Thực đơn
trang chủHướng dẫn

Dịch vụ nguy hiểm liên bang. Virus còn tệ hơn cả bom. Tin tặc phá hủy nhà máy hạt nhân ở Iran như thế nào

Trong những ngày gần đây, tất cả các phương tiện truyền thông trên thế giới chợt nhớ đến sâu WIN32/Stuxnet, được phát hiện vào tháng 6 năm nay. Theo tiêu chuẩn máy tính, khoảng thời gian ba tháng giống như vài năm trong cuộc sống bình thường. Ngay cả Microsoft chậm chạp cũng đã cố gắng phát hành một bản vá giúp đóng một trong bốn lỗ hổng có trong Windows và bị phần mềm độc hại sử dụng. Đúng, không phải dành cho tất cả các phiên bản hệ điều hành mà chỉ dành cho Vista và “Seven”, trong khi 2000 và XP vẫn là Stuxnet không ổn định và mọi hy vọng chỉ dành cho các chương trình chống vi-rút của bên thứ ba. Điều này vẫn sẽ cần thiết vì các lỗ hổng còn lại vẫn tồn tại và hoạt động tốt.

Và đột nhiên Stuxnet lại xuất hiện trên các tiêu đề của các nguồn tin tức. Hóa ra đây không chỉ là một “sâu” khác, mặc dù được viết khá phức tạp (nửa megabyte mã hóa sử dụng nhiều ngôn ngữ lập trình, từ C/C++ đến hợp ngữ), mà là một kẻ phá hoại gián điệp kỹ thuật số. Anh ta lẻn vào các cơ sở công nghiệp nơi sử dụng hệ thống phần cứng và phần mềm của Siemens, giành quyền truy cập vào hệ thống Siemens WinCC, hệ thống chịu trách nhiệm thu thập dữ liệu và kiểm soát hoạt động sản xuất và thông qua đó cố gắng lập trình lại bộ điều khiển logic (PLC).

Bạn đã sợ chưa? Đợi đã, đây mới chỉ là sự khởi đầu! Stuxnet không được thiết kế cho một loại xưởng đóng chai bia nào đó. Mục tiêu chính của hắn là nhà máy điện hạt nhân Iran ở thành phố Bushehr! Bị cáo buộc, tất cả sức mạnh tà ác của con sâu đều được điều chỉnh theo cấu hình của nó và hoặc nó đã tìm cách gây rắc rối nghiêm trọng cho người Iran, vì họ đã không thể khởi động trạm kể từ tháng 8, hoặc nó đã âm thầm cài đặt bộ điều khiển, và khi nhà máy điện hạt nhân bắt đầu hoạt động sẽ phát lệnh nổ. Và sau đó...

Hãy để tôi trích dẫn một số ý kiến ​​​​của những người hiểu biết. Vì vậy, Evgeny Kaspersky trong blog của mình gọi Stuxnet là “một kiệt tác của kỹ thuật phần mềm độc hại” và ngược lại, trích dẫn các đoạn trích từ tài liệu của Alexander Gostev, người mà chúng ta đang nói về một “vũ khí phá hoại công nghiệp”. Tất nhiên, nó được thực hiện bởi Mossad của Israel nhằm ngăn chặn hoạt động của nhà máy điện hạt nhân Bushehr.

Hệ thống phần cứng và phần mềmSiemens được sử dụng trong các ngành công nghiệp rất khác nhau. Được rồi, nếu chúng ta đang nói về việc đúc sắt...

... nhưng hãy tưởng tượng trái tim của hàng trăm ngàn đàn ông sẽ run rẩy như thế nào nếu một con sâu làm hỏng dây chuyền sản xuất bia?

Các nhà phân tích của ESET ít cảm xúc hơn một chút. Họ không chắc chắn rằng mục tiêu của Stuxnet là BNPP, nhưng họ ca ngợi chất lượng của mã và vẻ đẹp của ý tưởng. “Win32/Stuxnet được phát triển bởi một nhóm chuyên gia có trình độ cao, thông thạo các điểm yếu của các công cụ bảo mật thông tin hiện đại. Con sâu này được thiết kế để không bị phát hiện càng lâu càng tốt. Phần mềm độc hại sử dụng một số lỗ hổng thực thi mã từ xa nghiêm trọng làm cơ chế phân phối, một số lỗ hổng trong đó cho đến nay vẫn chưa được vá. Chi phí cho những lỗ hổng như vậy trên thị trường chợ đen có thể lên tới 10 nghìn euro mỗi lỗ hổng. Và cái giá phải trả cho lỗ hổng bảo mật trong quá trình xử lý tệp LNK/PIF (MS10-046), cho phép sâu lây lan qua phương tiện bên ngoài, thậm chí còn cao hơn.”

Sự cảnh báo về phương tiện truyền thông bên ngoài là rất quan trọng. Theo chúng tôi hiểu, hệ thống điều khiển của các nhà máy và nhà máy điện hạt nhân không có quyền truy cập Internet, vì vậy Stuxnet có thể lây nhiễm vào các ổ đĩa flash và sử dụng chúng để truy cập vào các mạng đóng. Dịch vụ an ninh? Vâng, tất nhiên, chúng hoạt động và đôi khi rất hiệu quả. Tuy nhiên, cùng với yếu tố con người tầm thường (đọc là: cẩu thả), có những cách khá xảo quyệt để ngụy trang ổ đĩa flash. Ví dụ, một nhân viên được hối lộ cẩn thận có thể mang một con chuột có bộ nhớ flash tích hợp vào nơi làm việc và thay thế nó bằng một con chuột do chính phủ cấp. Bạn có thể hỏi, tại sao bạn lại cần phân phối qua Internet? Vì vậy, suy cho cùng, hãy chuyển hướng sự chú ý để những người đứng đầu cơ quan an ninh không tìm kiếm kẻ thù trong đội mà tự tin gật đầu trước sự đột nhập vô tình từ bên ngoài. Trong khi đó, để khiến sâu dễ dàng hoạt động hơn, một số thành phần Win32/Stuxnet đã được ký bằng chứng chỉ số hợp pháp từ JMicron và Realtek. Kết quả là, cho đến khi các chứng chỉ bị thu hồi, Stuxnet vẫn có thể vượt qua một số lượng lớn việc triển khai công nghệ HIPS (Hệ thống ngăn chặn xâm nhập máy chủ).

ESET cũng cung cấp một bảng tuyệt vời về địa lý của các trường hợp nhiễm vi-rút được ghi nhận, một mặt xác nhận gợi ý của Gostev, mặt khác khiến những người theo thuyết âm mưu thậm chí còn tích cực viết bình luận trên các diễn đàn và blog hơn. Không phải chuyện đùa đâu, tình trạng lây nhiễm đang ảnh hưởng đến các nước đang phát triển lớn nhất, và để hoàn thiện bức tranh, điều duy nhất còn thiếu trên bàn là Trung Quốc thay vì Indonesia.

Bạn đã sợ hãi như Evgeny Kaspersky chưa? Chờ đợi. Chúng ta hãy hít một hơi.

Trước tiên, bạn cần hiểu tại sao các nhà sản xuất sản phẩm bảo vệ khỏi mối đe dọa mạng lại nói về Stuxnet một cách vui vẻ như vậy. Vâng, tất nhiên là họ muốn cứu hành tinh nhỏ bé của chúng ta. Nhưng đây cũng là một thị trường khổng lồ mới. Không chỉ Siemens sản xuất thiết bị điều khiển và giám sát cho nhiều ngành công nghiệp khác nhau, từ nhà máy điện hạt nhân đến cửa hàng đóng chai bia. Ngoài người Đức, còn có người Mỹ, người Nhật, vân vân và vân vân. Nói một cách nhẹ nhàng, những khu phức hợp như vậy không hề rẻ, và nếu mỗi khu phức hợp có thể được gắn với sản phẩm bảo vệ riêng của nó... Vâng, vâng, bạn đã hiểu đúng ý tôi.

Thứ hai, bất chấp vẻ đẹp của phiên bản về Mossad, bạn không nên tin vào nó. Như các chuyên gia khẳng định, nếu thực sự tốn nhiều tháng công hoặc thậm chí nhiều năm công cho sâu này, thì việc hoàn thành hoạt động như vậy là một thất bại to lớn. Sự kết hợp giữa việc thiếu kết quả và sự công khai là sự kết hợp khủng khiếp đối với bất kỳ sĩ quan tình báo nào. Thông thường, để giải quyết các vấn đề thu thập thông tin và phá hoại, họ sử dụng cách tuyển dụng lâu đời và Mossad có nhiều kinh nghiệm về loại công việc này ở các nước Ả Rập. Không, tất nhiên, người ta có thể cho rằng chương trình được viết đặc biệt để một trong những nhân viên nhà máy điện hạt nhân thực hiện im lặng và khi có sự cố xảy ra, con sâu này đã được tung lên Internet để che đậy tác nhân. Nhưng đây là trường hợp Stuxnet chắc chắn đã được chuẩn bị cho Bushehr, điều mà có nhiều nghi ngờ. Về họ - trong đoạn tiếp theo.

Thứ ba, như chúng tôi đã phát hiện ra, để tự động hóa các nhà máy điện (bao gồm cả ở Bushehr), thiết bị Siemens được cấp phép đã được sử dụng, thiết bị này khác với PLC truyền thống ở điểm giống như máy bay chiến đấu khác với tàu lượn. Phạm vi của PLC tốt nhất là tự động hóa nhà máy bia hoặc trạm bơm xăng/dầu. Vẫn chưa hoàn toàn rõ ràng - loại PLC Stuxnet nào sẽ thay đổi ở Bushehr?

Cuối cùng, thứ tư. Hãy chú ý đến Win32 trong tên đầy đủ của virus. Không một nhà máy nghiêm túc nào, chứ đừng nói đến nhà máy điện hạt nhân, sẽ cho phép hệ điều hành Microsoft kiểm soát các quy trình thực sự quan trọng. Các hệ thống thuộc dòng *nix (đặc biệt là QNX) ngự trị ở đó và vi-rút từ phe Windows hoàn toàn vô hại đối với chúng. Vì vậy, cảm giác đó đến từ một loạt câu chuyện về một cô thư ký sợ bị nhiễm virus từ máy tính của mình. Đúng vậy, những tác giả truyện kinh dị nghiêm khắc nhất đã làm rõ rằng Windows PLC không điều khiển, nhưng bên dưới chúng có các công cụ để lập trình lại bộ điều khiển và đó là thứ mà Stuxnet sử dụng. Điều này đáng sợ hơn một chút, nhưng trong quá trình sản xuất nghiêm túc, không ai hủy bỏ Big Switch, cơ quan chịu trách nhiệm cho những việc thực sự quan trọng. Chúng có thể được kéo hoàn toàn bằng tay vì nó đáng tin cậy hơn nhiều. Và an toàn hơn. Nếu máy tính được phép ở gần họ thì sẽ không phải hôm nay hay ngày mai. Và tại một nhà máy điện hạt nhân, rất có thể là không bao giờ cả.

