Undergroundhackare skapade Stuxnet

2011-01-19 10:44  
David Lindahl

Spåren efter Stuxnet leder inte till Israel eller USA, utan till en subkultur av programmerare i Ukraina och Vitryssland hävdar svenska experter som analyserat koden.

Genom en analys av programmeringsstilar har en grupp forskningsingenjörer vid Totalförsvarets forskningsanstalt (FOI) kommit fram till att Stuxnet skapats av en grupp på 5-7 programmerare.

En av programmerarna har skrivit huvuddelen av Stuxnet, medan de övriga tagit hand om specifika moduler eller funktioner.

- Det verkar inte vara någon stor, central organisation som byggt Stuxnet från grunden under en begränsad tidsperiod. Den består snarare av ett hopplock av olika delar som skrivits vid olika tillfällen, säger David Lindahl, forskningsingenjör vid FOI.

Tidsangivelser och sättet som koden är skriven pekar mot Ukraina och Vitryssland. Länderna är centrum för en subkultur av skickliga programmerare, som skriver program och gör nya gränssnitt till bland annat industriella styrsystem.

Framför allt Minsk, huvudstad i Vitryssland, har en stark tradition inom programmering. Där byggdes de första sovjetiska stordatorerna, och staden var senare centrum för “reverse engineering” av västerländska datorer och programvara, och även utveckling av it-system för militära ändamål.

I dag säljs frilansprogrammerarnas kod på en svart marknad, ungefär som piratkopierade kläder i Thailand och dvd-skivor i Hong Kong. En del av programmerarna har dessutom som affärsidé att hitta säkerhetshål i program och system och sedan sälja informationen till högstbjudande.

Hittills har experter från säkerhetsföretag och myndigheter i Sverige och utomlands beskrivit nätverksmasken Stuxnet som ett ”supervirus”, som enbart kan ha skapats av någon med mycket stora resurser, förmodligen en stat.

I media, nu senast New York Times, har det spekulerats i att det är USA och Israel som ligger bakom Stuxnet och att länderna använt koden för att slå ut styrsystem och maskiner i Irans kärnkraftsprogram.

Om FOI-ingenjörernas analys stämmer är Stuxnet inte något unikt virus, som kräver en supermakts resurser för att skapa.

- Det innebär i sin tur att förmågan att göra så här skadlig kod är mer spridd än vad vi tidigare trott – och det är oroande, säger David Lindahl.

Det var i juni 2010 som ett vitryskt antivirusföretag upptäckte Stuxnet – en datormask som angriper vissa styrsystem från Siemens.

Enligt de experter som bland annat New York Times talat med var det primära målet Irans kärnkraftsprogram, bland annat anrikningsanläggningen i Natanz och det kärnkraftsverk i Bushehr, som är under uppbyggnad.

N.Y Times citerar källor som säger att nätverksmasken ställde till stora problem i främst Natanz.

Det här upptäckte FOI-ingenjörerna när de studerade Stuxnet:

  • De sårbarheter i Windows som Stuxnet utnyttjar har hittills kallats för 0-days (med ”0-day” menas ”tidigare okända svagheter”).  FOI:s undersökningar visar att flera av sårbarheterna har varit kända sedan tidigare i kretsar där man handlar med information om säkerhetshål i system och program.
  • Programmerarna bakom Stuxnet har inte heller använt sig av några så kallade ”anti-forensics”-tekniker, alltså tekniker som gör det svårt eller omöjligt att analysera koden. Det, tillsammans med andra fynd, visar enligt FOI att Stuxnet inte är så avancerad som det hittills framställts.
  • Den delen av koden som injicerar skadlig kod i styrutrustningen skrevs sannolikt redan i december 2003. Det kan enligt FOI tyda på att den delen av koden är köpt eller stulen från en annan källa, eller att man skrev stommen till ett IT-vapen flera år i förväg för att kunna använda det när situationen så krävde.
  • Den version av Siemens utvecklingsverktyg som skaparna av Stuxnet har använt är en version som är vanlig som piratkopia. Just den versionen diskuteras dessutom en del på de internetforum där personer med styrsystemskompetens finns.

Niklas Dahlin

Jonas Hållén

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Dagens viktigaste nyheter

Aktuellt inom

Senaste inom

Debatt