Уласень столкнулся с редкой и очень востребованной вещью – «уязвимостью нулевого дня». Так на хакерском сленге называется неизвестная ранее уязвимость в программном обеспечении. «Нулевым» день ее обнаружения считается потому, что, как только о ней узнают компании, законно работающие в сфере обеспечения кибербезопасности, начинается обратный отсчет к тому моменту, когда ошибка будет исправлена, а хакеры лишатся возможности ее эксплуатировать. Но, пока отсчет не начат, жертвы остаются беззащитными – и хакеры пользуются моментом.

Обнаружить уязвимость нулевого дня нелегко, поскольку исследователи кибербезопасности – от злонамеренных до великодушных – постоянно ищут в программах слабые места. Заметить то, что не заметил никто другой, довольно сложно. И это сулит огромные прибыли. Такие уязвимости весьма востребованы у людей, которые хотят заполучить их и использовать раньше всех остальных, и существуют брокерские компании, покупающие сведения о новых уязвимостях у исследователей. Одна из них – Zerodium. Она предлагает за новые уязвимости от двух тысяч до двух миллионов долларов. Она утверждает, что работает исключительно честно и использует свои исследования, чтобы помогать клиентам из государственного сектора[302]. И ее миллионные вознаграждения – не пустые обещания. В сентябре 2017 года на сайте компании появилось объявление о награде в один миллион долларов тому, кто сможет найти неизвестную ранее уязвимость в браузере Tor, используемом для доступа к сайтам дарквеба. В разделе с часто задаваемыми вопросами на сайте Zerodium это объяснялось так:

Хотя сеть и браузер Tor – великолепные проекты, позволяющие законопослушным пользователям повышать уровень своей конфиденциальности и безопасности в интернете, во многих случаях сеть и браузер Tor используются злоумышленниками для осуществления таких действий, как торговля наркотиками и эксплуатация несовершеннолетних. Мы предлагаем эту особую награду за выявление в Tor уязвимостей нулевого дня, чтобы содействовать нашим клиентам из государственного сектора в борьбе с преступностью и делать мир лучше и безопаснее для всех[303].

Возможно, компания получила желаемое. Через год после публикации этого объявления в Twitter Zerodium появилось предостережение о том, что в старой версии Tor выявлена «серьезная уязвимость»[304]. В сообщении, однако, не указывалось, был ли этот баг обнаружен в рамках объявленной охоты. (Генеральный директор Zerodium Чауки Бекрар указывает, что живет в Вашингтоне. Он отказался дать интервью для этой книги, сославшись на «конфиденциальный и секретный» характер работы его компании.)

Тем временем Сергей Уласень изучал вирус в своей лаборатории в Минске. Очевидно, кто-то либо потратил немало времени на его создание, либо заплатил кому-то другому огромные деньги, чтобы проникнуть в Windows неизвестным прежде способом. (Уласень тогда еще не знал, что в итоге в вирусе окажется задействована не одна, а целых четыре уязвимости нулевого дня – и это, как сказал один из ведущих исследователей кибербезопасности, «незаурядно и уникально».)[305]

Уласень и его команда не сдавались:

Мы с коллегами из антивирусной лаборатории принялись внимательнее изучать этот вирус. У нас кипели жаркие споры – мы даже не стеснялись в выражениях, ведь в таких случаях стандартных подходов не существует и учились мы прямо на ходу.

Мы продолжали работать: обсуждали варианты, рисовали схемы, разрабатывали различные идеи. С каждым следующим шагом нам становилось все более дурно – мы начинали понимать, с чем имеем дело[306].

Уласень и его коллеги хотели выяснить не только как вирус повлиял на свою первую жертву, но и как он распространяется. Как мы уже узнали из этой книги, главное для злоумышленников – заставить людей активировать вредоносные программы, для чего их часто вынуждают переходить по ссылкам и скачивать прикрепленные файлы.

Впрочем, создателям вируса, попавшего под микроскоп Уласеня, не приходилось привлекать пользователей к его активации. Они нашли для этого новую и эффективную технику. Когда вы подключаете к компьютеру USB-флешку, на экране появляется маленькая иконка, говорящая о ее присутствии. Хакеры умудрились спрятать часть кода вируса в программе для создания таких иконок. Для заражения достаточно было просто вставить флешку и просмотреть ее содержимое, даже ни на что не кликая[307]. После этого вирус предпринимал попытки заразить другие компьютеры в сети.

Такого трюка прежде никто не видел, и для Уласеня и «ВирусБлокАды» он стал настоящей сенсацией. 17 июня 2010 года на сайте компании появилось предупреждение о том, что обнаруженный вирус «следует добавить в категорию чрезвычайно опасных, поскольку он сопряжен с риском вирусной эпидемии»[308]. Вскоре после того как об этом стало известно, в дело вступила компания Microsoft, программное обеспечение которой эксплуатировал вирус. Там вирус назвали Stuxnet по последовательности букв в его коде.

Сообщество специалистов по кибербезопасности не оставило без внимания объявление «ВирусБлокАды» и принялось разбирать по кусочкам вирусный код. Один из исследователей обнаружил в нем фрагменты «Siemens», «WinCC» и «Step7»[309]. Простому обывателю они ни о чем не говорят, но специалисты энергетического сектора, увидев их, насторожились. Немецкая компания Siemens производит программное обеспечение для оборудования, устанавливаемого на заводах и электростанциях. WinCC и Step7 – названия ее малоизвестных узкоспециализированных программных пакетов. Они указывались в коде не случайно: вирус не разворачивался в полной мере, если не находил на компьютере жертвы специфических программ Siemens. Было очевидно, что Stuxnet выбивается из ряда обычных вирусов, которые пытаются украсть номера кредитных карт или запустить атаку типа «отказ в обслуживании». Его создатель хотел вывести из строя реальные механизмы, что в заводской среде чревато серьезными опасностями – и даже может стоить жизни.

Другие исследователи установили уже известный Уласеню факт о том, что вирус пустил корни на территории Ирана. После распространения Stuxnet аналитики из компании Symantec выявили тридцать восемь тысяч зараженных компьютеров и обнаружили, что более двух третей из них имеют иранские IP-адреса. Они тоже заметили, что вирус ориентируется на программы Siemens, сложили два и два и сделали вывод: «Stuxnet представляет угрозу и нацеливается на конкретную автоматизированную систему управления, вероятнее всего в Иране, например на газопровод или электростанцию»[310].

Фрагменты мозаики постепенно вставали на свои места, но только специалист по автоматизированным системам управления (АСУ) смог разгадать загадку вируса Stuxnet.

Ральф Лангнер руководил своей компанией, работающей в Гамбурге, в Германии. В отличие от многих исследователей технологической безопасности он прекрасно разбирался в устройстве электростанций. Кроме того, он работал с некоторыми устройствами, используемыми в отрасли, – в частности, с блоками управления, которые связывают компьютеры энергетических компаний с оборудованием, установленным на станциях. Зная, что вирус заражает такие блоки через программы