Mossad-ul, agenţia de spionaj a Israelului, a atacat programul nuclear Iranian cu un virus computerizat foarte sofisticat, numit Stuxnet. Jurnaliştii SPIEGEL.de au mers pe urmele lui, în Israel.
Complexul, aflat pe autostrada dintre Tel Aviv şi Haifa este cunoscut sub numele de „The Hill”(Dealul). Situl, de dimensiunea mai multor terenuri de fotbal, este protejat de garduri foarte înalte şi sârmă ghimpată- o fortăreaţă modernă care simbolizează lupta Israelului pentru supravieţuire în Estul Mijlociu. Asemenea reprezentanţilor agenţiei de spionaj, şi această fortăreaţă este foarte bine păzită de privirile jurnaliştilor şi implicarea politicienilor.
Politica strictă împotriva vizitatorilor a fost temporar întreruptă în prima joi a lunii ianuarie a acestui an, când un microbuz cu geamurile acoperite a oprit în apropierea unui cinema. Jurnaliştii au fost rugaţi să predea telefoanele mobile şi reportofoanele iar Meïr Dagan, conducătorul Mossad-ului, i-a invitat în campus. Era ultima sa zi într-o funcţie pe care o deţinuse timp de şapte ani. Reporterii erau acolo pentru a documenta „moştenirea” acestuia: lupta Mossad-ului împotriva programului nuclear Iranian.
Dagan a vorbit pasionat despre riscul unui posibil atac militar împotriva Iranului, spunând că el credea că un asemenea atac ar putea duce la un conflict regional care ar include Hezbollah şi Hamas, şi poate chiar Siria. Şi „oricine care putea crede că un război ar opri programul nuclear al Teheranului, se înşală,” le spune Dagan. Ar putea să încetinească ritmul acestuia, adaugă el, dar numai temporar. Din acest motiv, fostul şef al Mossad-ului era împotriva bombelor – dar în favoarea a orice altceva care ar putea reface programul nuclear al Iranului, însă fără a declanşa un război regional convenţional.
Întârzierea a devenit cuvântul de ordine a politicii Mossad-ului. Iar pentru acest scop, fostul conducător al agenţiei secrete a creat o armă miraculoasă despre care ştia toată lumea în acea vizită, dar al cărei nume nu a fost pronunţat: Stuxnet.
Stuxnet, un virus care se poate infiltra în computere foarte bine securizate şi neconectate la internet, o caracteristică ce se credea a fi imposibilă, a pătruns în arena politicii globale acum mai bine de un an, în iunie 2010.
Stuxnet este prima armă internautică de importanţă geopolitică a lumii. Frank Rieger, de la organizaţia germană a hackerilor Chaos Computer Club îl numeşte „exploziv digital de buncăre”. Virusul reprezintă o noutate absolută adăugată la arsenalul armelor moderne. Acesta permite un atac militar folosind un program de computer pregătit pentru o ţintă specifică.
După un singur an, nu există o firmă de securizare a internetului sau un guvern al unei ţări mari care să nu încerce să se apere de urmările virusului. Pentru a afla mai multe despre această armă, jurnaliştii SPIEGEL au mers în Israel – ţara unde acesta a fost inventat.
1.Pe urmele virusului
Filiala israeliană a firmei de securitate computerizată americană Symantec se află într-un complex modern în Tel Aviv, la distanţă de 15 minute de aeroportul internaţional Gurion. Sam Angel, managerul Symantec Israel, se întâlneşte cu vizitatorii săi la subsolul clădirii, în garaj şi merg împreună la etajul al patrulea, în sala de conferinţe. La începutul prezentării sale în PowerPoint, Angel spune: „Stuxnet este cel mai sofisticat atac pe care l-am văzut. Acest fel de atac, într-un sistem industrial izolat este complet neobişnuit”. El proiectează o imagine pe un perete şi arată ţările care au fost deja afectate: Iran, Indonesia, Malaezia şi Belarus, unde un inginer pe nume Sergey Ulasen, a descoperit Stuxnet-ul.
Ulase, care lucrează în departamentul de cercetare şi dezvoltare de la firma de securitate VirusBlokAda din Minsk, a primit un mail aparent obişnuit pe 17 iunie 2010. O firmă iraniană reclama problema calculatoarele sale care se comportau straniu, se închideau şi deschideau singure. Ulasen şi un alt coleg al său au studiat computerele o săptămână. Apoi au găsit Stuxnet. Compania VirusBlockAda a anunţat apoi alte companii din domeniu, inclusive Symantec.
