De Stuxnet worm die eerder dit jaar industriële installaties aanviel, lijkt steeds meer op een bestelde aanval tegen Iran.
De Stuxnet worm die eerder dit jaar industriële installaties aanviel, lijkt steeds meer op een bestelde aanval tegen Iran.
Op de recente Black Hat securityconferentie in Abu Dhabi werden nieuwe analysedetails van de Stuxnet worm toegelicht. Eerder dit jaar bleek deze worm uitdrukkelijk industriële automatiseringsapparatuur en software van Siemens aan te vallen, zelfs tot PLC-niveau (programmable logic controller). Bijkomende analyse door onderzoekers van Securicon en Symantec blijken nu een aantal initiële vermoedens te bevestigen.
Volgens Tom Parker van Securicon werd Stuxnet in verschillende delen ontwikkeld, waarbij het PLC-deel door experts in het Westen werd geschreven. Daar bevindt zich immers de meeste expertise op dit gebied. De stukken die zorgen voor de verspreiding van de worm en het binnendringen in de doelen daarentegen blijken van veel mindere kwaliteit. Wie verantwoordelijk is voor de worm, blijft nog een mysterie, maar verschillende commentaren stellen hoe ‘overheidspersonen in Israel breed lachen’ als hen werd gevraagd of hun land hiervoor verantwoordelijk was.
Onderzoek bij Symantec wijst erop dat Stuxnet in het bijzonder de frequentieregelaars van motoren aantastte. Het betrof voorts motoren die op frequenties tussen 807 en 1210Hz werken, en dus bruikbaar zijn voor het aandrijven van centrifuges bestemd voor het verrijken van uranium. Stuxnet zou de frequentie snel op en neer laten gaan, waardoor een dergelijke centrifuge in de vernieling zou gaan. Gekoppeld aan de hoge besmettingsgraad van Iran en vroegere berichten dat het aantal centrifuges voor uraniumverrijking in dat land in 2009 daalde, wijst dit alles erop dat Stuxnet op bestelling werd gebouwd en specifieke doelen in Iran viseerde.
Toegegeven, absolute bewijzen ontbreken nog. De experten lijken het wel eens te zijn dat de worm eigenlijk te vroeg werd ontdekt om (al) de gewenste schade aan te richten en dat de kans klein is dat dezelfde worm nog zal kunnen worden aangewend. De gedane en allicht dure investering in het PLC-deel is dus vermoedelijk verloren voor de opdrachtgevers.
Maar iedereen lijkt het ook eens te zijn dat een Stuxnet-type worm in andere vormen en voor andere doelwitten kan opduiken, zoals elementen in de kritieke infrastructuren van landen (nutsbedrijven etc). Stuxnet moet dan ook overheden en bedrijven definitief er toe aanzetten om beschermende maatregelen voor die infrastructuur te nemen. De recente CyberEurope oefening in Europa was een eerste schuchtere aanzet om die maatregelen aan te moedigen op Europese schaal.
