Fremtiden for krigføring har kanskje nettopp begynt, men i stedet for å bli varslet av en eksplosjon, begynte den uten en lyd eller et eneste havari.
Det er den første i sitt slag, og kan være et signal om måtene alle kriger utkjempes på fra nå av. Det er et cybervåpen som er så presist at det kan ødelegge et mål mer effektivt enn et konvensjonelt eksplosiv, og så ganske enkelt slette seg selv, og la ofrene få skylde på seg selv. Det er et våpen som er så forferdelig at det kan tenkes å gjøre mer enn bare å skade fysiske gjenstander, det kan drepe ideer. Det er Stuxnet-ormen, kalt av mange som verdens første virkelige våpen for cyberkrigføring, og dens første mål var Iran.
Anbefalte videoer
Daggryet til nettkrigføring
Stuxnet er nesten som noe ut av en Tom Clancy-roman. I stedet for å sende inn missiler for å ødelegge et atomanlegg som truer hele regionen og verden, og som er overvåket av en president som har hevdet at han ønsker å se en hel rase med mennesker «slettet av kartet», kan et enkelt datavirus introduseres som vil gjøre jobben langt mer effektivt. Å angripe en struktur med missiler kan føre til krig, og dessuten kan bygninger bygges opp igjen. Men å infisere et system så fullstendig at folk som bruker det begynner å tvile på sin tro på egne evner, vil ha langt mer ødeleggende langtidseffekter.
I et sjeldent øyeblikk med åpenhet fra Iran har nasjonen gjort det bekreftet at Stuxnet malware (navnet stammer fra nøkkelord begravd i koden) som opprinnelig ble oppdaget i juli, har skadet landets atomambisjoner. Selv om Iran bagatelliserer hendelsen, noen rapporter tyder på at ormen var så effektiv at den kan ha satt det iranske atomprogrammet tilbake med flere år.
I stedet for bare å infisere et system og ødelegge alt det berører, er Stuxnet langt mer sofistikert enn som så, og langt mer effektivt også.
Ormen er smart og tilpasningsdyktig. Når den går inn i et nytt system, forblir den i dvale og lærer seg sikkerhetssystemet til datamaskinen. Når den først kan operere uten å slå alarm, søker den etter svært spesifikke mål og begynner å angripe visse systemer. I stedet for bare å ødelegge målene sine, gjør den noe langt mer effektivt – den villeder dem.
I et kjernefysisk anrikningsprogram er en sentrifuge et grunnleggende verktøy som trengs for å foredle uranet. Hver sentrifuge som bygges følger den samme grunnleggende mekanikken, men den tyske produsenten Siemens tilbyr det mange anser som det beste i bransjen. Stuxnet oppsøkte Siemens-kontrollerne og tok kommandoen over måten sentrifugen snurrer på. Men i stedet for bare å tvinge maskinene til å snurre til de ødela seg selv – noe ormen var mer enn i stand til å gjøre – gjorde Stuxnet subtile og langt mer utspekulerte endringer på maskinene.
Når en uranprøve ble satt inn i en Stuxnet-infisert sentrifuge for foredling, ville viruset beordre maskinen til å snurre raskere enn den var designet for, og så plutselig stoppe. Resultatene var tusenvis av maskiner som ble utslitt år før skjema, og enda viktigere, ødelagte prøver. Men virusets virkelige triks var at mens det saboterte maskineriet, ville det forfalske avlesningene og få det til å se ut som om alt fungerte innenfor de forventede parameterne.
Etter måneder med dette begynte sentrifugene å slites ned og gå i stykker, men som avlesningene fortsatt så ut til å være innenfor normene, begynte forskerne knyttet til prosjektet å gjette dem selv. Iranske sikkerhetsagenter begynte å undersøke feilene, og de ansatte ved atomanleggene levde under en sky av frykt og mistenksomhet. Dette pågikk i over ett år. Hvis viruset hadde klart å unngå oppdagelse, ville det til slutt ha slettet seg selv helt og latt iranerne lure på hva de gjorde galt.
I 17 måneder klarte viruset å stille seg inn i de iranske systemene, sakte ødelegge livsviktige prøver og skade nødvendig utstyr. Kanskje mer enn skadene på maskineriet og prøvene var kaoset programmet ble kastet ut i.