Când specialiştii de la Symantec au mers a doua zi la muncă, au observat două computere care dăduseră de urma atacului. Unul dintre servere este în Malaezia, iar celălalt în Danemarca, accesibile la adresele www.todayfutbol.com şi www.mypremierfutbol.com. Ele au fost înregistrate, cu nume şi cărţi de credit falsificate, prin intermediul uneia dintre cele mai mari companii de înregistrate pe internet, cu sediul central în Statele Unite, în Arizona. Symantec a retrimis comunicaţiile interne şi externe ale serverelor către un computer al său în Dublin, fapt care a permis monitorizarea activităţii virusului. Oricine ar fi lansat Stuxnet, a fugit, dar măcar Symantec putea urmări virusul.
Retrimiterea mesajelor computerelor a permis o vizualizare a ţărilor în care virusul a activat. Potrivit acelei analize, Stuxnet a infectat aproximativ 100.000 de computere în toată lumea, incluzând mai mult de 60.000 în Iran, 10.000 în Indonesia şi 5.000 în India. Inventatorii l-au programat pe Stuxnet în aşa fel încât, în prima fază, el spune serverelor comandă-şi-control dacă maşinăria infectată rulează programul Step 7, o aplicaţie software dezvoltată de compania germană Siemens. Step 7 este utilizat pentru a controla centrifugile de la fabrica de armament iraniană din Natanz.
Uzina din Natanz, localizată în deşert la 250 de km sud de Teheran, este protejată de serviciile militare naţionale. Centrifugile din aluminiu, aflate în interiorul unor buncăre, sunt înalte de 1,8 metri şi au un diametru de 10 centimetri. Scopul lor este să crească treptat concentraţia de uranium-235, un izotop al uraniului. În interiorul lor se află un rotor care se învârte la o viteză de 1.000 de ori pe secundă. În timpul acestui proces, gazul de uranium hexafluoride este centrifugat, în aşa fel încât uraniul 235 se acumulează în centru. Toată operaţiunea este controlată de un program Siemens care rulează pe sisteme Microsoft Windows.
2. Goluri nesecurizate şi diversiuni
Şiretlicul care face atacurile posibile este pe cât de simplu, pe atât de ingenois. Stuxnet profită de un gol nesecurizat din sistemul de operare Windows care face posibilă manipularea computerului. Ca rezultal al acestei erori de programare, virusul poate pătrunde într-un calculator printr-un stick USB, de exemplu. O dată ce dispozitivul este conecat la un computer, instalarea începe fără avertizări.
Stuxnet caută mai întâi programele anti-virus. Codul este fabricat să le împiedice să funcţioneze, dar, dacă nu este posibil, virusul se auto-dezinstalează. Pentru mult timp, una dintre priorităţi a fost ca virusul să nu lase urme.
În a doua fază, Stuxnet se instalează ca parte din sistemul de operare care se ocupă de driverul USB, unde stabileşte o sumă de control cu un scop încă necunoscut. Acţiunea virusului încetează când această sumă ajunge la 19790509. Tehnicienii Symantec cred că acesta este un cod. Citit invers, numărul poate însemna data de 7 mai 1979, ziua în care Habib Elghanian, un om de afaceri evreu a fost executat în Teheran. Ar putea fi asta o coincidenţă? O provocare? Sau o diversiune intenţionat plasată?
Este încă neclar cum au reuşit israelienii să introducă virusul în Natanz. În limbajul specializat al experţilor, aceste mici erori din sistemele de securitate, asemenea celei Microsoft, sunt numite „exploatări ale zilei zero”. Căutarea acestor puncte vulnerabile este o combinaţie dintre activităţi de tip hacker şi modele ale companiilor.
3.Operaţiunea „alb-albastră”
Managerul Symantec crede că este imposibilă programarea virusului fără o cunoaştere foarte atentă a sistemului Siemens. „Nu există o piaţă neagră pentru operaţiuni implicând sistemele Siemens,” adaugă el. „Nu este suficient de mult utilizat”, precizează Angel. Atunci cum au putut cei de la Mossad să obţină informaţii atât de amănunţite despre tehnologia utilizată la Natanz?
A fost adesea crezut că americanii i-au ajutat pe agenţii Mossad. Există un institut de cercetare al Statelor Unite în Idaho unde specialiştii studiază tehnologia de control Siemens utilizate în Iran. Cercetarea de bază pentru Stuxnet ar fi putut avea loc acolo. După aceasta, virusul ar fi putut fi testat în centrul israelian de cercetare nucleară din apropiere de Dimona, în deşertul Negev.
