A fost război și noi nici măcar n-am aflat. Iranul a fost atacat de USA și Israel cu scopul de a-i încetini și bloca programul de îmbogățire a uraniului. Nu s-a tras un cartuș. Au existat însă două victime. Doi savanți iranieni care lucrau în programul de îmbogățire a uraniului sunt asasinați în noiembrie 2010 la Teheran. Iranul acuza SUA și Israelul. Apoi s-a lăsat tăcerea.
Faceți cunoștință cu Stuxnet
Virusul Stuxnet a apărut prima dată în Belarus unde a fost descoperit de angajații unei firme specializată în protecția bazelor de date. Clienții iranieni ai acestei firme au intrat in panică când li s-au închis computerele din senin.
Virusul a fost detectat pentru prima oara pe 17 iunie 2010.După o lună de analiza amănunțită a fiecărei linii de cod s-a descoperit că Stuxnet era un virus perfect, care nu conținea nicio eroare. Fiecare secvență a codului avea ceva de făcut în pregătirea atacului. Suxnet folosea un exploit Zero Day, o bucată de cod care se poate răspândi într-o rețea de computere fără să facă nimic și ca atare este imposibil de detectat. Experții de la Symantec găsesc într-un an 10-12 exploit zero day. În Sutxnet au găsit 4. Experții spun că valoarea acestor exploituri sare de 500.000 de dolari, sumă de care un hacker obișnuit nu și-ar putea-o permite.
S-a descoperit un certificat digital care-i permitea virusului să intre în Windows. Iar acest certificat a fost furat de la două companii din Taiwan care nu aveau nimic în comun în afara locației situate în același parc industrial. Certificatele digitale sunt foarte bine păzite. Este necesar să posezi date biometrice și coduri de acces pentru a putea fura un astfel de certificat. Ele nu sunt situate pe calculatoare cu acces la internet.
În cele din urmă în codul Stuxnet s-a găsit sintagma Siemens. Ceea ce era foarte ciudat. Nici un malware studiat de experți nu avea ca țintă un hardware al unei firme ca Siemens. După căutări și-au dat seama că era țintit un controller logic programabil produs de Siemens. Era un echipament fizic atașat la pompe, valve sau motoare care rulează un program digital prin care poate porni sau opri motorul sau pompa sau îi poate controla turația.
Interesant este că Stuxnet a infectat laboratorul în care era analizat. După câteva verificări ale echipamentelor eșuate s-a oprit. Era evident că el căuta o țintă precisă care nu se găsea în laboratorul respectiv. Și-au dat seama că infecții cu Stuxnet erau în toate calculatoarele din lume care rulau Windows. Apoi au determinat că prima țară afectată a fost Iranul. Au urmărit știrile din lume și au constatat că în Iran au explodat în mod inexplicabil conductele de petrol care intrau și ieșeau din țară. Niște experți din Olanda le-au explicat că fiecare controler avea un număr de identificare unic. Iar Stuxnet avea aceste numere înglobate în codul său. Așa s-a ajuns la identificarea mașinilor, care erau controlere de frecvență, și la utilizarea lor care era localizată în facilitățile nucleare iraniene de la Natanz.
Istoria programului nuclear iranian
Primul reactor nuclear al Iranului a fost furnizat de USA în perioada în care Șahul Mohammad Reza Pahlavi era la putere. Administrația Nixon a sprijinit primul program nuclear al Iranului care avea ca obiectiv construirea unor centrale nucleare pentru producerea energiei electrice. Ideea americanilor era ca Pakistanul și Iranul să construiască împreună o centrală nucleară. Ambițiile Șahului erau mult mai mari de atât. El voia ca Iranul să dețină arme nucleare și să își asume rolul de polițist al Golfului. În 1979 revoluția îl răstoarnă pe Șah de la putere. În perioada anilor 1980-1990 SUA au făcut lobby pentru ca Iranul să nu mai primească tehnologie nucleară, noul regim instaurat nefiind democratic sau de încredere. La mijlocul anilor ‘80 un transport clandestin de tehnologie nucleară a avut loc dinspre Pakistan spre Iran. Expertul pakistanez în fizică nucleară Abdul Qadeer Khan este considerat părintele programului nuclear iranian. La jumătatea anilor 90 Iranul a luat decizia să construiască arme nucleare.
În perioada 2003-2005 când s-au temut că USA ar putea să-i invadeze, iranienii au acceptat controlul programelor lor nucleare. În 2006 au constatat că SUA sunt ocupate în Afghanistan și au început să îmbogățească uraniul și să producă centrifuge la facilitatea din Natanz. Agenția Internațională pentru Energie Atomică a monitorizat îndeaproape dezvoltarea programului nuclear iranian. Cu toate acestea experții din cadrul agenției nu și-au putut explica prezența izotopului de Uraniu 236 care este utilizat de țări care au dezvoltat deja arme nucleare.