Tôi không muốn áp đặt ý kiến ​​của mình lên người đọc, nhưng cho đến nay Stuxnet có dấu hiệu cạnh tranh không lành mạnh. Sự căm ghét đặc biệt đối với các giải pháp của Siemens đến từ đâu? Ai mà không lười biếng bỏ ra nhiều công sức và thời gian cho một con sâu to béo, nhìn chung nó không thể làm trò nghịch ngợm nào mà để lại dư vị cực kỳ khó chịu. Hãy nhìn xem, các nhà đầu tư vào các nhà máy mới có nhà máy điện sẽ nghĩ đến điều đó và mua một khu phức hợp từ một nhà sản xuất khác. Khi chúng ta đang nói về hàng trăm triệu, thậm chí hàng tỷ đô la, việc chi vài triệu cho PR đen không phải là điều đáng tiếc.

Vì vậy, nó là một loại vũ khí nhưng khó có thể gây ra vụ nổ thực sự. Trừ khi có sự bùng nổ phẫn nộ ở lần ghé thăm cửa hàng tiếp theo hoặc khi nhận hóa đơn tiền điện. Tất cả những cuộc chiến tranh công nghiệp này cuối cùng đều gây ra tổn thất cho chúng ta, những người tiêu dùng.

Hàng trăm người theo thuyết âm mưu đã cảm thấy bị xúc phạm khi viết bài viết này.

“Tôi không biết vũ khí nào sẽ được sử dụng để chiến đấu trong Thế chiến thứ ba, nhưng trong Thế chiến thứ tư, họ sẽ sử dụng đá và dùi cui”.
Albert Einstein
Vào cuối tháng 9, người ta biết rằng virus Stuxnet đã gây ra thiệt hại nghiêm trọng cho chương trình hạt nhân của Iran. Sử dụng các lỗ hổng hệ điều hành và “yếu tố con người” khét tiếng, Stuxnet đã phá hủy thành công 1.368 trong số 5.000 máy ly tâm tại nhà máy làm giàu uranium Natanz, đồng thời cũng làm gián đoạn quá trình khởi động nhà máy điện hạt nhân Bushehr. Khách hàng - không rõ. Thủ phạm là một nhân viên Siemens bất cẩn đã nhét ổ đĩa flash bị nhiễm virus vào máy trạm. Thiệt hại gây ra cho các cơ sở hạt nhân của Iran có thể so sánh với thiệt hại do cuộc tấn công của Không quân Israel gây ra.
Thế giới đang nói về những cuộc chiến tranh thế hệ mới. Các cuộc tấn công mạng có thể là công cụ lý tưởng cho các cuộc chiến tiếp theo - chúng diễn ra nhanh chóng, hiệu quả về sức tàn phá và thường ẩn danh. Ngày nay, các quốc gia đang khẩn trương nhất trí về một chiến lược chung nhằm chống lại các mối đe dọa trên mạng. Ngày mai sẽ ra sao? Thật không may, câu trả lời thực tế nhất cho câu hỏi này vẫn là câu cách ngôn đáng buồn của Einstein.
Iran bất lực trước mối đe dọa công nghệ
Các trang xã luận của báo chí thế giới tràn ngập những lời tiên tri u ám về sự xuất hiện của kỷ nguyên chiến tranh công nghệ. Các chuyên gia từ nhiều lĩnh vực khác nhau đang nỗ lực tìm ra giải pháp cho Stuxnet, loại virus đã ảnh hưởng đến các cơ sở hạt nhân của Iran, từ bảo mật CNTT đến ngôn ngữ học và nhân chủng học. Stuxnet được phát hiện bởi các phòng thí nghiệm chống vi-rút cách đây khá lâu, nhưng thế giới mới biết về quy mô thực sự của đợt lây nhiễm vào cuối tháng 9, khi biết về sự chậm trễ trong việc khởi động nhà máy điện hạt nhân Bushehr đầu tiên của Iran. Mặc dù Ali Akbar Salehi, người đứng đầu Tổ chức Năng lượng Nguyên tử Iran, nói rằng việc trì hoãn khởi động nhà máy điện hạt nhân không liên quan gì đến virus, Mark Fitzpatrick, nhân viên của Viện Nghiên cứu Chiến lược Quốc tế, lưu ý rằng điều này nghe có vẻ “ không nghiêm trọng lắm”, và Iran có xu hướng che đậy những vấn đề thực sự ở nhà máy điện hạt nhân. Sau một thời gian, Mahmoud Jafari, giám đốc bộ phận dự án của nhà ga ở Bushehr, “để nó tuột dốc”. Theo ông, Stuxnet "đã lây nhiễm vào một số máy tính, nhưng không gây ra bất kỳ thiệt hại nào cho hệ điều hành chính của trạm". Sapienti ngồi. Các cơ sở hạt nhân của Iran tại Natanz cũng bị hư hại nghiêm trọng: 1.368 trong số 5.000 máy ly tâm bị vô hiệu hóa do Stuxnet. Khi Mahmoud Ahmadinejad được hỏi trực tiếp sau phiên họp của Đại hội đồng Liên Hợp Quốc về các vấn đề công nghệ của chương trình hạt nhân, ông chỉ nhún vai và không nói gì. Chúng ta hãy lưu ý rằng, theo New York Times, thiệt hại do virus gây ra ở Iran có lẽ tương đương với một cuộc tấn công của Không quân Israel.
Tác giả! Tác giả!
Vì những lý do hiển nhiên, các nhà phát triển Stuxnet muốn giữ kín danh tính, nhưng rõ ràng là độ phức tạp của virus này là chưa từng có. Việc tạo ra một dự án như vậy đòi hỏi sự đầu tư tài chính và trí tuệ rất lớn, điều đó có nghĩa là chỉ những cơ cấu quy mô chính phủ mới có thể làm được điều đó. Tất cả các chuyên gia đều đồng ý rằng virus này không phải là kết quả nỗ lực của một “nhóm những người đam mê”. Laurent Eslau, người đứng đầu hệ thống an ninh tại Symantec, ước tính rằng có ít nhất sáu đến mười người đã làm việc để tạo ra Stuxnet trong thời gian từ sáu đến chín tháng. Frank Rieger, giám đốc kỹ thuật của GSMK, ủng hộ đồng nghiệp của mình - theo ông, virus này được tạo ra bởi một nhóm gồm 10 lập trình viên giàu kinh nghiệm và quá trình phát triển mất khoảng sáu tháng. Rieger cũng nêu chi phí ước tính để tạo ra Stuxnet: ít nhất là 3 triệu USD.Evgeny Kaspersky, Giám đốc điều hành của Kaspersky Lab, nói về mục đích quân sự của virus: “Stuxnet không ăn cắp tiền, không gửi thư rác và không đánh cắp bí mật thông tin. Phần mềm độc hại này được tạo ra để kiểm soát các quy trình sản xuất, nhằm quản lý năng lực sản xuất khổng lồ theo đúng nghĩa đen. Trong thời gian gần đây, chúng ta đã chiến đấu chống lại tội phạm mạng và côn đồ trực tuyến, giờ đây, tôi e rằng, thời kỳ khủng bố mạng, vũ khí mạng và chiến tranh mạng đang đến gần.” Tillmann Werner, thành viên của Dự án Honeynet, một cộng đồng gồm các chuyên gia bảo mật Internet, tự tin rằng các hacker đơn độc không có khả năng làm được điều này. Werner nói: “Stuxnet quá tiên tiến từ quan điểm kỹ thuật đến mức chúng tôi phải cho rằng các chuyên gia của chính phủ đã tham gia vào việc phát triển phần mềm độc hại hoặc ít nhất họ đã cung cấp một số hỗ trợ trong quá trình tạo ra nó”.

Trong quá trình phân tích Stuxnet, một số cơ quan truyền thông kết luận rằng Israel đứng đằng sau việc tạo ra loại virus này. Người đầu tiên lên tiếng về sự tham gia của Israel trong cuộc tấn công vào Iran là John Markoff, một nhà báo của tờ New York Times, đưa tin rằng các nhà phân tích đặc biệt chú ý đến tên của một trong những đoạn mã “myrtus” (“myrtle”). Được dịch sang tiếng Do Thái, “myrtle” nghe giống như “adas”, từ này lại là phụ âm với tên “Adassah”, thuộc về Esther (Esther), nữ anh hùng trong lịch sử Do Thái, người đã cứu dân tộc mình khỏi sự hủy diệt ở Đế chế Ba Tư. So sánh với Ba Tư cổ đại, nơi có lãnh thổ của Iran hiện đại, một số nhà phân tích tin rằng Israel đã để lại một “thẻ điện thoại” trong mã virus. Tuy nhiên, theo một số chuyên gia, phiên bản này không đứng vững trước những lời chỉ trích và giống với cốt truyện của một câu chuyện trinh thám rẻ tiền - một “chữ viết tay” quá thô sơ đối với một dự án quy mô như vậy.

Đồng thời, cần nhấn mạnh rằng mùa hè năm ngoái (hãy nhớ rằng, sự lây lan của Stuxnet bắt đầu vào năm 2009), nguồn WikiLeaks đã đưa tin về một vụ tai nạn hạt nhân nghiêm trọng ở Natanz. Ngay sau đó, người ta biết rằng người đứng đầu Tổ chức Năng lượng Nguyên tử Iran, Gholam Reza Aghazadeh, đã từ chức mà không có lời giải thích. Cùng lúc đó, các tuyên bố của các chính trị gia và quân nhân Israel xuất hiện trên các phương tiện truyền thông đại chúng về khả năng xảy ra một cuộc đối đầu với Iran trên mặt trận công nghệ. Ngoài ra, Israel đã điều chỉnh thời hạn dự kiến ​​để Iran có được bom nguyên tử, lùi thời điểm này về năm 2014, và nhiệm kỳ của Meir Dagan, người đứng đầu Mossad, đã được gia hạn để ông tham gia vào các “dự án quan trọng” giấu tên.

Nhân tố con người
Lịch sử lây nhiễm ban đầu, đánh dấu sự khởi đầu lây lan của virus, rất đáng chú ý. Rõ ràng là các hệ thống điều khiển tự động ở cấp độ này không được kết nối với Mạng. Một chuyên gia từ Trung tâm mạng NATO ở Estonia, Kenneth Geers, đã đề xuất tại một trong những hội nghị bảo mật rằng sự thành công của cuộc tấn công Stuxnet chỉ phụ thuộc vào việc liên hệ với đúng người và ... ổ USB cơ bản. “Bạn có thể trả tiền cho ai đó để khởi chạy Trojan vào một hệ thống khép kín hoặc bạn có thể thay thế một ổ đĩa flash chỉ dành cho mục đích sử dụng nội bộ,” Gears trầm ngâm. “Chỉ cần cắm một ổ đĩa flash bị nhiễm virus vào đầu nối USB tiêu chuẩn trên máy tính của bạn là đủ và Stuxnet sẽ ngay lập tức tự động chuyển sang hệ điều hành và không có chương trình chống vi-rút hoặc biện pháp bảo vệ nào khác có thể can thiệp vào nó.” Và quả thực, “liên kết yếu” hóa ra lại là yếu tố con người - Stuxnet được đưa vào hệ thống thông qua ổ USB thông thường, được một nhân viên bất cẩn đưa vào máy trạm một cách bất cẩn. Đáng chú ý là sau tuyên bố của Bộ trưởng Tình báo Iran Heydar Moslehi về việc giam giữ "gián điệp hạt nhân" (hóa ra họ hoàn toàn là những kỹ thuật viên người Nga không liên quan), ban lãnh đạo Siemens đã thừa nhận rằng loại virus này do nhân viên công ty đưa vào, nhấn mạnh bản chất vô ý của vụ việc. sự nhiễm trùng. Cần lưu ý rằng Stuxnet chỉ ảnh hưởng đến một loại bộ điều khiển cụ thể của Siemens, đó là SIMATIC S7, loại mà theo IAEA, được Iran sử dụng.
Chiến tranh mạng. Chiến trường là Trái đất?
Tại hội nghị Virus Bulletin 2010 ở Vancouver, Canada, bài thuyết trình ngắn gọn của Liam O Murchu, một trong những chuyên gia bảo mật CNTT hàng đầu của Symantec, đã thu hút sự chú ý của dư luận. Một nhà phân tích đã tiến hành một thí nghiệm giải thích sự nguy hiểm của mối đe dọa mạng tốt hơn hàng trăm báo cáo chính thức. O Merchu đã lắp đặt một máy bơm không khí trên sân khấu chạy hệ điều hành do Siemens sản xuất, lây nhiễm virus Stuxnet vào máy trạm điều khiển máy bơm và đưa quy trình vào hoạt động. Máy bơm nhanh chóng thổi phồng quả bóng bay, nhưng quá trình này không dừng lại - quả bóng bay phồng lên cho đến khi nổ tung. Chuyên gia này cho biết: “Hãy tưởng tượng rằng đây không phải là một quả bóng bay mà là một nhà máy điện hạt nhân của Iran, đặt dấu chấm hết cho câu hỏi về mức độ “nghiêm trọng” của các cuộc chiến tranh mạng.

