Как хакеры спасли мир от ядерной войны

[Cloned Boy]

Сегодня расскажу о компьютерных вирусах, которые могли предотвратить ядерную войну. Как обычный код оказался сильнее армий? Каким образом эти вирусы проникали в защищённые системы, кто их создал и зачем? Ты узнаешь, как цифровые атаки меняли ход мировой истории ещё до того, как прозвучали первые выстрелы.

Мы привыкли воспринимать войны как нечто очевидное, оружие, взрывы, самолеты, раненые и убитые, новости о санкциях и тарифах. Мы знаем как выглядит борьба за ресурсы, власть и контроль, но есть и другая война, невидимая, бесшумная, в ней не слышно выстрелов, а враг может находиться прямо в нашем компьютере. И эта война уже длится много лет, и это кибервойна. В этой теме я расскажу про шестилетнюю кибервойну, которая длилась с 2010 по 2016 год.

А главным оружием этой войны были 5 вирусов, разработанных в строгой секретности. Они действовали эффективнее оружия массового поражения, ломали системы, ядерные программы, сбивали с толку правительства и работали на спецслужбы. Разберемся, как пять вирусов изменили ход истории, не оставив ни одного выстрела, а также подписывайтесь на мою телегу, где больше уникального контента.

Погнали! А началось всё с вируса Stuxnet, первого в истории кода, который смог остановить начало ядерной войны. Он переписал правила игры и открыл новую эру, эру кибервойн. Но кто бы мог подумать, что всё это раскрыли не где-нибудь в Нью-Йорке, не в Лондоне и даже не в Гонконге. Самую дерзкую и масштабную кибератаку впервые заметили в Гомеле, в небольшом городе в Беларуси.

Совершенно случайно. И да, вы не ослышались, в 2010 году Сергей Уласин, инженер информационной безопасности, работал в компании «Вирус-блокада». Прошу заметить, что это не была какая-то гигантская корпорация с небоскребами и армией специалистов. Это обычная IT-фирма, занимавшаяся кибербезопасностью для корпоративных клиентов. В общем, простой рабочий день, скучная рутина, пока на почту Сергея не пришло странное сообщение от клиента из Ирана.

Обращаю внимание, что клиент не был представителем государства или какой-либо крупной компании. Это был обычный подрядчик, который занимался обслуживанием внутренних систем разных организаций. Он жаловался на непонятный сбой на своих рабочих ПК, и они реально были странные. Компьютеры внезапно перезагружались, программы зависали, что-то глючило без всякой на то причины. Но самое необычное было то, что происходило это с техникой, не подключённой к интернету.

На баг это тоже не было похоже. Странно вели себя сразу несколько компьютеров клиента. И уже тогда Сергей понял, что здесь что-то серьёзное. Тогда мужчина начал копать. Он подключился к системе, изучил логи и нашёл подозрительные процессы. А потом обратил внимание на странные драйверы. Файлы были подписаны цифровыми сертификатами от Realtek. Но что это означало? Что кто-то заразил компьютер вирусом, который на первый взгляд был похож на лицензионный драйвер и выглядел как обычное обновление.

Это все равно что вор, который прикидывается полицейским с настоящим удостоверением. Ну странно ж правда? Тогда Сергей начинает изучать всю базу и когда нашел, был поражен увиденным. И так, в компьютере был вирус, который мог сам себя обновлять, копироваться через флешки и самое главное мог атаковать. Раньше ничего подобного никто в принципе не видел.

Это был не вирус для кражи данных, не троян для вымогательства, а сложное оружие, которое искало цель. Мало того, этот вирус знал все уязвимости Windows и систем Siemens. Понимая, что сам не справится, Сергей связался с лабораторией Касперского. Они проверили данные и подтвердили, что вирус сложный и написан точно не на коленке. Тут явно поработали профессионалы. Причем код создавался не для массовой атаки, он был направлен на конкретную цель, но какую? Сейчас я вам расскажу.

