Budoucnost války možná právě začala, ale než aby byla předzvěstí výbuchu, začala bez zvuku nebo jediné nehody.
Je to první svého druhu a může to být signál způsobů, jak se od nynějška vedou všechny války. Jedná se o kybernetickou zbraň tak přesnou, že dokáže zničit cíl efektivněji než konvenční výbušnina, poté se jednoduše smaže a oběti zůstanou na sebe. Je to zbraň, která je tak hrozná, že by mohla způsobit více než jen poškození fyzických předmětů, mohla by zabít nápady. Je to červ Stuxnet, mnohými přezdívaný jako první skutečná zbraň kybernetické války na světě, a jeho prvním cílem byl Írán.
Úsvit kybernetické války
Stuxnet je téměř jako něco z románu Toma Clancyho. Spíše než vysílat rakety ke zničení jaderné elektrárny, která ohrožuje celý region a svět, a dohlíží na ni prezident, který tvrdí, že by rád viděl celou rasu lidí „vymazanou z mapy“, jednoduchý počítačový virus lze zavést, které bude dělat práci mnohem efektivněji. Útok na strukturu raketami může vést k válce a kromě toho lze budovy přestavět. Ale infikovat systém tak úplně, že lidé, kteří jej používají, začnou pochybovat o své víře ve své vlastní schopnosti, bude mít mnohem devastující dlouhodobé účinky.
Ve vzácném okamžiku otevřenosti z Íránu národ potvrdil, že malware Stuxnet (název pochází z klíčových slov uložených v kódu), který byl původně objeven v červenci, poškodil jaderné ambice země. I když Írán tento incident bagatelizuje, některé zprávy naznačují, že červ byl tak účinný, že mohl íránský jaderný program vrátit zpět o několik let.
Spíše než jednoduše infikovat systém a zničit vše, čeho se dotkne, Stuxnet je mnohem sofistikovanější a mnohem efektivnější.
Červ je chytrý a přizpůsobivý. Když vstoupí do nového systému, zůstane nečinný a naučí se bezpečnostní systém počítače. Jakmile dokáže fungovat bez vyvolání poplachu, vyhledá velmi konkrétní cíle a začne útočit na určité systémy. Spíše než jednoduše zničit své cíle, dělá něco mnohem efektivnějšího - zavádí je to.
V programu obohacování jaderných zbraní je odstředivka základním nástrojem potřebným k rafinaci uranu. Každá postavená centrifuga sleduje stejnou základní mechaniku, ale německý výrobce Siemens nabízí to, co mnozí považují za nejlepší v oboru. Stuxnet vyhledal řadiče Siemens a převzal velení nad tím, jak se odstředivka otáčí. Ale místo toho, aby jednoduše nutil stroje točit, dokud se nezničily - což byl červ víc než schopný -, Stuxnet provedl na strojích jemné a mnohem hloupější změny.
Když byl vzorek uranu vložen do centrifugy infikované Stuxnetem k doladění, virus přikázal stroji, aby se točil rychleji, než bylo navrženo, a pak se náhle zastavil. Výsledkem byly tisíce strojů, které se opotřebovávaly roky před plánovaným termínem, a co je důležitější, zničené vzorky. Skutečným trikem viru však bylo, že zatímco sabotoval strojní zařízení, zfalšoval naměřené hodnoty a vypadal, jako by vše fungovalo v očekávaných parametrech.
Po měsících se odstředivky začaly opotřebovávat a rozbíjet, ale protože se hodnoty stále zdály v normách, vědci sdružení s projektem začali sami hádat. Íránští bezpečnostní agenti začali tato selhání vyšetřovat a zaměstnanci jaderných zařízení žili pod mrakem strachu a podezření. To trvalo déle než rok. Pokud by se viru podařilo úplně vyhnout detekci, nakonec by se úplně vymazal a nechal Íránce přemýšlet, co dělají špatně.
Po dobu 17 měsíců se virus dokázal tiše propracovat do íránských systémů, pomalu ničit životně důležité vzorky a poškodit potřebné vybavení. Možná víc než poškození strojního zařízení a vzorků byl chaos, do kterého byl program vržen.
