Первый в своем роде вирус, созданный с целью подорвать ядерную программу Ирана, положил начало эре цифровых войн. Его запустили примерно в 2007 году, после того, как Иран начал установку первой партии центрифуг на заводе по обогащению урана расположенном вблизи города Нетенз.

Главным действующим лицом этой операции, о существовании и роли которого ранее не было известно, был шпион, завербованный сотрудниками нидерландской разведки по поручению ЦРУ и израильской службы разведки Моссад. Иранский инженер, сотрудничавший с нидерландским разведывательным агентством AIVD, предоставил критические данные, которые помогли американским разработчикам успешно внедрить специально созданный вирус в информационную сеть предприятия. Затем "крот" предоставил внутренний доступ, необходимый для того, чтобы подключить Stuxnet к системе завода с помощью USB-накопителя.

ЦРУ и Моссад попросили своих нидерландских коллег помочь проникнуть на объект в Нетензе еще в 2004 году, однако понадобилось три года, прежде чем шпион, который выдавал себя за механика, работающего на подставную компанию обслуживающую иранское предприятие, смог доставить цифровое оружие по назначению. "Нидерландский крот стал самым важным элементом операции по внедрению вируса в системы завода Нетенз", – отметил один из источников.

Секретная операция «Olympic Games»

Секретная операция, известная как "Olympic Games" ("Олимпийские игры"), была разработана не для того, чтобы полностью уничтожить ядерную программу Ирана, а для того, чтобы на некоторое время замедлить ее развитие и выиграть время для введения санкций и применения дипломатических рычагов давления. С помощью этой стратегии удалось собрать все стороны за столом переговоров, что в конечном итоге привело к подписанию ядерного соглашения между Ираном и пятью постоянными членами Совета безопасности ООН, а также Германией в 2015 году.

Информация об участии Нидерландов является отсылкой к тому времени, когда США активно сотрудничали с другими странами в сфере разрешения ситуации вокруг иранской ядерной программы и даже заключили со своими союзниками многостороннее соглашение, которое стало основой всей последующей деятельности. Все изменилось в прошлом году после того, как администрация Трампа вышла из ядерной сделки с Тегераном, завоеванной в результате столь напряженных усилий.

Операция "Олимпийские игры" была в первую очередь совместной американо-израильской миссией, в которой участвовали Агентство Нацбезопасности США, ЦРУ, Моссад, Министерство обороны Израиля и израильское национальное подразделение SIGINT (эквивалент израильского АНБ). Согласно источникам, США и Израилю оказывали помощь три других государства, отсюда и название секретной операции, которое является отсылкой к символу самого известного в мире международного спортивного события – пяти олимпийским кольцам. Этими странами были Нидерланды и Германия, а третьей, предположительно, могла быть Франция, хотя британская разведка также сыграла свою роль в этой миссии.

Германия внесла свой вклад в виде сведений о технических характеристиках промышленных систем управления немецкой фирмы Siemens, которые использовались на иранском заводе для контроля вращения центрифуг. Франция, согласно предположениям источников, предоставила данные подобного рода.

Задача нидерландских агентов заключалась в сборе важных разведданных о деятельности Ирана по закупке оборудования из Европы, которое затем использовалось для реализации незаконной ядерной программы. Кроме того Нидерланды располагали всей необходимой информацией о самих центрифугах. Это связано с тем, что конструкция оборудования, установленного на заводе в Нетензе, была основана на чертежах, похищенных у нидерландской компании в 1970-х годах пакистанским ученым Абдулом Кадыром Ханом. Он украл эти проекты для создания ядерной программы Пакистана, а затем продал их ряду других стран, включая Иран и Ливию.
Агенты AIVD, наряду со своими коллегами из американской и британской разведки, проникли в подпольную сеть поставок Хана, которая состояла из европейских консультантов и подставных компаний, способствующих созданию ядерных программ в Иране и Ливии. В ходе операции по внедрению разведчиков использовались не только проверенные методы конспирации, но и наступательные хакерские атаки, которые являются частью быстро формирующейся области компьютерного шпионажа.

Разоблачение ядерных планов иранского правительства.

Ядерная программа, которой долгое время уделялось лишь второстепенное внимание, начала активно развиваться в 1996 году, когда Иран тайно приобрел набор чертежей и компонентов центрифуг у Хана. В 2000 году стартовало строительство завода в Нетензе, где по плану должно было быть установлено 50 тыс. центрифуг для обогащения уранового газа. В том же году специалисты AIVD взломали систему электронной почты ключевой иранской оборонной организации в попытке получить дополнительную информацию о ядерных планах иранского правительства.

Израильские и западные спецслужбы тайно следили за ходом работ в Нетензе на протяжение следующих двух лет, до августа 2002 года, когда иранская диссидентская группа публично разоблачила программу Ирана на пресс-конференции в Вашингтоне, используя информацию, предоставленную спецслужбами.
Инспекторы Международного агентс

тва по атомной энергии, независимой межправительственной организации в системе ООН, которая контролирует ядерные программы по всему миру, потребовали предоставить им доступ к объекту в Нетензе. Эксперты были встревожены, обнаружив, что деятельность Ирана в этом направлении продвинулась гораздо дальше, чем считалось до этого.