Сергей и Касперский передали всю информацию о уязвимости в Майкрософт. Реакция была молниеносной. Майкрософт срочно выпустил обновление, но было уже поздно. Слухи про новый вирус стали гулять по миру и стали всем известны. А специалисты по кибербезопасности начали копаться в коде Stuxnet. Кстати, почему его так назвали? Это от случайных строк в файле кода этого вируса Stax и NET.

Так вот, чем больше специалисты изучали код вируса, тем сильнее был шок. Вирус оказался невероятно сложным и дорогим в разработке. Но как же он работал? StaxNet заражал компьютеры с Windows, он находил уязвимости системы и без труда проникал внутрь и искал, собственно говоря. А целью были специальные устройства, которые управляют оборудованием на заводах. Но не на обычных заводах, как вы могли подумать, а тех, которые занимаются добычей урана.

Анализ тысячи зараженных файлов показал, Stuxnet атаковал пять заводов в Иране. Именно там крутились центрифуги, обогащающие Иран для ядерной программы. И вирус точно знал, что делать. Замедлить, сломать, запутать систему, ломая ее изнутри. Но при этом операторы на экране видели, что все работает нормально, а в реальности оборудование разваливалось. Но как вирус туда попал в принципе? Ведь эти предприятия не были подключены к интернету вообще, они были полностью изолированы от внешнего мира.

Ответ здесь один, кто-то принёс его внутрь, возможно случайно, а возможно по заданию. На флешке или на диске достаточно вставить носитель в компьютер и сеть уже будет заражена. Позже стало известно, что Stuxnet повредил около тысячи центрифуг. Тысяча! И это откинуло ядерную программу Ирана на годы назад. Видимо, это и было главной целью вируса. А потом, по классике, началось. Журналисты начали копать, эксперты анализировать код, и вдруг пазл начал складываться.

Вирус был слишком умным, слишком избирательным, сложным и дорогим в разработке. Заговорили о секретной операции под кодовым названием «Олимпийские игры», якобы её провели вместе США и Израиль. Цель, Путь ожидаемо проста, не дать Ирану создать ядерное оружие, но конечно же официально никто ничего не подтвердил и понятно, что такие вещи все же пытаются скрывать.

Но тут возникает следующий вопрос, если за этим вирусом стояло государство, могли ли быть замешаны и крупные корпорации, такие как наша любимая Windows или Siemens, у которого Иран закупал часть оборудования. Теоретически, конечно же да, но на практике все чуть сложнее. Стакснет использовал слабые места Windows, о которых знали только очень ограниченный круг специалистов. Добыть такую информацию очень сложно, значит кто-то с доступом к Windows либо помог, либо закрыл глаза.

Второй момент это контроллеры Siemens, гробо говоря контроллер это мозги для заводов, они говорят машинам что и как делать, крутиться, останавливать процесс, что запускать и так далее. Вирус был запрограммирован искать именно эти так званые мозги. И подменял команды, а чтобы ударить так точно, нужно очень хорошо знать, как это работает.

Это можно узнать либо через утечку, либо через внутреннюю документацию. С другой стороны, ни Майкрософт, ни Сименс не хотели, чтобы их продукты использовали как орудие взлома, и это плохо для репутации. После скандала Майкрософт стала лучше следить за безопасностью, а Сименс начал работать с экспертами чтобы понять, как такое вообще случилось. Прямых доказательств их вины нет. А теперь просто представьте, Иран, страна работающая над ядерным арсеналом, чтобы противостоять США.

Заводы, лаборатории, охрана, вся эта секретность. Прямо звезда смерти ближнего востока. А основную роль на этих объектах исполняет один из самых основных продуктов США, Windows. Серьезная, обычная, наша любимая винда XP, та самая, на которой у кого-то в детстве зависал сапер. А если бы они поставили к примеру Linux, все, возможно, закончилось бы совсем по другому и ядерная война вполне могла стать реальностью.

Хотя, зная, как сложно в линексе настроить даже принтер, может центрифуги у них просто бы и не включились. Кстати, если вас интересует судьба Сергея, того самого белорусского программиста, спойлер, никакой награды он не получил, хотя он обнаружил один из самых опасных вирусов вообще в истории. В Беларуси это просто никто не заметил, а что такого-то, каждый день же находим такие вирусы. США вежливо промолчали, наверное, про себя подумали.

