Fremtiden for krigføring har kanskje nettopp begynt, men i stedet for å bli varslet av en eksplosjon, begynte den uten en lyd eller et eneste offer.
Det er den første i sitt slag, og kan være et signal om hvordan alle kriger kjempes fra nå av. Det er et cybervåpen så presist at det kan ødelegge et mål mer effektivt enn et konvensjonelt eksplosivt stoff, og deretter bare slette seg selv og overlate ofrene til å skylde på seg selv. Det er et våpen som er så forferdelig at det kan tenkes å gjøre mer enn bare å skade fysiske gjenstander, det kan drepe ideer. Det er Stuxnet-ormen, kalt av mange som verdens første virkelige våpen av cyberware, og det første målet var Iran.
Gryningen av cyberware
Stuxnet er nesten som noe ut av en Tom Clancy-roman. I stedet for å sende inn missiler for å ødelegge et atomanlegg som truer hele regionen og verden, og som er overvåket av en president som har hevdet at han ønsker å se et helt løp av mennesker "tørkes av kartet", et enkelt datavirus kan innføres som vil gjøre jobben langt mer effektivt. Å angripe en struktur med missiler kan føre til krig, og dessuten kan bygninger bygges om. Men å infisere et system så fullstendig at menneskene som bruker det begynner å tvile på deres tro på sine egne evner, vil ha langt mer ødeleggende langsiktige effekter.
I et sjeldent øyeblikk av åpenhet fra Iran har nasjonen bekreftet at Stuxnet-skadelig programvare (navnet stammer fra nøkkelord begravet i koden) som opprinnelig ble oppdaget i juli, har skadet landets kjernefysiske ambisjoner. Selv om Iran bagatelliserer hendelsen, antyder noen rapporter at ormen var så effektiv, at den kan ha satt tilbake det iranske atomprogrammet med flere år.
I stedet for å bare infisere et system og ødelegge alt det berører, er Stuxnet langt mer sofistikert enn det, og langt mer effektivt også.
Ormen er smart og tilpasningsdyktig. Når det går inn i et nytt system, forblir det sovende og lærer datamaskinens sikkerhetssystem. Når den kan fungere uten å alarmere, søker den etter veldig spesifikke mål og begynner å angripe visse systemer. I stedet for bare å ødelegge målene, gjør det noe langt mer effektivt - det villeder dem.
I et atomanrikningsprogram er en sentrifuge et grunnleggende verktøy som trengs for å raffinere uran. Hver sentrifuge som bygges følger den samme grunnleggende mekanikken, men den tyske produsenten Siemens tilbyr det som mange anser for å være det beste i bransjen. Stuxnet oppsøkte Siemens-kontrollerne og tok kommandoen over måten sentrifugen spinner på. Men i stedet for bare å tvinge maskinene til å snurre til de ødela seg selv - som ormen var mer enn i stand til å gjøre - gjorde Stuxnet subtile og langt mer lure endringer på maskinene.
Når en uranprøve ble satt inn i en Stuxnet-infisert sentrifuge for raffinering, ville viruset befale maskinen å spinne raskere enn den var designet for, og deretter plutselig stoppe. Resultatene var tusenvis av maskiner som gikk ut år foran planen, og enda viktigere, ødelagte prøver. Men det virkelige trikset med viruset var at mens det saboterte maskineriet, ville det forfalske avlesningene og få det til å se ut som om alt fungerte innenfor de forventede parametrene.
Etter måneder med dette begynte sentrifugene å slites og brytes, men da målingene fremdeles syntes å være innenfor normene, begynte forskerne som var tilknyttet prosjektet å gjette seg selv. Iranske sikkerhetsagenter begynte å undersøke feilene, og personalet ved kjernefysiske anlegg bodde under en sky av frykt og mistenksomhet. Dette pågikk i over et år. Hvis viruset hadde klart å helt unngå oppdagelse, ville det til slutt ha slettet seg helt og etterlatt iranerne til å lure på hva de gjorde galt.
I 17 måneder klarte viruset å stille seg inn i de iranske systemene, og sakte ødelegge vitale prøver og ødelegge nødvendig utstyr. Kanskje mer enn skaden på maskineriet og prøvene var kaoset programmet ble kastet inn i.
