Krigsföringens framtid kan precis ha börjat, men snarare än att bli förebådad av en explosion började den utan ett ljud eller en enda offer.
Det är det första i sitt slag och kan vara en signal om hur alla krig utkämpas från och med nu. Det är ett cybervapen så exakt att det kan förstöra ett mål mer effektivt än ett konventionellt sprängämne, och sedan helt enkelt radera sig självt och lämna offren att skylla sig själva. Det är ett vapen som är så fruktansvärt att det kan tänkas göra mer än att bara skada fysiska föremål, det kan döda idéer. Det är Stuxnet-masken, av många kallad som världens första riktiga vapen för cyberkrigföring, och dess första mål var Iran.
Rekommenderade videor
Cyberkrigföringens gryning
Stuxnet är nästan som något ur en Tom Clancy-roman. Istället för att skicka in missiler för att förstöra ett kärnkraftverk som hotar hela regionen och världen, och som övervakas av en president som har hävdat att han skulle vilja se en hel ras av människor "utplånas från kartan", ett enkelt datavirus kan introduceras som kommer att göra jobbet mycket mer effektivt. Att attackera en struktur med missiler kan leda till krig, och dessutom kan byggnader byggas upp igen. Men att infektera ett system så fullständigt att de som använder det börjar tvivla på sin tilltro till sin egen förmåga kommer att få mycket mer förödande långsiktiga effekter.
I ett sällsynt ögonblick av öppenhet från Iran har nationen gjort det bekräftad att Stuxnet malware (namnet härrör från nyckelord begravda i koden) som ursprungligen upptäcktes i juli, har skadat landets kärnkraftsambitioner. Även om Iran bagatellisera händelsen, vissa rapporterar tyder på att masken var så effektiv att den kan ha satt tillbaka det iranska kärnkraftsprogrammet med flera år.
Istället för att bara infektera ett system och förstöra allt det rör vid, är Stuxnet mycket mer sofistikerat än så, och mycket mer effektivt också.
Masken är smart och anpassningsbar. När den går in i ett nytt system förblir den vilande och lär sig datorns säkerhetssystem. När den väl kan fungera utan att larma, letar den sedan efter mycket specifika mål och börjar attackera vissa system. Istället för att bara förstöra sina mål, gör den något mycket mer effektivt – det vilseledar dem.
I ett kärnanrikningsprogram är en centrifug ett grundläggande verktyg som behövs för att förädla uranet. Varje byggd centrifug följer samma grundläggande mekanik, men den tyska tillverkaren Siemens erbjuder det som många anser vara det bästa i branschen. Stuxnet sökte upp Siemens-kontrollerna och tog kommandot över hur centrifugen snurrar. Men istället för att bara tvinga maskinerna att snurra tills de förstörde sig själva – vilket masken var mer än kapabel att göra – gjorde Stuxnet subtila och mycket mer snåla förändringar av maskinerna.
När ett uranprov sattes in i en Stuxnet-infekterad centrifug för förfining, skulle viruset beordra maskinen att snurra snabbare än den var avsedd för, och sedan plötsligt stanna. Resultaten var tusentals maskiner som nöttes år före schemat, och ännu viktigare, förstörda prover. Men virusets verkliga trick var att medan det saboterade maskineriet skulle det förfalska avläsningarna och få det att se ut som om allt fungerade inom de förväntade parametrarna.
Efter månader av detta började centrifugerna slitas ner och gå sönder, men som avläsningarna fortfarande verkade vara inom normerna, började forskarna med anknytning till projektet att andra gissningar sig själva. Iranska säkerhetsagenter började undersöka misslyckandena och personalen vid kärnkraftsanläggningarna levde under ett moln av rädsla och misstänksamhet. Detta pågick i över ett år. Om viruset hade lyckats undvika upptäckt helt och hållet skulle det till slut ha tagit bort sig självt helt och fått iranierna att undra vad de gjorde för fel.
Under 17 månader lyckades viruset i tysthet arbeta sig in i de iranska systemen, långsamt förstöra livsviktiga prover och skada nödvändig utrustning. Kanske mer än skadorna på maskineriet och proverna var kaoset som programmet kastades in i.