«Серега, ну ты, конечно, красава, но какого хрена ты вообще туда полез? Мы туда вообще-то кучу бабок вложили!» Но профессиональное сообщество его, конечно же, оценило, и позже Сергей ушел работать в лабораторию Касперского. Но на Stuxnet кибервойна не закончилась, просто про нее начала появляться хоть какая-то информация. Благодаря тому, что код был найден, его начали исследовать, и в одном из зараженных компьютеров было найдено кое-что необычное.

Новый вирус, про который ранее никто не знал. Его обнаружили 1 сентября 2011 года. Это сделали специалисты из лаборатории Crisis Lab в Будапеште. Они как раз изучали Stuxnet и тут такая находка. Один из исследователей загрузил странный файл на сайт VirusTotal. Почти все антивирусы не поняли, что перед ними и только два насторожились. Прошло несколько недель исследования этого кода. И тогда стало ясно, это не просто вирус, это целый кибер-шпион.

Он следил и слушал. В отличии от Stuxnet, он ничего не ломал, просто был наблюдателем. Искал, как устроены системы управления, особенно те, что отвечают за критическую инфраструктуру. Электричество, вода, заводы, всё, что держит мир на плаву. А проникал он в компьютеры довольно просто, через обычный Word документ. Жертве отправляли файл, вроде отчёта или коммерческого предложение. Она его открывала и всё. Внутри этого документа прятался необычный шрифт.

Dexter Regular. Звучит безобидно, но это отсылка. И да, у хакеров хорошее чувство юмора. Так вот, помните сериал Dexter, про парня, который днём работает экспертом-криминалистом, а ночью убивает всех плохих людей. И конечно же, это слишком символично, чтобы быть случайностью, не так ли? Документ использовал уязвимость Windows. Сложные слова, но по сути это как дырка в замке.

Когда человек открывал этот файл, Windows пыталась показать текст с этим шрифтом и ломалась. Из-за этой ошибки вирус получал полный доступ к компьютеру. После заражения, вирус ставил на комп вредные файлы, которые начинались с букв DQ, поэтому сам вирус и назвали DQ от этих букв. DQ проникал в компьютер, устанавливал нужные файлы, запускался и исчезал. Файл с шрифтом больше был не нужен, система уже была заражена.

А дальше тишина. Никаких тормозов, никаких всплывающих окон. Он просто сидел, слушал, что ты печатаешь, куда заходишь, на что кликаешь мышкой, делал скриншоты, читал файлы, смотрел какие программы запущены и если пользователь вдруг подключал какое-то серьезное оборудование, начиналась тотальная слежка, а потом вся эта информация передавалась создателям вируса. Но знаете, в чём настоящая магия?

Это вас точно удивит, кстати говоря. Дьюкью не имел ни одного конкретного кода, он был модульным, как лего. Изначально он просто открывал дверь, а дальше по команде загружались дополнительные инструменты. Программы для слежки, перехвата данных, сканирования сети и всё это зашифровано. Но как это было не заметить? Достаточно просто. Например, один из таких модулей маскировался под фотографию далёкой галактики. Да, ты видишь файл с красивой картинкой космоса, а на деле он уже содержит райан, способный контролировать всю сеть.

Дьюкью спокойно выходил в интернет, использовал обычные протоколы, те же через которые ты сейчас смотришь свой ютуб, и он без проблем проходил любую защиту. Его вообще не замечали, а внутри сети он строил собственную систему связи, связывался с другими компьютерами, передавал команды, копировал себя, удалял старые части, менял код, и все это выглядело так, будто бы это просто обычная работа системы.

Он даже использовал настоящие цифровые подписи, украденные у компании C-Media. Когда антивирус проверял подлинность, все выглядело честно, значит можно запускать. И про этот вирус на самом деле известно очень мало. Но почему? Дьюкью не распространялся массово. Всего было обнаружено 15 подтвержденных заражений в разных странах. Но никто до конца не знает всех пострадавших. Большинство жертв вообще не знали, что их взломали, все прошло слишком чисто.

