный день сотрудникам представили десяток фотографий террористов, уничтоженных благодаря их эксплойтам. По идее это должно было переполнить гордостью. И всё же осадок остался. Слежка за своими гражданами была, конечно, запрещена (хоть кое-кто не гнушался пошпионить за бывшей). Вернее, разрешена лишь по решению суда. Этот суд вполне покладист: в 2012 году он одобрил 1749 из 1789 заявок.

Цифровая хватка американских спецслужб была всепроникающей. Приложение Genie влезало не только в чужие сети, но практически в любой значимый рутер, свич, файрвол или шифровальное устройство и насчитывало в 2015 году 85 тысяч вкладок, четверть из которых приходилась уже не на традиционных русских, китайцев или северных корейцев. Вкладки делались не только в родное американское оборудование, но и в широко распространённые устройства Huawei, например. Уже давно АНБ внедрилась в их штаб-квартиру в Шеньжене и выкрала исходные коды для конструирования вкладок.

Всепроникающий шпионаж – это, в принципе, ничего нового. Но, как сказано выше, от него до саботажа – один шаг. И этот шаг был сделан. В 2007 году в свете наращивания Ираном своей ядерной программы у Штатов было две опции. Первым вариантом была военная операция, на которой настаивал Израиль. Мало того, что это бы отправило нефтяные цены в космос, так ведь ещё опасность мировой войны. Дипломатическими способами предотвратить разработку тоже не удалось.

Директор АНБ Александер предложил Бушу-младшему третий вариант: компьютерная диверсия. Материала о цели было достаточно. Слабым звеном был признан вал центрифуги по сепарации изотопов. Он должен быть тонким, но прочным, чтобы выдержать тысячу оборотов в секунду. Разгонишь слишком быстро – разорвёшь центрифугу, резко затормозишь – вырвешь из креплений. Запустив червя в систему управления процессом, можно было незаметно разрушить существенную долю центрифуг и замедлить ядерный проект Ирана, принудив его начать переговоры.

Так началась Операция «Олимпийские игры». Разработанный американскими и израильскими специалистами жирный червь размером в половину мегабайта распространялся при помощи семи эксплойтов. Первый 0day (.LNK) использовал дыру в коде, вызываемом для отображения иконки вставленной флешки. Вирус перехватывал управление и влезал в компьютер без единого нажатия клавиши. Но, конечно, рассчитывать на то, что флешку воткнут сразу в компьютер, с которого управляются центрифуги, было бы наивно. Червь был рассчитан на долгий путь по сетям с преодолением воздушного зазора: ответственные системы, как правило, изолируются от прочих компьютерных сетей по соображениям безопасности. Для распространения в пределах сети использовался ещё один 0day (спулер печати), который хоть на момент обнаружения вируса уже таковым не был, но исправлен тоже не был. Ещё один эксплойт был давно известен, но обновление иранские инженеры, похоже, не накатили. Для того, чтобы вызвать доверие операционной системы, Stuxnet (да, это был он) пользовался двумя украденными сертификатами тайваньских фирм Jmicron и Realtek, работающих в одном и том же технологическом парке.

Так и бродил Stuxnet от компьютера к компьютеру, оставляя экземпляры по пути распространения. Целью его был компьютер, с которого программируется управление технологическим процессом. Компьютер с установленным на нём Step7. На самом деле одного «степа» для управления процессом мало, нужна ещё SCADA, про которую автор не написала. Она, как и степ, была от Сименса, и называется WinCC. А вместе весь пакет носит название PCS7.

Нашёлся компьютер с S7-проектом – хорошо. В его файлы данных проект откладывал свою копию. При открытии проекта инженером ещё один эксплойт активировал её. Если этот проект не имел отношения к иранским центрифугам, то вирус просто распространялся дальше. А если таки имел – онс встраивался в сетевой обмен контроллера с компьютерами сети, а также грузился в сам контроллер. Из которого он то разгонял центрифугу до предела, то замедлял её до двух оборотов в секунду. Разгоны-торможения следовали с интервалом в пару-тройку недель. Так незаметнее. Тем более, что оператору вирус подсовывал данные, как будто скорость вращения не менялась.