Íránci neochotně připouštějí některé škody
Íránský prezident Mahmúd Ahmadínedžád prohlásil, že Stuxnet „dokázal vytvořit problémy pro omezený počet našich centrifug“, což je změna oproti dřívějšímu íránskému tvrzení, že červ infikoval 30 000 počítačů, ale neovlivnil jaderná zařízení. Některé zprávy naznačují, že v zařízení v Natanzu, ve kterém jsou umístěny programy obohacování Íránu, bylo 5 084 z 8 856 odstředivek používaných v íránských jaderných zařízeních vyřazeno z provozu, pravděpodobně kvůli poškození, a elektrárna byla nucena odstavit nejméně dvakrát kvůli účinky viru.
Stuxnet se také zaměřil na parní turbínu ruské výroby, která pohání zařízení v Bushehru, ale zdá se, že virus byl objeven dříve, než mohlo dojít ke skutečnému poškození. Pokud by virus nebyl odhalen, nakonec by spustil příliš vysoké otáčky turbín a způsobil nenapravitelné poškození celé elektrárny. Jako cíle byly také identifikovány systémy teploty a chlazení, ale výsledky červa na těchto systémech nejsou jasné.
Objev červa
V červnu letošního roku našli běloruscí antiviroví specialisté VirusBlokAda v počítači íránského zákazníka dříve neznámý malware program. Po jejím prozkoumání antivirová společnost zjistila, že byla speciálně navržena pro cílení na systémy správy SCADA (supervizní a sběr dat) společnosti Siemens, což jsou zařízení používaná ve velkém měřítku. Prvním vodítkem, že na tomto červu bylo něco jiného, bylo to, že jakmile byla výstraha vyvolána, byla každá společnost, která se pokusila výstrahu předat, následně napadena a nucena se vypnout po dobu nejméně 24 hodin. Metody a důvody útoků jsou stále záhadou.
Jakmile byl virus objeven, společnosti jako Symantec a Kaspersky, dvě z největších antivirových společností na světě, stejně jako několik zpravodajských agentur, začaly zkoumat Stuxnet a nalezly výsledky, z nichž bylo rychle zřejmé, že se nejedná o obyčejný malware.
Do konce září společnost Symantec zjistila, že téměř 60 procent všech počítačů infikovaných na světě se nachází v Íránu. Jakmile to bylo objeveno, bylo stále více zřejmé, že virus nebyl navržen jen tak, aby způsoboval problémy, jako je tomu u mnoha druhů malwaru, ale měl velmi konkrétní účel a cíl. Míra propracovanosti byla také výrazně nad čímkoli, co bylo dříve vidět, což vedlo Ralpha Langnera, experta na počítačovou bezpečnost, který virus poprvé objevil, prohlásit, že je to „jako příchod F-35 na bojiště první světové války“.
Jak to fungovalo
Stuxnet se konkrétně zaměřuje na operační systémy Windows 7, což není shodou okolností stejný operační systém používaný v íránské jaderné elektrárně. Červ používá čtyři útoky nulového dne a zaměřuje se konkrétně na software SCADA společnosti WinCC / PCS 7 společnosti Siemens. Hrozbou nulového dne je zranitelnost, která je buď neznámá, nebo neohlášená výrobcem. Jedná se obecně o kritická zranitelnost systému a jakmile jsou objevena, okamžitě opravena. V tomto případě byly dva z prvků nultého dne objeveny a blížily se vydání oprav, ale dva další nikdy nikdo neobjevil. Jakmile byl červ v systému, začal využívat další systémy v místní síti, na kterou cílil.
Když se Stuxnet propracoval přes íránské systémy, bylo výzvou zabezpečení systému předložit legitimní certifikát. Malware poté představil dva autentické certifikáty, jeden od výrobce obvodů JMicron a druhý od výrobce počítačového hardwaru Realtek. Obě společnosti se nacházejí na Tchaj-wanu, jen pár bloků od sebe, a bylo potvrzeno, že oba certifikáty byly odcizeny. Tyto autentické certifikáty jsou jedním z důvodů, proč červ dokázal zůstat tak dlouho nezjištěný.