Iranerne innrømmer motvillig noe av skaden
Irans president Mahmoud Ahmadinejad har hevdet at Stuxnet «klarte å skape problemer for et begrenset antall av våre sentrifuger», som er en endring fra Irans tidligere påstand om at ormen hadde infisert 30 000 datamaskiner, men ikke hadde påvirket atomkraftverket fasiliteter. Noen rapporter foreslå ved Natanz-anlegget, som huser de iranske anrikningsprogrammene, 5.084 av 8.856 sentrifuger i bruk ved det iranske atomkraftverket anlegg ble tatt offline, muligens på grunn av skade, og anlegget har blitt tvunget til å stenge ned minst to ganger på grunn av effektene av virus.
Stuxnet målrettet også den russiskproduserte dampturbinen som driver Bushehr-anlegget, men det ser ut til at viruset ble oppdaget før noen reell skade kunne gjøres. Hvis viruset ikke hadde blitt avdekket, ville det til slutt ha kjørt turbinenes turtall for høyt og forårsaket uopprettelig skade på hele kraftverket. Temperatur- og kjølesystemer er også identifisert som mål, men resultatene av ormen på disse systemene er ikke klare.
Oppdagelsen av ormen
I juni i år fant de Hviterussland-baserte antivirusspesialistene VirusBlokAda et tidligere ukjent skadelig programvare på datamaskinen til en iransk kunde. Etter å ha undersøkt det, oppdaget antivirusselskapet at det var spesielt designet for å målrette mot Siemens SCADA (tilsynskontroll og datainnsamling) styringssystemer, som er enheter som brukes i stor skala produksjon. Den første ledetråden om at noe var annerledes med denne ormen var at når varselet var blitt hevet, hver selskapet som forsøkte å sende varslingen videre ble deretter angrepet og tvunget til å stenge ned i minst 24 timer. Metodene og årsakene til angrepene er fortsatt et mysterium.
Når viruset ble oppdaget, ble selskaper som Symantec og Kaspersky, to av de største antivirusselskapene i verden, samt flere etterretningsbyråer, begynte å forske på Stuxnet, og fant resultater som raskt gjorde det åpenbart at dette ikke var noen vanlig skadevare.
I slutten av september hadde Symantec oppdaget at nesten 60 prosent av alle maskinene som ble infisert i verden var lokalisert i Iran. Når det var blitt oppdaget, ble det mer og mer tydelig at viruset ikke var designet ganske enkelt for å forårsake problemer, som mange deler av skadelig programvare er, men det hadde et veldig spesifikt formål og en mål. Sofistikasjonsnivået var også godt over noe tidligere, noe som fikk Ralph Langner, datasikkerhetseksperten som først oppdaget viruset, til å erklære at det var «som ankomsten av en F-35 til en slagmark fra første verdenskrig».
Hvordan det fungerte
Stuxnet retter seg spesifikt mot Windows 7-operativsystemer, som ikke tilfeldigvis er det samme operativsystemet som brukes ved det iranske atomkraftverket. Ormen bruker fire zero-day-angrep og retter seg spesifikt mot Siemens WinCC/PCS 7 SCADA-programvare. En nulldagstrussel er en sårbarhet som enten er ukjent eller uanmeldt av produsenten. Disse er generelt systemkritiske sårbarheter, og når de først er oppdaget, lappes de umiddelbart. I dette tilfellet hadde de to av zero-day-elementene blitt oppdaget og var i nærheten av å få utgitt en rettelse, men to andre hadde aldri blitt oppdaget av noen. Når ormen var i systemet, begynte den å utnytte andre systemer i det lokale nettverket den var målrettet mot.
Da Stuxnet jobbet seg gjennom de iranske systemene, ble det utfordret av systemets sikkerhet til å presentere et legitimt sertifikat. Skadevaren presenterte deretter to autentiske sertifikater, ett fra kretsprodusenten JMicron, og det andre fra maskinvareprodusenten Realtek. Begge selskapene er lokalisert i Taiwan bare noen kvartaler unna hverandre, og begge sertifikatene ble bekreftet å ha blitt stjålet. Disse autentiske sertifikatene er en av grunnene til at ormen var i stand til å forbli uoppdaget så lenge.