К концу 2008 года тот самый контроллер был заражён. Буш и Александер были довольны, как и партнёры из Израиля. На смену Бушу пришёл Обама. Он с готовностью принял эстафетную палочку и стал наращивать усилия. Когда стало известно о выходе одного из каскадов из-под контроля, он позвонил Бушу и сказал, что оно работает. МАГАТЭ сделала вывод о постепенном снижении ввода в эксплуатацию новых мощностей, начиная с середины 2009 года. К началу 2010 года из строя было выведено 2 тысячи центрифуг.

Всё шло хорошо, пока вирус в результате ошибки не вырвался на свободу и не заразил десятки тысяч компьютеров в Иране и других странах. Обама приказал ускорить программу, однако обнаружение и декодирование вируса стало делом времени. 17 июня 2010 эра стакснета стала клониться к закату.

Среди «препараторов» Stuxnet был немецкий эксперт Ральф Лангнер, который заметил, что вирус не заражает всё подряд, а ищет строго определённый проект. Что за проект? Ну, если его нашли в Иране, то это, похоже, связано с ядерной программой. В программном коде, который грузился в контроллер, попалось сравнение с 164. Именно столько было центрифуг в каскаде. Лангнер стал просматривать хронику посещения иранского лидера Ахмадинежада и в одном кадре нашёл структуру каскада центрифуг. В теле вируса нашёлся массивчик с точно такой же структурой. Бинго! Сомнений больше быть не могло.

Каскад центрифуг в теле Stuxnet

Лангнер тогда же стал предупреждать о том, что потенциальных целей для подобного оружия больше на Западе, чем где-нибудь ещё. И он же прямо ответил на вопрос об авторстве вируса: да, Израиль, но он был не один. Он был в партнёрстве с мировой кибер-сверхдержавой – США.

После этого американские спецслужбы не стали концентрироваться на безопасности устройств в своей стране, а работали по принципу «лучшая защита – это нападение». Имеющиеся средства позволяли отследить любого человека, любой датчик в мире. Новый робот под кодовым названием Turbine стал управлять обширным многотысячным аппаратом вкладок. Работали они по системе NOBUS (nobody but us – никто, кроме нас). Это значило, что легко находимые уязвимости сообщались разработчикам, чтобы те их закрывали. Однако к 2012 году стало ясно, что NOBUS не работает. После разоблачения Сноудена свои разработчики стали толпами покидать АНБ, и Агентство всё больше стало закупать эксплойты со стороны. Например в VRL – Vulnerability Research Lab. Эту малоизвестную компанию организовали пятеро лучших хакеров, покинувших АНБ. Куда лучше иметь жирный навар с контрактов, чем сидеть пусть на хорошей, но зарплате. Они не только сами искали уязвимости, но и скупали их у других хакеров. А также тестировали 0days и делали надёжные эксплойты. И при этом не испытывали угрызений совести, контактируя с иностранными партнёрами. Ведь сбывали свою продукцию они исключительно госклиентам.

Правда вот незадача: своими усилиями они только разогнали прибыльную и нерегулируемую гонку вооружений. В которую после Stuxnet включились уже все подряд, и союзники, и противники.

---------------------------------

Патриотичненько. Кибердиверсия глобального масштаба сделана силами добра, но вот зло может сделать то же самое. О ужас.

История стакснета в изложении Николь сильно приукрашена. По-настоящему 0day был всего один, а не семь. Тот самый, который позволял соскочить вирусу на компьютер при втыкании флешки. Остальные дыры были уже известны, но «благоразумно» не закрыты Майкрософтом аж до осени 2010 года. Более того, Windows XP SP2, под которой работал иранский PCS7, вообще не пропатчили. Его просто изъяли из саппорта (перестали выпускать обновления) менее, чем через месяц после обнаружения вируса. А под SP3 та версия PCS7, что у иранцев, вряд ли работала. Ведь он вышел в апреле 2008 года, когда в Иране уже крутились тысячи центрифуг. Короче, фирма Гейтса вполне могла быть в деле.

