Článek
Čtete ukázku z newsletteru TechMIX, ve kterém Pavel Kasík a Matouš Lázňovský každou středu přinášejí hned několik komentářů a postřehů ze světa vědy a nových technologií. Pokud vás TechMIX zaujme, přihlaste se k jeho odběru!
Dohady se postupně potvrdily a dnes se i bez oficiálního potvrzení obecně uznává, že tento malware nechaly napsat západní výzvědné služby, hlavně CIA, aby narušily íránský jaderný program.
Podrobnosti o tom, jak první zbraň v novém typu války vlastně vznikla a byla nasazena, se ale objevují jen postupně. Novou část skládačky v posledních dnech doplnili autoři článku v nizozemském listu Volkrant. Mimo jiné totiž odhalili, jak se virus poprvé dostal do tajného íránského závodu pro obohacování uranu v Natanzu.
Někdo tam musí…
Raná verze Stuxnetu se mohla šířit pouze prostřednictvím USB flash disků. Řídicí systémy Siemens v Natanzu nebyly připojeny k internetu a byly tedy chráněny tím nejlepším možným způsobem proti útokům po síti.
Útočníci museli najít způsob, jak tuto „mezeru“ překonat. Kód viru byl vytvořen tak, aby na náhodném počtu odstředivek uzavíral jejich výstupní ventily, takže plyn do nich proudil, ale nemohl se dostat ven. Tím se měl zvýšit tlak uvnitř centrifug a časem způsobit jejich poškození a také ztráty plynu.
Inženýři v Natanzu programovali tamní řídicí systémy pomocí kódu nahraného na USB disky. Západní rozvědky tedy ideálně potřebovaly „krtka“, který by se dostal přímo do íránského závodu.
Tím se nakonec zřejmě stal nizozemský inženýr Erik van Sabben. Muž s dobrodružnou povahou a íránskou ženou pracoval v Dubaji a ke spolupráci ho získala nizozemská rozvědka známá jako AIVD. Ve spolupráci s dalšími zpravodajskými službami se pro něj podařilo vytvořit krytí, se kterým se dostal až do íránského závodu jako zaměstnanec firmy dodávající nejaderné komponenty.
Právě van Sabben při své návštěvě nainstaloval do zařízení v provozu kód buď tím, že sám vložil infikovaný USB disk přímo do některého z řídicích systémů, nebo možná nakazil systém některého z íránských inženýrů, který pak nevědomky Stuxnet doručil na místo určení.
Zdroje ze západních rozvědek v novém článku mluví o možnosti, že malware byl do závodu zavlečen s pomocí „vodních čerpadel“, která měl van Sabben instalovat. Ale není vůbec jasné, jak by vodní čerpadlo mělo nést virus, a jak by se případně z takového komponentu dostal do řídicího systému odstředivek.
Reportéři už v roce 2019 přišli s informací, že původní „krtek“, tehdy ještě neznámý, už po roce 2007 v Natanzu zřejmě nikdy nebyl a do závodu už žádný kód nevnesl. Nikdy nebylo jasné proč, teď se zdá být důvod jasný.
Co prováděl Stuxnet
Virus Stuxnet se šířil především pomocí přenosných USB pamětí a při šíření využíval do té doby neznámé bezpečnostní díry v systému Windows. Přeprogramoval takzvané programovatelné logické automaty (PLC) - počítače, které se používají při automatizaci procesů v reálném čase, například při řízení strojů nebo výrobních linek v továrně.
Útočníkům poskytuje nejen přístup k informacím v infikovaném počítači, ale také možnost ho ovládnout. Může způsobit různé následky, od kazů ve výrobě až po výbuch v případě ropovodu nebo chemičky.
Takovou škodu ovšem nikdo nikde nenahlásil, i když se virus rozšířil po celém světě. Zřejmě jediným poškozeným byl íránský jaderný program. Konkrétně superrychlé centrifugy, které se používají k oddělení nežádoucího izotopu 238 a lehčího izotopu uranu 235, který se používá jako jaderné palivo nebo nálož do jaderných bomb.
