Inženirji beloruskega računalniškega podjetja VirusBlokAda, ki izdeluje protivirusno programsko opremo, so 17. junija 2010 zaznali nenavadnega novega računalniškega črva. Uporabniki njihovih protivirusnih programov iz Irana so jih namreč obvestili, da so na svojih računalnikih opazili neznan program, za katerega niso vedeli, od kod se je vzel in kaj počne. Belorusi so o odkritju novega potencialno zlonamernega črva takoj obvestili še druga protivirusna podjetja po svetu in vsi skupaj so začeli proučevati kodo programa, o katerem nihče ni vedel ničesar. Iz delčkov besed, ki so jih našli v kodi, so zgradili sestavljanko Stuxnet, ki je postala ime novega črva.

Že po prvih analizah kode je bilo strokovnjakom za računalniško varnost jasno, da gre za nekaj pomembnega, saj česa podobnega do takrat še nikoli niso zaznali. Pri običajnih virusih in črvih so lahko v nekaj minutah razvozlali njihovo strukturo, način širjenja in cilje, ki jih želijo doseči. V primeru Stuxneta pa tudi po več tednih natančnih analiz ni bilo jasno, kaj črv sploh počne in kaj je njegova tarča.

Stuxnet je bil kar dvajsetkrat večji od običajnih virusov in ni vseboval nobene napake, ki običajno izda avtorje bolj preprostih zlonamernih programov. Črv je bil zelo sistematično zgrajen, pri čemer je vsak del kode izjemno dobro izvajal natančno določeno aktivnost. Presenetljivo je bilo tudi, da je Stuxnet izrabljal še neznane metode, kako se širiti, ne da bi bilo treba na okuženemu računalniku karkoli klikniti, presneti ali zagnati. Takšna ranljivost »zero day« omogoča takojšnje razširjanje, ne da bi bilo treba tistemu, ki je okužen, karkoli narediti. Vse se dogaja avtomatsko v ozadju.

Če nekdo najde takšno varnostno luknjo v programski opremi, lahko to na črnem trgu unovči za več sto tisoč dolarjev, saj so takšne napake redke, programerji pa jih praviloma takoj, ko izvejo zanje, odpravijo. Za Stuxnet so odkrili, da so vanj vgrajene kar štiri ranljivosti »zero days«, kar je bilo presenetljivo. Nekdo je moral za vse te podatke plačati vsaj pol milijona dolarjev, kar je za običajne kriminalce prevelika investicija, da bi se jim obrestovala. Takrat je postalo jasno, da je tvorec črva skoraj zagotovo katera od držav.

Ob nadaljnji analizi virusa so ugotovili še, da se v kodi pojavlja ime Siemens, kar je pomenilo, da so cilj črva zelo verjetno Siemensove naprave za nadzor industrijskih procesov v tovarnah. Protivirusne strokovnjake je ob tem spoznanju začelo resno skrbeti za varnost, saj niso vedeli, kaj vse je lahko cilj napada. Je to podjetje, tovarna ali celo jedrska elektrarna? Okuženih je bilo že zelo veliko računalnikov povsod po svetu in obstajala je resna nevarnost, da se bo v nekem trenutku zgodil napad, ki bi lahko onesposobil tudi celotno električno omrežje.

Vendar se je izkazalo, da je Stuxnet zelo izbirčen pri odločanju, koga bo napadel. Vsakič namreč zelo natančno prouči svojo okolico, in če niso izpolnjeni vsi zahtevani pogoji, zgolj čaka. O okuženosti z virusom so sicer poročali z vseh koncev sveta, a največja koncentracija okužb je bila v Iranu, zato so analitiki prišli do zaključka, da je cilj napada zelo verjetno eden od jedrskih objektov v Iranu, najverjetneje obrat za bogatenje urana v Natanzu.

Napad na centrifuge

Bogatenje urana je zahtevno opravilo. Običajno poteka tako, da uran v plinastem stanju vpihavajo v sistem več tisoč zaporednih in povezanih hitro se vrtečih centrifug. Vrtenje povzroči, da se plinasti delci razločijo po svoji masi. Za uporabo urana v obliki goriva v jedrskih elektrarnah je treba povečati koncentracijo izotopa urana 235 z manj kot enega odstotka, kot ga je v naravnem uranu, na nekaj odstotkov, kar je primerno za jedrsko gorivo. Za izdelavo atomske bombe pa so potrebne veliko večje koncentracije urana 235. Bomba, ki so jo Američani vrgli na Hirošimo, je denimo vsebovala 80-odstoten obogaten uran.

Da bi preprečil bogatenje urana do te mere, da bi bil primeren tudi za atomsko orožje, je poskušal nekdo z zelo sofisticiranim računalniškim napadom onesposobiti centrifuge. Alex Gibney je za dokumentarec Zero Days (2016) pridobil dovolj neformalnih informacij iz virov v tajnih službah, da si je lahko ustvaril dokaj natančno predstavo, kako so se zadeve dejansko dogajale, čeprav ni uradno tega scenarija nihče potrdil.