Skadevaren hadde også muligheten til å kommunisere via peer-to-peer-deling når en Internett-tilkobling var til stede, noe som gjorde det mulig for den å oppgradere etter behov og rapportere om fremgangen. Serverne som Stuxnet kommuniserte med var lokalisert i Danmark og Malaysia, og begge ble stengt etter at ormen ble bekreftet å ha kommet inn i Natanz-anlegget.
Etter hvert som Stuxnet begynte å spre seg gjennom de iranske systemene, begynte det å målrette kun mot "frekvensomformerne" som var ansvarlige for sentrifuger. Ved å bruke frekvensomformere som markører, så ormen spesifikt etter stasjoner fra to leverandører: Vacon, som er basert i Finland, og Fararo Paya, som er basert i Iran. Den overvåker deretter de spesifiserte frekvensene, og angriper bare hvis et system kjører mellom 807Hz og 1210Hz, en ganske sjelden frekvens som forklarer hvordan ormen så spesifikt kunne målrette mot iranske atomkraftverk til tross for spredning rundt om i verden. Stuxnet går deretter i gang med å endre utgangsfrekvensen, noe som påvirker de tilkoblede motorene. Selv om minst 15 andre Siemens-systemer har rapportert infeksjon, har ingen fått noen skade fra ormen.
For først å nå atomanlegget, måtte ormen bringes inn i systemet, muligens på en USB-stasjon. Iran bruker et "air gap" sikkerhetssystem, noe som betyr at anlegget ikke har noen tilkobling til Internett. Dette kan forklare hvorfor ormen spredte seg så langt, ettersom den eneste måten for den å infisere systemet er å målrette et bredt område og fungere som en Trojan mens han venter på at en iransk atomansatt skal motta en infisert fil vekk fra anlegget og bringe den fysisk inn i anlegg. På grunn av dette vil det være nesten umulig å vite nøyaktig hvor og når infeksjonen startet, da den kan ha blitt brakt inn av flere intetanende ansatte.
Men hvor kom det fra, og hvem utviklet det?
Mistanker om hvor ormen har sin opprinnelse er utbredt, og den mest sannsynlige enkeltmistenkte er Israel. Etter å ha undersøkt viruset grundig, har Kaspersky Labs annonsert at angrepsnivået og sofistikeringen som det ble utført med bare kunne ha blitt utført "med nasjonalstatsstøtte", noe som utelukker privat hacker grupper, eller enda større grupper som har brukt hacking som et middel for å få et mål, for eksempel den russiske mafiaen, som er mistenkt for å opprette en trojansk orm som er ansvarlig for stjele over 1 million dollar fra en britisk bank.
Israel innrømmer fullt ut at de anser nettkrigføring som en bærebjelke i sin forsvarsdoktrine, og gruppen kjent som Unit 8200, en Israelsk forsvarsstyrke som anses å være den grove ekvivalenten til USAs NSA, vil være den mest sannsynlige gruppen ansvarlig.
Enhet 8200 er den største divisjonen i den israelske forsvarsstyrken, og likevel er flertallet av operasjonene ukjente - selv identiteten til brigadegeneralen som er ansvarlig for enheten er klassifisert. Blant dens mange bedrifter, en rapportere hevder at under et israelsk luftangrep på et mistenkt syrisk atomanlegg i 2007, aktiverte enhet 8200 en hemmelig cyberdrepsbryter som deaktiverte store deler av den syriske radaren.
For ytterligere å gi troverdighet til denne teorien, skjøt Israel i 2009 datoen for når de forventer at Iran skal ha rudimentære atomvåpen til 2014. Dette kan ha vært et resultat av å ha hørt om problemer, eller det kan tyde på at Israel visste noe ingen andre gjorde.
USA er også en hovedmistenkt, og i mai i år hevdet Iran å ha arrestert 30 personer den hevder var involvert i å hjelpe USA med å føre en "cyberkrig" mot Iran. Iran har også hevdet at Bush-administrasjonen finansierte en plan på 400 millioner dollar for å destabilisere Iran ved å bruke cyberangrep. Iran har hevdet at Obama-administrasjonen har videreført den samme planen, og til og med satt fart på noen av prosjektene. Kritikere har uttalt at Irans påstander bare er en unnskyldning for å utrydde «uønskede», og arrestasjonene er et av mange stridspunkter mellom Iran og USA.
