16 november 2010

Zoals wij hier al eerder meldden, is Stuxnet waarschijnlijk ingezet tegen de nucleaire aspiraties van Iran. Stuxnet is ontwikkeld om de kwaliteit van verrijkt uranium omlaag te brengen, zodat het niet meer gebruikt kan worden voor de productie van atoombommen. Dit suggereert nu ook Symantec, op basis van de bijdrage van een Nederlandse expert op het gebied van de programmering van industriële systemen. Stuxnet wijzigt de omwentelingssnelheid van electromotoren gedurende korte intervallen. Het doet dat alleen wanneer de motoren gedurende een bepaalde periode met een frequentie van 807 Hz tot 1210 Hz gedraaid hebben. Symantec wijst erop dat elektromotoren met zulke hoge toerentallen gebruikt kunnen worden voor uraniumverrijking. De antivirusleverancier vraagt zich hardop af of er andere toepassingen bestaan die dezelfde snelheden gebruiken. Zo ja, dan zou het bedrijf dat graag horen. Volgens de onderzoekers was het niet de bedoeling het verrijkingsproces tot stilstand te brengen. Dat zou te veel in de gaten lopen. In plaats daarvan moest Stuxnet de kwaliteit van het verrijkte uranium in zoverre omlaag brengen, zodat het niet meer gebruikt kon worden voor de productie van atoombommen.

De analyse geeft voeding aan een al langer bestaand vermoeden: dat er politieke motieven ten grondslag liggen aan de productie van Stuxnet. De manier waarop Stuxnet zich verbergt en waarop het interactie heeft met industriële omgevingen duidt op een grondige voorbereiding en een grote kennis van de werking van Scada-omgevingen. Stuxnet zit zo geavanceerd in elkaar dat de malware alleen kan zijn gemaakt door een groep gespecialiseerde professionals die op basis van hun kennis zijn geselecteerd en gedurende een relatief lange periode hebben samengewerkt. Doelwit van Stuxnet zou mogelijk een nucleaire faciliteit in Natanz in Iran kunnen zijn. Dat suggereerde beveiligingsexpert Frank Rieger van het Duitse beveiligingsbedrijf GSMK al in september. De Duitse onderzoeker Ralph Langer suggereerde eerder dat Stuxnet tot doel had een kernreactor in Bushehr in Iran te saboteren. Symantec gaf begin november delen van de Stuxnet-code vrij en riep experts op te helpen achterhalen wat het doelwit van dit gevanceerde virus is. Met de hulp van een Nederlandse expert, waarvan Symantec de naam niet noemt, is het onderzoek een stap verder geholpen. De Nederlander is een expert op het gebied van Profibus. Dat is een datacommunicatiestandaard voor het aansturen van sensoren en actuatoren. Waar sensoren enkel metingen verrichten, beïnvloeden actuatoren hun omgeving. De actuator waar Stuxnet zich op richt is een frequentie-omvormer. Dat is een apparaat dat de omwentelingssnelheid van elektromotoren regelt. Een frequentie-omvormer doet dat door de voedingsspanning aan en uit te schakelen, in een bepaalde frequentie. Hoe hoger de freqentie, hoe sneller de motor draait. Wanneer Stuxnet via een USB-stick een lokaal bedrijfsnetwerk binnenkomt, zoekt het binnen dat bedrijfsnetwerk naar computers die actuatoren aansturen: programmable logic controllers (PLC’s). Het was al bekend dat Stuxnet zich richt op PLC’s waar een bepaald type aansturingssoftware van Siemens draait. Nu blijkt dat het virus zich enkel richt op PLC’s die frequentie-omvormers aansturen. Bovendien gaat het om frequentie-omvormers afkomstig van één of twee fabrikanten. Eén van deze twee fabrikanten bevindt zich in Finland, de ander in Iran. Hoewel nog veel slagen om de arm worden gehouden, lijkt het er dus steeds meer op dat het een hele gerichte poging is om nucleaire installaties te beïnvloeden.