Fremtiden for krigsførelse er måske lige begyndt, men i stedet for at blive varslet af en eksplosion, begyndte den uden en lyd eller et eneste tab.
Det er den første af sin art og kan være et signal om, hvordan alle krige udkæmpes fra nu af. Det er et cybervåben, der er så præcist, at det kan ødelægge et mål mere effektivt end et konventionelt sprængstof, og så blot slette sig selv, hvilket efterlader ofrene at bebrejde sig selv. Det er et våben, der er så forfærdeligt, at det kunne tænkes at gøre mere end blot at beskadige fysiske genstande, det kunne dræbe ideer. Det er Stuxnet-ormen, af mange døbt som verdens første rigtige cyberkrigsvåben, og dens første mål var Iran.
Anbefalede videoer
Cyberkrigens begyndelse
Stuxnet er næsten som noget ud af en Tom Clancy-roman. I stedet for at sende missiler ind for at ødelægge et atomkraftværk, der truer hele regionen og verden, og som er overvåget af en præsident, der har hævdet at han gerne vil se en hel race af mennesker "slettet af kortet", kan en simpel computervirus introduceres, der vil gøre arbejdet langt mere effektivt. At angribe en struktur med missiler kan føre til krig, og desuden kan bygninger genopbygges. Men at inficere et system så fuldstændigt, at de mennesker, der bruger det, begynder at tvivle på deres tro på deres egne evner, vil have langt mere ødelæggende langsigtede virkninger.
I et sjældent øjeblik af åbenhed fra Iran har nationen bekræftet at Stuxnet-malwaren (navnet stammer fra nøgleord begravet i koden), der oprindeligt blev opdaget i juli, har skadet landets nukleare ambitioner. Selvom Iran bagatelliserer hændelsen, er der nogle rapporter tyder på, at ormen var så effektiv, at den kan have sat det iranske atomprogram tilbage med flere år.
I stedet for blot at inficere et system og ødelægge alt, hvad det rører ved, er Stuxnet langt mere sofistikeret end som så, og også langt mere effektivt.
Ormen er smart og tilpasningsdygtig. Når den går ind i et nyt system, forbliver den i dvale og lærer computerens sikkerhedssystem. Når den først kan fungere uden at slå alarm, opsøger den så meget specifikke mål og begynder at angribe visse systemer. I stedet for blot at ødelægge sine mål, gør den noget langt mere effektivt - det vildleder dem.
I et nuklear berigelsesprogram er en centrifuge et grundlæggende værktøj, der er nødvendigt for at raffinere uran. Hver bygget centrifuge følger den samme grundlæggende mekanik, men den tyske producent Siemens tilbyder, hvad mange anser for at være den bedste i branchen. Stuxnet opsøgte Siemens-controllerne og overtog kommandoen over den måde, hvorpå centrifugen drejer. Men i stedet for blot at tvinge maskinerne til at dreje, indtil de ødelagde sig selv – hvilket ormen var mere end i stand til at gøre – lavede Stuxnet subtile og langt mere lumske ændringer af maskinerne.
Når en uranprøve blev indsat i en Stuxnet-inficeret centrifuge til forfining, ville virussen beordre maskinen til at dreje hurtigere, end den var designet til, og så pludselig stoppe. Resultaterne var tusindvis af maskiner, der blev slidt år før tidsplanen, og endnu vigtigere, ødelagte prøver. Men virussens virkelige trick var, at mens den saboterede maskineriet, ville den forfalske aflæsningerne og få det til at se ud, som om alt fungerede inden for de forventede parametre.
Efter måneder med dette, begyndte centrifugerne at blive slidt ned og gå i stykker, men som aflæsningerne stadig syntes at være inden for normerne, begyndte forskerne, der var tilknyttet projektet, at gætte dem selv. Iranske sikkerhedsagenter begyndte at efterforske fejlene, og personalet på de nukleare anlæg levede under en sky af frygt og mistænksomhed. Dette fortsatte i over et år. Hvis virussen helt havde formået at undgå opdagelse, ville den i sidste ende have slettet sig selv helt og ladet iranerne undre sig over, hvad de gjorde forkert.
I 17 måneder lykkedes det virussen stille og roligt at arbejde sig ind i de iranske systemer, langsomt ødelægge vitale prøver og beskadige nødvendigt udstyr. Måske mere end skaden på maskineriet og prøverne var det kaos, programmet blev kastet ud i.