Các đồng nghiệp của O Merchu hoàn toàn chia sẻ mối quan tâm của anh ấy. Nhà nghiên cứu Paul Ferguson của Trend Micro cho rằng với việc tạo ra Stuxnet, một loại vũ khí mạng chính thức đã xuất hiện trên thế giới, vượt xa các âm mưu phá hoại truyền thống (đánh cắp số thẻ tín dụng, v.v.) và có thể dẫn đến những tai nạn nghiêm trọng trong ngành công nghiệp rất nguy hiểm. cơ sở. Ferguson nhấn mạnh rằng các nhà phân tích giờ đây sẽ “đe dọa chính phủ thực hiện các biện pháp an ninh nghiêm túc theo đúng nghĩa đen”.

Thật vậy, người đứng đầu Bộ Tham mưu Mạng Hoa Kỳ mới được thành lập tại Lầu Năm Góc, Tướng Keith Alexander, phát biểu trước Quốc hội, đã công khai tuyên bố rằng mối đe dọa chiến tranh mạng đang gia tăng nhanh chóng trong vài năm qua. Alexander nhớ lại hai cuộc tấn công mạng nhằm vào toàn bộ các bang - vào Estonia (năm 2007, sau khi giải tán Người lính Đồng) và vào Georgia (năm 2008, trong cuộc chiến với Nga).

Tổng thống Estonia Toomas Hendrik Ilves trong cuộc phỏng vấn với Berliner Zeitung đã nêu vấn đề về các mối đe dọa mạng ở mức cao nhất. Tổng thống Estonia nhấn mạnh: Quyết định của NATO đặt Trung tâm An ninh mạng ở Tallinn (hãy nhớ rằng nó được khai trương vào tháng 5 năm 2008) là do Estonia là một trong những quốc gia được tin học hóa nhiều nhất ở châu Âu, đồng thời là quốc gia đầu tiên áp dụng điều này. hứng chịu một cuộc tấn công mạng toàn diện vào năm 2007. Sau khi cuộc tấn công làm tê liệt toàn bộ cơ sở hạ tầng của đất nước, Bộ trưởng Quốc phòng Estonia Jaak Aaviksoo thậm chí còn yêu cầu NATO đánh đồng các cuộc tấn công mạng này với các hành động quân sự. Tổng thống ngày nay cũng đưa ra những quan điểm tương tự: “Virus Stuxnet đã chứng tỏ chúng ta phải coi trọng an ninh mạng đến mức nào, vì với sự trợ giúp của những sản phẩm như vậy, cơ sở hạ tầng quan trọng có thể bị phá hủy. Trong trường hợp của Iran, loại virus này dường như nhắm vào chương trình hạt nhân của nước này, nhưng những loại virus tương tự có thể phá hủy nền kinh tế do máy tính điều khiển của chúng ta. Điều này nên được thảo luận ở NATO: nếu một tên lửa phá hủy một nhà máy điện, đoạn 5 sẽ có hiệu lực. Nhưng phải làm gì trong trường hợp bị virus máy tính tấn công?” - Toomas Hendrik Ilves hỏi. Đề xuất của tổng thống phù hợp với xu hướng hiện nay: “Cả EU và NATO phải phát triển một chính sách chung, bao gồm các quy định pháp lý, sẽ trở thành cơ sở cho việc phòng thủ tập thể trước các mối đe dọa trên không gian mạng”, nguyên thủ quốc gia tin tưởng.

Thứ trưởng Bộ Quốc phòng thứ nhất William J. Lynn hoàn toàn đồng ý với Toomas Hendrik Ilves. Trong một cuộc phỏng vấn với Radio Liberty, Lynn đã cố gắng trả lời câu hỏi do Ilves nêu ra: “Nếu cuộc tấn công ảnh hưởng đến các yếu tố quan trọng trong nền kinh tế của chúng ta, có lẽ chúng ta nên coi đó là một cuộc tấn công. Nhưng nếu vụ hack dẫn đến đánh cắp dữ liệu thì đó có thể không phải là một cuộc tấn công. Giữa hai thái cực này có nhiều lựa chọn khác. Để xây dựng một đường lối chính sách rõ ràng, chúng ta phải quyết định ranh giới nằm ở đâu giữa hack và tấn công, hoặc giữa gián điệp và đánh cắp dữ liệu. Tôi tin rằng đã có một cuộc thảo luận về chủ đề này cả trong và ngoài chính phủ, và tôi không nghĩ rằng cuộc thảo luận này đã kết thúc ”.

Ngoài ra, điểm mấu chốt trong bài phát biểu của William Lynn là công bố công khai về năm nguyên tắc làm nền tảng cho chiến lược an ninh mạng mới của Hoa Kỳ. Chúng tôi trích dẫn không cắt giảm của Thứ trưởng Bộ Quốc phòng Hoa Kỳ:
“Nguyên tắc đầu tiên trong số này là chúng ta phải thừa nhận không gian mạng đã trở thành một vùng chiến sự mới. Cũng giống như trên bộ, trên biển, trên không và không gian, chúng ta phải coi không gian mạng là một lĩnh vực hoạt động mà chúng ta sẽ bảo vệ và mở rộng học thuyết quân sự của mình. Đó là điều đã thúc đẩy chúng tôi thành lập Bộ Tư lệnh Mạng thống nhất trong Bộ Tư lệnh Chiến lược.

Nguyên tắc thứ hai mà tôi đã đề cập là việc phòng thủ phải chủ động. Nó phải bao gồm hai tuyến phòng thủ thụ động được chấp nhận rộng rãi - trên thực tế, đây là hoạt động vệ sinh thông thường: cài đặt các bản vá kịp thời, cập nhật các chương trình chống vi-rút, cải thiện các công cụ bảo vệ của bạn. Chúng ta cũng cần tuyến phòng thủ thứ hai được các công ty tư nhân sử dụng: thiết bị phát hiện xâm nhập, chương trình giám sát an ninh. Tất cả những công cụ này có thể sẽ giúp bạn đẩy lùi khoảng 80% các cuộc tấn công. 20% còn lại là ước tính rất sơ bộ - các cuộc tấn công phức tạp không thể ngăn chặn hoặc dừng lại bằng cách vá các lỗ hổng. Cần có một kho vũ khí tích cực hơn nhiều. Chúng ta cần những công cụ có thể xác định và chặn mã độc. Chúng tôi cần các chương trình có thể xác định và truy tìm các phần tử độc hại đã xâm nhập vào mạng của bạn. Khi bạn đã tìm thấy chúng, bạn sẽ có thể chặn chúng liên lạc với mạng bên ngoài. Nói cách khác, nó giống một cuộc chiến cơ động hơn là Phòng tuyến Maginot.

Nguyên tắc thứ ba của chiến lược an ninh mạng là bảo vệ cơ sở hạ tầng dân sự.

Thứ tư, Hoa Kỳ và các đồng minh phải thực hiện các biện pháp phòng thủ tập thể. Các quyết định quan trọng về vấn đề này sẽ được đưa ra tại hội nghị thượng đỉnh NATO sắp tới ở Lisbon.

Cuối cùng, nguyên tắc thứ năm là Hoa Kỳ phải luôn đi đầu trong phát triển phần mềm.”

Phản ứng của Dmitry Rogozin, đại diện thường trực của Nga tại NATO, đối với các tiến trình diễn ra trong Liên minh là rất đáng chú ý. Rõ ràng, Nga cực kỳ lo ngại về hội nghị thượng đỉnh NATO sắp tới tại Lisbon, sẽ diễn ra vào ngày 20 tháng 11, bởi vì ở đó, nước này dự kiến ​​sẽ làm rõ tình thế tiến thoái lưỡng nan về việc liệu một cuộc tấn công vào mạng máy tính quân sự và chính phủ của một thành viên NATO có xảy ra hay không. được coi là lý do để viện dẫn Điều 5 của Hiệp ước Washington và đáp trả bằng một cuộc tấn công quân sự tập thể. Rogozin, với phong cách đặc trưng của mình, viết: “Cuối cùng chúng ta sẽ tìm hiểu xem liệu NATO có được phép tấn công các căn hộ của tin tặc bằng bom hạt nhân hay không hay liệu người ta cho rằng chiến tranh mạng sẽ không vượt ra ngoài ranh giới của không gian mạng hay không. Tôi có lý do chính đáng để nghi ngờ kịch bản sau. Theo nghĩa đen trước mắt chúng ta, một vụ bê bối lớn đang diễn ra trên các tạp chí định kỳ của phương Tây liên quan đến sự lây lan của một loại sâu máy tính có tên Stuxnet. Tôi đã quen đọc và gửi SMS bằng tiếng Latinh nên tôi đọc ngay tên của loại virus này như một động từ tiếng Nga ở thì tương lai: “stukhnet”. Hãy yên tâm, chắc chắn sẽ có điều gì đó tồi tệ hoặc xảy ra với ai đó, đặc biệt là những người đã phát tán loại virus này. Như chúng ta đã biết, gieo gió thì gặt bão”. Không dám bình luận về nghiên cứu văn học và sáng tạo của ông Rogozin, chúng tôi lưu ý rằng Nga đã phải chịu trách nhiệm về hai vụ tấn công lớn nhất của hacker nhằm vào toàn bộ các bang (Estonia và Georgia) - có lẽ đây chính là nguyên nhân gây ra phản ứng dữ dội như vậy từ vị đặc mệnh toàn quyền dễ bị ấn tượng.

