Stuxnet и Иран: загадка модуля A26

30 декабря 2010

 

Одна из главных загадок уходящего года - была ли в действительности компьютерная атака на иранский завод FEP по обогащению урана в Натанзе? Новости о компьютерном вирусе "Stuxnet" многие месяцы не сходили с газетных полос. Его таинственные разработчики якобы планировали нанести удар по ядерной программе Ирана и лишить исламскую республику центрифуг.

Эксперты американского аналитического центра ISIS собрали в своём докладе, вышедшем 22 декабря, всю известную на данный момент информацию, которая касается предполагаемой атаки на Натанз.

Путь к Натанзу

На стыке 2009-2010 годов, иранские специалисты демонтировали и заменили порядка 1000 центрифуг IR-1 на заводе FEP. Иранские центрифуги часто выходят из строя, но замена столь большой партии заставляет задуматься - не стала ли она следствием саботажа при помощи компьютерного вируса "Stuxnet"?

Действительно, в Иране вирус "Stuxnet" получил большее распространение по сравнению с другими государствами, и это может служить доказательством, что авторы вируса метили в Иран.

"Stuxnet" атакует на уровне логических контроллеров, заражая аппаратную основу системы. В списке его целей - частотные преобразователи частотно-регулируемых приводов (VFD). Среди обнаруженных в теле вируса частот есть те, которые характерны для электроники иранских центрифуг IR-1. Хотя само по себе, это обстоятельство ещё ничего не значит.

Чего добивались авторы вредоносной программы, если они на самом деле планировали атаку на Натанз? Если они ставили перед собой задачу физического разрушения центрифуг, то их план провалился - "Stuxnet" не может этого обеспечить. Но если же они намеревались повредить те или иные узлы центрифуг, то, возможно, они преуспели. А может быть, и не преуспели.

Иран не признаёт, что FEP оказался под ударом "Stuxnet". Но при этом, на самом высшем уровне Иран подтверждает, что кибератаки на его ядерные объекты ведутся. В конце ноября президент ИРИ Махмуд Ахмадинежад заявил, что у "ограниченного числа центрифуг" возникли проблемы с программным обеспечением у электроники.

Глава организации по атомной энергии (AEOI) Ирана доктор Али Акбар Салехи обозначил дату, когда вирус "Stuxnet" появился на иранских ядерных объектах - середина 2009 года. Если это так, и если "Stuxnet" действительно дошёл до Натанза, то можно определить время, которое потребовалось вредоносному ПО на прохождение пути от первых зараженных персональных компьютеров до заводских цехов FEP. Оно составляет несколько месяцев.

Естественно, системы контроля и управления FEP не соединены с Интернетом. Добраться до них вирус мог единственным способом - сначала заразить персональные компьютеры людей, работающих или так или иначе связанных с заводом, а потом уже на флешках иранских атомщиков попадать на компьютеры систем управления.

Модуль A26

Данные МАГАТЭ, публикуемые раз в квартал, подтверждают, что в начале 2010 года на заводе FEP происходило нечто странное. В технологическом модуле A26 было отключено 11 из 18 каскадов центрифуг, иными словами, 1804 машины. На других модулях ситуация выглядела лучше, хотя и там фиксировались отключения одного-двух каскадов.

Монтаж модуля A26 производился в 2008 году, и это второй модуль, собранный в FEP. По состоянию на июнь 2009 года, 12 из 18 каскадов модуля обогащали уран, а остальные шесть работали под вакуумом. В августе 2009 года обогащением занималось 10 каскадов, а в ноябре - уже только шесть.

Падение числа каскадов, обогащающих уран, подтверждает, что модуль A26 столкнулся с проблемами. А в период между ноябрём 2009 года и концом января 2010 года (точнее сказать нельзя) случилось нечто, потребовавшее выключения сразу 11 каскадов.

Ещё раз стоит повторить - сам по себе факт отказа центрифуг IR-1 не является из ряда вон выходящим. Центрифуги IR-1 ломаются и делают это часто. По неофициальным оценкам специалистов МАГАТЭ, в год на Натанзе выходит из строя до 10% от общего количества установленных центрифуг, то есть, по 800-900 машин ежегодно.

Не исключено, что центрифуги модуля A26 отказали по "естественным" причинам, хотя количество пострадавших машин достаточно велико и превышает годовую норму отказов.

Есть другое объяснение, исключающее всякий внешний саботаж. Качество изготовления тех центрифуг, что смонтированы в модуле A26, может быть низким, и это, в конце концов, могло дать о себе знать.

Известно, что центрифуги первого иранского модуля (A24) вполне хороши, но на втором модуле качество работ при фабрикации узлов центрифуг могло оказаться ниже, чем для первого. Такое объяснение не противоречит реалиям. Непонятно, правда, почему заводской брак сказался спустя год с лишним после пуска модуля.

Есть и третья версия, несколько противоречащая иранским декларациям в МАГАТЭ. Первый модуль A24 мог быть изготовлен из импортных составляющих, а второй (A26) - из иранских. В этом случае, массовый выход центрифуг A26 из строя не должен вызывать изумления.

