No cyberwar has ever been declared, but cyberwarfare has become a fact of life¹.

В начале 2011г мне² , вслед за Евгением Касперским, казалось, что в 2009 году применением американо-израильского кибероружия Stuxnet³ против ядерных объектов Ирана стартовала гонка кибервооружений, а не сама война. Лишь последующее развитие событий продемонстрировало: кибервойна идет и уже давно, хотя объявлена пока лишь New York Times (NYT) буквально на днях. Постоянно возрастают ее шансы перехода в войну обычную.

Предыстория

Подготовка к антииранской кибероперации Olimpic Games, начатая США в 2006 года при президенте Джорже Буше, получила мощный импульс с приходом в Белый Дом Барака Обамы. В 2008 году стартовала до поры до времени тайная кибероперация, давшая заметные военно политические плоды в 2009 года. После многочисленных никем не опровергнутых публикаций в NYT и анонса книги Дэвида Сангера⁴ Stuxnet можно безоговорочно считать американо-израильским оружием. Его применение, судя по всему поддержанное разведывательными данными, полученными с помощью шпионов Duqu, Flame, сорвало первоначальные планы Ирана по обогащению урана в Натанзе, отодвинув их реализацию примерно на два года. Во всяком случае, так заявила госсекретарь США Хилари Клинтон в начале прошлого года.

Основные эпизоды

Американо-израильское кибероружие и операции. Stuxnet. Боевой вирус, вызывающий выход из строя центрифуг, вращающихся со скоростью около 1000 Гц, управляемых определенной моделью систем реального времени производства Siemens. Действовал с 2007 по июль 2012 года. Временно вывел из строя завод по обогащению урана в Натанзе.

Flame. Вирус – шпион широкого профиля, предназначенный для сбора данных об иранской ядерной программе. По оценкам Washington Post – продукт совместной разработки АНБ и ЦРУ США во взаимодействии с израильскими спецслужбами, применявшийся на протяжении последних пяти лет⁵ совместно со Stuxnet в рамках программы «Olimpic Games».

Duqu. Вирус-шпион ориентированный на сбор данных о системах управления реального времени (SCADA), потенциально способный в некоторых сборках на поражение компьютерных систем. Отмечено боевое применение с сентября 2011 года, предположительно для информационной поддержки боевого кибероружия класса Stuxnet.

Wiper. Боевой вирус, уничтожающий информацию на компьютерах. Вывел из строя информационную систему министерства нефтяной промышленности Ирана и ряда крупных компаний страны, включая National Iranian Oil Processing and Distribution Company, National Iranian Gas Company, Iranian Offshore Oil Company, Pars Oil and Gas, вынудив их на время полностью уйти из Интернета и сократить операции, за исключением интернетнезависимых экспортных.

Gauss. Вирус-разведчик, предназначенный для изощренного шпионажа и кражи данных в банковской системе Ливана, через которую могли проводиться финансовые операции Сирии и Ирана.. Применялся с сентября прошлого года⁶ . Цели: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank, Credit Libanais, а также пользователи Citibank и PayPal. Действовал в период с сентября 2011 года по июль 2012 года. После его выявления и идентификации «Лабораторией Касперского» в июне 2012 года, в июле управляющие серверы прекратили работу. Объем ущерба неизвестен.

Ответ Ирана

Еще в июне этого года, отвечая на вопрос из зала конгресса «White nights», я не мог привести примеров ответных иранских киберопераций, за исключением случившейся в конце прошлого года истории с перехватом управления и мягкой посадкой на территории Ирана стартовавшего с афганской авиабазы Кандагар беспилотного американского самолета-разведчика Lockheed Martin RQ-170 Sentinel⁷. Судя по всему, сигнал управления с родной авиабазы был подавлен соответствующими средствами радиоэлектронной борьбы Ирана, а посадка в нужном персам районе произведена путем обмана системы ориентирования GPS. Вследствие неидеального совпадения рельефа фактического и виртуального места приземления при посадке были повреждены шасси беспилотника. И только. Он достался военным экспертам целеньким. Невидимка Stealth, между прочим.

Контратаковать персы начали в 2012 году. Известные в доступных публикациях сведения позволяют полагать, что атаки на Саудовского нефтяного гиганта Aramco и недавняя DDoS-атака на банковскую систему США, нарушившая операции Bank of America, JPMorgan Chase, PNC, U.S. Bank, и Wells Fargo – их рук дело. То есть ответ на последние американо-израильские удары по нефтяному сектору Ирана и банковскому сектору Ливана знаково оказался почти симметричным. Нефть за нефть, банк за банк.

Однако уровень проработки кибероружия оказался несравнимо ниже американского. Shamoon, примененный против нефтегазового сектора Саудовской Аравии, сделан явно второпях, с грубыми ошибками в коде, выявленными аналитиками Касперского⁸ . Пышно именованная «Меч правосудия» (Cutting Sword of Justice), операция, в ходе которой в Aramco за две последние недели августа было выведено из строя 30 тыс. компьютеров, три четверти их общего числа, технологически оказалась весьма слабо проработанной. Включение в код программы строчки :\Shamoon\ArabianGulf\wiper\release\wiper.pdb продемонстрировало ее контратакующий характер (wiper) и претензию на сходство с оригинальным wiper, но не улучшило качества.

DDoS-атака на крупнейшие американские банки, якобы организованная палестинской группировкой Izz ad-Din al-Qassam Cyber Fighters, носит все черты хорошо на государственном уровне проработанной операции. 70 Гб/сек и 3 млн пакетов, организация атаки с серверов – это более чем серьезно. Хотя эксперты RSA и предполагают, что атака организована для прикрытия реальной цели кражи информации с помощью внедренного под шумок вируса Gozi Prinimalka⁹ , большинство специалистов полагают ее источником Иран.

В таких условиях выступление МО США Л.Панетты 11.10.12 прозвучало как более чем своевременное предупреждение о последствиях возможного киберудара по элементам инфраструктуры страны — транспортной, энергетической и тп. Не зря он подчеркнул свеже созданную возможность ВС США отследить действительный источник кибератаки на США, а также готовность к нанесению превентивного удара по потенциальному киберагрессору.

Понятно, что с провозглашением этой доктрины реальный непропагандистский эффект аналогичный ядерному сдерживанию как раз достигнут не будет просто потому что кибероперации менее заметны, чем движение танковых колонн и авиаудары. Вспомнив про оружие массового поражения Саддама Хуссейна, которое послужило пусковым механизмом войны, понимаем: война с Ираном все ближе.

1) «Cyberwarfare». The New Yourk Times. Tuesday, October 16, 2012.
2) А.Куприянов. «Stuxnet. Жизнь и творчество». IT Manager 2011 №2.
3) А.Куприянов «Киберопасный мир». IT-MANAGER 2010. №11
4) David N.Sanger «Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power».
5) Ellen Nakashima, Greg Miller and Julie Tate. «U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say». Washington Post 19.06.12
6) Fahmida Y. Rashid «Gauss: Nation-state cyber-surveillance meets banking Trojan» 09.08.2012
7) А.Куприянов. «Взломанные «мозги» ЦРУ на службе Ирану». АиФ, 19.12.2011
8) Dmitry Tarakanov. «Shamoon the Wiper - Copycats at Work» Securelist. 16.08.12.
9) Mor Ahuvia. «Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks». October 4, 2012