Iranierna erkänner motvilligt en del av skadan
Irans president Mahmoud Ahmadinejad har hävdade att Stuxnet ”lyckades skapa problem för ett begränsat antal av våra centrifuger”, vilket är en förändring från Irans tidigare påstående att masken hade infekterat 30 000 datorer, men inte hade påverkat kärnkraften anläggningar. Några rapporter föreslå vid Natanz-anläggningen, som inrymmer de iranska anrikningsprogrammen, 5 084 av 8 856 centrifuger som används vid den iranska kärnkraften anläggningar togs offline, möjligen på grund av skador, och anläggningen har tvingats stängas av minst två gånger på grund av effekterna av virus.
Stuxnet riktade sig också mot den rysktillverkade ångturbinen som driver Bushehr-anläggningen, men det verkar som om viruset upptäcktes innan någon verklig skada kunde göras. Om viruset inte hade avslöjats skulle det så småningom ha kört turbinernas varvtal för högt och orsakat irreparabel skada på hela kraftverket. Temperatur- och kylsystem har också identifierats som mål, men resultatet av masken på dessa system är inte klart.
Upptäckten av masken
I juni i år hittade de Vitryssland-baserade antivirusspecialisterna VirusBlokAda ett tidigare okänt skadlig program på en iransk kunds dator. Efter att ha undersökt det upptäckte antivirusföretaget att det var specifikt utformat för att rikta sig mot Siemens SCADA (övervakningskontroll och datainsamling) ledningssystem, som är enheter som används i stor skala tillverkning. Den första ledtråden till att något var annorlunda med den här masken var att när larmet väl hade höjts, var varje företag som försökte förmedla larmet attackerades därefter och tvingades stänga av i minst 24 timmar. Metoderna och orsakerna till attackerna är fortfarande ett mysterium.
När viruset väl hade upptäckts, företag som Symantec och Kaspersky, två av de största antivirusföretagen i världen, samt flera underrättelsetjänster, började forska på Stuxnet och hittade resultat som snabbt gjorde det uppenbart att detta inte var någon vanlig skadlig kod.
I slutet av september hade Symantec upptäckt att nästan 60 procent av alla infekterade maskiner i världen fanns i Iran. När det väl hade upptäckts blev det mer och mer uppenbart att viruset inte var designat helt enkelt för att orsaka problem, som många delar av skadlig programvara är, men det hade ett mycket specifikt syfte och ett mål. Graden av sofistikering var också långt över allt tidigare, vilket fick Ralph Langner, datasäkerhetsexperten som först upptäckte viruset, att deklarera att det var "som ankomsten av en F-35 till ett slagfält från första världskriget".
Hur det fungerade
Stuxnet riktar sig specifikt till Windows 7-operativsystem, vilket inte av en slump är samma operativsystem som används vid det iranska kärnkraftverket. Masken använder fyra nolldagsattacker och riktar sig specifikt till Siemens WinCC/PCS 7 SCADA-programvara. Ett nolldagshot är en sårbarhet som antingen är okänd eller oanmäld av tillverkaren. Dessa är i allmänhet systemkritiska sårbarheter, och när de väl upptäcks åtgärdas de omedelbart. I det här fallet hade de två av nolldagarselementen upptäckts och var nära att få en korrigering släppt, men två andra hade aldrig upptäckts av någon. När masken väl var i systemet började den sedan utnyttja andra system i det lokala nätverket den riktade sig mot.
När Stuxnet arbetade sig igenom de iranska systemen, utmanades det av systemets säkerhet att presentera ett legitimt certifikat. Skadlig programvara presenterade sedan två autentiska certifikat, ett från kretstillverkaren JMicron och det andra från datorhårdvarutillverkaren Realtek. Båda företagen finns i Taiwan bara några kvarter från varandra, och båda certifikaten bekräftades vara stulna. Dessa autentiska certifikat är en av anledningarna till att masken kunde förbli oupptäckt så länge.