Men ettersom viruset fortsetter å bli studert og flere svar dukket opp angående dets funksjon, blir flere mysterier reist om opprinnelsen.
Ifølge Microsoft ville viruset ha tatt minst 10 000 timer med koding, og tatt et team på fem personer eller mer, minst seks måneder med dedikert arbeid. Mange spekulerer nå i at det vil kreve en samlet innsats fra flere nasjoners etterretningsmiljøer som alle jobber sammen for å skape ormen. Mens israelerne kanskje har besluttsomheten og teknikerne, hevder noen at det vil kreve USAs teknologinivå for å kode skadevaren. Å vite den nøyaktige naturen til Siemens-maskineriet i den grad Stuxnet gjorde, kan tyde på tysk involvering, og russerne kan ha vært involvert i å detaljere spesifikasjonene til det russiske maskineriet brukt. Ormen ble skreddersydd for å operere på frekvenser som involverte finske komponenter, noe som tyder på at Finland, og kanskje NATO også er involvert. Men det er fortsatt flere mysterier.
Ormen ble ikke oppdaget på grunn av dens handlinger ved de iranske atomanleggene, men snarere som et resultat av den utbredte infeksjonen av Stuxnet. Den sentrale prosesseringskjernen til det iranske kjernefysiske prosessanlegget ligger dypt under jorden, og er totalt avskåret fra Internett. For at ormen skal infisere systemet, må den ha blitt brakt inn på datamaskinen eller en flash-stasjon til et medlem av personalet. Alt som trengs er en enkelt ansatt for å ta med seg arbeid hjem, for så å returnere og sette inn noe som ufarlig som en flash-stasjon inn i datamaskinen, og Stuxnet ville begynne sin stille marsj til det spesifikke maskineriet det ville.
Men spørsmålet blir da: Hvorfor utviklet personene som er ansvarlige for viruset et så utrolig sofistikert nettvåpen, og deretter slapp det ut på en slik slurvet metode? Hvis målet var å forbli uoppdaget, er utgivelsen av et virus som har evnen til å replikere med den hastigheten det har vist, slurvete. Det var et spørsmål om når, ikke om, viruset ville bli oppdaget.
Den mest sannsynlige årsaken er at utviklerne rett og slett ikke brydde seg. Å plante skadevaren mer forsiktig ville ha tatt mye mer tid, og overføringen av ormen til de spesifikke systemene kan ta mye lengre tid. Hvis et land leter etter umiddelbare resultater for å stoppe det det kan se som et forestående angrep, kan hastigheten overtrumfe forsiktighet. Det iranske atomanlegget er det eneste infiserte systemet som rapporterer reell skade fra Stuxnet, så risikoen for andre systemer ser ut til å være minimal.
Så hva neste?
Siemens har gitt ut et gjenkjennings- og fjerningsverktøy for Stuxnet, men Iran er det fortsatt sliter for å fjerne skadelig programvare fullstendig. Så sent som 23. november var det iranske anlegget Natanz tvunget å stenge, og ytterligere forsinkelser er ventet. Etter hvert skulle atomprogrammet være i gang igjen.
I en separat, men muligens relatert historie, ble tidligere denne uken to iranske forskere drept av separate, men identiske bombeangrep i Teheran, Iran. På en pressekonferanse dagen etter, president Ahmadinejad fortalte journalister at "Utvilsomt er hånden til det sionistiske regimet og vestlige regjeringer involvert i attentatet."
Tidligere i dag, iranske tjenestemenn hevdet å ha foretatt flere arrestasjoner i bombingene, og selv om de mistenktes identiteter ikke er frigitt, har Irans etterretningsminister sagt « tre spionbyråer av Mossad, CIA og MI6 hadde en rolle i (angrepene), og med arrestasjonen av disse menneskene vil vi finne nye ledetråder for å arrestere andre elementer»
Kombinasjonen av bombingene og skadene forårsaket av Stuxnet-viruset bør veie tungt over de kommende samtalene mellom Iran og en seks-nasjons konføderasjon av Kina, Russland, Frankrike, Storbritannia, Tyskland og USA 6. desember og 7. Samtalene er ment å fortsette dialogen om Irans mulige atomambisjoner.