Vì vậy, trong bối cảnh cơn cuồng loạn do Stuxnet gây ra, một số quốc gia đã công bố sự cần thiết phải xây dựng một chính sách chung để ngăn chặn các cuộc tấn công mạng. Liệu điều này có dẫn đến kết quả mong muốn hay không, ngay cả khi chúng ta giả định rằng một số tài liệu sẽ được phát triển (và ký kết) quy định việc sử dụng các công nghệ hủy diệt? Tuần kinh doanh CNTT điều này có vẻ cực kỳ đáng nghi ngờ, sự cám dỗ do công nghệ cao mang lại là quá lớn: tính ẩn danh, bảo mật (đối với kẻ tấn công), tỷ lệ chi phí/hiệu quả chưa từng có. Điều này có nghĩa là Stuxnet chỉ là dấu hiệu đầu tiên của kỷ nguyên cách mạng công nghệ-xã hội, một kỷ nguyên bắt đầu không hề như mơ ước.

Thẻ: Thêm thẻ

Trước khi thế giới có thời gian thực sự đối phó với loại sâu Stuxnet đáng gờm, vốn được phát triển rõ ràng với sự trợ giúp của các cơ quan tình báo chính phủ, DUQU đã xuất hiện trên Internet, sử dụng cùng một mã nguồn. Theo Bird Kiwi, một người thừa kế đã được sửa đổi kỹ lưỡng có mọi cơ hội vượt qua cha mẹ mình, nhưng mục tiêu chính xác của anh ta là gì?

Trong Thế chiến thứ hai, sự cố như vậy đã xảy ra một lần. Cơ quan tình báo OSS của Mỹ, lúc đó còn rất non trẻ (sau này trở thành CIA), theo yêu cầu của các đồng nghiệp người Anh, đã bắt đầu đánh cắp các khóa mật mã của Tây Ban Nha. Người Anh thực sự cần thường xuyên đọc thư từ ngoại giao được mã hóa của Tướng Franco, với tư cách là một trong những đồng minh chính của Hitler ở châu Âu, nhưng họ không thể mở được mật mã của Tây Ban Nha bằng phương pháp phân tích.

Việc đánh cắp khóa mật mã xảy ra một cách hoàn toàn tầm thường. Đúng đêm đó, các chuyên gia hack từ OSS đã vào đại sứ quán Tây Ban Nha ở Washington và sao chép bộ chìa khóa tiếp theo mà người Anh cần. Đúng vậy, vì bộ dụng cụ thay đổi hàng tháng nên các chuyến thăm ban đêm tới đại sứ quán cũng phải được thực hiện hàng tháng. Và thế là, vào cuối chuyến thăm thứ tư, các sĩ quan tình báo Mỹ đã bị FBI Hoa Kỳ bắt giữ...

Tất nhiên, điều này không xảy ra một cách ngẫu nhiên hay do hiểu lầm. Chỉ là người đứng đầu FBI, Edgar Hoover, người cũng trở thành giám đốc phản gián của đất nước trong chiến tranh, hoàn toàn chắc chắn rằng loại hình kinh doanh bí mật này trên lãnh thổ Mỹ chỉ có thể diễn ra khi ông ta biết và dưới sự kiểm soát của ông ta. Và vì giám đốc tình báo nước ngoài, William Donovan, không những không hỏi ý kiến ​​​​của Hoover về các hoạt động trong đại sứ quán Tây Ban Nha mà còn không thấy cần thiết phải thông báo cho ông ta, nên giám đốc FBI đã quyết định dạy dỗ đàng hoàng những điệp viên tự phụ từ bộ phận liên quan một bài học.

Tuy nhiên, không có gì đáng giá từ bài học này. Donovan tức giận (còn được gọi là Wild Bill) đã ra lệnh cho nhân viên của mình thu thập chất bẩn nghiêm trọng trên Hoover. Và khi có được một người, mọi vấn đề tình báo với FBI bắt đầu được giải quyết một cách dễ dàng và đơn giản - bằng cách sử dụng một phương pháp cơ bản được gọi là “tống tiền hoài nghi và tàn nhẫn”. Nhưng đó lại là một câu chuyện hoàn toàn khác...

Cảnh báo mối đe dọa

Chúng tôi nhớ đến tình tiết hài hước này ngày hôm nay vì lý do này. Vào cuối tháng 10, một số cơ quan chính phủ Hoa Kỳ chịu trách nhiệm về một số khía cạnh nhất định của an ninh quốc gia trong nước đã đưa ra các bản tin cảnh báo về một mối đe dọa máy tính mới - một chương trình độc hại có tên DUQU (đọc tổ hợp chữ cái này trong môi trường nói tiếng Anh là "dew-q ", nhưng đối với tiếng Nga thì sẽ tự nhiên hơn nhiều chỉ đơn giản là "duku").

Trong bối cảnh có số lượng khổng lồ các mã độc hại khác nhau liên tục xuất hiện trên máy tính và mạng, chương trình DUQU nổi bật là đặc biệt nguy hiểm vì nó có những điểm giống nhau không thể phủ nhận và nguồn gốc chung với “sâu sâu” nổi tiếng có tên Stuxnet. Chúng ta hãy nhớ rằng năm ngoái nó chỉ đơn giản là khiến ngành công nghiệp chống vi-rút và công chúng trực tuyến nói chung ngạc nhiên với sự phức tạp và phức tạp chưa từng có của nó. Đặc biệt đối với Iran, Stuxnet đã trở thành vấn đề làm chậm nghiêm trọng tiến trình làm giàu uranium và toàn bộ chương trình hạt nhân quốc gia.

Và mặc dù không có bằng chứng tài liệu, hoặc thậm chí chính thức hơn, về điều này, nhưng hầu như không ai trong số các chuyên gia nghi ngờ rằng việc tạo ra mã Stuxnet được thực hiện trong các phòng thí nghiệm bí mật của cơ quan tình báo nhà nước. Hơn nữa, có đủ bằng chứng chỉ ra rõ ràng tình báo của các quốc gia đã nhúng tay vào việc này, cụ thể là Hoa Kỳ và Israel.

Nói cách khác, những sự thật sau đây về cuộc sống kỳ lạ của chúng ta là điều hiển nhiên. Một chương trình gián điệp mới, rất tinh vi đang được công bố trên máy tính của nhiều quốc gia khác nhau, các tính năng chính của nó rõ ràng đang được phát triển với sự tham gia của tình báo Mỹ. Và để đáp lại, các cơ quan an ninh Mỹ như DHS (Bộ An ninh Nội địa) và ICS-CERT (Ứng phó với mối đe dọa mạng của Hệ thống kiểm soát công nghiệp) đang gửi tài liệu về cách chống lại tai họa khó nắm bắt này (nếu bạn loại bỏ tất cả các- các khuyến nghị ngắn gọn, hóa ra, nói chung, không có gì, ngoại trừ các bản cập nhật thường xuyên của các phần mềm chống vi-rút tiêu chuẩn).

Tất nhiên, một mặt, sẽ thật kỳ lạ nếu không có phản ứng nào cả, xét đến thái độ cực kỳ lo lắng của xã hội đối với sự xuất hiện của Stuxnet. Mặt khác, hoàn toàn không rõ làm thế nào một số cơ cấu nhà nước có thể thực sự bảo vệ khỏi những cơ cấu khác - những cơ cấu mạnh mẽ, hiệu quả và bí mật hơn.

Đương nhiên, không ai có sẵn câu trả lời cho những câu hỏi như vậy. Nhưng để hiểu rõ hơn bản chất của vấn đề và quy mô của mối đe dọa mới nổi, nên xem xét kỹ hơn lịch sử xuất hiện của Dooku và các đặc điểm thiết kế của chương trình thú vị này.

Lịch sử của hiện tượng DUQU

Mặc dù công bố chính thức đầu tiên về việc xác định một chương trình độc hại mới mang dấu hiệu nổi tiếng của Stuxnet là báo cáo từ hãng chống vi-rút Symantec vào ngày 17 tháng 10 năm nay, nhưng câu chuyện thực sự về việc cộng đồng chống vi-rút phát hiện ra DUQU đã bắt đầu một tháng rưỡi trước đó.

Hơn nữa, vai trò chính do các nhà nghiên cứu Hungary và dự án chống vi-rút VirusTotal của Tây Ban Nha đảm nhận. VirusTotal.com là một dịch vụ web, từng được tổ chức bởi công ty Hispasec ở Malaga, nơi việc "phân tích tổng thể" các tệp đáng ngờ được gửi tới đây được thực hiện bằng nhiều công cụ chống vi-rút khác nhau. Đầu ra cung cấp danh sách các tên nhận dạng được gán cho mã độc này bởi các công ty khác nhau (tất nhiên nếu mã đó đã được ai đó xác định trước đó). Giờ đây VirusTotal giống như một liên doanh của toàn bộ cộng đồng diệt virus. Hiện tại, số lượng chương trình chống vi-rút được thu thập cùng nhau là 43 và bất kỳ mẫu mã dịch hại mới nào được xác định sẽ nhanh chóng được gửi đến tất cả các công ty và phòng thí nghiệm tham gia dịch vụ.

Chính tại đây, “cuộc hẹn hò đầu tiên” của DUQU với cộng đồng chống vi-rút đã diễn ra, khi vào ngày 1 tháng 9 năm 2011, một nguồn không xác định từ Hungary đã gửi cho VirusTotal một tệp đáng ngờ có tên ~DN1.tmp để quét. Các chương trình chống vi-rút nổi tiếng nhất không thấy bất kỳ điều gì đáng ngờ trong tệp này, nhưng hai công cụ ít phổ biến hơn là BitDefender và AVIRA (chính xác hơn là bốn chương trình chống vi-rút chạy trên chúng), đã phát hiện ra nó là một Trojan phần mềm gián điệp độc hại. Ngay sau lần phát hiện ban đầu này, tệp này đã được thêm vào cơ sở dữ liệu của nhiều công ty chống vi-rút. Tuy nhiên, hoàn toàn không có gì đáng chú ý xảy ra liên quan đến điều này hơn nữa - chỉ là việc bổ sung căn cứ thông thường.

Sau đó, vào ngày 9 tháng 9, có vẻ như một lần nữa, một tệp DUQU “thực” khác đã được gửi từ Hungary để quét tới Virustotal. Tại sao tệp trình điều khiển cụ thể này nên được coi là mô-đun chính của DUQU “thực hơn” so với Trojan trước đó sẽ được giải thích chi tiết hơn trong phần tiếp theo, dành cho cấu trúc đa mô-đun của chương trình này. Ở đây, điều quan trọng cần lưu ý là trong lần quét đầu tiên, không có chương trình chống vi-rút nào trong số 43 chương trình chống vi-rút tham gia dự án Virustotal phát hiện tệp này là độc hại.

Đây là một thực tế rất đáng chú ý, cho thấy các tác giả của chương trình DUQU đã thực hiện công việc gián điệp của mình một cách chuyên nghiệp và cẩn thận như thế nào. Như nghiên cứu tiếp theo sẽ chỉ ra, chính mô-đun chính này của DUQU mang trong mã của nó sự tương đồng rõ ràng và không thể phủ nhận với mã Stuxnet (tệp Trojan đầu tiên không có gì chung với nó), nhưng đồng thời các tác giả của mã mới chương trình đã quản lý để thay đổi mã đến mức nó hoàn toàn vượt qua thành công các bài kiểm tra về [không phát hiện] khi được phân tích bởi tất cả các công cụ chống vi-rút ít nhiều phổ biến trên thế giới...

