
Stuxnet: prvá kyber-fyzická zbraň
Éra IV — Digitálna a hybridná vojna (2010–2024)
Prológ
V podzemnej hale v Natanze stál technik nad rozobratou centrifúgou a nechápal. Hliníkový valec, ktorý sa mal točiť päťdesiattisíckrát za minútu, mal rotor prasknutý a ložiská na kašu. Bola to už ktorá v poradí — desiata, dvadsiata? Centrifúgy v Natanze sa rozpadávali rýchlejšie, než ich stíhali meniť. A pritom počítače v riadiacej miestnosti tvrdili, že je všetko v poriadku. Otáčky: v norme. Tlak: v norme. Teplota: v norme. Na monitoroch bežali pokojné zelené čísla, akoby sa nikdy nič nestalo. Iránski inžinieri mesiace hľadali chybu — vo výrobe, v dodávkach kovu, v práci operátorov. Niektorých vyhodili pre podozrenie zo sabotáže. Nikomu nenapadlo, že sabotér nesedí v hale, ale v kóde, ktorý beží na ich vlastných počítačoch — a že prístroje klamú, lebo im to niekto prikázal.
Cieľ a motív
Cieľom bol závod na obohacovanie uránu v Natanze, srdce iránskeho jadrového programu. Tam stáli tisíce centrifúg typu IR-1: vysoké hliníkové valce, ktoré sa točia obrovskou rýchlosťou a postupne oddeľujú z uránu jeho štiepnu zložku. Čím viac centrifúg beží a čím dlhšie, tým bližšie je krajina k materiálu na jadrovú zbraň. Pre Izrael bol iránsky urán existenčná hrozba a Washington zdieľal obavu, že Teherán mieri k bombe.
Klasické riešenie poznáme z predošlých kapitol: poslať lietadlá a reaktor rozbiť, ako v Osiraku (pozri kap. „Operation Opera") či pri sýrskom Al-Kibare (pozri kap. „Operation Orchard"). Lenže Natanz bol iný. Časť závodu ležala hlboko pod zemou, chránená betónom, a letecký úder na Irán by takmer isto rozpútal otvorenú vojnu. Hľadalo sa niečo tichšie — spôsob, ako iránske centrifúgy poškodiť tak, aby to vyzeralo ako smola, nie ako útok. Bez výbuchu, bez mŕtvych a bez spiatočnej adresy.
Plán
Odpoveď dostala krycí názov Olympic Games a zrodila sa ako spoločný americko- izraelský podnik. Podľa neskorších rekonštrukcií v médiách ju navrhla americká NSA ešte za prezidenta Georgea W. Busha a pokračovala za Baracka Obamu; na izraelskej strane sa pripojila Jednotka 8200, technická spravodajská zložka, ktorá je obdobou NSA. Izrael do hry priniesol presnú znalosť Natanzu a centrifúg — vedel, ako závod funguje zvnútra.
Zámer bol odvážny: napadnúť stroje, ktoré nie sú pripojené na internet. Natanz bol totiž „vzduchovo oddelený" (air-gapped) — jeho riadiace počítače boli zámerne izolované od vonkajšej siete, presne preto, aby sa k nim nedalo dostať na diaľku. Útok teda musel preskočiť priepasť, cez ktorú nevedie žiaden kábel.
Tu treba vysvetliť jedno slovo, na ktorom celý príbeh stojí: PLC. Je to malý priemyselný počítač — programovateľný logický automat — ktorý v továrňach riadi fyzické stroje. Nemá obrazovku ani myš; len ticho vykonáva príkazy: zapni motor, nastav otáčky, otvor ventil. V Natanze takéto automaty od firmy Siemens, programované cez softvér menom Step7, ovládali rýchlosť centrifúg. Kto ovládne PLC, ovládne stroj. A presne na to bol malware Stuxnet ušitý — nie aby kradol dáta ako bežný vírus, ale aby siahol do reálneho sveta a niečo v ňom fyzicky zlomil.
Prevedenie
Aby sa dostal cez vzduchovú medzeru, šíril sa Stuxnet cez USB kľúče. Stačilo, aby si niekto — technik, dodávateľ, údržbár — zapojil nakazený kľúč do počítača vnútri závodu. Odtiaľ sa malware potichu rozliezol po vnútornej sieti a hľadal svoj cieľ s prekvapivou presnosťou. Ignoroval bežné počítače; ožil len tam, kde našiel konkrétnu konfiguráciu Siemens Step7 riadiacu konkrétny typ meničov frekvencie — teda zariadenie, ktoré určuje otáčky centrifúg. Na miliónoch iných počítačov po svete sa neprejavil vôbec.
Keď našiel, čo hľadal, urobil dve veci naraz. Po prvé, prevzal kontrolu nad otáčkami. Centrifúgy, ktoré bežia stálou rýchlosťou, krátko vyhnal na ničivé hodnoty a inokedy ich takmer zastavil — striedavé prudké zrýchľovanie a brzdenie namáhalo rotory, až praskali a ničili sa. Po druhé, a to bola tá zákerná časť, operátorom to zatajil. Stuxnet si vopred nahral, ako vyzerajú normálne údaje za bežnej prevádzky, a počas sabotáže túto nahrávku prehrával na monitoroch. Riadiaca miestnosť videla pokoj, zatiaľ čo v hale sa rúcali stroje. Útočník teda sedel medzi senzorom a obrazovkou a každému klamal inak.