Malware měl také schopnost komunikovat prostřednictvím sdílení peer-to-peer, když bylo k dispozici připojení k internetu, což mu umožňovalo podle potřeby upgradovat a hlásit jeho průběh. Servery, se kterými Stuxnet komunikoval, byly umístěny v Dánsku a Malajsii a oba byly vypnuty, jakmile bylo potvrzeno, že červ vstoupil do zařízení v Natanzu.
Když se Stuxnet začal šířit po íránských systémech, začal se zaměřovat pouze na „frekvenční měniče“ odpovědné za odstředivky. Použitím pohonů s proměnnou frekvencí jako markerů vyhledal červ konkrétně pohony od dvou prodejců: Vacon se sídlem ve Finsku a Fararo Paya se sídlem v Íránu. Poté sleduje zadané frekvence a útočí pouze v případě, že systém běží mezi 807 Hz a 1210 Hz, což je poměrně vzácná frekvence, která vysvětluje, jak by mohl červ tak konkrétně cílit na íránské jaderné elektrárny, přestože se šíří po celém světě. Stuxnet poté nastaví změnu výstupní frekvence, která ovlivní připojené motory. Přestože nejméně 15 dalších systémů společnosti Siemens hlásilo infekci, žádný z nich červ neutrpěl.
K prvnímu dosažení jaderného zařízení bylo nutné červa přivést do systému, případně na USB disk. Írán používá bezpečnostní systém „vzduchová mezera“, což znamená, že zařízení nemá připojení k internetu. To by mohlo vysvětlovat, proč se červ rozšířil tak daleko, protože jediným způsobem, jak infikovat systém, bylo zaměřit se na širokou oblast a chovat se jako trojský kůň, zatímco čekáte, až íránský jaderný zaměstnanec přijme infikovaný soubor mimo zařízení a fyzicky přinést to do rostliny. Z tohoto důvodu bude téměř nemožné přesně vědět, kde a kdy začala infekce, protože ji mohlo přinést několik nic netušících zaměstnanců.
Odkud se to ale vzalo a kdo to vyvinul?
Podezření na to, odkud červ pochází, jsou na denním pořádku a nejpravděpodobnějším jediným podezřelým je Izrael. Po důkladném prozkoumání viru společnost Kaspersky Labs oznámila, že úroveň útoku a sofistikovanost, s jakou byl proveden, mohla být provedena pouze „s podporou národního státu“, která vylučuje soukromé hackerské skupiny nebo dokonce větší skupiny, které mají hackerství využíval jako prostředek k dosažení cíle, jako je ruská mafie, která je podezřelá z vytvoření trojského červa odpovědného za krádež více než 1 milion dolarů z britské banky.
Izrael plně připouští, že považuje počítačovou válku za pilíř své obranné doktríny, a nejpravděpodobnější odpovědnou skupinou by byla skupina známá jako Unit 8200, izraelská obranná síla považovaná za hrubý ekvivalent amerického NSA.
Jednotka 8200 je největší divizí izraelských obranných sil, a přesto většina jejích operací není známa - je dokonce utajována totožnost brigádního generála odpovědného za jednotku. Jedna z mnoha explozí tvrdí, že během izraelského náletu na podezřelé syrské jaderné zařízení v roce 2007 aktivovala jednotka 8200 tajný přepínač kybernetického zabití, který deaktivoval velké části syrského radaru.
Abychom této teorii dále věřili, Izrael v roce 2009 posunul datum, kdy očekává, že Írán bude mít základní jaderné zbraně, do roku 2014. Mohlo to být výsledkem vyslechnutí problémů nebo by to mohlo naznačovat, že Izrael o něčem nikdo nevěděl jinak ano.
USA jsou také hlavním podezřelým a v květnu letošního roku Írán tvrdil, že zatkl 30 lidí, o nichž tvrdí, že se podíleli na pomoci USA vést „kybernetickou válku“ proti Íránu. Írán rovněž tvrdil, že Bushova administrativa financovala plán 400 milionů dolarů na destabilizaci Íránu pomocí kybernetických útoků. Írán tvrdil, že Obamova vláda pokračovala ve stejném plánu, a dokonce některé z projektů urychlil. Kritici prohlásili, že íránská tvrzení jsou jednoduše výmluvou k vymýcení „nežádoucích“ a zatýkání je jedním z mnoha sporů mezi Íránem a USA.
