Eksperter på IT-sikkerhet som har undersøkt Stuxnet-ormen, har framhevet hvor avansert den er i sin kombinasjon av mange typer angrep. De har konkludert med at denne ormen krever IT-kompetanse langt utover nivået til organisert kriminalitet, og peker på miljøer på nasjonalt nivå, knyttet til for eksempel etterretningstjenester til land som USA og Israel. Det britiske tidsskriftet The Economist skriver på lederplass at Stuxnet er en avansert «kyberrakett» som avdekker kyberkrigføringens potensial og begrensninger.
Les også:
- [15.12.2010] - Irans atomprogram satt to år tilbake
- [08.10.2010] EU advarer mot Stuxnet-ormen
- [30.09.2010] Hvem fører kyberkrig mot Iran?
- [27.09.2010] Orm herjer piratkopiert IT i kjernekraftverk
I sin kommentar til Stuxnet, tar analyseselskapet Gartner opp en annen tråd. Her heter det:
– Bedrifter av alle typer er sårbare overfor avanserte og målrettede angrep som Stuxnet. Sikkerhetsansvarlige må ta umiddelbare tiltak for å verne mot denne typen angrep, og mot enda verre angrep som uvegerlig vil komme.
De overordnede kjennetegnene til Stuxnet-ormen er at den retter seg mot IT-systemer som av sikkerhetsgrunner ikke har noen åpning mot Internett. Ormen smitter til Windows-pc-er gjennom USB-minne. Når den har installert seg på en pc, saumfarer den lokalnettet på jakt etter driftsprogramvare for industrielle systemer.
Gartner tror Stuxnet vil danne modell for angrep som kan ramme langt bredere enn kjernekraftverk i Iran. Bedrifter må følgelig stålsette seg mot angrep med tilsvarende sammensatte angrepsmetoder:
- Nulldagssårbarheter
- Kjente Windows-sårbarheter som ikke er fikset
- Andre kjente sårbarheter i programvare
- Sårbarheter i kontrollenheter med programmerbar styringslogikk (PLC eller «programmable logic controllers») i bruk i industrien
- Smitte gjennom USB-minne av nettverk uten Internett-forbindelse
Ifølge Gartner er tilsvarende sammensatte kyberangrep tidligere observert i kriminelle svindelforsøk.
De understreker at den delen av Stuxnet-koden som rettes mot Siemens' Scada-system har vakt mye oppmerksomhet, men at den i praksis må oppfattes som enda et eksempel på målrettet angrep med funksjoner som skal hindre det fra å oppdages og spores.
– Kontrollsystemsårbarhetene som Stuxnet utnytter er velkjent innen vannverk, kraftverk og liknende. Tilsvarende angrep er avslørt mot kasseapparater og betalingsterminaler, og flere kan ventes.
Notatet til analytikerne John Pescatore og Earl Perkins avsluttes slik:
– Bedrifter må fokusere på å fjerne velkjente sårbarheter og verne om kritiske systemer der det finnes sårbarheter som ikke kan patches. Bedrifter med industrielle kontrollsystemer skal ikke anta at de vernes av «sikkerhet gjennom dunkelhet» eller at deres nettverk ikke er utsatt for angrep utenfra.
Stuxnet er med andre ord framtidens industrispionasje.
En av teoriene om Stuxnet-angrepet mot Iran, er at en russisk ekspert ved anlegget har fått stukket til seg en infisert USB-pinne. Det finnes utallige scenarioer som kan føre til at noen mottar og bruker en infisert minnepinne, og kompetente agenter må antas å beherske flere av dem.
Les også:
- [15.12.2010] - Irans atomprogram satt to år tilbake
- [08.10.2010] EU advarer mot Stuxnet-ormen
- [30.09.2010] Hvem fører kyberkrig mot Iran?
- [27.09.2010] Orm herjer piratkopiert IT i kjernekraftverk