Skadlig programvara hade också förmågan att kommunicera via peer-to-peer-delning när en internetanslutning fanns, vilket gjorde det möjligt för den att uppgradera vid behov och rapportera tillbaka sina framsteg. Servrarna som Stuxnet kommunicerade med fanns i Danmark och Malaysia, och båda stängdes av när masken bekräftats ha kommit in i Natanz-anläggningen.
När Stuxnet började spridas i de iranska systemen började det bara rikta sig mot de "frekvensomvandlare" som var ansvariga för centrifuger. Med hjälp av drivenheter med variabel frekvens som markörer letade masken specifikt efter enheter från två leverantörer: Vacon, som är baserat i Finland, och Fararo Paya, som är baserat i Iran. Den övervakar sedan de angivna frekvenserna och attackerar bara om ett system körs mellan 807Hz och 1210Hz, en ganska sällsynt frekvens som förklarar hur masken så specifikt kunde rikta in sig på iranska kärnkraftverk trots spridning över världen. Stuxnet börjar sedan ändra utgångsfrekvensen, vilket påverkar de anslutna motorerna. Även om minst 15 andra Siemens system har rapporterat infektion, har ingen fått några skador av masken.
För att först nå kärnkraftsanläggningen behövde masken föras in i systemet, möjligen på en USB-enhet. Iran använder ett "air gap"-säkerhetssystem, vilket innebär att anläggningen inte har någon anslutning till Internet. Detta kan förklara varför masken spridit sig så långt, eftersom det enda sättet för den att infektera systemet är att rikta in sig på ett brett område och fungera som en Trojan i väntan på att en iransk kärnkraftsanställd ska ta emot en infekterad fil bort från anläggningen och fysiskt föra in den i växt. På grund av detta blir det nästan omöjligt att veta exakt var och när infektionen började, eftersom den kan ha förts in av flera intet ont anande anställda.
Men var kom det ifrån och vem utvecklade det?
Misstankar om var masken har sitt ursprung frodas, och den mest troliga enskilda misstänkta är Israel. Efter att ha undersökt viruset noggrant har Kaspersky Labs meddelat att attacknivån och den sofistikerade nivån med vilken den utfördes endast kunde ha utförts "med nationalstatsstöd", vilket utesluter privat hackare grupper, eller till och med större grupper som har använt hackning som ett medel för att uppnå ett mål, som den ryska maffian, som misstänks ha skapat en trojansk mask ansvarig för stjäl över 1 miljon dollar från en brittisk bank.
Israel erkänner fullt ut att de anser att cyberkrigföring är en pelare i dess försvarsdoktrin, och gruppen känd som Unit 8200, en Israelisk försvarsstyrka som anses vara den ungefärliga motsvarigheten till USA: s NSA, skulle vara den mest sannolika gruppen ansvarig.
Enhet 8200 är den största divisionen i den israeliska försvarsstyrkan, och ändå är majoriteten av dess operationer okända - till och med identiteten på den brigadgeneral som är ansvarig för enheten är hemligstämplad. Bland dess många bedrifter, en Rapportera hävdar att under ett israeliskt luftangrepp på en misstänkt syrisk kärnkraftsanläggning 2007, aktiverade enhet 8200 en hemlig cyberdödsomkopplare som avaktiverade stora delar av den syriska radarn.
För att ytterligare ge trovärdighet åt denna teori, skjutit Israel 2009 tillbaka datumet för när de förväntar sig att Iran ska ha rudimentära kärnvapen till 2014. Detta kan ha varit ett resultat av att ha hört om problem, eller så kan det tyda på att Israel visste något som ingen annan gjorde.
USA är också en huvudmisstänkt, och i maj i år hävdade Iran att de hade arresterad 30 personer som den hävdar var inblandade i att hjälpa USA att föra ett "cyberkrig" mot Iran. Iran har också hävdat att Bush-administrationen finansierat en plan på 400 miljoner dollar för att destabilisera Iran genom att använda cyberattacker. Iran har hävdat att Obama-administrationen har fortsatt samma plan och till och med påskyndat några av projekten. Kritiker har uttalat att Irans påståenden helt enkelt är en ursäkt för att slå ut "oönskade", och arresteringarna är en av många stridspunkter mellan Iran och USA.