Dấu hiệu của các tập tin được tích lũy trong cơ sở dữ liệu Virustotal cho thấy cùng một mô-đun trình điều khiển, nhưng dưới một tên khác và dưới nhãn hiệu của một nhà sản xuất khác, một lần nữa đã được gửi để quét cho Virustotal vào ngày 18 tháng 9. Và một lần nữa, rõ ràng, từ Hungary. Và một lần nữa, giống như trường hợp của trình điều khiển đầu tiên, không có mã độc nào được phát hiện cho đến ngày 18 tháng 10, khi báo cáo chính thức của Symantec cuối cùng được công bố. Sau đó, như người ta nói, đôi mắt của mọi người đột nhiên mở ra.

Bản thân báo cáo của Symantec dường như đã là một tài liệu rất đáng chú ý, phản ánh rõ ràng tính chất khá “trơn tru” của cả hoạt động kinh doanh chống virus và an ninh thông tin nói chung trong thực tế khó khăn của thế giới chúng ta.

Một mặt, báo cáo nêu rõ rằng DUQU có nét tương đồng rõ ràng với Stuxnet (theo các nhà phân tích, tác giả của cả hai chương trình rõ ràng đã sử dụng cùng một mã nguồn khi tạo và biên dịch chúng). Mặt khác, công ty Symantec của Mỹ cẩn thận tránh bất kỳ đề cập nào đến thực tế rằng tác giả rõ ràng nhất của Stuxnet chính là các cơ quan tình báo Mỹ. Hơn nữa, tài liệu của Symantec còn đi kèm với một báo cáo phân tích thậm chí còn sâu rộng hơn thu được từ một “phòng thí nghiệm nước ngoài có mối quan hệ quốc tế chặt chẽ” khác, trên thực tế, báo cáo này đã tiết lộ cả DUQU và những điểm tương đồng của nó với Stuxnet. Tuy nhiên, tên và đơn vị liên kết cấp tiểu bang của phòng thí nghiệm đáng chú ý này “không được tiết lộ theo yêu cầu của cô ấy”.

Cuối cùng, một “bí mật khủng khiếp” khác ẩn giấu trong báo cáo của Symantec là tên thật của công ty Đài Loan, chữ ký số xác nhận tính xác thực của tệp trình điều khiển DUQU. Trên thực tế, chính tính năng này của phần mềm gián điệp là một trong những lý do chính khiến tất cả 43 cuộc kiểm tra chống vi-rút không xác định được tệp là độc hại. Chính tính năng tương tự - chứng chỉ kỹ thuật số xác thực bị đánh cắp từ chủ sở hữu hợp pháp của chúng - cũng là một tính năng độc quyền để đảm bảo khả năng tàng hình của Stuxnet.

Tuy nhiên, bí mật này đã bị tiết lộ rất nhanh khi công ty chống vi-rút Phần Lan F-Secure, sử dụng mô hình DUQU mà họ có, đã xác định công ty Đài Loan này là C-Media Electronics Incorporation. Sự im lặng kỳ lạ về sự thật này trong báo cáo của Symantec rất có thể được giải thích là do chứng chỉ dành cho C-Media được cấp bởi dịch vụ chứng nhận VeriSign - và chủ sở hữu của nó là... Symantec. Chứng chỉ này có hiệu lực đến tháng 8 năm 2012, nhưng VeriSign đã thu hồi nó ngay lập tức, ngay khi Symantec bắt đầu nghiên cứu phần mềm độc hại.

nhận được từ đồng nghiệp.

Ngay sau khi báo chí xôn xao về "DUQU, con trai của Stuxnet" mới được tạo ra, và bí ẩn về người phát hiện ra nó bắt đầu làm nảy sinh đủ loại suy đoán vô trách nhiệm, tuy nhiên, các tác giả của báo cáo ban đầu đã quyết định đến. ra khỏi bóng tối. Vài ngày sau, vào ngày 21 tháng 10, một thông cáo báo chí rất ngắn đã xuất hiện trên trang web của CrySyS, “Phòng thí nghiệm bảo mật hệ thống và mật mã Hungary tại Đại học Công nghệ và Kinh tế Budapest” với xác nhận chính thức về sự tham gia trực tiếp của họ vào lịch sử:

“Phòng thí nghiệm của chúng tôi đã tham gia phát hiện phần mềm độc hại DUQU như một phần của hợp tác quốc tế. Trong quá trình tìm hiểu sâu về chức năng của chương trình này, chúng tôi nhận thấy mối đe dọa này gần giống với Stuxnet. Sau khi phân tích cẩn thận các mẫu, chúng tôi đã chuẩn bị một báo cáo chi tiết về chương trình DUQU mà chúng tôi đã nhận được tên này. Chúng tôi đã ngay lập tức cung cấp báo cáo ban đầu cho cơ quan có thẩm quyền… Nhưng chúng tôi không thể tiết lộ thêm bất kỳ thông tin cụ thể nào về vụ việc này”.

Nói cách khác, các nhà nghiên cứu Hungary kiên quyết không muốn tiết lộ thông tin về máy tính cụ thể của ai mà họ đã tìm thấy mẫu phần mềm gián điệp này (dựa trên ngày biên soạn mã nhận được từ người Hungary, Symantec kết luận rằng các cuộc tấn công sử dụng chương trình này đã được thực hiện kể từ đó. ít nhất là vào tháng 12 năm 2010. Tức là chỉ 5 tháng sau khi sâu Stuxnet được phát hiện).

Một kịch bản tương tự với sự im lặng về nơi phát hiện sự lây nhiễm bắt đầu lặp lại hơn nữa, khi các công ty chống vi-rút bắt đầu thông báo rằng các tập tin có dấu hiệu DUQU đã được tìm thấy, ngoài ra còn có hai trường hợp ở Hungary, còn ở Áo, Anh, Indonesia, Iran. , Sudan... Rất có thể, danh sách các quốc gia vẫn tiếp tục phát triển cho đến ngày nay. Nhưng cụ thể hồ sơ của các tổ chức, doanh nghiệp bị ảnh hưởng bởi DUQU là gì thì trước hết không ai tiết lộ. Và thứ hai, những người thậm chí biết điều gì đó cụ thể cũng không thể phân biệt được bất kỳ hệ thống nào. Rõ ràng, các mục tiêu giới thiệu phần mềm gián điệp được chọn hoàn toàn riêng lẻ và theo một số nguyên tắc đặc biệt, chỉ những người cài mã này vào máy mới biết.

Và điều thú vị nhất là hầu như luôn chỉ có thể phát hiện được thực tế là hệ thống đã bị lây nhiễm bởi mô-đun DUQU chính, còn Trojan gián điệp được phát hiện ngay từ đầu thì không thể tìm thấy ở đâu khác. Để hiểu ý nghĩa có thể xảy ra của những gì đang xảy ra, đã đến lúc xem xét cách thức hoạt động của DUQU này từ bên trong.

Thiết bị DUQU và các tính năng của nó

Ngay ở giai đoạn đầu xác định DUQU, đi kèm với việc công bố tên của nhiều tệp khác nhau liên quan đến chương trình này bằng cách này hay cách khác, đã nảy sinh sự nhầm lẫn khá nghiêm trọng. Và đó là những gì nó được kết nối.

Cấu trúc mô-đun của DUQU giả định sự hiện diện của ít nhất ba loại chương trình khác nhau đáng kể, thực tế không liên quan đến nhau về mặt chức năng. Đầu tiên, chắc chắn phải có cái gọi là tệp cài đặt cung cấp mô-đun DUQU chính cho máy nạn nhân (bản thân mô-đun chính không có chức năng như vậy, nhưng điều thú vị là không có máy nào bị nhiễm DUQU có chức năng tương tự. vào một tập tin- Trình cài đặt chưa được xác định). Thứ hai, bản thân mô-đun DUQU chính, cũng có thiết kế tổng hợp riêng biệt từ các mô-đun thành phần của chính nó (các chức năng Trojan mà chúng thực hiện sẽ được thảo luận bên dưới). Và thứ ba, chương trình độc hại thực sự dùng để theo dõi và đánh cắp thông tin trong hệ thống bị nhiễm. Trong các nguồn khác nhau, nó được gọi là "keylogger nâng cao" hoặc "kẻ đánh cắp thông tin", nhưng bản chất không thay đổi. Nhân tiện, mô-đun này hoạt động hoàn toàn độc lập với hai mô-đun đã được đề cập, điều này đảm bảo việc triển khai nó vào máy tính một cách kín đáo.

Dù người ta nói gì ở Iran, Stuxnet đã có thể làm chậm đáng kể sự phát triển chương trình hạt nhân của nước này. Bây giờ đào tạo DUQU là gì?

Mọi điều được nói trên báo chí và các báo cáo nghiên cứu chống vi-rút liên quan đến mối quan hệ chặt chẽ giữa DUQU và Stuxnet chỉ đề cập đến mô-đun chính (không liên quan đến hành vi trộm cắp thông tin). Nhưng đồng thời, chính cái tên DUQU mà chương trình kết hợp nhận được từ người Hungary lại xuất phát từ tên đặc trưng của các tệp như ~Dqx.tmp, trong đó mô-đun keylogger tạm thời lưu trữ dữ liệu được thu thập trong hệ thống bị nhiễm. Nói cách khác, tiền tố DQ đặc trưng trong tên của các tệp được phát hiện thực tế hầu như không liên quan gì đến hoạt động của mô-đun DUQU chính. Có thể nói rằng mối quan hệ giữa mô-đun chính và keylogger được thiết lập dựa trên thực tế là cả hai mô-đun này đều được phát hiện trên cùng một máy và mô-đun chính có khả năng tải bất kỳ thành phần nào khác vào máy từ mạng về mặt chức năng.

Mô-đun chính này là gì? Nó thường chứa ba thành phần chính:

1. Trình điều khiển nhúng DLL của nó vào các tiến trình hệ thống;

2. Tệp DLL được mã hóa (có phần mở rộng hệ thống PNF), cũng có một mô-đun bổ sung và bí mật hoạt động qua mạng bằng máy chủ chỉ huy và điều khiển từ xa

3. File cấu hình setup (cũng được mã hóa).

Giống như Stuxnet đã được nghiên cứu trước đây, mô-đun chính của DUQU sử dụng một công nghệ rất tinh vi và độc đáo về nhiều mặt để ẩn các thành phần của nó trong RAM chứ không phải trên ổ cứng của máy, nhằm tránh bị các công cụ chống vi-rút phát hiện một cách hiệu quả. Cả hai chương trình, DUQU và Stuxnet, đều sử dụng trình điều khiển hạt nhân đặc biệt để giải mã các tệp được mã hóa mong muốn và nhúng chúng vào các quy trình đang chạy. Kiểu "tiêm" vào bộ nhớ làm việc này thực sự là một cách rất hiệu quả để tránh bị phát hiện, vì không có quyền truy cập vào đĩa. Cụ thể, đây là phần mềm chống vi-rút thường phản hồi.

Ngoài các phương pháp đạt được khả năng tàng hình của hệ thống này, các biến thể đầu tiên của chương trình DUQU được kiểm tra đã được định cấu hình để chạy trong 36 ngày, sau đó mô-đun chính sẽ tự động xóa chính nó khỏi hệ thống bị nhiễm. Từ việc phân tích các mẫu tiếp theo, có thể thấy rõ rằng khoảng thời gian hoạt động này không được xác định chặt chẽ, do đó trong các trường hợp khác, quá trình tự hủy có thể xảy ra sớm hơn hoặc muộn hơn.