Iranerne indrømmer modvilligt nogle af skaderne
Det har den iranske præsident Mahmoud Ahmadinejad hævdede at Stuxnet "formåede at skabe problemer for et begrænset antal af vores centrifuger", hvilket er en ændring fra Irans tidligere påstand om, at ormen havde inficeret 30.000 computere, men ikke havde påvirket det nukleare faciliteter. Nogle rapporter antyder på Natanz-anlægget, som huser de iranske berigelsesprogrammer, 5.084 ud af 8.856 centrifuger i brug ved det iranske atomkraftværk faciliteter blev taget offline, muligvis på grund af skader, og anlægget har været tvunget til at lukke ned mindst to gange på grund af virkningerne af virus.
Stuxnet målrettede også den russisk-fremstillede dampturbine, der driver Bushehr-anlægget, men det ser ud til, at virussen blev opdaget, før nogen reel skade kunne ske. Hvis virussen ikke var blevet afsløret, ville den i sidste ende have kørt turbinernes omdrejninger for højt og forårsaget uoprettelig skade på hele kraftværket. Temperatur- og kølesystemer er også blevet identificeret som mål, men resultaterne af ormen på disse systemer er ikke klare.
Opdagelsen af ormen
I juni i år fandt de hviderussiske antivirusspecialister, VirusBlokAda, et hidtil ukendt malwareprogram på en iransk kundes computer. Efter at have undersøgt det, opdagede antivirusfirmaet, at det var specifikt designet til at målrette mod Siemens SCADA (tilsynskontrol og dataindsamling) ledelsessystemer, som er enheder, der bruges i stor skala fremstilling. Det første fingerpeg om, at noget var anderledes ved denne orm var, at når alarmen var blevet rejst, hver selskab, der forsøgte at videregive alarmen, blev efterfølgende angrebet og tvunget til at lukke ned i mindst 24 timer. Metoderne og årsagerne til angrebene er stadig et mysterium.
Da virussen var blevet opdaget, kunne virksomheder som Symantec og Kaspersky, to af de største antivirusvirksomheder i verden, samt flere efterretningsbureauer, begyndte at undersøge Stuxnet og fandt resultater, der hurtigt gjorde det klart, at der ikke var tale om almindelig malware.
Ved udgangen af september havde Symantec opdaget, at næsten 60 procent af alle de inficerede maskiner i verden var placeret i Iran. Da det var blevet opdaget, blev det mere og mere tydeligt, at virussen ikke var designet simpelthen for at skabe problemer, som mange stykker malware er, men det havde et meget specifikt formål og et mål. Niveauet af sofistikering var også langt over noget tidligere set, hvilket fik Ralph Langner, computersikkerhedseksperten, der først opdagede virussen, til at erklære at det var "som ankomsten af en F-35 til en slagmark fra Første Verdenskrig".
Hvordan det virkede
Stuxnet retter sig specifikt mod Windows 7-operativsystemer, som ikke tilfældigt er det samme styresystem, der bruges på det iranske atomkraftværk. Ormen bruger fire zero-day-angreb og er specifikt rettet mod Siemens' WinCC/PCS 7 SCADA-software. En nuldagstrussel er en sårbarhed, der enten er ukendt eller uanmeldt af producenten. Disse er generelt systemkritiske sårbarheder, og når de først er opdaget, lappes de straks. I dette tilfælde var de to af nul-dag-elementerne blevet opdaget og var tæt på at få frigivet en rettelse, men to andre var aldrig blevet opdaget af nogen. Når ormen var i systemet, begyndte den at udnytte andre systemer i det lokale netværk, den var målrettet mod.
Da Stuxnet arbejdede sig gennem de iranske systemer, blev det udfordret af systemets sikkerhed til at fremvise et legitimt certifikat. Malwaren præsenterede derefter to autentiske certifikater, det ene fra kredsløbsproducenten JMicron og det andet fra computerhardwareproducenten Realtek. Begge virksomheder er placeret i Taiwan kun få gader væk fra hinanden, og begge certifikater blev bekræftet som værende stjålet. Disse autentiske certifikater er en af grundene til, at ormen var i stand til at forblive uopdaget så længe.
