Fremtidens krigsførelse er muligvis lige begyndt, men snarere end at blive indvarslet af en eksplosion, begyndte den uden lyd eller et eneste tab.
Det er den første af sin art og kan være et signal om, hvordan alle krige kæmpes fra nu af. Det er et cybervåben, der er så præcist, at det kan ødelægge et mål mere effektivt end et konventionelt eksplosivstof og derefter blot slette sig selv og lade ofrene stå tilbage for at bebrejde sig selv. Det er et våben, der er så forfærdeligt, at det tænkeligt kan gøre mere end bare skade fysiske objekter, det kan dræbe ideer. Det er Stuxnet-ormen, kaldet af mange som verdens første virkelige våben af cyberwarfare, og dets første mål var Iran.
Dawn of cyberwarfare
Stuxnet er næsten som noget ud af en Tom Clancy-roman. I stedet for at sende missiler for at ødelægge et atomkraftværk, der truer hele regionen og verden, og som er under opsyn af en præsident, der har hævdet, at han gerne vil se, at en hel race af mennesker “udslettes af kortet”, en simpel computervirus kan introduceres, der vil gøre jobbet langt mere effektivt. At angribe en struktur med missiler kan føre til krig, og desuden kan bygninger genopbygges. Men at inficere et system så fuldstændigt, at de mennesker, der bruger det, begynder at tvivle på deres tro på deres egne evner, vil have langt mere ødelæggende langsigtede effekter.
I et sjældent øjeblik af åbenhed fra Iran har nationen bekræftet, at Stuxnet-malware (navnet stammer fra nøgleord begravet i koden), der oprindeligt blev opdaget i juli, har skadet landets nukleare ambitioner. Selvom Iran bagatelliserer hændelsen, antyder nogle rapporter, at ormen var så effektiv, at den måske har sat det iranske nukleare program tilbage i flere år.
I stedet for blot at inficere et system og ødelægge alt det rører ved, er Stuxnet langt mere sofistikeret end det og også langt mere effektivt.
Ormen er smart og kan tilpasses. Når det kommer ind i et nyt system, forbliver det i dvale og lærer computerens sikkerhedssystem. Når det kan fungere uden at alarmere, søger det derefter meget specifikke mål og begynder at angribe bestemte systemer. I stedet for blot at ødelægge dets mål, gør det noget langt mere effektivt - det vildleder dem.
I et atomberigelsesprogram er en centrifuge et grundlæggende redskab, der er nødvendigt for at forfine uranet. Hver bygget centrifuge følger den samme grundlæggende mekanik, men den tyske producent Siemens tilbyder det, som mange anser for at være det bedste i branchen. Stuxnet opsøgte Siemens-controllerne og overtog kommandoen over, hvordan centrifugen drejer. Men snarere end blot at tvinge maskinerne til at dreje, indtil de ødelagde sig selv - hvilket ormen var mere end i stand til at gøre - foretog Stuxnet subtile og langt mere luskede ændringer af maskinerne.
Når en uranprøve blev indsat i en Stuxnet-inficeret centrifuge til forfining, ville virussen befale maskinen at dreje hurtigere end den var beregnet til og derefter pludselig stoppe. Resultaterne var tusindvis af maskiner, der slidte ud år forud for tidsplanen, og vigtigere, ødelagte prøver. Men virusets virkelige trick var, at mens det saboterede maskineriet, ville det falske aflæsningerne og få det til at virke som om alt fungerede inden for de forventede parametre.
Efter måneder af dette begyndte centrifuger at blive slidte og gå i stykker, men da aflæsningerne stadig syntes at være inden for normerne, begyndte forskerne, der var tilknyttet projektet, at gætte sig selv. Iranske sikkerhedsagenter begyndte at undersøge fiaskoerne, og personalet på atomanlæggene levede under en sky af frygt og mistanke. Dette fortsatte i over et år. Hvis virussen havde formået helt at undgå afsløring, ville den til sidst have slettet sig selv fuldstændigt og efterladt iranerne undrende hvad de gjorde forkert.
I 17 måneder formåede virussen stille at komme ind i de iranske systemer ved langsomt at ødelægge vitale prøver og beskadige nødvendigt udstyr. Måske mere end skaderne på maskineriet og prøverne var det kaos, programmet blev kastet i.