Iranerne erkjenner motvillig noe av skaden
Irans president Mahmoud Ahmadinejad har hevdet at Stuxnet "klarte å skape problemer for et begrenset antall sentrifuger", noe som er en endring fra Irans tidligere påstand om at ormen hadde infisert 30 000 datamaskiner, men ikke hadde påvirket atomanleggene. Noen rapporter antyder at på Natanz-anlegget, som huser de iranske berikelsesprogrammene, ble 5.084 av 8.856 sentrifuger i bruk ved de iranske kjernefysiske anleggene tatt offline, muligens på grunn av skade, og anlegget har blitt tvunget til å stenge ned minst to ganger pga virkningene av viruset.
Stuxnet målrettet også den russiskproduserte dampturbinen som driver Bushehr-anlegget, men det ser ut til at viruset ble oppdaget før noen reell skade kunne gjøres. Hvis viruset ikke hadde blitt avdekket, ville det til slutt ha kjørt turbinens turtall for høyt og forårsaket uopprettelig skade på hele kraftverket. Temperatur- og kjølesystemer er også identifisert som mål, men resultatene av ormen på disse systemene er ikke klare.
Oppdagelsen av ormen
I juni i år fant de hviterussiske baserte antivirus-spesialistene VirusBlokAda et tidligere ukjent malware-program på datamaskinen til en iransk kunde. Etter å ha undersøkt det oppdaget antivirusselskapet at det var spesielt designet for å målrette Siemens SCADA (tilsynsstyring og datainnsamling) styringssystemer, som er enheter som brukes i storskala produksjon. Den første ledetråden om at noe var annerledes med denne ormen, var at når varslet hadde blitt hevet, ble hvert selskap som prøvde å videreformidle varselet deretter angrepet og tvunget til å stenge i minst 24 timer. Metodene og årsakene til angrepene er fremdeles et mysterium.
Når viruset hadde blitt oppdaget, begynte selskaper som Symantec og Kaspersky, to av de største antivirusselskapene i verden, samt flere etterretningsbyråer, å forske på Stuxnet, og fant resultater som raskt gjorde det åpenbart at dette ikke var vanlig malware.
Mot slutten av september hadde Symantec oppdaget at nesten 60 prosent av alle infiserte maskiner i verden befant seg i Iran. Når det hadde blitt oppdaget, ble det mer og mer tydelig at viruset ikke var designet bare for å forårsake problemer, som mange deler av skadelig programvare er, men det hadde et veldig spesifikt formål og et mål. Raffinementnivået var også godt over alt som ble sett før, og fikk Ralph Langner, datasikkerhetseksperten som først oppdaget viruset, til å erklære at det var "som ankomsten av en F-35 til en første verdenskrigs slagmark".
Hvordan det fungerte
Stuxnet retter seg spesifikt mot Windows 7-operativsystemer, som ikke tilfeldigvis er det samme operativsystemet som ble brukt på det iranske atomkraftverket. Ormen bruker fire null-dagers angrep og målretter spesifikt Siemens WinCC / PCS 7 SCADA-programvare. En null-dagers trussel er et sikkerhetsproblem som er ukjent eller uanmeldt av produsenten. Dette er generelt systemkritiske sårbarheter, og når de blir oppdaget, blir de umiddelbart lappet. I dette tilfellet hadde de to av null-dagselementene blitt oppdaget og var i nærheten av å få løst en løsning, men to andre hadde aldri blitt oppdaget av noen. Når ormen var i systemet, begynte den å utnytte andre systemer i det lokale nettverket den målrettet mot.
Da Stuxnet jobbet seg gjennom de iranske systemene, ble det utfordret av systemets sikkerhet å presentere et legitimt sertifikat. Den skadelige programvaren presenterte deretter to autentiske sertifikater, ett fra kretsprodusenten JMicron, og det andre fra maskinvareprodusenten Realtek. Begge selskapene ligger i Taiwan bare noen kvartaler fra hverandre, og begge sertifikatene ble bekreftet å være stjålet. Disse autentiske sertifikatene er en av grunnene til at ormen var i stand til å forbli uoppdaget så lenge.