Surse israeliene familiale cu atacul, insistă, totuşi, că Stuxnet este o operaţiune „alb-albastră”, cu referire la culorile naţionale ale Israelului.Acestea cred că o unitate secretă de elită a agenţiei militare a programat o parte din cod, lăsând Mossad-ul să termine. Aceleaşi surse susţin că Mossad a încercat să cumpere un lot de centrifugi de pe piaţa neagră, însă fără succes. În final, un fabricant israelian de arme, cu ajutorul unei agenţii secrete, a fabricat un model al armelor Natanz, unde Stuxnet a fost testat.
Operaţiunea a fost gata de începere în vara lui 2009. Atacatorii au eliberat virusul la 4:31 p.m. pe 22 iunie 2009. Atacul avea ca ţintă cinci organizaţii iraniene şi a fost lansat în trei valuri. După primul val, un al doilea atac a avut loc în martie 2010. Al treilea val a urmat în aprilie. Conform Symantec, ţintele nu au fost în mod direct legate de programul nuclear Iranian dar unele dintre ele erau pe lista de sancţiuni a Statelor Unite. Un număr de 12.000 de computere au fost infectate în numai cinci organizaţii.
Stuxnet este programat să se şteargă de pe flash-ul USB după a treia infecţie, probabil pentru a împiedica răspândirea lui explozivă, care ar putea fi imediat observată. Scopul armei cibernetice este să-şi saboteze ţintele în mod constant şi tăcut, mai degrabă decât spectaculos.
Un alt şiretlic, care îi oferă virusului impresia de legalitate, arată cât de complex este alcătuit. El implică certificate digitale, emise pe internet de companii care testează activitatea serverelor sau programelor şi certifică dacă sunt protejate anti-virus. Firmele taiwaneze Realtek Semiconductor şi JMicron Technology se numără printre aceste tipuri de firme.
În ianuarie 2010, o versiune a Stuxnet a fost certificată prin Realtek. Acest fapt a fost urmat, în iulie 2010, de o versiune cu certificat emis de JMicron. Ambele certificate fuseseră furate. Organizarea acestui furt a presupus fie un jaf armat în cartierele generale ale ambelor companii, ori un furt informatic pe care foarte puţini hackeri îl pot îndeplini.
4.Numai un stat putea produce Stuxnet
O analiză a unei agenţii secrete europene, cu care jurnaliştii SPIEGEL au luat legătura, susţine că unui programator i-ar fi fost necesari aproximativ trei ani pentru a crea Stuxnet, cu un preţ de ordinul milioanelor de euro. Symantec susţine că numai testele în fabrica-machetă ar fi ocupat jumătate de an timpul a cinci până la zece programatori. Conform agenţiei inteligente, „actorii non-guvernamentali” pot fi „excluşi virtual” din echipa care a dorit inventarea Stuxnet. Membrii Consiliului Federal de Securitate Germană, un comitet guvernamental pe probleme de apărare a cărui întâlniri sunt secrete, a avut impresia aceluiaşi fapt la întâlnirea din 25 noiembrie 2010 din Berlin.
Stuxnet arată ce se poate întâmpla când atacatori foarte puternici devin activi, a spus atunci Ministrul de Interne Thomas de Maizière, actualmente Ministrul Apărării german. Oricine doreşte să investească atât de mulţi bani şi atâtea resurse, a adăugat Maiziere, ştie deja foarte bine ce are de gând. Membrii consiliului au fost de accord că un stat suveran se află în spatele acestui virus.
Echipa lui De Maizière a precizat că sunt găsite 15 vulnerabilităţi în programele computerizate standard în fiecare zi, şi apoi zeci de mii de site-uri sunt infectate în întreaga lume. La sfârşitul întâlnirii, consiliul a decis înfiinţarea unui centru de apărare cibernetică. „Experienţele cu virusul Stuxnet arată că uneori chiar şi zonele cheie ale infrastructurii industriale nu mai sunt sigure în faţa atacurilor IT”, a precizat un comunicat de presă ulterior întâlnirii.
Virusul a modificat în mod categoric modul în care privim atacurile digitale. Conducerea Statelor Unite ale Americii a decretat o nouă doctrină cibernetică care defineşte atacul digital ca pe o forma convenţională de război. Codul Stuxnet, acum accesibil publicului, ar putea atrage imitatorii, a atras atenţia Roberta Stempfley, de la Departamentul de Securitate American.
Anul trecut guvernanţii britanici au adoptat o nouă strategie de securitate, pentru care a mai acordat încă 565 de milioane de euro. Lumea cibernetică va deveni „din ce în ce mai importantă în conflictele dintre naţiuni,”, a declarat deputatul israelian Dan Meridor într-un discurs în Ierusalim în februarie. „Nu este un nou câmp de luptă, nu cu arme, ci cu altceva, mai complex,” a adăugat el.
