Kompiuterinis virusas sugebėjo įveikti apsaugą, kurios net aviacinė bomba nepralaužtų.
Patekti į slaptą ir gerai apsaugotą priešiškos valstybės bombų gamyklą. Anksčiau tokį darbelį būtų reikėję patikėti Džeimso Bondo tipo agentui. Tačiau visuotinės kompiuterizacijos laikais su šia užduotimi gali puikiai susidoroti pažangus virusas.
Visas pasaulis iki šiol spėlioja, kas galėjo sukurti ir paskleisti virusą „Stuxnet“. Šis neįprastas virusas buvo pastebėtas prieš metus, nors manoma, kad jis po kompiuterius pradėjo plisti dar 2007 metais ir išliko nepastebėtas gana ilgą laiką.
Pasak bendrovės „NOD Baltic“, atstovaujančios ESET saugumo sprendimams, vadovo Tomo Parnarausko, informacinių technologijų saugumo ekspertai šią kirmino tipo virusu vadinamą kenkėjišką programą pastebėjo praėjusių metų vasarą. Anot jo, kirminas plito naudodamasis „Windows“ šeimos operacinių sistemų saugumo spraga, susijusia su „.lnk“ tipo failų apdorojimu, ir ieškojo kompiuterių su pramoninių procesų valdymo sistemomis, sutrumpintai vadinamomis SCADA (angl. supervisory control and data acquisition). Tokio tipo sistemos naudojamos naftos platformose, elektrinėse, oro uostuose ir kariniuose objektuose.
„Stuxnet“ galėjo plisti tiek kompiuterių tinklu, tiek per atmintukus. Kadangi itin svarbūs kompiuteriai prie interneto dėl saugumo priežasčių dažniausiai nėra prijungti, tai į juos kirminas patekdavo antruoju būdu. Nors praėjusių metų rugsėjo mėnesį „Microsoft“ išleido pirmą spragas pašalinantį operacinių sistemų papildymą, pasak T. Parnarausko, „Stuxnet“ sugebėjo prisitaikyti ir rasti naujų spragų. Be to, ilgą laiką virusui išlikti nepastebėtam padėjo keli iš kitų bendrovių pavogti skaitmeniniai sertifikatai.
Iš pradžių manyta, kad šį virusą sukūrė programišiai, siekdami šantažuoti dideles bendroves ar gauti konfidencialios informacijos. Tačiau toliau gilinantis į šio viruso veikimo principus paaiškėjo, kad jis ieškojo labai specifinės sistemos. Virusui „Stuxnet“ buvo reikalingas kompiuteris su vokiečių bendrovės „Siemens“ programine įranga, kuri turėjo valdyti atitinkamu greičiu besisukančias centrifugas. Radęs reikiamą sistemą, virusas turėjo nežymiai pakeisti centrifugų sukimosi greitį ir jas sugadinti.
Su tokio tipo virusu kompiuterinio saugumo specialistams iki šiol neteko susidurti. Saugumo sprendimus teikiančios „Critical Security“ vadovas Miroslavas Lučinskis pastebėjo, kad šis atvejis įdomus tuo, jog pirmą kartą susidurta su kenksminga programa, skirta pramonės objektams užvaldyti. „Šio viruso tikslas buvo ne užkrėsti kompiuterį, o sugadinti aparatinę įrangą, naudojamą pramoniniams procesams valdyti. Norint sukurti tokio tipo virusą, iš tiesų reikalingas pramoninių sistemų veikimo išmanymas ir paties viruso kodo kontrolės užtikrinimas, kad industrinių valdiklių darbas užkrėtimo metu nesutriktų“, – sakė M. Lučinskis.
Taikiklyje atsidūrė Iranas
Virusui „Stuxnet“ pavyko užkrėsti mažiausiai 45 tūkst. kompiuterių visame pasaulyje, tačiau jokios žalos daugeliui jų nepadarė. „Siemens“ patvirtino, kad virusas buvo aptiktas 15 pramoninių objektų visame pasaulyje, naudojusių atitinkamą bendrovės programinę įrangą, tačiau nė viename jų viruso žala neužfiksuota.
