Avancerade virus gör skada med SCADA
I juni 2010 upptäckte ett vitryskt virusskyddsföretag den mest avancerade datormask som världen dittills skådat. Den är en halv megabyte stor och angriper Siemens SCADA-system Simatic Wincc PCS7 som används för styrning av bland annat kärnkraftverk. Den angriper genom fyra säkerhetsbrister i Windows och kan programmera om plc-styrskåp, bland annat så att frekvensstyrda trefasmotorer byter varvtal. Symantecs senaste analys pekar på att den iranska reaktorn Bushehr inte var måltavlan, utan i stället landets centrifuganläggningar för anrikning av uran.
Bortsett från Kina var Iran det mest infekterade nationen. Siemens lämnade landet för länge sedan, men det är möjligt att ryssarna, som byggde anläggningen, köpt in kompatibel utrustning via en bulvanfirma, eller helt enkelt kopierat designen.
Experterna är eniga om att utvecklingen krävt massor av kunskap om just den här typen av anläggning, till och med om vilka företag som levererat de frekvensomriktare som angrips. Det bör ha involverat flera manårs arbete på en större ”utvecklingsavdelning” – vi kan kalla den ”Stuxnet AB”.
Vem har råd att öda så mycket specialiserad kraft på ett projekt som attackerar en iransk leverantör av frekvensomriktare och försöker köra sönder centrifuger genom att varva dem upp och ned?
Och varför dök viruset upp ett par veckor innan anläggningen gick i drift? Ett för tidigt släpp kan göra viruset verkningslöst. Sannolikt har Stuxnet AB drabbats av en kontraspion från den iranska organisationen, som lyckats omintetgöra attacken. Vad kan man då göra om man vill sabotera Stuxnet från insidan? Gå ut offentligt? Knappast, med risk för att få skallen knipsad. Försöka ändra i koden så den blir overksam? Också knepigt om det ska göras så att de övriga programmerarna inte märker skillnaden. Men man kan gå ut med en betaversion för tidigt, så att den blir upptäckt innan den hunnit ställa till skada. Smart egentligen, eftersom det förstör många års arbete.
Kan leda till framtida cyberkrig?
Och nu när Stuxnetmasken upptäckts, vet vi att en eller flera organisationer besitter kunskapen om hur man stör industriella styrsystem. Kanske var Stuxnet bara ett villospår, om än ett avancerat sådant. Kanske har vi bara fått en försmak av vad som komma skall, eller vad som redan finns inopererat på andra ställen, eller som Kaspersky Labs säger: ”En försmak av en ny typ av fruktansvärda cybervapen som kan leda till en ny kapprustningsvåg i världen.”
Om man antar att det var Israel som planterade viruset – vilken var avsikten? Att försöka förhindra att Iran skaffar sig kärnvapen? Israel skulle ha kunnat bomba anläggningarna, men det skulle ge dålig pr. Bättre då med en diskret metod som Stuxnet.
Fast kanske det i stället är våra gamla kamrater Russian Business Network som varit framme, för att röra om i den vanliga soppan av maktstrider i Ryssland, så att de med hot om terror ska komma åt eller kontrollera den ryska kraftindustrin. Det som talar för denna tes är att det rimligen bör ha funnits minst en mullvad i den ryska utvecklingsorganisationen som lämnat ut uppgifter till Stuxnet AB.