Что, если третья версия верна? По иранским декларациям, переданным в МАГАТЭ, Иран закупил у тайной сети доктора Хана компоненты всего для 500 центрифуг P-1, переименованных позднее в IR-1. Это не хватит для экипировки модуля, в состав которого входит 2952 центрифуги. Правота третьей версии означала бы, что на самом деле Иран купил у Хана ещё, как минимум, 2500 комплектов. Даже если это так, подтверждать это Иран никогда не будет, так как запоздалое признание неминуемо вызовет очередной дипломатический скандал вокруг ядерной программы ИРИ.

(Не)знание матчасти

Эксперты фирмы "Symantec" определили, что "Stuxnet" умеет атаковать, среди прочего, частотные преобразователи, которые выпускаются иранской компанией "Fararo Paya" и финской компанией "Vacon". Соответствующие последовательности команд в теле вируса эксперты обозначили как "A" и "B".

Частотные преобразователи на центрифугах нужны для системы управления моторами, которая позволяет с большой точностью задавать скорости вращения роторов центрифуг. Преобразователи, в которые целил "Stuxnet", имеют ограниченную сферу применения и, в том числе, предназначены для установки на центрифугах. Многие СМИ после сообщения "Symantec" поверили в то, что вирус был разработан для борьбы с ядерной программой Ирана.

Но есть факт, с которым трудно поспорить. МАГАТЭ и другие заинтересованные ведомства не располагают ни одним подтверждением тому, что на центрифугах в Натанзе установлены преобразователи от "Fararo Paya" или "Vacon".

Возможно, гипотетических планировщиков атаки на FEP подвело незнание матчасти? Реальность ещё интереснее. МАГАТЭ не знает ничего о том, какие преобразователи используются в Натанзе. Иран никогда не указывал тип преобразователей в своих декларациях и не позволял инспекторам получить эти данные.

Можно предположить, что создатели "Stuxnet" имеют в распоряжении уникальные и более никому неизвестные разведданные о Натанзе, а возможно, и своего глубоко законспирированного человека в ядерной отрасли Ирана. Но можно предположить также, что они слишком доверились газетам и аналитикам веб-сайтов, что в итоге и погубило кибер-атаку.

В утечках информации из МАГАТЭ и правительственных органов США, происходивших до появления "Stuxnet", утверждалось - центрифуги IR-1 работают на частоте 1064 или 1065 Гц, что соответствует скорости вращения 334 м/с. В коде "Stuxnet" одна из целевых частот равна 1064 Гц. На самом деле, иранские центрифуги никогда на названной частоте не эксплуатировались.

Вторая частота из кода "Stuxnet", связанная с центрифугами IR-1 - частота 1410 Гц, соответствующая скорости вращения 443 м/с, или почти предельной скорости, которую способны выдержать алюминиевые роторы IR-1.

Выход на частоту 1410 Гц предусматривался как одна из атак в последовательности команд "A" на финский преобразователь. Атака заключается во внезапном увеличении рабочей частоты до 1410 Гц и возврате в нормальное состояние спустя 15 минут. Но и здесь остаётся загадкой, чего добивались разработчики - за заложенное время ротор не успевает выйти за предельную скорость вращения, и последствий для центрифуг не будет.

Помимо всего прочего, системы контроля и управления на заводе FEP могут предпринять собственные действия по защите центрифуг в случае начала атаки вируса. О контрдействиях систем остаётся только гадать, так как детальной информации о них не имеется.

Например, при разбалансировке ротора система безопасности принимает меры по мгновенной выгрузке гексафторида урана из центрифуги. Эксперты "Symantec", изучавшие код вируса, не смогли найти признаков блокировки данного действия. Вновь и вновь приходится констатировать - или "Stuxnet" не предназначался для атаки Натанза, или создатели вируса не представляют себе деталей процесса центрифужного обогащения урана.

Наконец, при чём тут "Siemens", о котором много говорилось в первых сообщениях о вирусе "Stuxnet"? Иран действительно купил партию контроллеров у немецкой фирмы в 2002-2003 годах. Есть предположения, что Иран использовал её в ядерной программе - по крайней мере, "Siemens" прекратил продажи контроллеров иранским покупателям.

Купленной партии недостаточно для того, чтобы экипировать все модули завода FEP. Контроллеры можно было докупить через третьи руки, но устанавливать полученные контрабандой изделия на заводе, регулярно инспектируемом специалистами МАГАТЭ, чрезвычайно рискованно.

И последний вопрос - если атака имела место, то почему она не сказалась на модуле A24? Предположений здесь может быть много; например, что на A24 установлены преобразователи других типов, чем на A26. Известно, что Иран приобретал преобразователи в Турции, и есть информация, что некоторые из них были намеренно испорчены. Резонно предположить, кстати, что проблемы модуля A26 были вызваны отнюдь не вирусом, а дефектным турецким оборудованием.

По делу о "Stuxnet" и Натанзу сохраняется больше вопросов, чем ответов. Вирус мог атаковать иранский завод, но в этом случае его создателей ждал epic fail. Гипотетическая атака не нанесла серьёзного урона иранским атомщикам. Более того, в 2010 году Иран вышел на рекордные для себя показатели по производству обогащённого урана.