Mówi się, że tym państwem jest Izrael. Mówi się, choć pewności nie ma i nigdy jej nie będzie. Wirus, który nazwano Stuxnet, zaatakował irański ośrodek jądrowy Buszehr i w zasadzie wstrzymał rozwój programu atomowego na kilka miesięcy. I o to chodziło. Pomyśleć, że jeszcze kilka lat podobno izraelscy piloci ćwiczyli na pustyni Negew naloty na jądrowe cele w Iranie. Dzisiaj nie trzeba lotnictwa. Sprawę może załatwić gość z dredami siedzący w bezpiecznym miejscu tysiące kilometrów od celu.

Wirtualne zarośla

Stuxnet to inteligentny wirus komputerowy. Potrafi zainfekować wiele komputerów, ale za cel wybrać tylko jeden. Nie jeden którykolwiek, nie jeden określony przez adres IP, tylko ten jeden, który akurat stwarza najlepsze możliwości ataku. Komputery przemysłowe sterujące elektrowniami atomowymi nie są podłączone do ogólnie dostępnej sieci komputerowej. Mają wiele zabezpieczeń, filtrów i osłon (tzw. firewalli). Ze światem zewnętrznym w zasadzie nigdy się nie kontaktują. Ale kontaktują się z komputerami, które są podłączone do sieci. Stuxnetem zainfekowany został prywatny komputer jednego z pracowników elektrowni w Buszehrze.

Albo inaczej, zostało nim zainfekowanych kilkadziesiąt tysięcy komputerów w całym Iranie, a wśród nich znalazł się komputer pracownika ośrodka jądrowego. W irańskich komputerach Stuxnet nie robił niczego, co pomogłoby go wykryć. Leżał gdzieś na wirtualnym dnie twardego dysku i czekał – tak jak drapieżnik w zaroślach na swoją ofiarę – na okazję do ataku. Nieświadomy – najpewniej – technik przyniósł do pracy memory stick (może chciał pokazać znajomym zdjęcia z wakacji?) i w ten sposób zainfekował wewnętrzne komputery w strzeżonym ośrodku. Oczywiście można założyć, że technik był szpiegiem i wirusa przyniósł z premedytacją. Niektóre źródła podają, że wirusa przyniósł jeden z rosyjskich pracowników (irański program jądrowy powstaje przy współpracy z Rosjanami). To nieistotne, bo nijak nie wpływa na dalszy bieg wydarzeń.

Wirus natychmiast zaraził dużą część komputerów wewnątrz ośrodka jądrowego i… nic się nie działo. Cierpliwie czekał, aż któryś z nich na krótką chwilę połączy się z maszynami sterującymi urządzeniami elektrowni. Z tymi superstrzeżonymi komputerami przemysłowymi, które nie mają połączenia z ogólnie dostępną siecią. Być może któryś z naukowców chciał zainstalować na nich jakiś nowy element oprogramowania, być może chciał ściągnąć najnowsze odczyty jakiegoś urządzenia… Być może, być może... To wszystko jest mniej istotne. Faktem jest, że Stuxnet z prywatnego komputera dostał się do komputera wewnątrz ośrodka jądrowego, tam wyczekał na odpowiednią chwilę i zainfekował ściśle pilnowany komputer przemysłowy. Przez przynajmniej kilka miesięcy działał, a wszyscy się głowili dlaczego urządzenia ośrodka nie pracują tak, jak powinny. W tym czasie Stuxnet (i tutaj pojawia się kolejny ciekawy element) nie pustoszył irańskich komputerów. Gdyby wirus zaczął kasować dane, wyłączać poszczególne elementy systemu albo w dużych ilościach przesyłać (kraść) informacje na jakieś zewnętrzne serwery, szybko by go wykryto. Stuxnet prawie nic nie robił. Wykrycie tego „prawie” zajęło irańskim ekspertom komputerowym kilka miesięcy.

Pojawiam się i znikam

Oparte na systemie Windows oprogramowanie WinCC stosują m.in. elektrownie i fabryki. WinCC kontroluje tysiące, miliony danych, np. o temperaturze czy ciśnieniu, strumieniu neutronów, ilości energii, poboru mocy, i dopasowuje etapy kolejnych procesów produkcyjnych do zmieniających się warunków. Jak to może wyglądać w praktyce? W którymś miejscu instalacji temperatura płynu chłodzącego ma wynosić powiedzmy 150 st. C. Gdy jest wyższa, system powinien automatycznie włączyć dodatkowe pompy, gdy jest niższa, pompy już działające mogą zostać wyłączone.

