Stuxnet er et svært sofistikert datavirus som først ble oppdaget i 2010. Det er kjent for å være et av de første virusene som ble designet for å angripe fysisk infrastruktur og industrisystemer i den virkelige verden, i stedet for å rette seg mot tradisjonell datamaskin- eller nettverksinfrastruktur.

Viruset var rettet spesifikt mot Siemens’ Supervisory Control And Data Acquisition (SCADA) systemer, som ofte brukes til å kontrollere og overvåke industri og infrastruktur. Det mest bemerkelsesverdige angrepet fra Stuxnet var rettet mot Irans urananrikingsanlegg, hvor det forårsaket fysisk skade på sentrifugene som ble brukt til å anrike uran.

Er Stuxnet en dataorm?

Ja, Stuxnet er klassifisert som en dataorm. En dataorm er en type skadelig programvare (malware) som replikerer seg selv for å spre seg til andre datamaskiner, vanligvis gjennom nettverk eller ved hjelp av bærbare medier som USB-stasjoner, uten at brukeren trenger å utføre noen handlinger, som å åpne en fil eller kjøre et program. I motsetning til mange andre typer malware, som ofte krever at brukeren blir lurt til å aktivere dem, kan ormer spre seg selv automatisk og uavhengig.

Stuxnets evne til å selvstendig replikere og spre seg gjør den til en dataorm. Denne egenskapen tillot Stuxnet å infisere et stort antall systemer ved å utnytte sikkerhetssårbarheter i Windows-operativsystemer og deretter søke etter Siemens SCADA-systemer for å infisere. Dens selvstendige spredningsmekanisme kombinert med dens svært spesialiserte angrepsmål (industrielle kontrollsystemer) skiller Stuxnet fra mange andre typer malware og gjør den til et bemerkelsesverdig eksempel på en målrettet cybertrussel med evnen til å forårsake fysisk skade.

Hvorfor var Stuxnet så farlig?

Stuxnet representerte et vendepunkt i forståelsen og behandlingen av cybersikkerhetstrusler. Behovet for robust sikkerhet i både digitale og fysiske domener ble tydeliggjort som en følge av avsløringen. Det er flere årsaker til at Stuxnet ble betraktet som spesielt farlig.

Målrettet angrep på fysisk infrastruktur

I motsetning til de fleste former for malware, som vanligvis sikter mot å stjele data, spionere, eller forstyrre digitale systemer, var Stuxnet designet for å forårsake fysisk skade. Ved å målrette seg mot spesifikke industrielle kontrollsystemer, kunne Stuxnet sabotere industrielle prosesser. Dette representerer en signifikant eskalering i potensialet for cyberangrep, fra å være en digital trussel til å bli en umiddelbar fysisk fare.

Utnyttelse av flere nulldagssårbarheter

Stuxnet utnyttet flere tidligere ukjente nulldagssårbarheter i Windows-operativsystemet for å spre seg og få kontroll over infiserte systemer. Bruken av nulldagssårbarheter betyr at det ikke var noen kjente rettelser eller beskyttelser mot angrepene da de først ble oppdaget, noe som gjorde Stuxnet spesielt vanskelig å forsvare seg mot.

Svært sofistikert og kompleks

Stuxnet inneholdt komplekse instruksjoner for hvordan den skulle oppføre seg i ulike situasjoner, inkludert hvordan den skulle spre seg, hvilke systemer den skulle angripe, og hvordan den skulle skjule sin tilstedeværelse. Denne kompleksiteten indikerer at et avansert team med betydelige ressurser sto bak utviklingen av dataormen, noe som antyder statsstøtte.

Evne til å operere uavhengig av internett

Stuxnet kunne spre seg via USB-stasjoner, noe som tillot det å infisere systemer som ikke var koblet til internett. Dette gjorde det mulig for malware å spre seg til isolerte nettverk, som ofte brukes i kritisk infrastruktur for å forhindre cyberangrep.

Forut for sin tid i cyberkrigføring

Ved å demonstrere at det var mulig å forårsake reell fysisk skade på kritisk infrastruktur gjennom digitale midler, satte Stuxnet en ny standard for hva som er mulig innen cyberkrigføring. Det åpnet øynene til både nasjonale regjeringer og kriminelle aktører om potensialet for cyberangrep og nødvendigheten av å forbedre cybersikkerheten.

Vanskeligheten med attribusjon

Som med mange cyberangrep, er det vanskelig å fastslå med sikkerhet hvem som står bak dem. Selv om det er spekulert bredt i at Stuxnet ble utviklet av USA og Israel for å forsinke Irans atomprogram, demonstrerer denne usikkerheten de diplomatiske og geopolitiske utfordringene som følger med cyberkrigføring.

Stuxnet i dag

Selv om den spesifikke trusselen fra Stuxnet i sin opprinnelige form har avtatt, har koden som ble brukt i Stuxnet inspirert andre malwareutviklere. Variantene og teknikkene som Stuxnet introduserte, kan ha blitt tilpasset og brukt i andre former for skadelig programvare. Dette betyr at mens den originale Stuxnet-koden kanskje ikke er en aktiv trussel, kan dens avkom eller inspirerte verk fortsatt utgjøre en risiko. Disse «barna til Stuxnet» inkluderer:

• Duqu (2011): Duqu er basert på Stuxnet sin kildekode. Duqu ble designet for å logge tastetrykk og data fra industrianlegg, antagelig for å starte et senere angrep.
• Flame (2012): På samme måte som som Stuxnet, ble Flame distribuert via en USB-pinne. Flame var sofistikert spionprogramvare som blant annet registrerte Skype-samtaler, logget tastetrykk og samlet skjermbilder. Den var rettet mot myndigheter og utdanningsorganisasjoner og noen privatpersoner, hovedsakelig i Iran og andre land i Midtøsten.
• Havex (2013): Formålet til Havex var å samle informasjon fra blant annet energi-, luftfarts-, forsvars- og farmasøytiske selskaper. Havex var hovedsakelig rettet mot amerikanske, europeiske og kanadiske organisasjoner.
• Industroyer (2016): Industroyer var rettet mot kraftanlegg. Industroyer er kreditert for å ha forårsaket et strømbrudd i Ukraina i desember 2016.
• Triton (2017): Triton var rettet mot sikkerhetssystemene til et petrokjemisk anlegg i Midtøsten, noe som vekket bekymring for skadevareprodusentens intensjon om å forårsake fysisk skade på arbeidere.
• Siste (2018): Et ikke navngitt virus med egenskaper til Stuxnet skal ha rammet uspesifisert nettverksinfrastruktur i Iran i oktober 2018.

Sikkerhetseksperter anser at infrastrukturen og industrielle kontrollsystemer fortsatt er potensielle mål for angrep lignende Stuxnet. Angripere kan utvikle nye malwarevarianter som målretter seg mot lignende sårbarheter i andre systemer eller teknologier. Dette understreker behovet for vedvarende oppmerksomhet og oppdatering av sikkerhetstiltak innen kritisk infrastruktur.

Svein B. Hansen

Svein B. Hansen has master i informatikk og informasjonssikkerhet (Msc) fra UiO med spesialisering i cybersikkerhet, etisk hacking, kryptering og IT-risikostyring, samt flere års erfaring fra IT-sikkerhetsarbeid i internasjonale organisasjoner. Hansen er også en habil skribent, og er publisert i flere velrennomerte publikasjoner.