Reacția USA-Israel
Președintele Bush a recunoscut că nu poate acuza public Iranul că produce arme nucleare după ce a făcut același lucru în cazul Irakului fără să poată proba niciodată afirmația. În ciuda presiunilor, Bush nu a fost de acord ca Israelul să preia comanda ofensivei împotriva Iranului. Israelul a anunțat că indiferent de poziția americanilor va bombarda facilitățile nucleare ale Iranului. Experții americani în securitate au susținut că Israelul avea puține șanse să facă asta și că opinia publică internațională ar fi putut interpreta agresiunea ca pe o încercare a Israelului de a pune USA în război cu Iranul. Atât Israelul cât și USA au fost de acord că Iranul nu trebuie să ajungă să dețină arme nucleare. Divergențele au fost asupra mijloacelor care trebuiau utilizate pentru atingerea acestui obiectiv. Așa s-a născut ideea Stuxnet, care a rezultat din cooperarea serviciilor secrete din cele două țări și nu numai.
Înapoi în codul Stuxnet
Analizând o fotografie publicată de iranieni în 2008 experții au ajuns la concluzia că obiectivul virusului este să atace o matrice hardware formată din 6 grupuri, fiecare grup având 164 de elemente. Adică exact configurația centrifugelor iraniene. Pe baza unui test simplu experții au înțeles în sfârșit ce misiune avea Stuxnet. Au utilizat un controler similar cu modelul înscris în codul virusului și l-au atașat unei pompe de aer. Apoi au scris un program care comanda pompa să umfle un balon și să se oprească după 5 secunde. Computerul a fost infestat cu Stuxnet iar pompa nu s-a mai oprit conform programului inițial. Așa au înțeles că Stuxnet era o armă cibernetică pe care creatorii săi urmau să o utilizeze la atacul asupra facilității nucleare iraniene de la Natanz. N-au avut însă nici o informație în codul virusului care să-i ducă la creatorii săi, deși se putea ușor bănui cine ar fi ei.
Mărturii ale unor surse acoperite
O sursă din cadrul NSA au fost de acord să dezvăluie sub protecția anonimatului povestea din spatele virusului Stuxnet. A fost creat de NSA în cadrul unei operațiuni sub acoperire. A fost o operațiune uriașă a serviciilor secrete din mai multe state. În USA au fost implicate CIA, NSA și comandamentul militar al US Cyber Command. Din UK au utilizat informații de la GCHQ (UK Government Communications Headquarters). Partenerul principal a fost Israelul prin unitatea 8200 (Unitatea 8200 a IDF -Israel Defense Forces– este o unitate de intelligence de elită responsabilă cu colectarea de signal intelligence (SIGINT), precum și cu criptarea și decriptarea informațiilor)
Stuxnet a luat naștere în Departamentul de Stat al Apărării, cam pe la sfârșitul mandatului lui George Bush. Secretarul de Stat al Apărării, Robert Gates l-a convins pe președinte să aloce un buget masiv armelor ofensive cibernetice. Așa a apărut US Cyber Command, structură decomandă militară care se află sub comanda directorului NSA. Cele două structuri cu o singură comandă împart același sediu și colaborează cu CIA. Cyber Command coordonează acțiunile militare în Internet și a fost creat după ce, în 2008, NSA a localizat intruși în rețele sale. Mai exact spus, în vreme ce NSA se ocupă de apărare spațiului virtual american, Cyber Command are misiunea de a declanșa atacuri cibernetice. Pe baza unor implanturi în rețele de comunicații ale diferitelor state US Cyber Command poate monitoriza tot ce se întâmplă în acele rețele. Sursa anonimă din interiorul NSA relatează: ”Suntem capabili să facem supraveghere completă asupra comunicațiilor unui stat. Interceptăm convorbiri, SMS, controlăm sistemele de supraveghere video. Prima dată am experimentat asta în Iraq. Putem să le trimitem mesaje text băieților răi, să stabilim o întâlnire și să-i ridicăm. Sau să-i omorâm.”