Nejúčinnější verze Stuxnetu se zaměřily na měniče kmitočtu, které převádějí elektrický proud ze sítě o standardním kmitočtu 50 hertzů na kmitočet požadovaný provozovatelem a slouží k regulaci otáček elektromotorů. Virus byl konkrétně zaměřen na dva měniče, jeden vyráběný ve Finsku a druhý v Íránu. Oba jsou špičková zařízení, která se v podstatě používají jen pro motory pro odstředivky v závodech na obohacování uranu pohybující se rychlostí přes tisíc otáček za sekundu.
Van Sabben byl totiž v Íránu naposledy v roce 2008. Přijel na návštěvu rodiny své ženy, ale už druhý den začal být nervózní a trval na tom, že musí zemi opustit. Zdálo se, že má strach.
Dva týdny po záhadném odjezdu z Íránu van Sabben zahynul při nehodě v Šardžá nedaleko Dubaje. 16. ledna 2009 ztratil kontrolu nad motorkou, spadl a zlomil si vaz. Svědci události dodnes údajně nemají pocit, že by mohlo jít o něco víc než nešťastnou nehodu; nebylo na ní nic podezřelého. I když mezi nizozemskými zpravodajci se pochopitelně debatovalo o tom, zda skutečně šlo jen o náhodu.
Nahoru i dolů
V době, kdy van Sabben kvapem opouštěl Írán, už škodlivý software zřejmě plnil svou funkci. Ale patrně nepříliš úspěšně.
V roce 2009 se totiž útočníci rozhodli změnit taktiku a v červnu téhož roku a znovu v březnu a dubnu 2010 nasadili jinou verzi kódu. Tato verze namísto uzavírání ventilů na odstředivkách měnila rychlost, s jakou se odstředivky roztočily. Střídavě je zrychlovala na vyšší rychlost, než na jakou byly konstruovány, a pak zase zpomalovala.
Infikovaná íránská odstředivka IR-1 zvýšila na 15 minut svou normální provozní rychlost z 1064 hertzů na 1410 hertzů a poté se vrátila na normální frekvenci. O 27 dní později se červ vrátil do akce a zpomalil infikovanou odstředivku na několik set hertzů na celých 50 minut.
Napětí způsobené nadměrnou a následně nižší rychlostí způsobilo, že se hliníkové odstředivky roztáhly, což často způsobilo, že se části odstředivek dostaly do vzájemného kontaktu dostatečného k tomu, aby se zařízení zničilo.
Ale i tato verze Stuxnetu byla zkompilována 24. září 2007, tedy ve stejný den, kdy tým autorů sestavil kód pro první verzi. Zřejmě tedy šlo od počátku o „záložní plán“.
Musí se na to jinak
V roce 2009, tedy po van Sabbenově smrti, ovšem západní rozvědky podle dostupných informací přístup do Natanzu ztratily. Ale obešly se bez něj. Další verze Stuxnetu dostaly do Natanzu tak, že infikovaly cíle mimo závod, od kterých se pak virus dostal do závodu. Terčem útoků byli zaměstnanci pěti íránských společností, kteří se zabývají instalací průmyslových řídicích systémů v Natanzu a dalších íránských zařízeních. Ti se pak stali nevědomými přenašeči zbraně.
Dodejme, že v tom nebyli sami – ani holandská rozvědka neznala pravou povahu úkolu svého agenta. Holanďané věděli, že se podílí na operaci, jejímž cílem je sabotovat íránský jaderný program. Nizozemsko je spolu s dalšími 47 zeměmi členem Skupiny jaderných dodavatelů (NSG), která se snaží zabránit tomu, aby se materiály a znalosti pro šíření jaderných zbraní dostaly do rukou jiných zemí.