Известно одно, он атаковал важные цели, госструктуры, промышленные гиганты и оборонные предприятия. По одной из версий, Дюкью нужен был, чтобы подготовить почву, сначала разведка, а потом удар. Но кто же стоит за всем этим? Вопрос, естественно, философский, но если быть честным, это точно не какой-нибудь хакер с подвала, это команда, Это, наверное, огромная, умная и дорогая команда.

Исследователи лаборатории сравнили ДьюКью и Стакснет и пришли к очевидному выводу – они родные братья. Один разрушитель, а второй наблюдатель. Они используют одни и те же архитектурные схемы, один и тот же язык программирования, даже способы скрываться почти идентичны. Это продолжение, очередной уровень той же игры, и каждый раз сложность увеличивалась. Но на этом кибервойна не остановилась. Кто-то считал важным иметь как можно больше информации из стран Ближнего Востока.

И так в 2012 году в Иране начали происходить сбои в системах. Пропадала информация, компьютеры начинали тормозить и появлялись ошибки. Поначалу это выглядело как банальные глюки, но в стране уже умели распознавать цифровую атаку. После с TaxNet и Deque, Иран знал, если техника начинает себя вести странно, возможно это не баг, а сигнал, сигнал что кто-то снова лезет в их внутренние дела.

Специалисты по кибербезопасности начали вести расследование. Был вскрыт код, и это вызвало настоящий шок. Перед ними был не просто вирус, а нечто огромное, сложное и дико продуманное. Вирус весил около 20 мегабайт. Чтобы вы понимали, большинство вредоносов это компактные программы на 100-200 килобайт, некоторые посложнее могут дотянуть до 1 мегабайта, а тут целых 20. Это как сравнить карманный нож с истребителем.

И это уже не вирус, это целая шпионская станция внутри вашего компьютера. Его назвали Flame, то есть пламя, и он сжигал все на своем пути, не напрямую, а информационно. Как и дьюхью, флейм занимался слежкой, но действовал совсем иначе. Флейм мог заражать компьютеры через поддельные обновления виндовс. Да, именно те, что ты привычно устанавливаешь доверяя системе, ставя там везде свои галочки и так далее.

Вирус научился подделывать цифровую подпись майкрософт. Компьютер думал, о, это обновление от майкрософта и сам устанавливал это обновление. В реальности же ты сам себе ставил шпионский пакет. Причем добровольно. Помимо Ирана, Флэйм нашли также в Ливане, Сирии, Палестине, Судане и даже в Израиле. Пострадали государственные организации, нефтяные компании, университеты, все что имело хоть какое-то значение на политической или стратегической карте.

С помощью Флэйм собирали документы, аудиозаписи, электронную переписку, сливали даже пароли сетей. Причем вирус был гибким. Если появлялась новая цель, ему просто докидывали нужный модуль и он подстраивался. Когда Флэйм был обнаружен и про него начали писать СМИ, те, кто его контролировал, запаниковали.

Вирусу давали команду самоуничтожиться, и он слушался. Флэйм начал удалять себя со всех систем, сжигать все логи, затирать следы и всё, что могло дать хоть какой-то шанс определить, кто его создатель. После нахождения Флэйм, специалисты по всему миру начали искать его родственников. Вирус был слишком продуманным, чтобы быть единственным в своём роде. Он выглядел как часть целой экосистемы, где каждая программа выполняет свою конкретную задачу.

И догадка оказалась верной. В том же году, в 2012, специалисты из лаборатории Касперского и Ливанского университета нашли нового цифрового монстра. Его назвали Гаусс, в честь математика Карла Гауса. Но почему? Потому что сам вирус напоминал сложнейшую математическую формулу. С первого взгляда Гаусс был похож на Флейм, у него тоже была модульная структура.

