När Stuxnet förra året angrep ett kärnkraftverk i Iran blev uppmärksamheten stor. Industrimasken har generellt sett beskrivits av it-säkerhetsexperter som synnerligen sofistikerad och sannolikt skapad av ett mycket skickligt utvecklingsteam. Denna uppfattning ser nu ut att ha varit något förhastad, menar forskare som undersökt dess kod i detalj.

Under en föreläsning i samband med konferensen Black Hat i Washington D.C tidigare under veckan, har it-säkerhetskonsulten Tom Parker berättat om hur Stuxnet tycks vara resultatet av ett arbete från två separata grupper. Möjligen en talangstark grupp programmerare som skapat det mesta av koden, samt en mindre kompetent grupp som anpassat masken för dess slutliga syfte.

Med hjälp av ett kodjämförande verktyg har Parket jämfört Stuxnets kod med liknande kod för andra välkända maskar och funnit att maskens kod varit av relativt dålig kvalitet.

Mängden funktioner och förmågor som masken visat upp har enligt Parker bidragit till den generella slutsatsen att masken konstruerats av en utvecklingsgrupp med goda resurser, till exempel genom finansiering från en myndighet. Det finns också indikationer på att Israel och USA står bakom Stuxnet, där bland annat tidningen New York Times gjort gällande att masken skapades specifikt för att skada Irans kärnkraftsanläggning.

Det som talare mot detta, enligt Parker, är att det finns ett antal brister i koden som säkerligen inte skulle existera om en skicklig och myndighetsunderstödd grupp legat bakom masken. Till exempel var maskens så kallade command and control-mekanismer dåligt implementerade och skickade nätverkstrafik i klartext. Masken lyckades också sprida sig över internet, vilket utvecklarna knappast tänkte sig, menar han.

Nate Lawson, kryptolog och expert på inbyggda system, har i ett blogginlägg också pekat ut att Stuxnets utvecklare varit naiva i sina val av metoder för att dölja maskens skadliga komponenter (payload) och dess angreppsmål. Detta är också något som talar emot att riktiga proffs skulle ligga bakom masken. ”Jag hoppas verkligen att den inte var utvecklad av USA, för jag vill gärna tro att våra bästa utvecklare av cybervapen åtminstone känner till vad tonårshackers från Bulgarien klarade av i början av nittiotalet”, skriver han i bloggen.