Интересным образом была организовано распространение вируса через воздушный зазор. Он залезал не только на флешку под видом .LNK-файла, но и заражал S7- и WinCC-проекты. Как результат, сервис-работники Сименс цепляли его себе на ноутбук, заражали хранящиеся на нём проекты клиентов, попадая потом и на их компьютеры. При этом они скакали между WinCC и S7, залезая даже в zip-архивы. Захотел поднять чистый проект из бэкапа – не тут-то было! Хитро, хитро…

Ещё вирус создавал peer-to-peer-сеть из своих экземпляров, скачивая по ней обновления. Конец работы в нём был закодирован не то серединой 2012 года, не то 01.01.2011. Писали его работники старой гвардии, признававшие лишь чистый Си. Кстати, потом появились вирусы-продолжения (которые автор называет предшественниками), содержащие оригинальные куски кода: Duqu, Flame. Но в контроллеры они уже не лезли, а занимались обыкновенным шпионажем в том же Иране.

С заслуженным препаратором стакснета Лангнером я знаком лично. Никакой он не компьютерщик, по образованию психолог. Всю работу по декодирования кода контроллера сделали парни его фирмы. А начальник фланировал потом на американской сцене в выглаженном костюмчике и стращал потом полмира грядущим нападением диверсантов, осознавшим разрушительный потенциал взлома промышленных контроллеров. Сейчас он признаёт, что ошибался на этот счёт. Но надо отдать ему должное: он на самом деле нашёл железобетонное доказательство направленности вируса на иранскую атомную программу. Весь остальной код анализировали специалисты из Symantec, Kaspersky и других фирм. Очень интересные статьи в режиме реального времени печатал Александр Гостев.

Сегодня Лангнер рассказывает несколько иную историю. В его изложении Stuxnet имел две кардинально различающиеся версии. Первая версия, которая ходила при Буше-младшем, разрушала центрифуги не циклами разгона-торможения, а повышением давления внутри центрифуги. Благо, высокая степень автоматизации установки это позволяла. При этом урановый газ десублимировался в твёрдую фазу и разрушал аппарат, который, напомню, вращается с частотой в районе 1000 rps. Именно для этой версии было реализовано «кино» для оператора (и для системы управления), которые не должны мешать проведению диверсии. С этой целью хакнули даже локальные «показометры» давления. Сам вирус не ползал по сети, а распространялся с заражёнными ноутбуками и флешками. Обама решил ускорить и усилить процесс. Вот тогда и появились разгоны-торможения, многочисленные 0days и обновления по сети. Но оператора уже было не обмануть: разогнанная центрифуга свистит с другой частотой, а замедленная вообще не свистит. Сам же разгон-торможение тоже хорошо слышен. Вы можете посмотреть демку самого Лангнера:

Скрывать было в таких условиях нечего, и вторая версия превратилась в демонстрацию эффективности кибероружия всему миру. В самом деле, не вынесешь же флешку на военный парад.

Николь утверждает, что «оно сработало», то есть цель была достигнута. Но даже если верить её цифрам, разрушено оказалось не более четверти центрифуг, многие из которых удавалось быстро починить. Согласно другим источникам, из строя была выведена лишь каждая десятая центрифуга. В 2010 году иранская ядерная программа продолжала успешно развиваться, и в последующие годы они увеличили количество центрифуг ещё в несколько раз. В 2011 году американцы стали навешивать новые санкции на Иран, которого по словам автора стремились принудить к переговорам «Олимпийскими играми». Лишь в 2015 году была заключена ядерная сделка сроком на десять лет, из которой досрочно вышел Трамп, а не иранцы. Я думаю, американцы делают хорошую мину при плохой игре. Stuxnet мало того, что не прозвёл желаемый эффект, но и оказался обнаружен и известен всему миру.