Datormasken Stuxnet är en sofistikerad form av skadlig kod på som specialiserat sig på att angripa industriell infrastruktur. Techworld har tidigare skrivit om hur denna kod blivit tillgänglig på svarta marknaden i Storbritannien.
Masken upptäcktes under juli 2010 och skiljer sig från vanliga botnätbyggande maskar som Conficker genom att den är inriktad på datainsamling och manipulation av system som styr industriprocesser. Det iranska myndigheterna har nyligen också bekräftat att masken orsakat skada och försenat landets kärnkraftsprojekt.
Stuxnet-masken angrep de centrifuger som används för att berika uran, säger irans president Mahmoud Ahmadinejad enligt Reuters nyhetsbyrå.
Liam O Murchu, it-säkerhetsforskare på Symantec är en av de forskare som granskat masken och dess attack mot Irans kärnkraft i detalj. Han är skeptisk mot att de iranska myndigheterna ändrat sina utsagor under historiens gång, där de första uppgifterna varit förnekande gällande skada och intrång, men bekräftar att förklaringen med angripna centrifuger ligger i linje med Symantecs analys av maskens beteende och förmågor.
Stuxnet siktade in sig på programmable logic controllers (plc)-enheter och den mjukvara som kontrollerar elektriska frekvenser för elmotorer, uppger O Murchu. Detta för att manipulera hastigheten på eldrivna centrifuger i anläggningen och därmed påverka berikningsprocessen för uran.
Masken sökte specifikt efter styrsystem som utnyttjat frekvenserna 807 och 1210 hertz. När dessa påträffades ändrade Stuxnet frekvensen till 1410 hertz, för att efter 27 dygn minska värdet till endast 2 hertz. Slutligen ökades frekvensen till 1064 hertz, innan hela cykeln började om igen, uppger O Murchu.
Frekvensändringarna används för att styra den hastighet med vilken elmotorer arbetar. I detta fall kan ökade och sänkta motorhastigheter resultera i att uranberikningen misslyckats och att centrifugernas rörliga delar tar skada.
För att försvåra upptäckt har masken också funktioner för så kallade man-in-the-middle-attacker. Masken förfalskar indata från sensorer som läser av mätvärden i industrihårdvaror genom att generera egna dataströmmar. Effekten blir att de styrande mjukvarorna jobbat med falska indata och att övervakande system och personal inte ser vad som egentligen pågår. Samtidigt ser masken till att också skicka egna utdata till styrsystemen och överta kontrollen över olika processer, uppger it-säkerhetsföretaget Lagner som också analyserat attacken mot kärnkraftverket.