Temperatura jest mierzona elektronicznym termometrem, a jej wartości są odczytywane przez odpowiedni program komputerowy, który decyduje, co zrobić dalej. Stuxnet nie wyłączał wszystkich pomp – to zapewne uruchomiłoby alarm i problem błyskawicznie by zdiagnozowano. Stuxnet lekko modyfikował wskazania termometru. Pewnie jednego z setek w całej instalacji. W efekcie pompy włączały się za szybko albo za wolno. Samo to nie było może groźne, ale powodowało, że system za każdym razem musiał być wyłączany, bo obsługujący sterownię musieli sprawdzić, dlaczego pompy zachowują się nieprzewidywalnie. Ale gdy system się wyłączał, Stuxnet usypiał. Problem znikał, a technicy stwierdzali, że w zasadzie wszystko powinno być w porządku.

Dodatkowo wirus zbierał dane z komputerów przemysłowych i w niewielkich porcjach wysyłał raporty wywiadowcze do centrali. Jak to robił, skoro zainfekowane komputery nie mają podłączenia do sieci? Tą samą drogą, jaką dostał się do sterowni. Raport był przez wirusa sporządzany i czekał, aż – czasami na krótką chwilę – komputer przemysłowy połączy się z komputerem zwykłym. Informacje wychodziły na zewnątrz i przez długie miesiące nikt o tym nie wiedział. Nikt nie wie, co konkretnie Stuxnet robił w komputerach irańskiego programu jądrowego. Musiał porządnie narozrabiać, skoro – jak twierdzą sami Irańczycy – na kilka miesięcy trzeba było wstrzymać wszelkie prace.

Autor, nie dzieło

„Oto zaczyna się nowy wyścig zbrojeń. Iran jest pierwszą w historii ofiarą prawdziwego cyberataku” – powiedział ekspert z Kaspersky Lab, jednej z najlepszych firm działających na rynku oprogramowania wykrywającego wirusy komputerowe. Sprawa jest naprawdę poważna i coraz częściej mówi się, że powstała nowa dziedzina walki, nazwana cybersabotażem. Eksperci twierdzą, że takiego wirusa jak Stuxnet nie mógł stworzyć ani zdolny student, ani szalony naukowiec. Stuxnet jest bowiem tak skomplikowany i inteligentny, że mogli go napisać tylko specjaliści pracujący dla kogoś, kto nie ma ograniczeń finansowych. Czyli dla państwa. W ten sposób można zdezorganizować cały ruch lotniczy, w ten sposób można spowodować, że w całym kraju staną elektrownie albo komunikacja. W skrócie wirusy typu Stuxnet są w stanie sparaliżować każdy kraj. To na początek.

Technologie tanieją, więc za jakiś czas może się okazać, że wirusy takie jak Stuxnet będą mogły być pisane na zlecenie korporacji przemysłowych. Można sobie wyobrazić, że np. firma produkująca samoloty przez wirusy komputerowe będzie sabotowała pracę konkurencji. Proces wytwarzania elementów silnika odrzutowego sterowany jest komputerowo. A gdyby tak wirus lekko zmienił wymiary przykładowej śrubki, która w wyniku tej ingerencji urywałaby się szybciej, niż powinna? Samoloty zaczęłyby się psuć, a w najgorszym wypadku spadać. Bankructwo producenta byłoby tylko kwestią czasu. Taki proceder mógłby trwać miesiącami, zanim ktoś zorientowałby się, że dzieje się coś złego. Oczywiście, jeżeli wirus wyśledzi odpowiednią śrubkę, a zmiana będzie niewielka.

Za kilka tygodni mija 25 lat od wykrycia pierwszego wirusa komputerowego. W latach 80. i 90. XX w. wirusy były pisane dla sławy i dla zgrywy. Dzisiaj wirusy włamują się do banków, szpiegują i fałszują dane. Wyciągają pieniądze na 1001 sposobów. Przy okazji płacenia kartą kredytową za zakupy w internecie, przy okazji telefonowania na numery zamiejscowe, przy okazji wizyty w wirtualnym banku. Istnieją wirusy, które psują pliki komputerowe, a ich naprawa staje się możliwa dopiero po zakupie odpowiedniego oprogramowania. Oprogramowania, które piszą ci, którzy stworzyli wspomnianego wirusa. – Od 25 lat walczymy z kryminalistami on-line. I wiem że tę walkę przegrywamy – powiedział GN Mikko Hypponen, szef laboratorium badawczego firmy F-Secure. – Pisanie programów antywirusowych nie rozwiąże problemu. Trzeba zacząć walczyć z autorami, a nie z ich dziełami – dodał.