Ovšem o tom, že Američané chtěli k tomuto účelu použít novou digitální zbraň a nechali ji nainstalovat jejich agentem, AIVD podle zdrojů novinářů nevěděla. Nikdo na nizozemské straně neměl tušení, že jde o „kybernetický útok“; patrně se domnívali, že jde jen o zpravodajskou operaci s cílem shromáždit informace o íránském zařízení.
Američané v tomto případě své spojence využili. „Uvědomili jsme si to až mnohem později,“ řekl pro Volksrant jeden ze zpravodajců a dodal s lítostí: „Měli jsme se více vyptávat.“
Jak velké zdržení?
Dodnes jasně nevíme, jaký byl vlastně úspěch programu Stuxnet. Šlo rozhodně o nákladnou a komplikovanou operaci – a zřejmě první masivní operaci „kybernetické války“ vůbec.
Podle zdrojů tehdejší šéf CIA Michael Hyaden v roce 2008 řekl při jednáních se svými nizozemskými protějšky, že Stuxnet stál něco mezi jednou a dvěma miliardami dolarů. Tím velmi pravděpodobně nemyslel samotný software, na kterém mohly podle odhadů pracovat řádově desítky lidí několik měsíců – což rozhodně nemohlo vyjít na miliardu dolarů. Zřejmě šlo o náklady na celou operaci, která zahrnovala mnohem více než jen vývoj softwaru.
Co za to USA získaly? Íránský jaderný program obohacování uranu pro účely stavby jaderných zbraní zřejmě dokázaly o něco pozdržet, řádově možná až o jednotky let. Podle The Washington Post zaznamenaly kamery Mezinárodní agentury pro atomovou energii (MAAE) instalované v zařízení v Natanzu náhlou demontáž a odstranění přibližně 900–1000 odstředivek v době, kdy byl červ Stuxnet v elektrárně údajně aktivní.
Írán tedy virus stál čas a peníze, což zřejmě bylo i cílem útoku – celý program Stuxnet nejspíš zastavit neměl a ostatně ani nemohl. Zda to CIA považuje za účelné vynaložení prostředků, těžko odhadovat.
To přece není válka
V každém případě si ovšem Spojené státy vyzkoušely nový druh kybernetických operací – a bohužel inspirovaly další. I když Stuxnet byl velmi přesně cílená zbraň, která nemohla napáchat škody na veřejném internetu, celá operace se stala „etalonem“ kybernetických operací.
Nejde sice přímo o válku, ale rozhodně to k ní nemá příliš daleko. Stuxnet je totiž jasným příkladem útoku na kritickou infrastrukturu nějaké země. V době, kdy byl použit, neexistovaly žádné mezinárodní dohody ani pravidla pro používání virů či jiných prostředků kyberválky. Teprve v roce 2015 stanovila OSN právně nezávazné normy pro odpovědné chování v digitální oblasti. Podle OSN není útok na kritickou infrastrukturu přípustný.
Toto pravidlo se ale nedodržuje důsledně. Rozhodně ho porušuje Rusko, které například v roce 2017 zaútočilo na ukrajinskou energetickou soustavu (a od té doby mnohokrát znovu a také na jiné ukrajinské cíle). V Rusku mají tajné služby také velmi blízko ke kyberzločineckým skupinám. Není proto až tak překvapivé, že počet útoků ransomwarem se v západních demokraciích zvyšuje v obdobích kolem významných voleb.
Řada informací také naznačuje, že tato pravidla v různé míře nedodržují ani jiné velmoci jako Čína, Izrael či Spojené státy. Velcí hráči totiž nejspíše mají prospěch z toho, že dohodnutá pravidla jim poskytují určitou volnost – a také si je velmi volně vykládají. Dává jim to možnost nasazovat a využívat prostředky, které jiné státy k dispozici nemají.
Dědictví Stuxnetu se tedy v tomto ohledu zatím nepodařilo překonat a kdo ví, zda se to někdy změní.
V plné verzi newsletteru TechMIX toho najdete ještě mnohem víc. Přihlaste se k odběru a budete ho dostávat každou středu přímo do své e-mailové schránky.