Ameriške in izraelske obveščevalne organizacije so se menda povezale in skupaj izvedle računalniški napad na Natanz. V operaciji, imenovani Olimpijske igre, so ustvarili črva, ki je imel zastavljen jasen cilj, kaj želi doseči, sam pa je moral sproti ugotavljati, ali je že na pravem kraju in kaj mora kje storiti. Ko je bil enkrat spuščen, poti nazaj ni bilo več.

Cilj napada je bil prevzeti nadzor nad elektromotorji, ki so poganjali vrtenje centrifug, ne da bi nadzorniki zaznali, da se dogaja karkoli nenavadnega. Zato je črv najprej 13 dni zgolj beležil podatke o centrifugah. Po tem obdobju zbiranja informacij je prevzel nadzor nad motorji in jih začel dodatno pospeševati nad mejo, ki je pomenila varen interval obratovanja, hkrati pa je nadzornikom na ekrane pošiljal stare podatke, ki jih je shranjeval pretekle tedne. Nadzorniki so bili tako prepričani, da poteka vse enako kot prej, dejansko pa so se centrifuge namesto s 1000 Hz vrtele s 1400 Hz. Prehitro vrtenje je centrifugam seveda škodilo, prišlo pa je do še dodatnih poškodb, ko je črv nato vrtenje skoraj povsem zaustavil.

Inženirji so bili tako soočeni z nenavadno situacijo. Centrifuge so se jim kvarile, na zaslonih pa so imeli podatke, da vse deluje, kot bi moralo. Črv je uničeval centrifuge, hkrati pa se ni izdal. Skrit je bil v nadzornih računalnikih in poskušal čim bolj nevidno opravljati svoje diverzantsko delo.

Potreba po sporazumu o kibernetskem vojskovanju

Novinar časopisa New York Times David Sanger je leta 2012 v odmevnem članku ugotavljal, da gre v primeru Stuxneta zelo verjetno za prvi velik napad ene države na drugo z računalniškim orožjem. Čeprav v administraciji ni našel nikogar, ki bi bil o tej tematiki pripravljen govoriti, mu je iz proračuna vseeno uspelo razbrati, da se kar veliko denarja namenja tudi ofenzivnim akcijam na področju kibernetskega vojskovanja, in ne le obrambi, o kateri so vsi tudi javno zelo radi govorili.

Menda je bil črv Stuxnet zgolj majhen del velikega projekta, kako prek kibernetskih napadov oslabiti Iran. ZDA so razvijale sisteme, ki bi v primeru vojne na daljavo onesposobili pomembno infrastrukturno v Iranu. Iran pa takrat ni bil tarča le kibernetskega napada, ampak so verjetno izraelske tajne službe izvedle tudi atentat na znanstvenike, ki so sodelovali v iranskem jedrskem programu. Čeprav so menda obveščevalne službe predsedniku ZDA zatrdile, da Iran ne bo nikoli ugotovil, kaj se dogaja, in da bodo s črvom močno upočasnili napredek Irana pri izdelavi atomske bombe, se ne eno ne drugo v resnici ni zgodilo. Program se je zaradi kvarjenja centrifug upočasnil le za kako leto.

Na spoznanje, da so tarča kibernetskega napada, so se v Iranu odzvali z dvema povračilnima napadoma, ki sta dala jasno vedeti, da mislijo resno. Sredi avgusta 2012 so napadli največje naftno podjetje na svetu Saudi Aramco in z virusom, ki je brisal podatke s trdih diskov, okužili več kot 30.000 računalnikov naftnega podjetja. Nato so napadli še nekaj večjih ameriških bank, tako da se njihovi uporabniki nekaj časa niso mogli prijaviti v svoje račune. Ob teh povračilnih napadih se je jasno pokazalo, da lahko na področju kibernetskega vojskovanja vsaka država razvije močna orožja, ki povzročijo veliko škode. Tudi za področje kibernetskega vojskovanja bo treba zato prej ali slej sprejeti nek mednarodni sporazum, podobno kot so bili mednarodni sporazumi doseženi že za biološko, kemično in jedrsko orožje.

Težava pa je, da je vse, kar je povezano z ofenzivnim kibernetskim vojskovanjem, strogo tajno in da tisti, ki kaj vedo o tem, javno ne smejo govoriti. Zaradi tajnosti tako ne more priti do argumentirane javne razprave, ki bi bila lahko osnova za sporazum. Trenutno velja zgolj nenapisano pravilo, da lahko vsaka država naredi vse, za kar meni, da ji dolgoročno ne bo škodilo.

-
Podpri Kvarkadabro!
Naroči se
Obveščaj me
guest

0 - št. komentarjev
Inline Feedbacks
View all comments