Июнь 2010 года. Виталий Каменюк — белорусский вирусолог из компании VirusBlokAda — тестирует новый клиентский компьютер. Машина никогда не подключалась к интернету. Всё штатно, пока система не начинает вести себя странно: самопроизвольные перезагрузки, необъяснимые процессы. Каменюк находит вирус и отправляет образец коллегам. Те смотрят на код и не верят глазам.

Такого раньше не было. Никогда.

За 1500 километров от Минска, в иранском Натанзе, инженеры ядерного завода по обогащению урана уже несколько месяцев списывают потери центрифуг на производственный брак. Машины ломаются быстрее обычного — роторы разрушаются, не выдержав нагрузки. Но приборы показывают норму. Всегда норму.

Они не знают, что за их оборудованием наблюдает чужой код. И что этот код врёт им в лицо.

ЧТО ПРОИСХОДИЛО В НАТАНЗЕ

Центрифуги IR-1 используются для обогащения урана: они вращаются на огромных скоростях, разделяя изотопы. Точность — критична. Отклонение в несколько процентов от нормальной частоты вращения разрушает ротор.

Stuxnet делал именно это. Он разгонял центрифуги до 1410 Гц вместо штатных 1064 — или резко тормозил до 2 Гц. Роторы не выдерживали. При этом система мониторинга получала записанные заранее «нормальные» данные — оператор видел ровные графики в момент, когда железо рвалось.

За 2009–2010 годы вышло из строя около 1000 центрифуг — примерно пятая часть всего иранского парка. Ядерная программа страны была отброшена, по разным оценкам, на полтора-два года.

// AIR GAP — ЧТО ЭТО ЗНАЧИТ

Натанзский завод был «воздушно изолирован» — физически отключён от любых внешних сетей. Ни интернета, ни корпоративной сети снаружи. Считалось, что это делает систему неуязвимой для удалённых атак. Stuxnet доказал обратное: флешка оказалась достаточным каналом заражения.

КАК ЭТО РАБОТАЛО

// АРХИТЕКТУРА STUXNET — ОТ USB ДО ЦЕНТРИФУГИ
ШАГ 01
Заражение через USB
Флешка вставляется в Windows-компьютер. Stuxnet эксплуатирует уязвимость в обработке .lnk файлов — заражение происходит при открытии папки, без запуска файлов.
CVE-2010-2568 · zero-day #1 из 4
ШАГ 02
Распространение по сети
Три дополнительных zero-day позволяют червю распространяться через сетевые шары, принтеры и уязвимость планировщика задач Windows. Всего — 4 нулевых дня. Рекорд на тот момент.
4 zero-day одновременно → беспрецедентно
ШАГ 03
Поиск цели
Stuxnet проверяет каждую машину: есть ли на ней Siemens Step 7 — ПО для программирования промышленных контроллеров? Если нет — червь бездействует. Он искал конкретную конфигурацию.
target: Siemens S7-315 / S7-417 PLC
ШАГ 04
Перепрошивка контроллеров
Найдя нужные PLC, Stuxnet перезаписывал их прошивку. Теперь контроллер выполнял команды червя — разгонял или тормозил центрифуги по заданному расписанию.
freq: 1410 Hz → норма: 1064 Hz → разрушение
ШАГ 05
Сокрытие и обман
Stuxnet перехватывал данные с датчиков и подавал операторам записанные «нормальные» значения. Инженеры видели идеальные графики — пока центрифуги не разрушались физически.
rootkit → replay attack → operator blind

КТО ЭТО СДЕЛАЛ

Официально — никто не признался. Но улики говорят сами за себя.

Анализ кода показал уровень сложности, недостижимый для обычных хакерских групп. Четыре нулевых дня, знание специфики конкретных иранских центрифуг, цифровые подписи украденными сертификатами Realtek и JMicron — всё это требовало государственных ресурсов и разведывательных данных изнутри иранской ядерной программы.

В 2012 году газета New York Times со ссылкой на анонимных чиновников сообщила: операция называлась «Олимпийские игры» и была запущена при президенте Буше, а затем расширена при Обаме. Исполнители — АНБ США совместно с израильским подразделением Unit 8200.

«Мы знали, что играем с огнём. Но риск казался оправданным.»

— Барак Обама, мемуары «A Promised Land» (косвенно о программе Olympic Games)

Интересная деталь: по имеющимся данным, Stuxnet вышел за пределы Натанза случайно — из-за ошибки в коде или действий одного из подрядчиков. Именно поэтому его и обнаружили. Операция должна была остаться невидимой.

ХРОНОЛОГИЯ

2005–2007
Разработка началась
По данным расследований — программа Olympic Games стартовала при администрации Буша. Годы ушли на сбор разведданных о конфигурации иранских центрифуг.
2009–2010
Центрифуги в Натанзе начинают ломаться
Иранские инженеры фиксируют аномальный выход из строя оборудования. Версия — производственный брак. Никто не подозревает кибератаку.
Июнь 2010
Виталий Каменюк находит вирус
Белорусский вирусолог обнаруживает аномальный код на изолированной машине клиента. Образец уходит в профессиональное сообщество.
Сентябрь 2010
Symantec публикует анализ
Детальный разбор кода шокирует индустрию. Впервые описан вирус, целенаправленно атакующий промышленное оборудование конкретного производителя.
2012
NYT раскрывает Operation Olympic Games
Первые журналистские расследования указывают на США и Израиль. Правительства официально не комментируют.

ПОСЛЕДСТВИЯ ДЛЯ МИРА

Stuxnet изменил правила игры навсегда. До него кибератаки жили в цифровом мире — воровали данные, портили файлы, ложили сайты. Stuxnet вышел в реальность: он сломал железо, задержал ядерную программу целой страны, не выпустив ни единой ракеты.

После Stuxnet каждая крупная держава начала инвестировать в наступательные кибервозможности. Россия, Китай, Иран, Северная Корея — все сделали выводы. Ирония в том, что США, создав первое кибероружие такого класса, открыли ящик Пандоры для всего остального мира.

// УЩЕРБ ИРАНСКОЙ ЯДЕРНОЙ ПРОГРАММЫ
Центрифуг уничтожено
~1 000 шт
От общего парка
~20%
Задержка программы
1.5–2 года
Стран заражено попутно
115+