Den skadelige programvaren hadde også muligheten til å kommunisere via peer-to-peer-deling når en Internett-tilkobling var til stede, noe som gjorde det mulig å oppgradere etter behov og rapportere om fremdriften. Serverne som Stuxnet kommuniserte med var lokalisert i Danmark og Malaysia, og begge ble stengt når ormen ble bekreftet å ha kommet inn i Natanz-anlegget.
Da Stuxnet begynte å spre seg gjennom de iranske systemene, begynte det å målrette bare mot "frekvensomformere" som var ansvarlige for sentrifuger. Ved å bruke stasjoner med variabel frekvens som markører, så ormen spesielt etter stasjoner fra to leverandører: Vacon, som er basert i Finland, og Fararo Paya, som er basert i Iran. Deretter overvåker de de angitte frekvensene, og angriper bare hvis et system kjører mellom 807Hz og 1210Hz, en ganske sjelden frekvens som forklarer hvordan ormen så spesifikt kunne målrette iranske atomkraftverk til tross for spredning rundt om i verden. Stuxnet begynner å endre utgangsfrekvensen, noe som påvirker de tilkoblede motorene. Selv om minst 15 andre Siemens-systemer har rapportert om infeksjon, har ingen påført skaden fra ormen.
For først å komme til atomanlegget måtte ormen bringes inn i systemet, muligens på en USB-stasjon. Iran bruker et "air gap" sikkerhetssystem, noe som betyr at anlegget ikke har noen forbindelse til Internett. Dette kan forklare hvorfor ormen spredte seg så langt, som den eneste måten å infisere systemet på var å målrette mot et bredt område og fungere som en trojan mens du ventet på at en iransk kjernefysisk ansatt skulle motta en infisert fil vekk fra anlegget og fysisk ta det med inn i planten. På grunn av dette vil det være nesten umulig å vite nøyaktig hvor og når infeksjonen begynte, da den kan ha blitt brakt inn av flere intetanende ansatte.
Men hvor kom den fra, og hvem utviklet den?
Mistanken om hvor ormen har sitt utspring er voldsom, og den mest sannsynlige enkelt mistenkte er Israel. Etter grundig undersøkelse av viruset kunngjorde Kaspersky Labs at angrepsnivået og raffinementet det ble utført med bare kunne ha blitt utført "med nasjonalstatssupport", som utelukker private hackergrupper, eller enda større grupper som har brukt hacking som et middel til et mål, for eksempel den russiske mafiaen, som mistenkes for å skape en trojansk orm som er ansvarlig for å stjele over en million dollar fra en britisk bank.
Israel innrømmer fullstendig at de anser cyberwarfare som en pilar i forsvarets doktrine, og gruppen kjent som Unit 8200, en israelsk forsvarsstyrke som anses å være den grove ekvivalenten til USAs NSA, ville være den mest sannsynlige ansvarlige gruppen.
Enhet 8200 er den største divisjonen i den israelske forsvarsstyrken, og likevel er flertallet av operasjonene ukjente - til og med identiteten til brigadegeneral med ansvar for enheten er klassifisert. Blant sine mange utnyttelser hevder en rapport at Unit 8200 aktiverte en hemmelig bryter for cyberdrap som deaktiverte store deler av den syriske radaren under en israelsk luftangrep på et mistenkt syrisk atomanlegg i 2007.
For ytterligere å gi troen på denne teorien, i 2009, presset Israel tilbake datoen da de forventer at Iran vil ha rudimentære atomvåpen til 2014. Dette kan ha vært et resultat av å ha hørt om problemer, eller det kan tyde på at Israel visste noe ingen annet gjorde.
USA er også en hovedmistenkt, og i mai i år hevdet Iran å ha arrestert 30 personer som de hevder var involvert i å hjelpe USA med å føre en "cyberkrig" mot Iran. Iran har også hevdet at Bush-administrasjonen finansierte en plan på 400 millioner dollar for å destabilisere Iran ved å bruke cyberangrep. Iran har hevdet at Obama-administrasjonen har fortsatt den samme planen, og til og med satt fart på noen av prosjektene. Kritikere har uttalt at Irans påstander rett og slett er en unnskyldning for å utrydde "uønskede", og arrestasjonene er et av mange innvendinger mellom Iran og USA.