Malwaren havde også evnen til at kommunikere via peer-to-peer-deling, når en internetforbindelse var til stede, hvilket gjorde det muligt for den at opgradere efter behov og rapportere dens fremskridt tilbage. Serverne, som Stuxnet kommunikerede med, var placeret i Danmark og Malaysia, og begge blev lukket ned, da det blev bekræftet, at ormen var kommet ind på Natanz-anlægget.
Da Stuxnet begyndte at sprede sig gennem de iranske systemer, begyndte det kun at målrette mod de "frekvensomformere", der var ansvarlige for centrifuger. Ved at bruge drev med variabel frekvens som markører ledte ormen specifikt efter drev fra to leverandører: Vacon, som er baseret i Finland, og Fararo Paya, som er baseret i Iran. Det overvåger derefter de angivne frekvenser og angriber kun, hvis et system kører mellem 807Hz og 1210Hz, en ret sjælden frekvens, der forklarer, hvordan ormen så specifikt kunne målrette mod iranske atomkraftværker på trods af at den spredte sig over hele verden. Stuxnet går så i gang med at ændre udgangsfrekvensen, hvilket påvirker de tilsluttede motorer. Selvom mindst 15 andre Siemens systemer har rapporteret infektion, har ingen pådraget sig nogen skade fra ormen.
For først at nå det nukleare anlæg skulle ormen bringes ind i systemet, muligvis på et USB-drev. Iran bruger et "air gap"-sikkerhedssystem, hvilket betyder, at anlægget ikke har forbindelse til internettet. Dette kan forklare, hvorfor ormen spredte sig så langt, da den eneste måde for den at inficere systemet på var at målrette et bredt område og fungere som en Trojan, mens han venter på, at en iransk nuklear ansat modtager en inficeret fil væk fra anlægget og fysisk bringe den ind i plante. På grund af dette vil det være næsten umuligt at vide præcis, hvor og hvornår infektionen startede, da den kan være anlagt af flere intetanende medarbejdere.
Men hvor kom det fra, og hvem udviklede det?
Mistanken om, hvor ormen stammer fra, er udbredt, og den mest sandsynlige enkeltmistænkte er Israel. Efter at have undersøgt virussen grundigt, har Kaspersky Labs annonceret at angrebsniveauet og det sofistikerede, hvormed det blev udført, kun kunne have været udført "med nationalstatsstøtte", hvilket udelukker privat hacker grupper, eller endnu større grupper, der har brugt hacking som et middel til at nå målet, såsom den russiske mafia, der er mistænkt for at skabe en trojansk orm, der er ansvarlig for stjæle over 1 million dollars fra en britisk bank.
Israel indrømmer fuldt ud, at det betragter cyberkrig som en søjle i dets forsvarsdoktrin, og gruppen kendt som Unit 8200, en Den israelske forsvarsstyrke, der anses for at være den omtrentlige ækvivalent til USA's NSA, ville være den mest sandsynlige gruppe ansvarlig.
Enhed 8200 er den største division i den israelske forsvarsstyrke, og alligevel er størstedelen af dens operationer ukendt - selv identiteten af den brigadegeneral, der er ansvarlig for enheden, er klassificeret. Blandt dens mange bedrifter, en rapport hævder, at under et israelsk luftangreb på et formodet syrisk atomanlæg i 2007, aktiverede enhed 8200 en hemmelig cyberdræberkontakt, der deaktiverede store dele af den syriske radar.
For yderligere at give troværdighed til denne teori skubbede Israel i 2009 datoen for, hvornår det forventer, at Iran vil have rudimentære atomvåben, tilbage til 2014. Dette kan have været et resultat af at have hørt om problemer, eller det kunne tyde på, at Israel vidste noget, ingen andre gjorde.
USA er også en hovedmistænkt, og i maj i år hævdede Iran at have anholdt 30 personer, den hævder, var involveret i at hjælpe USA med at føre en "cyberkrig" mod Iran. Iran har også hævdet, at Bush-administrationen finansierede en $400 millioner plan for at destabilisere Iran ved at bruge cyberangreb. Iran har hævdet, at Obama-administrationen har fortsat den samme plan og endda fremskyndet nogle af projekterne. Kritikere har udtalt, at Irans påstande blot er en undskyldning for at udrydde "uønskede", og anholdelserne er et af mange stridspunkter mellem Iran og USA.