Iranerne indrømmer modvilligt noget af skaden
Den iranske præsident Mahmoud Ahmadinejad har hævdet, at Stuxnet "formåede at skabe problemer for et begrænset antal af vores centrifuger", hvilket er en ændring fra Irans tidligere påstand om, at ormen havde inficeret 30.000 computere, men ikke havde påvirket kernefaciliteterne. Nogle rapporter antyder på Natanz-anlægget, som huser de iranske berigelsesprogrammer, at 5.084 ud af 8.856 centrifuger, der var i brug på de iranske nukleare anlæg, blev taget offline, muligvis på grund af skader, og anlægget er blevet tvunget til at lukke ned mindst to gange pga. virkningerne af virussen.
Stuxnet målrettede også mod den russisk-fremstillede dampturbine, der driver Bushehr-anlægget, men det ser ud til, at virussen blev opdaget, før der kunne foretages reel skade. Hvis virussen ikke var blevet afdækket, ville den til sidst have kørt turbinernes omdrejningstal for højt og forårsaget uoprettelig skade på hele kraftværket. Temperatur- og kølesystemer er også blevet identificeret som mål, men resultaterne af ormen på disse systemer er ikke klare.
Opdagelsen af ormen
I juni i år fandt de hviderussiske baserede antivirus-specialister VirusBlokAda et tidligere ukendt malware-program på en iransk kundes computer. Efter at have undersøgt det, opdagede antivirusfirmaet, at det var specifikt designet til at målrette mod Siemens SCADA (tilsynsstyring og dataopsamling) ledelsessystemer, som er enheder, der anvendes i storskalaproduktion. Den første anelse om, at noget var anderledes ved denne orm, var at når virksomheden var hævet, blev hvert firma, der forsøgte at videresende alarmen, efterfølgende angrebet og tvunget til at lukke i mindst 24 timer. Metoderne og årsagerne til angrebene er stadig et mysterium.
Når virussen var blevet opdaget, begyndte virksomheder som Symantec og Kaspersky, to af de største antivirusfirmaer i verden samt flere efterretningsbureauer, at undersøge Stuxnet og fandt resultater, der hurtigt gjorde det indlysende, at dette ikke var almindelig malware.
I slutningen af september havde Symantec opdaget, at næsten 60 procent af alle de inficerede maskiner i verden var placeret i Iran. Når det først var blevet opdaget, blev det mere og mere tydeligt, at virussen ikke var designet til blot at skabe problemer, som mange stykker malware er, men det havde et meget specifikt formål og et mål. Niveauet af sofistikering var også langt over alt, hvad man så før, hvilket fik Ralph Langner, computersikkerhedseksperten, der først opdagede virussen, til at erklære, at det var "som ankomsten af en F-35 til en første verdenskrigs slagmark".
Hvordan det fungerede
Stuxnet målretter specifikt Windows 7-operativsystemer, hvilket ikke tilfældigt er det samme operativsystem, der blev brugt på det iranske atomkraftværk. Ormen bruger fire nul-dags angreb og målretter specifikt Siemens WinCC / PCS 7 SCADA-software. En nul-dags trussel er en sårbarhed, der enten er ukendt eller uanmeldt af producenten. Disse er generelt systemkritiske sårbarheder, og når de først er opdaget, patches de straks. I dette tilfælde var de to af nul-dags-elementerne blevet opdaget og var tæt på at få frigivet rettelser, men to andre var aldrig blevet opdaget af nogen. Når ormen var i systemet, begyndte den derefter at udnytte andre systemer i det lokale netværk, den målrettede mod.
Da Stuxnet arbejdede sig gennem de iranske systemer, blev det udfordret af systemets sikkerhed at fremvise et legitimt certifikat. Malwaren præsenterede derefter to autentiske certifikater, den ene fra kredsløbsproducenten JMicron og den anden fra computerhardwareproducenten Realtek. Begge virksomheder er beliggende i Taiwan kun få gader fra hinanden, og begge certifikater blev bekræftet for at være stjålet. Disse autentiske certifikater er en af grundene til, at ormen var i stand til at forblive uopdaget så længe.