Khoảng một năm trước, dựa trên kết quả phân tích Stuxnet của các chuyên gia Kaspersky Lab, người ta đã kết luận rằng chương trình này thực sự bao gồm hai phần khác nhau - một nền tảng mạng và một mô-đun riêng biệt độc lập chịu trách nhiệm làm việc với PLC, tức là. bộ điều khiển logic lập trình để kiểm soát phá hoại các quy trình công nghiệp.

Trên thực tế, Stuxnet ở dạng mã thể hiện một cái gì đó giống như một tên lửa chiến đấu ngoài đời thực, trong đó có một mô-đun phương tiện phóng (chính con sâu) và đầu đạn của nó (tức là mô-đun PLC). Dựa trên thiết kế này, người ta cho rằng phần Stuxnet chịu trách nhiệm phát tán và lây nhiễm vào hệ thống có thể được sử dụng đi sử dụng lại với nhiều loại “đầu đạn” khác nhau.

Bây giờ, bằng cách quan sát những gì đang xảy ra xung quanh DUQU, chúng ta có thể kết luận rằng gần như kịch bản tương tự đang diễn ra ở đây. Ngoại lệ duy nhất là chưa có “đầu đạn” nào được phát hiện trên DUQU. Điều duy nhất đôi khi có thể phát hiện được chỉ là một keylogger gián điệp tương đối vô hại để “do thám trên mặt đất” sơ bộ. Tuy nhiên, về bản chất, chương trình này có khả năng cung cấp bất kỳ “đầu đạn” nào tới hệ thống bị nhiễm và phóng nó chống lại bất kỳ mục tiêu nào.

Không giống như Stuxnet, lây nhiễm bừa bãi một số lượng lớn máy trong khi tìm kiếm một hệ thống rất cụ thể, DUQU đã được các chuyên gia chống vi-rút quan sát thấy lây nhiễm có chọn lọc một số lượng rất nhỏ các hệ thống rất cụ thể trên khắp thế giới. Nhưng đối với mỗi hệ thống, DUQU có thể sử dụng các mô-đun khác nhau đáng kể - với các tên khác nhau, độ dài tệp khác nhau và các giá trị tổng kiểm tra khác nhau.

Một đặc điểm đặc trưng khác của DUQU là mã ở đây không có chức năng sao chép hoặc tự phân phối. Nói cách khác, chương trình độc hại không phải là sâu máy tính hay vi-rút theo nghĩa được chấp nhận rộng rãi của các thuật ngữ này. Mặt khác, cho đến nay vẫn chưa thể tìm thấy mô-đun cài đặt (dropper) trên bất kỳ hệ thống bị nhiễm nào, tức là vẫn chưa rõ mô-đun DUQU chính được đưa vào hệ thống bằng cơ chế nào. Điều này có nghĩa là không biết liệu trình cài đặt này có tự sao chép hay không và nó khai thác những lỗ hổng bảo mật nào. Ở thời điểm hiện tại, đây được coi là mắt xích chính còn thiếu trong toàn bộ câu đố. Bởi vì chính tập tin được cho là chìa khóa để giải thành công câu đố DUQU và tìm ra phương pháp giải độc hữu hiệu.

Các kết quả đã được biết đến (rất ảm đạm) của cuộc chiến chung chống lại các mối đe dọa như Stuxnet, vốn thực sự có khả năng vô hiệu hóa các doanh nghiệp công nghiệp và cơ sở hạ tầng quan trọng, vô tình gợi ý rằng với việc chống lại các mối đe dọa như DUQU, điều tương tự cuối cùng sẽ xảy ra.

Để minh họa rõ ràng và rõ ràng hơn ý nghĩa của việc bảo vệ các hệ thống máy tính điều khiển công nghiệp hiện nay, chúng ta có thể trích dẫn một bài blog gần đây của Ralph Langner, một chuyên gia hiện được biết đến rộng rãi trong lĩnh vực này, người đã có thời là người đầu tiên hiểu được “nhồi đầu đạn” của Stuxnet.

Vào cuối tháng 9, Langner có cơ hội tham gia hội nghị công nghiệp WeissCon, nơi Marty Edwards, người đứng đầu hiện tại của cấu trúc ICS-CERT, trong chính phủ Hoa Kỳ chịu trách nhiệm về bảo mật máy tính của các hệ thống điều khiển công nghiệp, đã phát biểu. Bản chất của báo cáo đáng kinh ngạc của quan chức này là trình bày cách tiếp cận mới của bộ phận họ về cách họ cần xem xét các lỗ hổng bảo mật - bằng cách loại bỏ mọi thứ không giống lỗi (lỗi phần mềm) mà nhà cung cấp sản phẩm có thể sửa được.

Nói cách khác, Langner giải thích, từ giờ trở đi, bạn sẽ không thấy bất kỳ đề xuất hoặc cảnh báo nào từ ICS-CERT liên quan đến “tính năng” của các chương trình có khả năng được sử dụng để tấn công.

Theo chuyên gia, cách tiếp cận này theo cách triệt để nhất - khoảng 90% - làm giảm số lượng lỗ hổng, vì phần lớn cái gọi là “khoảnh khắc” bảo mật mà ngành phải đối mặt không phải là lỗi lập trình mà là lỗi thiết kế. của hệ thống.

Trước khi cơn bão Stuxnet ập đến, tên chính thức của lỗ hổng là: “Một khiếm khuyết hoặc điểm yếu trong thiết kế, triển khai, vận hành hoặc quản lý của hệ thống có thể bị khai thác để vi phạm chính sách bảo mật của hệ thống”. Chà, bây giờ, Langner chế nhạo, cuộc sống đã trở nên an toàn hơn nhiều cho tất cả chúng ta, bởi vì nhiều vấn đề đột nhiên xuất hiện và biến mất. Chỉ còn lại lỗi lập trình. Và nếu như cho đến gần đây việc bảo mật hệ thống điều khiển công nghiệp là một vấn đề rất khó khăn thì giờ đây mọi thứ đã trở nên dễ dàng và đơn giản. Ít nhất là đối với tổ chức ICS-CERT. Chà, về phần còn lại, Langner kết luận một cách cay đắng, mọi thứ không khá hơn chút nào, bởi vì cuối cùng thì điều đó chẳng thành vấn đề gì cả - họ đã tấn công hệ thống của bạn thông qua một “lỗi” hoặc “tính năng”. Hậu quả sẽ vẫn khó chịu và đôi khi rất thảm khốc.

Quay trở lại DUQU, cần phải nhấn mạnh rằng các nhà phân tích từ các công ty chống vi-rút đã công bố thông tin chi tiết về chương trình này bị ấn tượng nhất bởi hành vi tiếp theo của những người tạo ra nó không rõ danh tính. Sau khi được công bố rộng rãi như vậy, có vẻ như lẽ ra họ phải lặng lẽ biến mất khỏi tầm mắt hoặc ít nhất là ẩn náu một thời gian. Nhưng không có gì thuộc loại này xảy ra. Ngay ngày hôm sau khi xuất bản, ngày càng có nhiều mô-đun DUQU mới với ngày biên soạn hoàn toàn mới và nhiều tính năng bên ngoài hoàn toàn mới bắt đầu được phát hiện.

Nói cách khác, các điệp viên đã chứng minh rõ ràng rằng họ có ý định tiếp tục thực hiện công việc này, bất kể cấu trúc bảo mật máy tính có làm gì đi chăng nữa.

Gần giống như thời của Wild Bill và J. Edgar Hoover.

Sự miêu tả

Vào ngày 9 tháng 7 năm 2010, các chuyên gia của công ty diệt virus VirusBlokada của Belarus đã phát hiện ra phần mềm độc hại (malware) ở Iran, được đặt tên là Stuxnet. Các công ty chống virus không có sự thống nhất chính xác về thời điểm Stuxnet xuất hiện; theo một số nguồn tin, nó đã lan rộng ngay từ tháng 1 năm 2009. Tính năng đặc biệt:

  • Stuxnet chứa một số mô-đun được viết bằng nhiều môi trường phát triển và ngôn ngữ lập trình;
  • để vượt qua các cơ chế bảo vệ chống vi-rút, một số mô-đun (trình điều khiển) phần mềm độc hại đã có chữ ký số được tạo bằng chứng chỉ từ Realtek và JMicron (có lẽ đã bị đánh cắp);
  • Một số phương thức phân phối - qua ổ USB-Flash và qua mạng. Trong phiên bản 2009, phương pháp khởi chạy thông qua autorun.inf được sử dụng rộng rãi (theo quy định, bị vô hiệu hóa vì lý do bảo mật), trong phiên bản 2010, phương pháp này được thay thế bằng một phương pháp hiệu quả hơn - sử dụng lỗ hổng xử lý phím tắt MS10 -046 (ngày 0 tại thời điểm đó). Để phân phối qua mạng, các lỗ hổng MS08-067 (trước đây được phần mềm độc hại Kido sử dụng vào năm 2009, dẫn đến lây nhiễm hàng loạt) và MS10-061 (zero-day vào thời điểm đó) đã được sử dụng;
  • để đảm bảo hoạt động, các đặc quyền đã được nâng lên cấp quản trị viên hệ thống bằng cách sử dụng hai lỗ hổng cục bộ (zero-day tại thời điểm đó) MS10-073 (Windows 2000 và XP) và MS10-092 (Windows Vista, bao gồm cả phiên bản x64), do đó việc khởi chạy phần mềm độc hại thông thường từ các tài khoản hạn chế được cung cấp;
  • Stuxnet tổ chức mạng ngang hàng (P2P) của riêng nó để đồng bộ hóa và cập nhật các bản sao của nó;
  • có chức năng cho phép bạn gửi thông tin tìm thấy trên máy tính đến các máy chủ điều khiển từ xa;
  • Tải trọng bất thường này làm gián đoạn hoạt động bình thường của hệ thống tự động hóa SIMATIC của Siemens, hệ thống thường được sử dụng trong các hệ thống điều khiển quy trình công nghiệp khác nhau.
Tác động đến hệ thống SIMATIC của Siemens

Một chuyên gia bảo mật thông tin đến từ Đức, Ralf Langner, đã công bố một bản phân tích về các hành động của Stuxnet liên quan đến SIMATIC trên trang web riêng của ông vào tháng 9 năm 2010.

SIMATIC WinCC (Trung tâm điều khiển Windows) là phần mềm tạo giao diện người-máy, một phần của dòng hệ thống tự động hóa SIMATIC. Nó chạy trong hệ điều hành thuộc họ Microsoft Windows NT và sử dụng cơ sở dữ liệu Microsoft SQL Server 2000 (bắt đầu từ phiên bản 6.0). Giao diện WinCC với STEP 7.

SIMATIC STEP 7 – phần mềm phát triển hệ thống tự động hóa dựa trên bộ điều khiển logic khả trình (PLC) SIMATIC S7-300/S7-400/M7/C7 và WinAC.

Nếu Stuxnet xác định rằng nó đang chạy trên một trạm kỹ thuật, nó sẽ thay thế phần STEP7 chịu trách nhiệm đưa mã vào PLC. Thời điểm kỹ sư kết nối với bộ điều khiển, nếu Stuxnet nhận ra cấu hình phần cứng phù hợp, nó sẽ sửa đổi mã được gửi tới PLC. Các nhà nghiên cứu phát hiện ra rằng những kẻ tấn công quan tâm đến bộ điều khiển 6ES7-417 và 6ES7-315-2, cũng như các mạng công nghiệp theo tiêu chuẩn Profibus-DP. STEP7 đã sửa đổi, khi cố gắng đọc các khối chương trình đã sửa đổi, PLC sẽ hiển thị chúng ở dạng ban đầu (thành phần rootkit để che giấu sự thật về sửa đổi).