Men efterhånden som virussen fortsætter med at blive undersøgt, og der dukkede flere svar op vedrørende dens funktion, bliver der rejst flere mysterier om dens oprindelse.
Ifølge Microsoft ville virussen have taget mindst 10.000 timers kodning og taget et hold på fem personer eller mere, mindst seks måneders dedikeret arbejde. Mange spekulerer nu i, at det ville kræve en kombineret indsats fra flere nationers efterretningssamfund, der alle arbejder sammen for at skabe ormen. Mens israelerne måske har beslutsomheden og teknikerne, hævder nogle, at det ville kræve USAs teknologiniveau at kode malwaren. At kende den nøjagtige karakter af Siemens-maskineriet i det omfang, Stuxnet gjorde, kunne tyde på tysk involvering, og russerne kan have været involveret i at detaljere specifikationerne for det russiske maskineri Brugt. Ormen var skræddersyet til at operere på frekvenser, der involverede finske komponenter, hvilket tyder på, at Finland og måske også NATO er involveret. Men der er stadig flere mysterier.
Ormen blev ikke opdaget på grund af dens handlinger ved de iranske atomanlæg, men snarere som et resultat af den udbredte infektion af Stuxnet. Den centrale behandlingskerne i det iranske atombearbejdningsanlæg ligger dybt under jorden og er totalt afskåret fra internettet. For at ormen kan inficere systemet, skal den være bragt ind på computeren eller et flashdrev fra et medlem af personalet. Det eneste, der skal til, er en enkelt medarbejder til at tage arbejde med sig hjem, og derefter vende tilbage og indsætte noget som uskadelig som et flashdrev ind i computeren, og Stuxnet ville begynde sin stille march til det specifikke maskineri det ville.
Men spørgsmålet bliver så: Hvorfor udviklede de mennesker, der er ansvarlige for virussen, et så utroligt sofistikeret cybervåben, og frigav det derefter i, hvad der velsagtens er sådan en sjusket metode? Hvis målet var at forblive uopdaget, er udgivelsen af en virus, der har evnen til at replikere med den hastighed, den har vist, sjusket. Det var et spørgsmål om hvornår, ikke om, virussen ville blive opdaget.
Den mest sandsynlige årsag er, at udviklerne simpelthen var ligeglade. At plante malwaren mere omhyggeligt ville have taget meget længere tid, og overførslen af ormen til de specifikke systemer kan tage meget længere tid. Hvis et land leder efter øjeblikkelige resultater for at standse, hvad det kan se som et forestående angreb, så kan hastighed overtrumfe forsigtighed. Det iranske atomanlæg er det eneste inficerede system, der rapporterer reel skade fra Stuxnet, så risikoen for andre systemer ser ud til at være minimal.
Så hvad næste?
Siemens har udgivet et detektions- og fjernelsesværktøj til Stuxnet, men det er Iran stadig kæmper for at fjerne malwaren fuldstændigt. Så sent som den 23. november var det iranske anlæg i Natanz tvunget at lukke ned, og der forventes yderligere forsinkelser. Til sidst skulle atomprogrammet være oppe at køre igen.
I en separat, men muligvis relateret historie, blev to iranske videnskabsmænd tidligere på ugen dræbt af separate, men identiske bombeangreb i Teheran, Iran. På en pressekonference dagen efter, præsident Ahmadinejad fortalte journalister, at "Utvivlsomt er det zionistiske regimes og vestlige regeringers hånd involveret i attentatet."
Tidligere i dag, iranske embedsmænd hævdede at have foretaget flere anholdelser i bombeattentaterne, og selvom de mistænktes identiteter ikke er blevet frigivet, har Irans efterretningsminister sagt " tre spionagenturer af Mossad, CIA og MI6 havde en rolle i (angrebene), og med anholdelsen af disse mennesker vil vi finde nye spor for at arrestere andre elementer,"
Kombinationen af bombningerne og skaderne forårsaget af Stuxnet-virussen burde veje tungt over de kommende forhandlinger mellem Iran og en seks-nations konføderation af Kina, Rusland, Frankrig, Storbritannien, Tyskland og USA den 6. december og 7. Det er meningen, at samtalerne skal fortsætte dialogen om Irans mulige nukleare ambitioner.
