JavaScript is currently disabled.Please enable it for a better experience of Jumi. Stuxnet hade en mer avancerad föregångare

I tre år har säkerhetsexperten Ralph Langner grävt i Operation Olympic Games – USA:s och Israels styrsystemssabotage av Irans kärnbränsleproduktion. Han har hittat nya detaljer. Främst en okänd attack som föregick den kända Stuxnet-attacken.
Under ett år 2009-2010 styrdes många av Irans kärnbränslecentrifuger av ett saboterat styrsystem. Centrifugerna slets ut snabbare än vanligt och sabotaget försenade förmodligen Irans urananrikning – även om det inte är känt exakt hur stor skadan – eller nyttan om man så vill – blev.

För allmänheten blev attacken känd år 2010 under namnet Stuxnet. Sabotagekoden hittades jorden runt i styrsystem av alla slag. Men den gick aldrig till attack någon annanstans än i en anläggning i Natanz, Iran.

Att det var USA och Israel som låg bakom sabotaget avslöjades av tidningen New York Times redan år 2009, via anonyma läckor. Projektet kallades Olympic Games.

En av de utomstående som ägnat mest tid åt att analysera sabotagekoden är säkerhetsexperten Ralph Langner. I en artikel publicerar han nu nya fakta om attacken, särskilt om en tidigare version av programmet som attackerade anrikningscentrifugerna på ett annat sätt.

Den okända attacken upptäcktes i en gammal logg från 2007, och kunde identifieras via sin likhet med den kända Stuxnet.

Den gamla versionen var mer avancerad och ännu mer diskret än sin kända efterföljare. Därför trodde Ralph Langner och kollegor under en tid att den var en senare attack. Men det kunde man senare utesluta.

Den nyupptäckta versionen av Stuxnet var däremot inte lika avancerad när det gällde att sprida sig. Någon var tvungen att ansluta sig fysiskt till maskinen som skulle infekteras, med exempelvis en USB-nyckel. Dessutom hade den inte de attackvägar – så kallade zero-day exploits och digitala certifikat för maskinnära programkörning – som den senare versionen hade.

Denna nyupptäckta versionen manipulerade inte rotationshastigheten hos centrifugerna – som den kända versionen gjorde ett par år senare – utan trycket, genom att stänga ventiler.

Strategin var, liksom i den senare attacken, att öka slitaget på centrifugerna för att höja felfrekvensen. Inte att förstöra dem direkt – då hade felkällan varit enklare att spåra.

En fascinerande detalj är att sensorvärden under 21 sekunder spelades in, och sedan spelades upp i en loop under attacken som maskering.

Kunskaperna om den okända Stuxnetversionen har tagits fram genom analys av koden. Det är inte känt – i alla fall för Ralph Langner – vilket utfall detta första sabotageförsök fick.

Konsulter var den stora smittspridningsvägen för Stuxnet, tror Langner. Han tror att Stuxnet spreds från Natanz ut i världen via bärbara datorer eller USB-nycklar tillhörande konsulter. De har expertis inom sitt område, men de har dålig koll på IT-säkerhet, konstaterar Langner.

Han spekulerar att USA kanske till slut medvetet läckte att Stuxnetattacken ägt rum, kanske bland annat för att inte brädas av någon annan aktör med att lyckats genomföra det första framgångsrika cybersabotaget.

Ralph Langner påpekar att orsaken till att Olympic Games var så dyrt, var att koden var så noggrann med att exempelvis välja offer och att dölja spåren efter sig. Det skulle vara betydligt billigare att skapa en attack som åstadkommer mycket större skada genom att attackera flera industriella styrsystem samtidigt och inte bry sig om upptäckt. Många energi- och kemianläggningar har styrsystem som liknar varandra, från samma leverantörer.

Prenumerera på Elektroniktidningens nyhetsbrev eller på vårt magasin.


MER LÄSNING:
 
KOMMENTARER
Kommentarer via Disqus

Rainer Raitasuo

Rainer
Raitasuo

+46(0)734-171099 rainer@etn.se
(sälj och marknads­föring)
Per Henricsson

Per
Henricsson
+46(0)734-171303 per@etn.se
(redaktion)

Jan Tångring

Jan
Tångring
+46(0)734-171309 jan@etn.se
(redaktion)