Stuxnet xác định hệ thống mục tiêu bằng cách kiểm tra khối dữ liệu DB 890. Điều này xảy ra định kỳ năm giây một lần trong môi trường WinCC.

Nếu điều kiện được đáp ứng, Stuxnet sẽ sửa đổi mô-đun OB 35 trong quá trình truyền từ Trình quản lý Simatic tới PLC. Mô-đun OB 35 được gọi vào PLC cứ sau 100 ms theo bộ đếm thời gian, trong đó thiết bị chặn Stuxnet kiểm tra mã trả về của hàm FC 1874. Nếu mã trả về từ FC 1874 là DEADF007 thì nội dung ban đầu của OB 35 không được thực thi.

Mã Stuxnet trong PLC cho phép:

  • lắng nghe mạng Profibus-DP (thông qua đó PLC giao tiếp) và tạo các gói của riêng chúng, đồng thời dữ liệu cho các gói này có thể được cập nhật từ trạm kỹ thuật;
  • đọc đầu vào PLC và điều khiển đầu ra của nó, cảm biến và bộ truyền động (AM) được kết nối tương ứng với chúng, trong khi đối với hành động được nhắm mục tiêu, bạn cần biết cụ thể cảm biến/AM nào được kết nối với đầu vào/đầu ra nào;
  • đồng bộ hóa các bản sao của chúng giữa các PLC bị nhiễm thông qua mạng Profibus-DP (các PLC không thể bị lây nhiễm lẫn nhau, mã thực thi của bộ điều khiển không thể được viết lại nhanh chóng, chỉ có dữ liệu, đây là một hạn chế của bộ điều khiển Siemens).
Stuxnet cũng cố gắng kết nối với cơ sở dữ liệu WinCC bằng “mật khẩu mặc định”.

Siemens xác nhận rằng virus nhắm vào một cấu hình công nghệ cụ thể. Tổng cộng, công ty đã báo cáo 15 trường hợp tại nơi làm việc, chủ yếu ở Đức. Không một trường hợp nào Stuxnet xâm nhập được vào PLC vì các thông số không khớp. Tuy nhiên, điều này không ảnh hưởng đến hoạt động của thiết bị và trong mọi trường hợp Stuxnet đều bị vô hiệu hóa.

kết luận

Những sự thật này cho phép chúng tôi rút ra kết luận sau:

  • Stuxnet là một phần mềm độc hại được thiết kế cẩn thận, được phát triển bởi một nhóm chuyên gia từ nhiều lĩnh vực khác nhau;
  • không có dữ kiện phân phối qua Internet nào được xác định, chỉ qua USB-Flash và qua mạng - những dấu hiệu này là điển hình cho việc triển khai trong một hệ thống khép kín không có kết nối trực tiếp với mạng công cộng;
  • Chức năng làm gián đoạn hoạt động bình thường của hệ thống điều khiển quy trình công nghiệp Siemens WinCC (công cụ phá hoại máy tính) ngụ ý rằng các nhà phát triển Stuxnet đã có một hệ thống phần cứng và phần mềm để thử nghiệm giống hệt với hệ thống mà cuộc tấn công đã lên kế hoạch. Ngoài ra, họ còn tập trung vào một mục đích cụ thể (sử dụng dữ liệu từ nhân sự được tuyển dụng trong tổ chức);
  • Việc phát triển quy mô này đòi hỏi nguồn kinh phí đáng kể - thanh toán cho một nhóm lập trình viên, tổ chức đánh cắp chứng chỉ kỹ thuật số, mua hoặc phát triển 4 lỗ hổng zero-day, truy cập vào hệ thống Siemens WinCC đã triển khai.
Tất cả những dấu hiệu gián tiếp này có thể cho thấy sự tham gia của các cơ quan thực thi pháp luật hoặc cơ quan tình báo của bất kỳ quốc gia nào trong quá trình phát triển Stuxnet. Chức năng chính của phần mềm độc hại - phân phối và vận hành tự động trong một hệ thống khép kín sau đó phá hoại hệ thống kiểm soát quá trình sản xuất - không phải là đặc trưng của tội phạm mạng “truyền thống”, những kẻ thường theo đuổi mục tiêu “kiếm tiền” (mục tiêu cuối cùng là tiền) và, theo quy định, sử dụng phần mềm độc hại do các lập trình viên đơn lẻ phát triển. Chính vì những lý do này mà Stuxnet được gọi là vũ khí mạng.

Phiên bản

Các chuyên gia tin rằng Stuxnet có thể đã được phát triển để chống lại nhà máy điện hạt nhân Bushehr ở Iran. Israel và Hoa Kỳ có thể là những nhà phát triển tiềm năng. Phiên bản này dựa trên các sự kiện sau:

  • Iran là một trong những khu vực bị ảnh hưởng nặng nề nhất bởi Stuxnet. Đánh giá theo diễn biến của dữ liệu lây nhiễm, vào khoảng tháng 5 đến tháng 6 năm 2010, Iran dẫn đầu về số ca nhiễm;
  • Nhà máy điện hạt nhân Bushehr (NPP) là một trong những mục tiêu quân sự quan trọng nhất ở Iran;
  • Các nhà máy điện hạt nhân bắt đầu được xây dựng từ những năm 1970. Siemens đã tham gia xây dựng. Năm 1979, Siemens ngừng hoạt động ở nước này (do cách mạng). Siemens sau đó đã quay trở lại Iran và đây là một trong những thị trường lớn nhất của hãng. Vào tháng 1 năm 2010, Siemens lại tuyên bố chấm dứt hợp tác với Iran. Tuy nhiên, vào mùa hè, nó bị phát hiện đang cung cấp linh kiện cho Bushehr. Việc phần mềm Siemens có được sử dụng tại nhà máy điện hạt nhân để kiểm soát các quy trình hay không vẫn chưa chính thức được biết. Trong một trong những ảnh chụp màn hình máy tính được đăng trên Internet, được cho là chụp bên trong một nhà máy điện hạt nhân, bạn có thể thấy hệ thống điều khiển Siemens WinCC;
  • tham gia vào việc xây dựng các nhà máy điện hạt nhân của công ty Atomstroyexport của Nga, công ty có các dự án ở Ấn Độ, cũng như việc các công ty Nga có truyền thống coi thường các vấn đề an ninh thông tin, có thể dẫn đến sự lây lan của Stuxnet ở Ấn Độ;
  • Israel là một trong những quốc gia quan tâm nhất đến việc phá vỡ hoạt động của nhà máy điện hạt nhân Bushehr. Iran bị nghi ngờ rằng tại trạm này, dưới vỏ bọc nhiên liệu hạt nhân, nguồn dự trữ sẽ được sản xuất để sản xuất vũ khí hạt nhân của riêng mình, rất có thể được sử dụng để chống lại Israel;
  • Israel nằm trong số những quốc gia có các chuyên gia công nghệ thông tin được đào tạo bài bản, có khả năng sử dụng chúng cho cả tấn công và gián điệp.
Một phiên bản khác của mục tiêu tấn công là nhà máy làm giàu uranium ở Natanz (Iran). Phiên bản này được xác nhận gián tiếp bởi các sự kiện sau:
  • Theo các chuyên gia, cơ sở làm giàu uranium ở Natanz, một cơ sở sâu dưới lòng đất được củng cố nghiêm ngặt và ẩn giấu, gây ra rủi ro lớn hơn nhiều về mặt sản xuất vũ khí hạt nhân so với nhà máy điện hạt nhân Bushehr;
  • Vào tháng 7 năm 2009, một nguồn tin liên quan đến chương trình hạt nhân của Iran đã bí mật báo cáo về một vụ tai nạn hạt nhân nghiêm trọng xảy ra không lâu trước đó tại Natanz. Sau đó, theo truyền thông Iran và đài BBC của Anh, Gholamreza Aghazadeh, người đứng đầu Tổ chức Năng lượng Nguyên tử Iran (IAEO), đã từ chức. Đồng thời, theo dữ liệu chính thức do IAEO cung cấp cho các cơ quan quản lý, số lượng máy ly tâm đang hoạt động ở Natanz đã giảm đáng kể (vài nghìn), có thể là hậu quả của tác động của Stuxnet.
Lời bạt

Tại Hoa Kỳ vào tháng 6 năm 2012, một cuốn sách đã được xuất bản có tựa đề “Đối đầu và che giấu: Những cuộc chiến bí mật của Obama và việc sử dụng quyền lực Mỹ đáng kinh ngạc”, theo đó Stuxnet được phát triển ở Hoa Kỳ với sự tham gia của các chuyên gia Israel và chính xác là với mục tiêu vô hiệu hóa Chương trình hạt nhân của Iran. Tác giả - nhà báo David Sanger của New York Times - cho rằng Stuxnet được phát triển dưới thời tổng thống George W. Bush. Dự án này có tên là "Thế vận hội Olympic". Lúc đầu nó là một chương trình phân phối phần mềm gián điệp, nhờ đó nó có thể hiểu rõ hơn về thiết bị của trung tâm làm giàu uranium của Iran ở Natanz. Sau đó, chức năng đã được phát triển có ảnh hưởng đến phần mềm điều khiển các máy ly tâm làm sạch uranium.

Mới năm ngoái, David Sanger và hai đồng nghiệp của ông đã đăng một bài báo trên tờ New York Times tuyên bố rằng Stuxnet thực sự là sản phẩm của các cơ quan tình báo Mỹ và Israel và họ đang thử nghiệm nó tại trung tâm bí mật Dimona của Israel ở sa mạc Negev. Về mặt chính thức, Israel từ chối thừa nhận rằng họ có chương trình hạt nhân của riêng mình, nhưng các tác giả của bài báo đề cập đến một số chuyên gia am hiểu về lĩnh vực tình báo và quân sự, những người xác nhận rằng có những máy ly tâm ở Dimona gần giống với những máy ly tâm ở Natanz. Khả năng vô hiệu hóa chúng của Stuxnet đã được thử nghiệm trên chúng, cùng với những thứ khác.

Theo The Wall Street Journal, FBI đang điều tra một vụ rò rỉ thông tin cho thấy chính phủ có liên quan đến các cuộc tấn công mạng vào các cơ sở hạt nhân của Iran.

Nhiều chuyên gia tỏ ra hoài nghi về thông tin này. Họ coi đó là một cách “nhồi nhét” thông tin khác trước thềm bầu cử tổng thống Mỹ.

Các nguồn thông tin chi tiết về Stuxnet:

Báo cáo phân tích của Symantec

Tôi là một lập trình viên chuyên nghiệp và một nhà vật lý được đào tạo, vì vậy mọi thứ nêu trong bài viết này không phải là suy đoán, tôi có thể tự mình làm tất cả bằng chính đôi tay của mình. Và tôi có nhiều thông tin về chủ đề này hơn những gì tôi có thể trình bày trên nền tảng thông tin không cốt lõi này cho mình.
Vì vậy, nếu bạn phản đối trên diễn đàn, hãy nghĩ xem bạn đang phản đối ai.
Đây không phải là “từ đường chuyền”, nơi tôi trông như một người nghiệp dư, tôi là người chuyên nghiệp trong chủ đề này, vì vậy hãy lắng nghe với sự tôn trọng.


