Stuxnet kan ha infisert atomanlegg

Stuxnet kan ha infisert atomanlegg

Sikkerhetsforskere tror "århundrets hack" har sabotert iranske Bushehr.

Dataormen Stuxnet er spesiallaget for å angripe industrisystemer med Windows pc-er som kjører programvaren SCADA (supervisory control and data acquisition) fra Siemens.

Det tyske industriselskapet Siemens bekrefter at 15 fabrikker på verdensbasis hittil er rammet av ormen, som potensielt kan endre oppførselen til hele industrianlegg.

Ifølge Nasjonal Sikkerhetsmyndighet (NSM) har også norsk industri blitt rammet av ormen, og retter en generell advarsel til alle norske bedrifter som kjører Siemens-systemene.

- NSM anbefaler at brukere av SCADA-systemene Siemens SIMATEC WinCC og Step 7 undersøker dem med hensyn til mulig kompromittering. Det foreløpige skadeomfanget er ukjent, skriver NSM i advarselen som er datert 29. august.

Det ble opprinnelig antatt at ormen ble brukt til industrispionasje, men dette avviser nå sikkerhetsforskerne. Stuxnet er ikke ute etter informasjon, men er spesialdesignet for å gå inn i fabrikker og omprogrammere styringssystemene.

Aldri tilkoblet internett

Fabrikksystemene er av sikkerhetshensyn som regel ikke tilkoblet internett, men ormen skal likevel ha funnet veien inn på anleggene via minnepinner som har blitt plugget inn i pc-ene på stedet.

Koden skal være uhyre avansert, skrevet i flere programmeringsspråk og bytter rett og slett ut data i kjernesystemene med sitt eget innhold.

Angrepet er utført på en så sofistikert måte at bakmennene må ha hatt tilgang på Siemens-utstyr for testing, standardpassord, samt inngående kunnskap om hvordan fabrikkene fungerer.

Dessuten bruker ikke ormen bare ett åpent sikkerhetshull for å spre seg, men fire, noe man aldri tidligere har sett. Bakmennene må også ha stjålet digitale signaturer for å få omprogrammeringen av industrisystemene til å se legitime ut.

En innebygd teller har dessuten sørget for at hver orm kun har spredt seg til tre maskiner. Dermed skal ha holdt seg inne på fabrikkens systemer og ytterligere redusert sjansen for å bli oppdaget. Trolig har den klart å arbeide i skjul i flere måneder før den ble oppdaget i juni 2010.

Microsoft reagerer

Det var det ukjente hviterussiske selskapet VirusBlokAda som først slo alarm om Stuxnet, etter å ha funnet den på maskiner i Iran. Selskapet og ormen ble for alvor kjent da Microsoft bekreftet dens eksistens en måned senere. Foreløpig har Microsoft kun tettet ett av de fire sikkerhetshullene Stuxnet utnytter.

Sikkerhetsforskere over hele verden har latt seg forbløffe over ormens egenskaper.

- Jeg vil kalle den grensesprengende, sier forskeren Roel Schouwenberg i sikkerhetsselskapet Kaspersky Lab til Computerworlds nyhetstjeneste.

- De som står bak dette må ha vært på et tydelig oppdrag om å komme seg inn i spesifikke bedrifter, mener han.

Sammen med Liam O. Murchu i Symantec har Schouwenberg jobbet med å partere ormen de siste månedene.

- Vi har definitivt aldri sett noe slikt tidligere. Det faktum at ormen kan kontrollere fysiske maskiner er temmelig urovekkende, mener Murchu, som advarer mot at ormen kan endre systemer som forblir endret også etter at ormen er død.

- Den er virkelig helt utrolig hvor mye arbeid som har gått med på å lage denne ormen, mener Murchu.

- Omstendighetene tatt i betraktning, er det mest trolige scenarioet at dette er et nasjonalt angrep fra en statlig støttet gruppe, konkluderer Schouwenberg.

Iran

Den velrenommerte tyske eksperten på industrisystemer generelt og Siemens-systemer spesielt, Ralph Langner, har også dissekert ormen. Han mener atomreaktoren Bushehr i Iran var målet, og karakteriserer ormen som "århundrets angrep".

- De har for tiden store tekniske problemer ved atomanlegget i Bushehr, skriver Langner på sin blogg, som han stadig oppdaterer med nye funn om ormen.

Bushehr-anlegget i Iran er svært omstridt. Siemens begynte byggingen av anlegget allerede i 1974, men etter en serie utsettelser og politiske drakamper overtok russiske selskaper arbeidet i 1995.

Det er uklart hvor langt russerne har kommet, men det er flere ganger blitt rapportert at anlegget skal være klart for produksjon. Vesten har signalisert sterke motforestillinger mot at Iran har tilegnet seg kjernefysisk teknologi, og frykter den skal bli brukt til atomvåpen.

Norske myndigheter

Norske sikkerhetsmyndigheter vil ikke uttale seg om sannsynligheten for at Stuxnet har infisert det iranske atomanlegget, eller hvem som kan stå bak. Les videre på neste side!

Les om: