Hovedinnhold

Datavirus kan ha infisert atomanlegg i Iran

IRAN: Atomreaktoren i Bushehr er et utsatt mål. Nå kan den ha bli angrepet fra innsiden. (Foto: Globalsecurity.org)
IRAN: Atomreaktoren i Bushehr er et utsatt mål. Nå kan den ha bli angrepet fra innsiden. (Foto: Globalsecurity.org)
En anerkjent forsker mener at dataormen Stuxnets mål var å omprogrammere et atomanlegg i Iran. Sikkerhetsforskere over hele verden er forbløffet over ormens kompleksitet.

Denne saken handler om:

Av Michael Orelid og Morten Isebakke Lyse (Computerworld)
Dataormen Stuxnet er spesiallaget for å angripe industrisystemer med Windows PC-er som kjører programvaren SCADA (supervisory control and data acquisition) fra Siemens.

Det tyske industriselskapet Siemens bekrefter at 15 fabrikker på verdensbasis hittil er rammet av ormen, som potensielt kan endre oppførselen til hele industrianlegg.

Les også:Programmeringsfeil senket Facebook torsdag - det verste havariet på fire år

Ifølge Nasjonal Sikkerhetsmyndighet (NSM) har også norsk industri blitt rammet av ormen, og retter en generell advarsel til alle norske bedrifter som kjører Siemens-systemene.

- NSM anbefaler at brukere av SCADA-systemene Siemens SIMATEC WinCC og Step 7 undersøker dem med hensyn til mulig kompromittering. Det foreløpige skadeomfanget er ukjent, skriver NSM i advarselen som er datert 29. august.

Det ble opprinnelig antatt at ormen ble brukt til industrispionasje, men dette avviser nå sikkerhetsforskerne. Stuxnet er ikke ute etter informasjon, men er spesialdesignet for å gå inn i fabrikker og omprogrammere styringssystemene.

Aldri tilkoblet internett

Fabrikksystemene er av sikkerhetshensyn som regel ikke tilkoblet internett, men ormen skal likevel ha funnet veien inn på anleggene via minnepinner som har blitt plugget inn i PC-ene på stedet.

Koden skal være uhyre avansert, skrevet i flere programmeringsspråk og bytter rett og slett ut data i kjernesystemene med sitt eget innhold.

Les også:Norske Domeneshop og kundene nede for telling torsdag - hadde bare en time med backup-strøm

Angrepet er utført på en så sofistikert måte at bakmennene må ha hatt tilgang på Siemens-utstyr for testing, standardpassord, samt inngående kunnskap om hvordan fabrikkene fungerer.

Dessuten bruker ikke ormen bare ett åpent sikkerhetshull for å spre seg, men fire, noe man aldri tidligere har sett. Bakmennene må også ha stjålet digitale signaturer for å få omprogrammeringen av industrisystemene til å se legitime ut.

En innebygd teller har dessuten sørget for at hver orm kun har spredt seg til tre maskiner. Dermed skal ha holdt seg inne på fabrikkens systemer og ytterligere redusert sjansen for å bli oppdaget. Trolig har den klart å arbeide i skjul i flere måneder før den ble oppdaget i juni 2010.

Microsoft reagerer

Det var det ukjente hviterussiske selskapet VirusBlokAda som først slo alarm om Stuxnet, etter å ha funnet den på maskiner i Iran. Selskapet og ormen ble for alvor kjent da Microsoft bekreftet dens eksistens en måned senere. Foreløpig har Microsoft kun tettet ett av de fire sikkerhetshullene Stuxnet utnytter.

Sikkerhetsforskere over hele verden har latt seg forbløffe over ormens egenskaper.

- Jeg vil kalle den grensesprengende, sier forskeren Roel Schouwenberg i sikkerhetsselskapet Kaspersky Lab til Computerworlds nyhetstjeneste.

- De som står bak dette må ha vært på et tydelig oppdrag om å komme seg inn i spesifikke bedrifter, mener han.

Sammen med Liam O. Murchu i Symantec har Schouwenberg jobbet med å partere ormen de siste månedene.

- Vi har definitivt aldri sett noe slikt tidligere. Det faktum at ormen kan kontrollere fysiske maskiner er temmelig urovekkende, mener Murchu, som advarer mot at ormen kan endre systemer som forblir endret også etter at ormen er død.