Руководство ближневосточного государства было вынуждено согласиться приостановить работу этого завода, в то время как специалисты МАГАТЭ пытались получить дополнительную информацию о ядерной программе. Запрет продолжал действовать в течение всего 2004 года и большей части 2005 года. Восстановление функционирования предприятия в Нетензе было лишь вопросом времени, поэтому ЦРУ и Моссад хотели проникнуть на этот объект, до того как это случится.

Помощь Нидерландов
Израильская и американская разведки решили попросить Нидерланды о помощи в этом вопросе в конце 2004 года. Тогда же связной Моссад, работающий в израильском посольстве в Гааге, и сотрудник ЦРУ при посольстве США, встретились с представителем AIVD. О внедрении цифрового оружия в системы управления завода в Нетензе тогда еще не было и речи, целью встречи было исключительно налаживание процесса обмена разведданными.

Но время было выбрано не случайно. В 2003 году британская и американская спецслужбы совершили грандиозный прорыв, перехватив корабль, на борту которого находились тысячи компонентов центрифуг, направлявшихся в Ливию – точно такое же оборудование использовалось в Нетензе. Этот груз стал явным доказательством того, что Ливия ведет деятельность по разворачиванию незаконной ядерной программы. Руководство страны удалось убедить отказаться от этого проекта в обмен на снятие санкций, кроме того ливийские власти были обязаны передать союзникам все закупленные ранее составные части центрифуг.

В марте 2004 года, несмотря на протесты нидерландской стороны, США конфисковали груз с корабля и те компоненты, которые уже находились в Ливии, и переправили их в Национальную лабораторию Ок-Ридж в штате Теннесси, а также на объект в Израиле. В течение следующих месяцев ученые собрали центрифуги и продолжили их изучение с тем, чтобы определить, сколько времени может потребоваться Ирану для обогащения достаточного количества газа, чтобы создать ядерную бомбу. Тогда-то и возник заговор с целью повредить оборудование.

Нидерландская разведка уже имела своего человека в Иране, и после того, как поступила просьба от ЦРУ и Моссад, было предложено провести операцию по двум параллельным направлениям через местные подставные компании в надежде, что одной из команд все же удастся проникнуть в Нетенз.

Шпион в действии
Создание фиктивной компании с сотрудниками, клиентами и учетными записями, которые бы демонстрировали продолжительную историю деловой активности, требует времени, а его как раз и не хватало. В конце 2005 года Иран объявил о выходе из соглашения о приостановке ядерной программы, а уже в феврале 2006 года на экспериментальной установке в Нетензе была обогащена первая партия гексафторида урана. Иранцы столкнулись с некоторыми проблемами, которые несколько замедлили дальнейшую деятельность в этом направлении, и только в феврале 2007 года они официально запустили программу обогащения, установив первые центрифуги в главных залах завода.

К тому времени разработка вредоносного кода уже шла полным ходом. В 2006 году с помощью изъятых у Ливии центрифуг были проведены испытания этой компьютерной программы. Результаты тестирования были направлены президенту Джорджу Бушу, который на основе предоставленных доказательств потенциального успеха данной секретной операции, дал разрешение на ее проведение.

По состоянию на май 2007 года Иран установил на заводе в Нетензе 1700 центрифуг, и к лету планировалось удвоить это число. Однако незадолго до этого нидерландский "крот" уже успел проникнуть на объект.

Первая из подставных компаний не смогла получить доступ к Нетензе. Как сообщают источники, проблема была связана с процессом учреждения этой фирмы, а "иранцы начали что-то подозревать".

Вторая компания получила помощь от Израиля. На этот раз нидерландский "крот", инженер по специальности, сумел проникнуть на завод, выдавая себя за механика. Спектр его рабочих задач не предусматривал установку центрифуг, но в качестве работника предприятия он смог проникнуть в соответствующие зоны и собрать необходимые сведения о конфигурации систем. Он, по-видимому, бывал в Нетензе несколько раз в течение определенного периода.
"Он должен был проникнуть туда несколько раз, чтобы собрать необходимую информацию, которая могла быть использована для того, чтобы оптимизировать вирус", – отметил один из источников.

На данный момент неизвестно никаких подробностей о собранных шпионом сведениях, но поскольку атаку Stuxnet нужно было спланировать предельно точно, для осуществления диверсии необходимо было учесть специфическую конфигурацию оборудования и условия сети. Используя данные, предоставленные "кротом", хакеры смогли усовершенствовать код, чтобы обеспечить точность поражения.

Подготовка к запуску атаки

По данным американской фирмы Symantec, которая занималась обратной разработкой Stuxnet после его обнаружения, американские программисты вносили изменения код в мае 2006 года, а затем в феврале 2007 года, как раз когда Иран начал установку центрифуг на заводе в Нетензе. Окончательные правки были сделаны 24 сентября 2007 – тогда были модифицированы ключевые функции, необходимые для того, чтобы запустить атаку, после чего все элементы вредоносной программы были собраны воедино. Компиляция кода является заключительным этапом перед его внедрением.