Men ettersom viruset fortsetter å bli studert og flere svar dukket opp om dets funksjon, blir flere mysterier reist om dets opprinnelse.
Ifølge Microsoft ville viruset ha tatt minst 10 000 timer med koding, og tatt et team på fem personer eller mer, minst seks måneders dedikert arbeid. Mange spekulerer nå i at det vil kreve en samlet innsats fra flere nasjoners etterretningssamfunn som alle jobber sammen for å skape ormen. Mens israelerne kan ha besluttsomheten og teknikerne, hevder noen at det vil kreve USAs teknologinivå å kode skadelig programvare. Å vite den eksakte arten av Siemens-maskineriet i den grad Stuxnet gjorde det, antydet tysk involvering, og russerne kan ha vært involvert i å detaljere spesifikasjonene til det russiske maskineriet som ble brukt. Ormen ble skreddersydd for å operere på frekvenser som involverte finske komponenter, noe som antyder at Finland, og kanskje NATO også er involvert. Men det er fortsatt flere mysterier.
Ormen ble ikke oppdaget på grunn av dens handlinger ved de iranske kjernefysiske anleggene, men snarere som et resultat av den utbredte infeksjonen av Stuxnet. Den sentrale prosesseringskjernen til det iranske kjernefysiske prosesseringsanlegget ligger dypt under jorden, og er fullstendig avskåret fra Internett. For at ormen skal kunne infisere systemet, må den ha blitt brakt inn på datamaskinen eller en flash-stasjon fra et medarbeider. Alt som trengs er en enkelt ansatt å ta med seg jobben hjem, så komme tilbake og sette inn noe så uskadelig som en flash-stasjon i datamaskinen, og Stuxnet begynte sin stille marsj mot det spesifikke maskineriet det ønsket.
Men spørsmålet blir da: Hvorfor utviklet de som var ansvarlige for viruset et så utrolig sofistikert nettvåpen, og så frigjorde det på det som uten tvil er en så slurvet metode? Hvis målet var å forbli uoppdaget, er utslipp av et virus som har evnen til å replikere i den hastigheten det har vist, slurvet. Det var et spørsmål om når, ikke hvis viruset ville bli oppdaget.
Den mest sannsynlige grunnen er at utviklerne rett og slett ikke brydde seg. Å plante skadelig programvare mer nøye ville ha tatt langt mer tid, og overføringen av ormen til de spesifikke systemene kan ta mye lengre tid. Hvis et land ser etter umiddelbare resultater for å stoppe det det kan se som et forestående angrep, kan hastighet trumfe forsiktighet. Det iranske kjernefysiske anlegget er det eneste infiserte systemet som rapporterer om reell skade fra Stuxnet, så risikoen for andre systemer ser ut til å være minimal.
Så hva neste?
Siemens har gitt ut et gjenkjennings- og fjerningsverktøy for Stuxnet, men Iran sliter fortsatt med å fjerne skadelig programvare helt. Så sent som 23. november ble det iranske anlegget i Natanz tvunget til å stenge, og det forventes ytterligere forsinkelser. Etter hvert skal atomprogrammet være i gang igjen.
I en egen, men muligens relatert historie, ble tidligere to uker to iranske forskere drept av separate, men identiske bombeangrep i Teheran, Iran. På en pressekonferanse dagen etter sa president Ahmadinejad til journalister at "Utvilsomt er det sionistiske regimets og de vestlige regjeringers hånd involvert i attentatet."
Tidligere i dag hevdet iranske tjenestemenn å ha gjort flere arrestasjoner av bombingene, og selv om de mistenkte identitetene ikke har blitt gitt ut, har Irans etterretningsminister sagt “De tre spionbyråene i Mossad, CIA og MI6 hadde en rolle i (angrepene) og , med arrestasjonen av disse menneskene, vil vi finne nye ledetråder for å arrestere andre elementer, ”
Kombinasjonen av bombingene og skadene forårsaket av Stuxnet-viruset burde veie tungt over de kommende samtalene mellom Iran og en seks-nasjoners konføderasjon i Kina, Russland, Frankrike, Storbritannia, Tyskland og USA 6. og 7. desember. samtaler er ment å fortsette dialogen om Irans mulige kjernefysiske ambisjoner.