Malwaren havde også evnen til at kommunikere via peer-to-peer-deling, når der var en internetforbindelse, hvilket gjorde det muligt at opgradere efter behov og rapportere sine fremskridt. Serverne, som Stuxnet kommunikerede med, var placeret i Danmark og Malaysia, og begge blev lukket, når ormen blev bekræftet for at være kommet ind i Natanz-anlægget.
Da Stuxnet begyndte at sprede sig gennem de iranske systemer, begyndte det kun at målrette mod de "frekvensomformere", der var ansvarlige for centrifuger. Ved hjælp af drev med variabel frekvens som markører kiggede ormen specifikt efter drev fra to leverandører: Vacon, der er baseret i Finland, og Fararo Paya, der er baseret i Iran. Derefter overvåger de de specificerede frekvenser og angriber kun, hvis et system kører mellem 807Hz og 1210Hz, en ret sjælden frekvens, der forklarer, hvordan ormen så specifikt kunne målrette mod iranske atomkraftværker på trods af spredning rundt om i verden. Stuxnet indstiller derefter at ændre udgangsfrekvensen, hvilket påvirker de tilsluttede motorer. Selvom mindst 15 andre Siemens-systemer har rapporteret infektion, har ingen lidt skade fra ormen.
For først at nå det nukleare anlæg skulle ormen bringes ind i systemet, muligvis på et USB-drev. Iran bruger et ”luftgab” -sikkerhedssystem, hvilket betyder, at anlægget ikke har forbindelse til Internettet. Dette kan forklare, hvorfor ormen spredte sig så langt, da den eneste måde for den at inficere systemet på var at målrette mod et bredt område og fungere som en trojan, mens man ventede på en iransk nuklear medarbejder at modtage en inficeret fil væk fra anlægget og fysisk bringe det ind i planten. På grund af dette vil det være næsten umuligt at vide nøjagtigt, hvor og hvornår infektionen begyndte, da den måske er blevet bragt ind af flere intetanende medarbejdere.
Men hvor kom det fra, og hvem udviklede det?
Mistanken om, hvor ormen stammer, er voldsom, og den mest sandsynlige enkelt mistænkte er Israel. Efter grundig undersøgelse af virussen meddelte Kaspersky Labs, at angrebsniveauet og den sofistikering, som det blev udført med, kun kunne have været udført "med nationalstatssupport", som udelukker private hackergrupper eller endda større grupper, der har brugt hacking som et middel til et mål, såsom den russiske mafia, der mistænkes for at skabe en trojansk orm, der er ansvarlig for at stjæle over en million dollars fra en britisk bank.
Israel indrømmer fuldt ud, at det anser cyberwarfare for at være en søjle i sin forsvarsdoktrine, og gruppen kendt som Unit 8200, en israelsk forsvarsstyrke, der anses for at være den grove ækvivalent af USAs NSA, ville være den mest sandsynlige gruppe ansvarlige.
Enhed 8200 er den største division i den israelske forsvarsstyrke, og alligevel er størstedelen af dens operationer ukendt - selv identiteten af brigadegeneral med ansvar for enheden er klassificeret. Blandt de mange udnyttelser hævder en rapport, at Unit 8200 under en israelsk luftangreb på et mistænkt syrisk nukleart anlæg i 2007 aktiverede en hemmelig switch til cyberdrab, der deaktiverede store dele af den syriske radar.
For yderligere at give denne teori troværdighed, i 2009, skubbede Israel datoen tilbage, hvornår det forventer, at Iran havde rudimentært atomvåben til 2014. Dette kan have været et resultat af at have hørt om problemer, eller det kunne tyde på, at Israel ikke vidste noget, som ingen ellers gjorde det.
USA er også en hovedmistænkt, og i maj i år hævdede Iran at have arresteret 30 mennesker, som de hævder var involveret i at hjælpe USA med at føre en “cyberkrig” mod Iran. Iran har også hævdet, at Bush-administrationen finansierede en plan på $ 400 millioner for at destabilisere Iran ved hjælp af cyberangreb. Iran har hævdet, at Obama-administrationen har fortsat den samme plan og endda fremskyndet nogle af projekterne. Kritikere har udtalt, at Irans påstande simpelthen er en undskyldning for at udelukke "uønskede", og arrestationerne er et af mange anbringender mellem Iran og USA.