Hãy bắt đầu từ một trăm năm trước

Vào năm 1905, khi một đoàn quân đi qua cây cầu “Ai Cập” ở St. Petersburg, nó đã bị sập do một cú “xoay” mạnh, như người ta gọi lúc đó. Bây giờ chúng ta sẽ nói vì sự cộng hưởng.

Phiên bản chính là cấu trúc cây cầu không thể chịu được những rung động quá nhịp nhàng từ bước phối hợp của quân đội, đó là lý do tại sao xảy ra hiện tượng cộng hưởng trong đó. Phiên bản này đã được đưa vào chương trình giảng dạy vật lý ở trường như một ví dụ rõ ràng về sự cộng hưởng.

Ngoài ra, một mệnh lệnh quân sự mới là “ra khỏi bước” đã được đưa ra, nó được trao cho một cột chiến đấu trước khi vào bất kỳ cây cầu nào.

Lịch sử cũng mang tính hướng dẫn ở chỗ khi đối mặt với một hiện tượng chưa biết, quân đội đã nhanh chóng tìm ra nó và thực hiện các biện pháp thích hợp để ngăn chặn nó trong tương lai.

Bây giờ chúng ta cần sự chu đáo và hiệu quả như vậy.

Tai nạn ở nhà máy thủy điện Sayano-Shushenskaya

Ở nước Nga hiện đại, một trăm năm sau, một thảm họa tương tự đã xảy ra. Hậu quả của sự cố tổ máy số 2 nhà máy thủy điện Sayano-Shushenskaya ngày 17/8/2009 đã làm sảnh tuabin bị phá hủy, hoạt động của nhà máy thủy điện bị dừng hoàn toàn, vụ tai nạn đã cướp đi sinh mạng của 75 người ( không một người nào chết trên cầu).

Về mặt chính thức, nguyên nhân vụ tai nạn theo lệnh của ủy ban điều tra các tình tiết vụ tai nạn được đưa ra như sau:

Do sự xuất hiện lặp đi lặp lại của các tải trọng thay đổi bổ sung trên bộ phận thủy lực liên quan đến sự chuyển tiếp qua vùng không được khuyến nghị, hư hỏng do mỏi ở các điểm gắn bộ phận thủy lực, bao gồm cả vỏ tuabin, đã hình thành và phát triển. Sự phá hủy các đinh tán do tải trọng động gây ra dẫn đến rách vỏ tuabin và giảm áp suất đường cấp nước của bộ phận thủy lực.

Nếu dịch sang ngôn ngữ dễ hiểu thì bộ nguồn (tuabin thủy lực nối với máy phát điện) bị sập do hoạt động kéo dài ở khu vực phụ tải có hiện tượng cộng hưởng của hệ thống cơ điện.

Một trăm năm trước, các chuyên gia đã tìm ra thực trạng và rút ra kết luận rằng mọi người vẫn tuân theo, mệnh lệnh “lộn bước” sẽ không bao giờ bị ai hủy bỏ.

Nhưng ở thời điểm hiện tại, nguyên nhân vẫn chưa được tìm ra và chưa có kết luận nào được đưa ra.

Vùng cộng hưởng trong tài liệu được gọi một cách mơ hồ là “vùng không được khuyến nghị”. Các quan chức thậm chí còn không đủ can đảm để gọi mọi thứ bằng tên riêng chứ đừng nói đến việc đưa ra kết luận. Trong khi đó, các sự kiện đã phát triển hơn nữa.

Virus Stuxnet

Stuxnet là virus máy tính đầu tiên gây hại cho vật thể. Vì nó, nhiều máy ly tâm tại các cơ sở hạt nhân của Iran đã ngừng hoạt động vào năm 2010. Một cuộc tấn công mạng vào nhà máy làm giàu uranium của Iran tại Netenz đã trì hoãn việc phát triển chương trình hạt nhân của Iran trong vài năm.

Các nhà phân tích quân sự thừa nhận Stuxnet đã trở thành cột mốc mới trong việc phát triển vũ khí mạng. Nó đã chuyển từ không gian ảo sang thực tế, vì cuộc tấn công của một loại virus như vậy không ảnh hưởng đến các vật thể thực tế mà không phải là thông tin mà là vật chất.

Việc phá hủy các máy ly tâm do virus Stuxnet được thực hiện bằng phương pháp cộng hưởng cấu trúc cơ điện của máy ly tâm. Tôi sẽ giải thích nó một cách đơn giản: máy ly tâm khí có trục quay nhanh (20-50 nghìn vòng quay mỗi phút), làm quay một động cơ điện. Động cơ điện được điều khiển bởi một bộ điều khiển, nếu bộ điều khiển này được lập trình lại để nó thay đổi định kỳ tốc độ quay của trục ly tâm (các nhà chuyên môn gọi là “nhịp tần”) thì ở những tần số “nhịp” nhất định, hệ thống sẽ chuyển sang trạng thái cộng hưởng và các ổ trục của trục trục và vỏ máy ly tâm sẽ sụp đổ.

Hơn nữa, đây sẽ giống như một sự cố bình thường không liên quan đến hoạt động của các thiết bị điện tử và chương trình của bộ điều khiển điều khiển động cơ điện. Đầu tiên, độ rung sẽ tăng lên, sau đó các đai ốc giữ các bộ phận vỏ bắt đầu bung ra, sau đó vòng bi bị gãy và cuối cùng hệ thống bị kẹt và mất độ kín.

Virus Stuxnet, khi xâm nhập vào cơ sở, đã làm đúng việc đó, lập trình lại bộ điều khiển động cơ điện Simatic S7 theo cách nó tạo ra điện áp với tần số nhịp là bội số của tần số cộng hưởng của trục máy ly tâm quay.

Quá trình tăng biên độ cộng hưởng có thể kéo dài hàng giờ, nếu không phải vài ngày, vì vậy đối với nhân viên bảo trì, nó giống như một lỗi thiết kế của chính máy ly tâm.

Người Iran chưa bao giờ nhận ra rằng máy ly tâm của họ đang bị virus phá hủy cho đến khi các lập trình viên đến từ Belarus phát hiện ra chính loại virus này và tìm ra chức năng của nó. Chỉ sau đó, virus Stuxnet mới nổi tiếng trên toàn thế giới và Iran thừa nhận rằng cơ sở hạt nhân của họ đã bị tấn công có chủ ý trong ít nhất một năm bởi chính loại vũ khí mạng này.

Chuyện gì đã xảy ra ở nhà máy thủy điện Sayano-Shushenskaya

Vụ tai nạn ở tổ máy thủy lực thứ hai của nhà máy thủy điện Sayano-Shushenskaya xảy ra do cộng hưởng, như đã xảy ra vào đầu thế kỷ XX ở St. Petersburg, cũng như đã xảy ra một năm sau đó ở Iran. Hơn nữa, có thể lập luận rằng thiết bị đã được cố tình đưa vào cộng hưởng, sử dụng các phương pháp được triển khai trong virus Stuxnet.

Thực tế là tại thời điểm xảy ra tai nạn, thiết bị đã được điều khiển tự động. Điều khiển thủ công để cung cấp điện liên tục đã bị vô hiệu hóa và thiết bị hoạt động ở chế độ bù gợn tải cho hệ thống điện của Tây Siberia.

Khi vận hành thiết bị, tần số cộng hưởng được kiểm tra và chứng nhận nghiệm thu cho biết các chế độ vận hành thiết bị bị cấm.

Vào tháng 3 năm 2009, các chuyên gia Ukraine đã lấy những thông số quan trọng nhất này từ tổ máy thứ hai (trong quá trình sửa chữa theo lịch trình), không biết dữ liệu này rơi ở đâu và vào tay ai, nhưng người ta có thể đoán được.

Có được dữ liệu này, không khó chút nào để bơm hệ thống thiết bị thông qua bộ vi điều khiển điều khiển GARM để nó dần dần, trong vài giờ, điều khiển bộ tăng áp có máy phát điện trên cùng một trục vào vùng cộng hưởng.

Sau đó, các đinh tán trên vỏ giữ nắp tuabin bắt đầu lỏng lẻo do rung động, đây là nguyên nhân trực tiếp gây ra thảm họa.

Hoạt động của tuabin và máy phát điện được điều khiển tự động bởi một hệ thống đặc biệt gọi là hệ thống điều khiển nhóm công suất tác dụng và phản kháng (GRAPM).

Phần điện tử của tủ điều khiển GRARM được chế tạo trên cơ sở máy vi tính tương thích với PC của Fastwell

Hệ thống này đã được kích hoạt tại thời điểm xảy ra tai nạn trên tổ máy thứ hai. Hệ thống được lắp đặt và đưa vào sử dụng từ đầu năm 2009, ngay trước khi xảy ra vụ tai nạn. Hệ thống này được PromAvtomatika phát triển và lắp đặt trên cơ sở thiết bị nhập khẩu.

Đương nhiên, họ không nghĩ đến bất kỳ Bảo mật thông tin nào vào thời điểm đó, hệ thống này có quyền truy cập trực tiếp vào Internet, tần số cộng hưởng của thiết bị đã được biết đến.

Tôi nghĩ không cần phải giải thích thêm nữa, chuyện gì đã xảy ra vậy...

Các đồng nghiệp từ Israel và Hoa Kỳ đã thử nghiệm thành công vũ khí mạng nhằm phá hủy cơ sở hạ tầng trên thực tế, sau đó tất nhiên cần phải thành lập một nhánh quân sự đặc biệt để sử dụng nó, điều mà Hoa Kỳ đã làm vào cùng năm 2009 bằng cách tổ chức Bộ chỉ huy mạng với đội ngũ nhân viên 10.000 nhân viên (máy bay chiến đấu).

Vũ khí mạng

Ở thiên niên kỷ thứ ba, virus máy tính còn trở thành vũ khí và được gọi là “Vũ khí mạng”; hơn nữa, ở nhiều nước, loại vũ khí này được tách thành một nhánh riêng của quân đội, tên gọi chung của nó, nhờ bàn tay nhẹ nhàng của người Mỹ, đã trở thành cái tên “Bộ chỉ huy mạng”.

Chỉ huy của các lực lượng vũ trang này đã nhận được một cái tên hoàn toàn tuyệt vời, tin hay không thì tùy, ở Hoa Kỳ, họ gọi ông là "Sa hoàng mạng", và đó là từ tiếng Nga được dùng cho tên chính thức của chỉ huy Mỹ.

Loại vũ khí này đã được sử dụng trong cuộc chiến không tuyên bố của Mỹ và Israel chống lại Iran, rất có thể nó cũng đã được sử dụng ở Nga, tại nhà máy thủy điện Sayano-Shushenskaya, và có dấu vết của nó trong vụ tai nạn ở nhà máy thủy điện Sayano-Shushenskaya. Dự án cho thuê tàu ngầm hạt nhân của Ấn Độ

Petersburg lại xuất hiện ở đó, đó là nhà phát triển thiết bị chữa cháy, do hoạt động tự phát đã dẫn đến cái chết của nhiều người trong quá trình thử nghiệm trên biển... nhưng đó là một chủ đề riêng biệt.