Это как набор инструментов в одном чемодане. Один модуль собирает пароли, другой следит за браузером, а третий подключается к банковским аккаунтам. Но главное отличие Гаусс в том, что он был ориентирован на деньги. И да, все верно. В первую очередь на банковские системы Ближнего Востока. Он собирал данные о клиентах, логины, пароли, конфигурации платежных систем, следил кто сколько кому пересылает и куда эти суммы движутся дальше.

В закрытых банковских сетях, где интернет запрещен, вирус проникал в систему через зараженные USB-флешки. Гаусс устанавливался в память компьютера и начинал следить. А теперь интересный момент. Один из модулей Гаусс назывался Godel, в честь Курта Гёделя, великого логика. Код этого модуля был зашифрован настолько сложно, что до сих пор лучшие специалисты не смогли его взломать.

Вообще никто не смог это сделать. Это как если бы вы нашли ящик с древними письмами, но ни один лингвист в мире не мог бы понять, что там написано. А ведь именно этот модуль, возможно, и содержал главную функцию вируса, то, о которой мы так и не узнаем. Но что же в итоге случилось потом? Гаусс начал стремительно исчезать. Как только информация о нём была опубликована, он тут же получил команду, такую же, что и Флейм – самоуничтожиться.

Все заражённые копии начали стираться, затирать за новые логи, удалять себя из памяти и снова никакого следа. Ну а теперь вернемся немного назад к ДьюКью, про который я вам уже рассказывал. Несмотря на то, что он был обнаружен в 2011 году, это оказался не конец. Его развивали и улучшали и в 2013 году почти незаметно вышла новая версия ДьюКью 2.0 и появился он именно в тот момент, когда начались переговоры по ядерной программе Ирана.

Если вы не в теме, то вкратце объясню. Запад обвинял Иран в разработке ядерного оружия. Иран говорил, не, да мы просто строим мирные атомные станции. Но напряжение между странами было таким, что хватило бы на всю электросеть Ближнего Востока. Эти переговоры шли больше двух лет, в них участвовали крупнейшие державы мира. И понятно, что за кулисами тоже шла война.

Невидимая, неофициальная, кибервойна. И вот как раз для такой войны и был создан ДьюКью 2.0. Его цель, классика, шпионить, но не просто читать чужие письма. Он проникал в конференц-залы, компьютеры переговорчиков, министерства иностранных дел, посольства, отели, где проходили секретные встречи. Он был везде, где обсуждалась ядерная программа Ирана. Но вот самый абсурдный и пугающий момент, это одним из зараженных объектов оказалась лаборатория Касперского.

Да, те самые, кто сами ищут вирусы, кто участвовал в нахождении Стакснет, ДюКью, Флейм и Гаусс, и вот теперь вирус был и в их собственных системах. Зачем? Чтобы понять, что они знают. Это как если бы грабитель пробрался в полицейский участок и сидел бы там под столом у следователя, слушая, как кто-то собирается его ловить, но умновить, и нужно знать своих врагов ближе, чем друзей.

И вот однажды в 2015 году специалисты Касперского заметили что-то странное. Не вирус в обычном понимании, а поведение системы, которое напоминало движение чужака. И когда они начали копать, они просто ахнули. Это был DQ 2.0. Он уже давно жил у них на серверах. Читал, слушал, передавал. Он просто наблюдал, молча. DQ 2.0 был построен на том же коде, что и оригинальный DQ, а значит и на базе Stuxnet. Но в этот раз всё было на другом уровне.

Он не оставлял следов на диске, вирус жил в оперативной памяти. Это означает, что вы выключили компьютер, и вирус исчез. Включили, он снова вдруг появился, если успел перезаписаться до выключения. Такой способ называется вредонос в памяти. И вот это уже было настоящей фантастикой. Потому что обычные вирусы ничего не видели подозрительного.

Потому что ничего и не было по факту. Нет файлов, нет угрозы. Но угроза то была. А теперь представьте, насколько точно он работал. Он не просто заражал систему. – он искал определенных людей, определенные точки в переговорной цепочке. Например, если вдруг ноутбук министра иностранных дел попадал в отель, а где шли переговоры, вирус активировался и начинал работать. Он знал, где он, зачем он там и что ему делать.