Účinok sa hromadil pomaly, čo bol zámer. Namiesto jednej veľkej poruchy, ktorá by spustila poplach, prichádzali poruchy zdanlivo náhodné, rozhádzané v čase — presne tak, ako vyzerajú chyby vo výrobe alebo opotrebovanie. Iránci tak roky netušili, že ide o útok, a strácali čas naháňaním vlastných ľudí. Koľko centrifúg Stuxnet napokon vyradil, nikto presne nevie a odhady sa rôznia. Podľa analýzy washingtonského inštitútu ISIS (Institute for Science and International Security, David Albright) prišiel Natanz koncom roka 2009 a začiatkom 2010 zhruba o tisíc z približne piatich tisíc inštalovaných centrifúg — teda asi o pätinu. Iné prepočty kladú škodu nižšie či vyššie, niekde do pásma desať až tridsať percent; presné číslo zostáva odhadom.
Bilancia
Operácia, ktorá mala byť navždy neviditeľná, sa prezradila vlastnou chybou. Niektorá z neskorších verzií malwaru sa šírila priveľmi agresívne. Keď nakazený notebook jedného z inžinierov opustil Natanz a pripojil sa doma na internet, Stuxnet nerozpoznal, že je už mimo cieľového prostredia, a začal sa kopírovať do sveta. Zbraň ušitá na jediný iránsky závod sa zrazu objavovala na počítačoch od Indie po Indonéziu.
V júni 2010 ju zachytila malá bieloruská antivírusová firma VirusBlokAda; jej technik Sergej Ulasen riešil, prečo sa zákazníkovi neustále reštartujú počítače, a narazil na čosi, čo nikdy predtým nevidel. V kóde sa skrýval reťazec, z ktorého analytici neskôr poskladali meno Stuxnet. Keď sa do vzorky pustili ďalšie firmy — Symantec, Kaspersky a najmä nemecký expert na priemyselné systémy Ralph Langner — postupne odhalili to nepredstaviteľné: nešlo o vírus na kradnutie hesiel, ale o zbraň navrhnutú tak, aby ničila konkrétne iránske centrifúgy. Tajná operácia sa stala témou titulných strán.
Iránu únik fyzicky pomohol — vedel teraz, čo ho roky ničí, a mohol systémy očistiť a zabezpečiť. Pre autorov to bola cena za vlastnú neopatrnosť: zbraň, ktorá sa mala stratiť v tichu, namiesto toho dala svetu návod, ako čosi také vyzerá.
Následky
Stuxnet bol prvý verejne známy prípad kyber-fyzickej zbrane — kódu, ktorý neukradne ani nezmaže dáta, ale spôsobí fyzickú škodu v reálnom svete. Dovtedy patrila predstava počítačového útoku, ktorý láme kov a zastavuje stroje, do filmov. Po Natanze sa stala doloženým faktom.
Tým sa otvorila nová éra. Štáty pochopili, že priemyselné riadiace systémy (elektrárne, vodárne, továrne, rozvodné siete) sú zraniteľné rovnako ako stroje v Natanze, a začali budovať vlastné ofenzívne aj obranné kapacity. Vznikla nová trieda zbraní s lákavou vlastnosťou: dá sa nimi udrieť bez priznania, lebo kód nenosí vlajku. S ňou prišla otázka, na ktorú dodnes niet jasnej odpovede. Kedy je takýto útok „len" sabotážou a kedy už aktom vojny?
Ani USA, ani Izrael Stuxnet oficiálne nepriznali. Atribúcia stojí na technickej analýze kódu a na investigatívnych rekonštrukciách novinárov a bývalých predstaviteľov, nie na priznaní.
V podzemnej hale v Natanze zostali stovky hliníkových valcov, ktoré sa pretrhli zvnútra, kým monitory nad nimi ukazovali pokojné zelené čísla. A po svete, od Indie po Indonéziu, kópie kódu, ktorý sa mal navždy stratiť v tichu jediného závodu, a namiesto toho unikol von ako vzorka, podľa ktorej sa už dala napísať ďalšia.
V populárnej kultúre
Zero Days (2016) — dokument Alexa Gibneyho, ktorý rozpletá príbeh Stuxnetu, operáciu Olympic Games a spoluprácu NSA a izraelskej Jednotky 8200. Dôkladný a prístupný úvod do témy aj pre laika.
Zdroje: Wikipedia: Stuxnet / Operation Olympic Games; CFR Cyber Operations Tracker (Stuxnet); Kaspersky: What is Stuxnet; IEEE Spectrum: The Real Story of Stuxnet (Ralph Langner); ISIS / Institute for Science and International Security (analýzy poškodenia centrifúg v Natanze); CSO Online: Stuxnet explained.