Men i takt med att viruset fortsätter att studeras och fler svar dök upp angående dess funktion, väcks fler mysterier om dess ursprung.
Enligt Microsoft skulle viruset ha tagit minst 10 000 timmars kodning och tagit ett team på fem personer eller fler, minst sex månaders dedikerat arbete. Många spekulerar nu i att det skulle kräva de kombinerade ansträngningarna från flera nationers underrättelsegemenskaper som alla arbetar tillsammans för att skapa masken. Medan israelerna kanske har beslutsamheten och teknikerna, hävdar vissa att det skulle kräva USAs tekniknivå för att koda skadlig programvara. Att veta den exakta karaktären hos Siemens-maskineriet i den utsträckning som Stuxnet gjorde, kan tyda på tyska inblandning, och ryssarna kan ha varit inblandade i att detaljera specifikationerna för det ryska maskineriet Begagnade. Masken skräddarsyddes för att operera på frekvenser som involverade finska komponenter, vilket tyder på att Finland, och kanske även Nato, är inblandat. Men det finns fortfarande fler mysterier.
Masken upptäcktes inte på grund av dess agerande vid de iranska kärnkraftsanläggningarna, utan snarare på grund av den omfattande infektionen av Stuxnet. Den centrala bearbetningskärnan i den iranska kärnkraftsanläggningen ligger djupt under jorden och är helt avskuren från Internet. För att masken ska infektera systemet måste den ha tagits in på datorn eller ett flashminne från någon i personalen. Allt som krävs är att en ensam anställd tar med sig arbetet hem och sedan kommer tillbaka och sätter in något som ofarlig som en flashenhet in i datorn, och Stuxnet skulle börja sin tysta marsch till det specifika maskineriet det ville.
Men frågan blir då: Varför utvecklade de ansvariga för viruset ett så oerhört sofistikerat cybervapen, och släppte det sedan med vad som utan tvekan är en så slarvig metod? Om målet var att förbli oupptäckt är utsläppet av ett virus som har förmågan att replikera med den hastighet som det har visat slarvigt. Det var en fråga om när, inte om, viruset skulle upptäckas.
Den mest troliga anledningen är att utvecklarna helt enkelt inte brydde sig. Att plantera skadlig programvara mer noggrant skulle ha tagit mycket längre tid, och överföringen av masken till de specifika systemen kan ta mycket längre tid. Om ett land letar efter omedelbara resultat för att stoppa vad det kan se som en förestående attack, kan hastigheten övertrumfa försiktighet. Det iranska kärnkraftverket är det enda infekterade systemet som rapporterar några verkliga skador från Stuxnet, så risken för andra system verkar vara minimal.
Så vad nästa?
Siemens har släppt ett detekterings- och borttagningsverktyg för Stuxnet, men Iran är det fortfarande kämpar för att ta bort skadlig programvara helt. Så sent som den 23 november var den iranska anläggningen Natanz tvingade att stänga av, och ytterligare förseningar förväntas. Så småningom borde kärnkraftsprogrammet vara igång igen.
I en separat, men möjligen relaterad historia, dödades tidigare i veckan två iranska forskare av separata men identiska bombattacker i Teheran, Iran. Vid en presskonferens dagen efter, president Ahmadinejad berättade reportrar att "Utan tvekan är den sionistiska regimens och västerländska regeringars hand involverad i mordet."
Tidigare idag, iranska tjänstemän hävdade att ha gjort flera arresteringar i bombningarna, och även om de misstänkta identiteterna inte har släppts, har Irans underrättelseminister sagt " tre spionbyråer av Mossad, CIA och MI6 hade en roll i (attackerna) och med arresteringen av dessa människor kommer vi att hitta nya ledtrådar för att arrestera andra element",
Kombinationen av bombningarna och skadorna orsakade av Stuxnet-viruset borde väga tungt under de kommande samtalen mellan Iran och en sexstatskonfederation av Kina, Ryssland, Frankrike, Storbritannien, Tyskland och USA den 6 december och 7. Samtalen är avsedda att fortsätta dialogen om Irans eventuella kärnvapenambitioner.