Jocurile Olimpice de la Natanz
Operațiunea care a vizat centrifugele de îmbogățire a uraniului de la Natanz a purtat numele de cod Olympic Games sau OG. Centrifugele utilizate inițial de iranieni, modelul P1, au fost testate de americani la Sandia în New Mexico și de israelieni la Dimona. Apoi s-au obținut noile modele de centrifuge utilizate de iranieni, IR2. În cadrul testelor Stuxnet a manipulat controlerul ceea ce avut ca efect creșterea necontrolată a vitezei de rotație și aruncarea în aer a centrifugelor. Cioburile au ajuns pe masa lui Bush care a autorizat eliberarea virusului în calculatoarele iranienilor. A fost, practic, o declarație de război. Conducerea operațiunii a aparținut CIA care a dat ordinul de atac. Stuxnet conținea în liniile de cod o dată limită la care virusul ar fi încetat să mai acționeze: 11 ianuarie 2009 ora 3:25 pm. Data limită a fost setată cu câteva zile înainte de depunerea jurământului de către Obama. Asta pentru că o nouă reutilizare a Stuxnet necesita aprobarea noului președinte, fapt care s-a întâmplat imediat după investirea sa. Administrația Obama a și elaborat un Cyber Security Plan care vorbea despre apărarea rețelelor americane în fața atacurilor din exterior care anunța investiții masive în infrastructura digitală. Circa 53 de miliarde de dolari s-au cheltuit în timpul administrației Obama pentru construirea unor arme cibernetice ofensive. Stuxnet a fost doar începutul unui amplu program de dezvoltare a unei noi clase de arme.
Spre deosebire de ceilalți viruși informatici, Stuxnet nu avea cale de comunicare cu operatorul care trebuia să-l controleze. Asta pentru că fusese proiectat să acționeze într-o rețea izolată, neconectată la Internet, cum era cea de la Natanz. Ideea că un computer care nu este conectat la Internet nu poate fi atacat este greșită, susțin specialiștii. Sursa NSA povestește cum a decurs infiltrarea Stuxnet în computerele de la Natanz: „Am folosit la prima introducere a virusului oameni. Probabil de la CIA sau și mai sigur de la Mossad. Au fost zvonuri că la Moscova un laptop iranian a fost infectat de un fals tehnician de la Siemens cu un stick. Nu am informații pentru că echipa de la NSA a fost ținută departe de aceste detalii ale operațiunii. Codul scris de noi trebuia să fie capabil de a se auto-replica, de a identifica corect controlerul care trebuia atacat, să stabilească dacă se afla în rețeaua de la Natanz și dacă a identificat ținta. Iar atunci când o găsea trebuia să ruleze secvența de atac. Asta înseamnă că odată introdus viermele în rețea atacul nu mai putea fi oprit Stuxnet a trebuit să aștepte 13 zile cât era necesar ca centrifugele să fie alimentate cu uraniu gazos și apoi să lase procesul să înceapă. Sutxent a monitorizat tot procesul și l-a memorat, Apoi a declanșat atacul.
Centrifugele se rotesc la frecvențe de 1000 de Hz și viteze de 63.000 de rotații pe minut. Suxnet a mărit frecvența la 1400 de Hz și viteza de rotație la 80.000 de rotații pe minut. Și a făcut asta fără ca operatorii și computerele care controlau procesul să poată sesiza schimbarea. Pe monitoarele de control totul părea normal. Centrifugele au atins frecvența de rezonanță iar metalul s-a spart datorită vibrației necontrolate. În a doua fază a atacului frecvența a fost coborâtă la 2 Hz. Centrifugele aproape s-au oprit iar datorită efectului de titirez s-au spart pur și simplu. Sutxent trimitea către computere vechile date despre proces pe care le memorase așa că pe computerele care monitorizau procesul totul părea normal. Inspectorii Agenției Internaționale pentru Energie Atomică au constat că toate centrifugele de la Natanz fuseseră eliminate fără ca cineva să poată înțelege care a fost cauza dezastrului.
2010 – Stuxnet reload
Sub presiunea israelienilor, care doreau un virus mai agresiv care să aibă capacitate mai mare de distrugere, specialiștii de la NSA au construit o nouă versiune a Stuxnet. Varianta 1.1 era proiectată să fie mult mai agresivă și, în consecință cu riscuri mai mari de a fi depistat. Era mult mai „zgomotos” și avea capacitatea de a se răspândi singur pe orice fel de medii. Virusul era dotat cu un jurnal în care erau înregistrate toate mașinile pe care se răspândise. Specialiștii de la Symantec au adunat toate mostrele găsite si au putut reconstitui astfel traseul virusului și punctul de plecare prin refacerea traseului în sens invers. Așa au ajuns la concluzia că au fost infectate toate organizațiile din Iran și toate organizațiile care produceau controlere pentru procese industriale dar și contractori care au lucrat pentru facilitatea nucleară de la Natanz (firme de electricitate, canalizare, alimentare cu apă etc). Cele 5 companii de mentenanță care lucrau la Natanz au introdus virusul în rețeaua internă fără ca măcar să bănuiască. Numai că datorită capacităților sale Stuxnet s-a răspândit de la cele 5 companii în toată lumea. Lucru pe care cei care l-au creat nu l-au dorit.
Sursa de la NSA susține că israelienii au fost responsabili cu răspândirea codului. Numai că înainte să-l răspândească l-au modificat fără acordul NSA făcându-l mai agresiv și mai ușor de depistat. Întreaga operațiune a fost astfel compromisă. Virusul a început să închidă calculatoarele. Așa a fost depistat în Belarus și de aici a ajuns în mâna FSB, serviciile secrete ale Federației Ruse.