Но зачем же это нужно? Так все очень просто. В переговорах такого уровня информация – это настоящее оружие. Знать, что именно Иран собирается требовать, понимать слабости сторон, угадывать, кто готов уступить. И всё это можно было использовать в реальном времени, чтобы выиграть даже до того, как переговоры официально завершились. Когда ДЮКЮ-2.0 был обнаружен, это стало настоящей сенсацией. Это была полноценная атака на процесс принятия решений.

И это уровень, которого раньше вообще не было. С вирусом начали плороться, были обновлены системы безопасности, разработаны новые алгоритмы отслеживания, но полностью избавиться от него было очень непросто. Он мог оставаться в памяти, проникать через уязвимости в системах тоже старый добрый Windows и маскироваться под обычные процессы. И хоть его в итоге удалось нейтрализовать, сам факт его существования показал, если вы думаете, что кибервойна это будущее, то возможно вы уже проиграли.

Таким образом, пять вирусов серьезно повлияли на ход ядерной программы Ирана. А могло быть, на самом деле по-другому. Иран тихо и быстро доводит разработки до конца, получает доступ к оружию, и мир становится совсем другим. Но стало иначе. Сбои, утечки, наблюдения, саботаж. Вместо ускорения постоянные откаты и проблемы.

Эти вирусы не просто тормозили процесс, они формировали повестку. И Иран в итоге был вынужден сесть за стол переговоров. Сам Иран официально заявлял, что подвергся кибератакам, особенно после Стакснет. В СМИ тогда появлялись сообщения о сбоях в атомных объектах, утечках, странных поломках, но никогда не было прямого признания масштаба ущерба, хотя факты говорят сами за себя.

И тут важно понять одну очень интересную вещь. Эти 5 вирусов это только то, что было найдено. Многие были обнаружены совершенно случайно. Например Flame нашли просто потому, что он вызвал сетевую аномалию. DQ2 нашли, когда его заметили на серверах Касперского. А теперь подумайте, сколько таких вирусов так и не обнаружили. И представьте, что если такие вирусы уже были в 2010-2015 годах, то что происходит сегодня?

Последние годы появляются вирусы, которые не просто крадут деньги, не манят биткойны, а следят за целыми государствами. Например вирус, который прятался внутри телекоммуникационной компании и слушал разговоры министров. Вирус назывался Regin, причем не где-то там, а в странах Европы. А как насчет Индии, например? Там на одном из ядерных объектов обнаружили D-Track, вирус, который подбирал ключи к системам как вор к сейфу.

И не для того, чтобы взорвать, а чтобы все узнать. В США произошел вообще феноменальный взлом, SolarWinds, один апдейт, который обновлял якобы софт, а на деле открыл доступ хакерам к десяткам правительственных учреждений. А есть еще, Гермит, вирус, который маскировался под обычные приложения. Вирусы такого уровня, будто бы говорят нам, что ты даже не узнаешь, что я был здесь.

И всё это не ради денег, не ради разрушений, а ради знаний. Кто с кем дружит, кто на кого давит, какие договоры обсуждаются за закрытыми дверями и так далее. Задумайся только, ты можешь защитить свой телефон паролем, поставить VPN, даже держать ноутбук в холодильнике, но если тебя захотят прослушать, тебя всё равно прослушают. Потому что в этой игре правила пишут не пользователи, а вирусы.

Так что фоточки свои интересные на компе не храни, а то потом вдруг случайно окажется так, что они станут достоянием общественности. А ну и по классике ты там вебку заклеивай чем-то, а то мало ли что кто за тобой смотрит. Спасибо, что досмотрели этот ролик до конца, обязательно кто-нибудь из вас сталкивался с вирусами, которые воруют данные, ломают системы или просто делают жизнь хуже.

Так что те, кто предложит какие-то интересные идеи для будущих роликов, я вас также смогу отблагодарить. Так что пишите. Ну что, спасибо за внимание, ну и до скорых встреч, пока-пока.