Novi podatki o operaciji Stuxnet

Stuxnet je zlonamerna programska oprema oz. računalniški virus, ki so ga prvič odkrili leta 2010. Namenjen je bil sabotaži iranskih centrifug za bogatenje urana in je za več let upočasnil razvoj iranskega jedrskega programa. Te dni pa so o virusu oz. vohunskem programu v javnost prišle nove, zanimive informacije.

Bogatenje urana je postopek, pri katerem se v običajnem uranu (U-238) poveča delež urana-235, ki se uporablja pri jedrskih reakcijah in seveda tudi pri jedrskem orožju. Eden izmed načinov za bogatenje urana je centrifugiranje. Uran se najprej raztopi v solni kislini in drugih kemičnih reagentih, nato pa se to raztopino v centrifugah vrti s hitrostjo več tisoč obratov na minuto. Težji uran-235 se nato zaradi centrifugalne sile zbere na robu centrifuge in s tem se “težji” uran loži od “lažjega” oz. se ga s tem postopkom obogati.

Ko je Stuxnet vstopil v računalnik, je začel iskati ciljno strojno opremo - konkretno Siemensove programabilne logične krmilne enote (tim. PLC), ki se uporabljajo za nadzor različnih industrijskih procesov. Ko je Stuxnet našel ustrezen PLC, je spremenil njegovo programsko opremo in sicer na način, da so se centrifuge za obogatitev urana vrtele prehitro oz. z napačno frekvenco in se poškodovale. Pri svojem početju je bil Stuxnet zelo uspešen, saj je leta 2010, ko so ga odkrili, na iranskem jedrskem programu povzročil precejšnjo škodo. Uničenih je bilo skoraj tisoč centrifug, ki so bile ključne za obogatitev urana, iranski jedrski program pa je utrpel ocenjeno zamudo več let.

Že takoj po odkritju Stuxneta se je domnevalo, da so iranski jedrski program sabotirali Izraelci in Američani. Kasneje se je razkrilo, da sta virus razvila izraelski Mossad in ameriška CIA, razvoj pa je stal med enim in dvema milijardama dolarjev. Kasneje (leta 2019) pa se je razkrilo, da je pri tej specialni operaciji sodelovala tudi nizozemska obveščevalna agencija AIVD. Pa še zanimivost: po mnenju pravnih strokovnjakov v NATO cyber warfare center iz leta 2013 je bil napad na iransko kritično infrastrukturo nezakonito “dejanje sile”.

Stuxnet danes velja za prvi primer, ko je bila zlonamerna programska oprema uporabljeno za napad na kritično infrastrukturo oz. kot del kibernetskega bojevanja. O Stuxnetu je bil leta 2016 posnet zanimiv dokumentarec Zero Days, ki se ga vsekakor splača pogledati. Enega glavnih protagonistov tega filma pa sem pred leti osebno srečal tudi sam.

Kot rečeno je Stuxnet napadel iranski jedrski obrat v Natancu. Vprašanje, ki si ga je marsikdo zastavljal pa je bilo, kako je do okužbe sploh prišlo. Jedrski objekt v Natancu je namreč zgrajen pod zemljo, dostop do njega je seveda strogo omejen, predvsem pa objekt nima aktivne povezave z internetom ali drugimi zunanjimi omrežji (za to se uporablja angleški izraz “air-gapped”).

Dolga leta se je govorilo, da naj bi do okužbe prišlo preko okuženih USB ključkov, pri čemer se je omenjalo enega oz. dva ruska znanstvenika, ki sta imela dostop do Natanca, iranskega dvojnega agenta, ki naj bi bil član organizacije Mujahideen-e Khalq, itd. Včeraj pa je nizozemski časopis Volkskrant objavil članek o tem kako je do okužbe dejansko prišlo in kdo je izvedel sabotažo.

Po poročanju Volkskranta naj bi bil to nizozemski inženir Erik van Sabben, ki je delal za prevozniško podjetje TTS v Dubaju, njegova druga žena pa je bila iz Irana. Erika van Sabbna je leta 2005 rekrutirala nizozemska tajna služba AIVD, virus pa je konec leta 2008 v jedrski obrat vnesel preko vodne črpalke, ki jih je vgrajevalo van Sabbnovo podjetje. Obstaja seveda tudi možnost, da je bil poleg tega virus v Natanc vnešen tudi preko USB ključka, saj je jedrski kompleks napadlo več verzij Stuxneta.

Erik van Sabben se je v Natanz, ki se nahaja 300 km od Teherana, kot zunanji izvajalec uspel infiltrirati leta 2007. Kot rečeno, je konec leta 2008 za deset dni poslovno in zasebno obiskal Teheran (obiskal je družino svoje iranske žene), vendar so njegovi domači in prijatelji kasneje povedali, da je že po enem dnevu želel zapustiti Iran. Deloval je zmedeno in ni želel pojasniti zakaj želi zapustiti državo. Kot je kasneje povedala njegova iranska žena je bil zelo vznemirjen in je vztrajal, da takoj odidejo.

Van Sabben je Iran uspešno zapustil, a dva tedna kasneje je komaj 36-leten umrl v prometni nesreči nesreči v Sharjahu, blizu Dubaja. 16. januarja 2009 je namreč izgubil nadzor nad svojim motociklom, se prevrnil in si zlomil vrat. Uradna preiskava ni ugotovila ničesar sumljivega in van Sabben je uradno žrtev prometne nesreče.

Nizozemske tajne službe zdaj trdijo, da so jih Američani izrabili in da niso vedeli, da bo van Sabben v iranski jedrski kompleks prenesel virus. Vedeli sicer so, da sodelujejo v projektu sabotaže iranskega jedrskega programa, niso pa vedeli, da bo sabotaža izvedena z digitalnim orodjem. Nizozemski politiki naj o dogodkih ne bi bili obveščeni, nizozemski premier naj ne bi vedel, kaj počne AIVD, AIVD pa zdaj trdi, da ima o dogodku pomanjkljivo dokumentacijo.

Ko je van Sabben leta 2009 umrl, so Američani in Izraelci razvili nove verzije Stuxneta, ki so se širile same in niso več potrebovale nekoga, ki bi jih fizično odnesel v obrat. Nove različice računalniškega virusa so povzročile zapiranje ventilov centrifug v določenem trenutku, kar je preprečilo uhajanje plina in sabotiralo bogatenje urana.

Januarja 2011 sta varnostna raziskovalca Bruce Dang in Peter Ferrie na hekerski CCC konferenci predstavila predavanje z naslovom Adventures in analyzing Stuxnet, kjer sta predstavila zanimivo tehnično analizo Stuxnetove zlonamerne kode.

A na predstavitvi je predaval samo Bruce Dang. Peter Ferrie je namreč malo pred predavanjem doživel prometno nesrečo (z manjšimi poškodbami) - na pločniku ga je zbil avto.