După 2 ani, în perioada 2012-2013 iranienii au relansat programul și au înlocuit centrifugele distruse. În 3 ani au ajuns să dețină 20.000 de centrifuge și au construit noi facilități nucleare camuflate în toată țara. Efectul final a fost că sub aceste atacuri programul nuclear iranian a avansat mult mai rapid decât și-ar fi închipuit chiar liderii țării.
Back în USA
Inevitabil Stuxnet a infectat și computerele din USA. Departamentul Securității Naționale a alocat sume imense pentru a proteja rețele americane de virusul creat de NSA. Sean McGurk, directorul Serviciului Cibernetic al Homeland Security, a apărut în fața unei comisii a Senatului explicând potențialul pericol pe care-l reprezintă Sutxnet fără să aibă habar că amenințarea fusese creată de NSA. Americanii se anchetau între ei. Guvernul USA n-a recunoscut nici până în ziua de astăzi că a comandat și condus un atac cibernetic undeva în lume. Potrivit scurgerilor lui Snowden, în 2012 președintele Obama a emis un ordin care impunea restricții în privința folosirii armelor cibernetice. În 2012 jurnalistul David Sanger a publicat un articol detaliat despre Olimpyc Games în care a dezvăluit operațiunea secretă a USA și Israel. Procurorul General a anunțat declanșarea unei anchete. La scurt timp generalul James Cartwright a fost cercetat pentru scurgerea unor informații secrete către un reporter de la NY Times. Anchete cu detectorul de minciuni au fost declanșate inclusiv la NSA unde au fost investigați și stagiarii care nu știau absolut nimic. Președintele Obama a declarat că asemenea scurgeri de informații clasificate nu vor fi tolerate. Totuși de teama că o anchetă ar expune și mai mult detaliile secrete ale operațiunii, administrația Obama nu a depus plângere oficială către Procurorul General.
Răspunsul iranian
2012. Saudi Aramco cea mai mare companie petrolieră din lume a fost atacată de hackeri iranieni. 30.000 de computere au rămas fără soft. A urmat apoi un atac masiv lansat din Orientul Mijlociu asupra băncilor americane. Milioane de clienți nu au mai putut face tranzacții online. Băncile vizate au fost Bank of America, PNC și Wells Fargo. Sursa de la NSA explică: „Când ne-au atacat băncile le puteam închide botnetul (Botnet se referă la o rețea de calculatoare, tablete şi smartphone, infectate cu software de tip bot, software ce permite unor persoane rău intenționate să preia controlul acestora fără cunoștința proprietarilor de drept şi să le utilizeze pentru a lansa atacuri cibernetice asupra unor terţi.) Departamentul de Stat a respins ideea pentru că serverele de la care se lansase atacul nu se aflau în Iran. Obama a lăsat sectorul privat să se ocupe de protecție iar guvernul s-a ocupat de găsirea unei soluții diplomatice”. Aceeași sursă dezvăluie că Stuxnet a fost o glumă. USA au lansat în Iran programul Nitro Zeus -NZ care a costat miliarde de dolari. A fost proiectat pentru situația în care Iranul ar ataca Israelul și USA ar fi atrasă în război. NZ are capacitatea de a compromite întregul sistem de comandă și control al Iranului. NZ s-a infiltrat în sistemul defensiv aerian, în sistemul de comunicații, rețele electrice și în infrastructura bancară. Și pândește.
Epilog
15 iulie 2015. Prin acordul de la Laussane semnat de Iran, USA, Anglia, Franța, Germania, China și Rusia. Iranul se angajează să reducă cu două treimi numărul centrifugelor și să nu mai îmbogățească uraniu pentru cel puțin 10 ani. La schimb UN ridică embargoul economic impus Iranului care poate astfel să-și reia exporturile de petrol. Coincidență sau nu, prețul petrolului s-a găsit să scadă exact acum la valori pe care nu le-a mai atins niciodată. Final fericit?A învins diplomația? Nu chiar. Stuxnet este în rețea, NZ este în rețea iar Israelul atacă protocolul de la Laussane cam așa: „La 70 de ani după genocidul a 6 milioane de evrei Iranul promite să-mi distrugă țara. Și răspunsul fiecărui guvern prezent aici a fost o tăcere asurzitoare. Poate că acum înțelegeți de ce Israelul nu este alături de voi la sărbătorirea acestei înțelegeri.” În timp ce tu te uiți pe Internet al treilea război mondial ar putea începe chiar în spatele ecranului la care te holbezi.
(Articol publicat în Academia Cațavencu nr. 1211 12 -25 septembrie 2016)