Ale jak virus pokračuje ve studiu a objevují se další odpovědi týkající se jeho funkce, objevují se další tajemství ohledně jeho původu.
Podle společnosti Microsoft by virus trval nejméně 10 000 hodin kódování a vzal by tým pěti nebo více lidí, minimálně šest měsíců práce. Mnoho lidí nyní spekuluje, že by to vyžadovalo společné úsilí zpravodajských komunit několika národů, které by všechny společně vytvořily červa. I když Izraelci mohou mít odhodlání a technici, někteří tvrdí, že k kódování škodlivého softwaru by to vyžadovalo technologii Spojených států. Znát přesnou povahu strojního zařízení Siemens do té míry, jak to Stuxnet udělal, by mohlo naznačovat zapojení Německa, a Rusové mohli být zapojeni do podrobného popisu specifikací použitých ruských strojů. Červ byl přizpůsoben pro provoz na frekvencích, které zahrnovaly finské komponenty, což naznačuje, že je zapojeno i Finsko a možná i NATO. Ale záhad je stále více.
Červ nebyl detekován kvůli jeho činům v íránských jaderných zařízeních, ale spíše v důsledku rozsáhlé infekce Stuxnet. Centrální zpracovatelské jádro íránského jaderného zpracovatelského závodu je umístěno hluboko v podzemí a je zcela odříznuto od internetu. Aby červ mohl infikovat systém, musel být přiveden do počítače nebo na flash disk člena personálu. Stačil by jediný zaměstnanec, který by si vzal práci domů s sebou, pak by se vrátil a vložil do počítače něco tak neškodného, jako je flash disk, a Stuxnet zahájil tichý pochod na konkrétní strojní zařízení, které chtěl.
Potom však zní otázka: Proč lidé zodpovědní za virus vyvinuli tak neuvěřitelně sofistikovanou kybernetickou zbraň a poté ji uvolnili způsobem, který je pravděpodobně tak nedbalý? Pokud bylo cílem zůstat nezjištěno, uvolnění viru, který má schopnost replikovat se rychlostí, kterou ukázal, je nedbalé. Jednalo se o to, kdy, ne-li, bude virus objeven.
Nejpravděpodobnějším důvodem je, že vývojářům to bylo jedno. Pečlivější zasazení malwaru by zabralo mnohem více času a přenos červa do konkrétních systémů může trvat mnohem déle. Pokud země hledá okamžité výsledky, aby zastavila to, co by mohla považovat za blížící se útok, pak by rychlost mohla být opatrná. Íránská jaderná elektrárna je jediným infikovaným systémem, který hlásí jakékoli skutečné škody způsobené Stuxnetem, takže riziko pro ostatní systémy se zdá být minimální.
Tak co dál?
Společnost Siemens vydala nástroj pro detekci a odstranění pro Stuxnet, ale Írán se stále snaží úplně odstranit malware. Ještě 23. listopadu bylo íránské zařízení v Natanzu nuceno odstavit a očekává se další zpoždění. Nakonec by měl být jaderný program zálohován a spuštěn.
V samostatném, ale možná souvisejícím příběhu byli na začátku tohoto týdne zabiti dva íránští vědci samostatnými, ale identickými bombovými útoky v íránském Teheránu. Následující den na tiskové konferenci prezident Ahmadínedžád novinářům řekl, že „do atentátu bezpochyby patří ruka sionistického režimu a západních vlád.“
Dříve dnes íránští představitelé tvrdili, že při bombových útocích několikrát zatkli, a přestože totožnost podezřelých nebyla zveřejněna, íránský ministr zpravodajských služeb uvedl: „Tři špionážní agentury Mossad, CIA a MI6 hrály při (útocích) a se zatčením těchto lidí najdeme nové stopy k zatčení dalších prvků, “
Kombinace bombových útoků a škod způsobených virem Stuxnet by měla těžce ovlivnit nadcházející rozhovory mezi Íránem a šestičlennou konfederací Číny, Ruska, Francie, Velké Británie, Německa a USA 6. a 7. prosince. rozhovory mají pokračovat v dialogu o možných íránských ambicích Íránu.