Pasirodo, šio viruso kūrėjų taikinys buvo labai konkretus – tai Irane veikianti Natanzo branduolinė gamykla, kurioje sodrinamas uranas atominėms bomboms gaminti. Manoma, kad į šią gamyklą patekęs virusas darbavosi 17 mėnesių. Per šį laikotarpį iš lėto gadino brangią įrangą ir trukdė urano sodrinimo procesui. Praėjusiais metais Irano vyriausybė pripažino, kad Natanzo gamyklos kompiuteriai iš tiesų buvo užkrėsti „Stuxnet“ virusu, tačiau neigė, kad skaitmeninis kirminas padarė didelės žalos.
Tačiau Tarptautinės atominės energetikos agentūros, stebinčios Irano branduolinę programą, duomenys rodė ką kita – nuo 2009 metų pradžios pusė Natanzo gamykloje įrengtų centrifugų neveikė, o likusiųjų efektyvumas buvo labai nedidelis. Urano sodrinimo procesas šioje gamykloje buvo iš esmės visai sustojęs, o joje dirbantys mokslininkai negalėjo surasti paaiškinimo, kas vyko ne taip. Virusą praėjusiais metais aptikti pavyko tik specialistams iš Baltarusijos.
„Stuxnet“ kūrėjai šiam kompiuteriniam kirminui buvo parinkę ir antrą taikinį. Tai buvo kitame Irano mieste Bušehre statoma atominė elektrinė. Virusas stengėsi įsibrauti į milžinišką rusų pagamintą garo turbiną valdančias sistemas. Atrodo, kad ir šįkart virusui pavyko pasiekti tikslą. Bušehro atominės elektrinės startas buvo atidėtas, o Rusijos ambasadorius prie NATO Dmitrijus Rogozinas pareiškė, kad Vakarai turėtų ištirti, kas organizavo šį išpuolį, nes jis galėjo sukelti Černobyliui prilygstančią atominę avariją.
Tiesa, Vakarų ekspertai suabejojo, ar virusas iš tiesų galėtų padaryti tokio masto žalą, nes jis nesitaikė į patį atominį reaktorių valdančią sistemą. Nepaisant to, norint atsikratyti šio viruso, iraniečiams prireiks ne vieno mėnesio. Be to, greičiausiai bus paprasčiau tiesiog išmesti visą kompiuterinę įrangą ir ją pakeisti nauja negu stengtis pašalinti virusą iš kiekvieno kompiuterio.
Rasti šio viruso kūrėjų kol kas nepavyko. Nustatyta, kad „Stuxnet“, pranešdamas apie savo veiksmus, nuolatos susisiekdavo su anoniminiais serveriais Danijoje ir Malaizijoje. Čia viruso kūrėjų pėdsakai ir dingsta. Įvertinus tai, koks pažangus buvo šis kompiuterinis kirminas ir kiek specifinių žinių reikėjo jam sukurti, už jo turėjo būti valstybės institucijos. Greičiausiai JAV ar Izraelio žvalgybos tarnybos. Tačiau tai tik spėjimas.
Neapsaugota ir Lietuva
Kritinės svarbos sistemų atakos dar ne taip seniai buvo tik Holivudo filmų scenarijuose. „Stuxnet“ viruso pavyzdys parodė, kad jos bet kada gali virsti realybe. „Šiuo metu laikomasi nuomonės, kad „Stuxnet“ yra kibernetinio ginklo prototipas, kuris gali būti panaudotas kuriant naujas, kur kas pavojingesnes ir sudėtingesnes atakas“, – teigė T. Parnarauskas.
Tiesa, įvairių bendrovių turima konfidenciali informacija ar asmeniniai klientų duomenys jau dabar gana dažnai tampa programišių grobiu. Pasak T. Parnarausko, jų taikiklyje dažniausiai atsiduria didelės bendrovės, kurios gali virsti pasipelnymo šaltiniu. Pavyzdžiui, didžiausiu 2009 metų išpuoliu internete tapo „Aurora“ ataka, kurios metu iš daugiau kaip šimto bendrovių buvo pavogti prisijungimo slaptažodžiai ir konfidenciali informacija. „Google“, „Adobe Systems“, „Yahoo“, „Symantec“ – tai tik kelios nuostolių patyrusios įmonės, kurių programų ar interneto naršyklių saugumo spragomis pasinaudoję programišiai įvykdė itin taikliai suplanuotas atakas. Tačiau tai tik viešai aptarinėjami faktai“, – vykdytų kompiuterinių atakų pavyzdžiais dalijosi pašnekovas.