Men da virussen fortsætter med at blive undersøgt, og flere svar dukkede op med hensyn til dens funktion, rejses flere mysterier om dens oprindelse.
Ifølge Microsoft ville virussen have taget mindst 10.000 timers kodning og taget et team på fem personer eller mere, mindst seks måneders dedikeret arbejde. Mange spekulerer nu i, at det ville kræve den kombinerede indsats fra flere nationers efterretningssamfund, der alle arbejder sammen for at skabe ormen. Mens israelerne måske har beslutsomheden og teknikerne, hævder nogle, at det ville kræve, at USAs teknologiniveau kodede malware. At kende den nøjagtige karakter af Siemens-maskinerne i det omfang, Stuxnet gjorde, kunne tyde på tysk involvering, og russerne kan have været involveret i detaljeringen af specifikationerne for det anvendte russiske maskiner. Ormen var skræddersyet til at fungere på frekvenser, der involverede finske komponenter, hvilket antyder, at Finland og måske NATO også er involveret. Men der er stadig flere mysterier.
Ormen blev ikke opdaget på grund af dens handlinger ved de iranske nukleare anlæg, men snarere som et resultat af den udbredte infektion af Stuxnet. Den irske kerneforarbejdningsanlægs centrale forarbejdningskerne ligger dybt under jorden og er fuldstændig afskåret fra Internettet. For at ormen skal inficere systemet, skal det være bragt ind på computeren eller et flashdrev fra et medarbejder. Alt, hvad der kræves, er en enkelt medarbejder at tage arbejdet med sig hjem, derefter vende tilbage og indsætte noget så uskadeligt som et flashdrev i computeren, og Stuxnet ville begynde sin tavse march mod det specifikke maskineri, det ønskede.
Men spørgsmålet bliver så: Hvorfor udviklede de mennesker, der var ansvarlige for virussen, et så utroligt sofistikeret cybervåben, og frigav det derefter på en sådan sjusket metode? Hvis målet var at forblive uopdaget, er frigivelsen af en virus, der har evnen til at replikere med den hastighed, den har vist, sjusket. Det var et spørgsmål om hvornår, ikke hvis virussen ville blive opdaget.
Den mest sandsynlige årsag er, at udviklerne simpelthen ikke bryder sig. At plante malware mere omhyggeligt ville have taget langt mere tid, og transmission af ormen til de specifikke systemer kan tage meget længere tid. Hvis et land er på udkig efter øjeblikkelige resultater for at standse, hvad det kan se som et forestående angreb, kan hastighed måske trumfe forsigtighed. Det iranske atomkraftværk er det eneste inficerede system, der rapporterer nogen reel skade fra Stuxnet, så risikoen for andre systemer synes at være minimal.
Så hvad nu?
Siemens har frigivet et detektions- og fjernelsesværktøj til Stuxnet, men Iran kæmper stadig med at fjerne malware helt. Så sent som den 23. november blev det iranske anlæg i Natanz tvunget til at lukke, og der forventes yderligere forsinkelser. Til sidst skal det nukleare program være i gang igen.
I en separat, men muligvis beslægtet historie, blev to iranske videnskabsmænd tidligere på ugen dræbt af separate, men identiske bombeangreb i Teheran, Iran. På en pressekonference den følgende dag fortalte præsident Ahmadinejad journalister, at "Utvivlsomt er det zionistiske regimes og de vestlige regeringers hånd involveret i mordet."
Tidligere i dag hævdede iranske embedsmænd at have foretaget flere anholdelser af bombningerne, og selvom de mistænkte identiteter ikke er blevet frigivet, har Irans efterretningsminister sagt ”De tre spionagenturer i Mossad, CIA og MI6 havde en rolle i (angrebene) og , med anholdelsen af disse mennesker, vil vi finde nye spor til at arrestere andre elementer, ”
Kombinationen af bombningerne og skaderne forårsaget af Stuxnet-virussen burde veje tungt over de kommende forhandlinger mellem Iran og en seks-nationers konføderation i Kina, Rusland, Frankrig, Storbritannien, Tyskland og USA den 6. og 7. december. samtaler er beregnet til at fortsætte dialogen om Irans mulige nukleare ambitioner.
