Hvem fører kyberkrig mot Iran?

Spor i koden til Stuxnet-ormen peker mot Israel.

30. sep. 2010 - 12:05

Stuxnet-ormen, som ser ut til å være skapt av et svært kompetent IT-miljø med tanke på å ramme kjernekraftverk i Iran, inneholder, ifølge Symantec, denne merkelige strengen (merkelig blant annet fordi ingen bruker lagringsenheter på b:\ lenger, det var i diskettenes tid):

b:\myrtus\src\objfre_w2k_x86\

i386\guava.pdb (på én linje)

I en Stuxnet-diskusjon på Slashdot trekkes det fram at både «myrtus» og «guava» er henvisninger til planten myrt. I jødisk tradisjon har myrt en dobbelt symbolverdi. I jødisk mystisk tradisjon representerer myrt den falliske, maskuline kraften i universet. Samtidig er den hebraiske betegnelse på myrt, hadassah, også er pikenavnet til dronning Esther. I Esthers bok i det gamle testamentet avslører dronning Esther et persisk komplott mot jødene. Det fører til at kongen gir jødene tillatelse til å forsvare seg. Henvisningen til myrt kan følgelig tolkes som en påstand om at Israel har rett til å forsvare seg mot Iran.

Slikt kan selvfølgelig tolkes begge veier. Det kan tyde på at Israel står bak, eller det kan være et forsøk på å avlede oppmerksomheten fra ormens virkelige opphav.

Den offisielle fortellingen i Iran er at Stuxnet ikke rammer landets kjernekraftverk.
Den offisielle fortellingen i Iran er at Stuxnet ikke rammer landets kjernekraftverk.

Mer seriøst funderte argumenter rundt opphavet til Stuxnet peker på at ormen, ifølge ekspertene, trekker veksler på så mye kompetanse, at den krever et miljø tilsvarende det man kan vente av et rikt utrustet etterretningsorgan. Koden omfatter blant annet fire hittil ukjent nulldagssårbarheter, en egen p2p kontrollmekanisme, en egen skreddersydd «rootkit», en egen programmerbar kontroller beregnet på å kapre funksjonaliteten til Siemens' Scada-programvare, samt kode som gjør det umulig for den legitime brukeren av Scada-programmet å oppdage at anlegget man styrer faktisk kan fjernstyres av uvedkommende.

Argumentet mot at det dreier seg om vanlige hackermiljøer og organisert kriminalitet går ikke bare på kompetanse. Det går også på motiv. Det er vanskelig å tenke seg at hackermiljøer og organiserte kriminelle som i hovedsak tenker kortsiktig pengegevinst, kan ha begitt seg ut på et slikt prosjekt.

Derimot er det lett å se at iranske kjernekraftverk kan være interessante mål for etterretningsorganisasjoner til land som har engasjert seg for å hindre Iran fra å skaffe seg en atombombe.

De to landene som peker seg ut, er USA og Israel. Begge har brukt store ressurser på å bygge opp sin evne til å føre kyberkrig. Israel har bygget opp en enhet kjent som «Unit 8200». I septembernummeret av Le Monde diplomatique er det en artikkel som prøver å kartlegge denne enheten, som for øvrig også er gjenstand for en artikkel i Wikipedia.

En mulig forbindelse mellom Stuxnet og Israel diskuteres i en artikkel i New York Times. Her siteres to israelske eksperter, som gir uttrykk for stikk motsatte oppfatninger.

Yossi Melman som dekker etterretningssaker for avisa Haaretz og som er i ferd med å skrive en bok om israelsk etterretning det siste tiåret, mener Israel kan være involvert i Stuxnet.

Dette avvises av teknisk direktør Shai Blitzbau i IT-sikkerhetsselskapet Maglan, som sier han er overbevist om at Israel overhode ikke har noe med Stuxnet å gjøre.

Har Blitzbau rett, er USA en mulig synder.

Det gjenstår å forklare hvordan Stuxnet greide å infisere så mange som 30 000 datamaskiner i Iran, etter Symantecs anslag. Den tyske IT-sikkerhetseksperten Ralph Langner, som var tidlig ute med å peke på nasjonalstater i forbindelse med Stuxnet, mener russere som arbeider på Irans kjernekraftverk er en mulig kilde. Hvem som helst kan ha lagt igjen en infisert minnepinne som en av disse kan ha plukket opp og koplet til sin pc, ifølge Langner.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.