Программа позволяла закрывать выходные клапаны на центрифугах, выбранных в случайном порядке. Таким образом, газ попадал внутрь, но не выходил наружу, вследствие чего давления внутри резервуара повышалось, что со временем вызывало повреждения оборудования и потерю ресурсов.

Эту версию Stuxnet можно было внедрить только одним способом – с помощью USB-флешки. Системы управления Siemens в Нетензе были физически изолированы, то есть они не были подключены к интернету, поэтому взломщикам нужно было найти способ обойти "воздушный зазор", чтобы заразить информационную сеть завода. Программирование всех систем предприятия осуществлялось через ПО, загруженное на USB-накопители, поэтому "крот" либо самостоятельно запустил вирус, вставив флешку с кодом в главный сервер, либо же заразил систему одного из инженеров предприятия, который, ни о чем не подозревая, доставил Stuxnet непосредственно к цели.

Новая тактика внедрения вируса

После выполнения своей задачи, шпион больше не возвращался на завод, а дальнейшая диверсионная деятельность осуществлялась с помощью вредоносной программы, которая проработала весь 2008 год. В 2009 году агенты решили изменить тактику, и запустили новую версию кода в июне того же года, которая затем обновлялась в марте и апреле 2010 года. Вместо закрытия клапанов на центрифугах, новая программа изменяла скорость их вращения, то ускоряя ее до максимально допустимого уровня, то сильно замедляя заданный темп. Цель состояла в том, чтобы повредить аппараты, и подорвать эффективность процесса обогащения. Примечательно, что хакеры скомпилировали этот вариант кода еще в сентябре 2007 года, тогда же, когда и первую версию. Предположительно, этому также способствовали разведданные, предоставленные нидерландским шпионом.

Однако к тому времени, когда была запущена более поздняя версия кода, участники операции уже не имели внутреннего доступа к объекту в Нетензе, или, возможно, они просто больше не нуждались в нем. Они внедрили обновленный вирус в систему завода, заражая внешние цели, через которые Stuxnet и попал на предприятие. Мишенями стали пять иранских компаний, которые выступали в качестве подрядчиков по установке промышленных систем управления в Нетензе и на других объектах в Иране. Именно их сотрудники стали невольными курьерами цифрового оружия.
"Удивительно, но мы все еще получаем сведения о процессе разработки Stuxnet", – рассказал Лиам О'Мурчу, директор по вопросам развития отдела технологий обеспечения безопасности и реагирования в Symantec. О'Мурчу был одним из трех исследователей, которые занимались обратной разработкой кода после его выявления.

"Интересно, что по отношению к первой версии Stuxnet применялась такая же стратегия, хотя тогда все приходилось делать вручную. Во время проведения начального этапа операции, нужно было задействовать агента, который бы находился непосредственно на месте, при этом жизни этого человека грозила реальная опасность".

По мнению эксперта, изменение тактики в отношении более поздней версии Stuxnet может быть признаком того, что способности диверсантов значительно улучшились, так что им больше не нужен внутренний "крот".

"Возможно, в 2004 году у них не было возможности сделать все в автоматизированном режиме, без внедрения своего агента на этот объект", – добавил он. "Однако пять лет спустя они смогли осуществить атаку, без участия инсайдера и необходимости подвергать кого-то риску".
Но эта тактика имела другой недостаток. Разработчики запустили несколько механизмов распространения этой версии кода, чтобы увеличить вероятность того, что он достигнет конечной цели в Нетензе. Это привело к тому, что процесс передачи Stuxnet вышел из-под контроля, и вирус поразил сначала системы других клиентов пяти компаний-подрядчиков, а затем атаковал тысячи других машин по всему миру, что и привело к обнаружению и публичной огласке в июне 2010 года.

Последствия атаки

Через несколько месяцев после выявления программы на сайте израильского интернет-издания DEBKAfile появилась информация о том, что Иран арестовал и, возможно, казнил нескольких рабочих предприятия в Нетензе, на основе обвинения в том, что они помогали внедрить вредоносное ПО в информационную систему завода. По данным источников, в ходе реализации операции, действительно были человеческие жертвы, но не ясно был ли среди них нидерландский шпион.

Хотя Stuxnet не сильно затормозил развитие иранской ядерной программы, в первую очередь из-за его преждевременного обнаружения, все же эта операция помогла выиграть время для применения дипломатических мер и введения санкций, которые позволили привлечь власти Ирана к переговорному процессу. Кроме того, вирус изменил характер военных действий и запустил гонку цифровых вооружений. Это привело к тому, что другие страны осознали ценность использования наступательных кибератак для достижения политических целей – это одно из последствий операции, с которым США приходиться иметь дело до сих пор.

Читайте самые интересные истории ЭлектроВестей в Telegram и Viber