Les også:Innbyggerne i Bykle er Norges bredbåndskonger

- Den er virkelig helt utrolig hvor mye arbeid som har gått med på å lage denne ormen, mener Murchu.

- Omstendighetene tatt i betraktning, er det mest trolige scenarioet at dette er et nasjonalt angrep fra en statlig støttet gruppe, konkluderer Schouwenberg.

Iran

Den velrenommerte tyske eksperten på industrisystemer generelt og Siemens-systemer spesielt, Ralph Langner, har også dissekert ormen. Han mener atomreaktoren Bushehr i Iran var målet, og karakteriserer ormen som «århundrets angrep».

- De har for tiden store tekniske problemer ved atomanlegget i Bushehr, skriver Langner på sin blogg, som han stadig oppdaterer med nye funn om ormen.

Bushehr-anlegget i Iran er svært omstridt. Siemens begynte byggingen av anlegget allerede i 1974, men etter en serie utsettelser og politiske drakamper overtok russiske selskaper arbeidet i 1995.

Det er uklart hvor langt russerne har kommet, men det er flere ganger blitt rapportert at anlegget skal være klart for produksjon. Vesten har signalisert sterke motforestillinger mot at Iran har tilegnet seg kjernefysisk teknologi, og frykter den skal bli brukt til atomvåpen.

Norske myndigheter

Norske sikkerhetsmyndigheter vil ikke uttale seg om sannsynligheten for at Stuxnet har infisert det iranske atomanlegget, eller hvem som kan stå bak.

Les også:Mannen bak Long Tail-prinsippet mener fremtidens nettjenester er gratis - og at Windows snart er historie

- Vi har ingen formening om Iran er målet. Vi driver ikke etterforskning. Vi hjelper og forebygger norske selskapet som er rammet av denne ormen, sier Christophe Birkeland, sjef i Norcert, en avdeling under Nasjonal Sikkerhetsmyndighet.

Han legger imidlertid til at ormen er noe av det mest alvorlige de har sett.

- Neppe vestlig støttet

Professor og seniorforsker Daniel Heradstveit ved Nupi har ikke noen tekniske kunnskaper om Stuxnet, men uttaler seg generelt, fra et politisk ståsted.

Han har vanskelig for å tro at en stat skal stå bak en slik orm, og at den har blitt laget for å ramme et spesifikt land.

- Det er i alle fall ingen offisielle organer i Vesten som vil stå bak noe slikt. En slik orm vil kunne slå tilbake på vestlige interesser, mener Heradstveit.

Ormen har i stor grad rammet virksomheter i India, Iran og Indonesia. Heradstveit ser ingen politiske motiver for å ramme spesifikt disse tre landene.

- Om en terroristgruppe står bak denne koden - hvorfor skulle de ønske å ramme Iran? spør professoren retorisk før han fortsetter:

- Jeg synes hele saken er veldig spesiell. Og jeg vil ikke spekulere i hvem som kan stå bak. Men det finnes mange sprø mennesker, er hans konklusjon.

- Bedriftene er beskyttet

Dag Otterstad er leder for automasjonsdelen i Siemens Norge. Han sier at de ikke kjenner til at norske industribedrifter er rammet.

- Det som er kjente tilfeller i dag er at 15 systemer på verdensbasis er rammet. Virksomhetene dette gjelder er blitt behandlet og er nå beskyttet, sier han til Computerworld.

I en e-post til Computerworlds internasjonale nyhetsjeneste skriver Ralph Langner:

- Problemet er ikke lengre Stuxnet. Stuxnet er historie. Problemet er de neste generasjonene av ondsinnet kode og ormer.

Les også:Norske BBS har byttet navn - måtte kjøpe domene av Tensing-kor

Kommentarer Antall kommentarer på artikkelen

Har du en mening om denne artikkelen? Du må bruke ditt eget navn hvis du skal delta i debatten. Respekter andres meninger og husk at mange kan se hva du skriver. Brudd på reglene kan føre til utestengelse.

VGs journalister og moderatorer overvåker denne debatten kontinuerlig mellom kl. 07 og 24. Kommentarfeltet er nå stengt og åpner igjen kl. 07.00. Velkommen tilbake da!
Klikk for å se kommentarene

Siste saker fra Teknologi

Se neste 5 fra Teknologi