Bendroves dėl informacinių technologijų saugumo konsultuojančiam M. Lučinskiui teko susidurti su keliais atvejais ir Lietuvoje, kai sukūrus specialią programinę įrangą buvo siekiama įsilaužti į konkrečios įmonės kompiuterius. „Lietuvoje tai vienetiniai atvejai, nes kibernetinis nusikalstamumas pas mus nėra labai pažengęs, be to, reikiamą informaciją dažniausiai galima patogiau gauti iš nesąžiningų darbuotojų“, – aiškino M. Lučinskis.
Ar panašaus tipo virusas, kuris sugebėjo pakenkti svarbiems objektams Irane, galėtų padaryti žalos ir Lietuvoje? Abu IQ kalbinti pašnekovai teigė, kad tai gali būti pakankamai reali grėsmė, nors vargu ar ji galėtų lemti itin skaudžių padarinių.
Kaip aiškino M. Lučinskis, visose svarbiose valstybei pramonės srityse skirtingais tempais vyksta procesų automatizacija ir kompiuterizacija. Neabejotinai didėja ir elektroninio saugumo svarba. Šį klausimą, pasak pašnekovo, dažniausiai bandoma spręsti vidinėmis jėgomis arba pasitelkiant standartinius kompiuterinio saugumo sprendimus, o atlaikyti tokio tipo grėsmės kaip „Stuxnet“ nesirengiama. „Turint profesionalią komandą, laiko, žinių ir motyvacijos kažką panašaus į veiksmo filmų scenarijus galima pabandyti įgyvendinti ir Lietuvoje. Galbūt tokiu atveju bus apsieita be įspūdingų sprogimų, bet kelias antraštes, skelbiančias, kad kažkur įvyko avarija ar sutriko svarbaus dalyko tiekimas, ateityje galime išvysti“, – teigė M. Lučinskis.
Skaitmeninio agento pamokos
„Stuxnet“ pavyzdys parodė kompiuterinio viruso galias. Kompiuterinis virusas gali būti labai tikslus ginklas ir padaryti žalos tik ten, kur jo kūrėjai numatė. Be to, virusai kartais gali prasibrauti ten, kur net aviacinės bombos negalėtų pasiekti. Natanzo gamykla veikia kelių metrų gylyje, ją dengia kelių metrų storio betoninės sienos, todėl ją subombarduoti būtų ne taip paprasta.
Dar vienas tokio viruso pranašumas – galimybė jo kūrėjams išlikti anonimiškiems. Irano vyriausybė gali tik spėlioti, kas norėjo pakenkti jos branduolinei programai, tačiau oficialių kaltinimų pateikti nėra kam. Dar vienas viruso laimėjimas – tarp Irano gamyklos darbuotojų sukelta baimė ir nepasitikėjimas. Po viruso išpuolio buvo atleistas Natanzo gamyklos vadovas, daugybė ten dirbusių mokslininkų pateko į saugumo tarnybų akiratį.
Vis dėlto „Stuxnet“ atskleidė ir kibernetinio karo apribojimų. Kompiuterių ataka negali atstoti realaus puolimo. „Stuxnet“ sugebėjo sutrikdyti svarbių įrenginių darbą, tačiau jų visiškai nesunaikino. Pakeitus kai kuriuos įrengimus, atnaujinus programinę įrangą Iranas toliau galės plėtoti savo branduolinę programą. Nors bombų sugriautus pastatus taip pat būtų galima atstatyti, šis procesas užtruktų nepalyginamai ilgiau ir kainuotų brangiau.
Antra, pasirengti ir įgyvendinti kibernetinę ataką gali trukti gerokai ilgiau. Sukurti ir paruošti „Stuxnet“ užtruko kelerius metus, kad jis pasiektų reikiamą taikinį, prireikė mėnesių, kad jį pasiekęs virusas galėtų nepastebėtas daryti žalą, reikėjo laukti savaites. Tad tokio tipo ataka negali pakeisti greito puolimo.
___________________
Šis straipsnis buvo spausdintas IQ žurnalo kovo mėn. numeryje.
