Ładunek Stuxneta rozszyfrowany

Na temat celu stworzenia robaka Stuxnet jest tyle teorii ilu komentatorów, do niedawna wiadomo było, że zmienia on rozkazy wysyłane do sterowników urządzeń przemysłowych. Teraz badaczom z firmy Symantec udało się ustalić co dokładnie jest zmieniane.

Celem modyfikacji wykonywanych przez Stuxneta okazały się rozkazy wysyłane do konwerterów częstotliwości, czyli urządzeń sterujących prędkością obrotową silników elektrycznych. Ale też nie do wszystkich. Stuxnet wyszukiwał konwertery produkcji firm Fararo Paya (irańskiej) i Vacon (fińskiej), ale aktywował swój ładunek bojowy tylko kiedy w sieci było więcej niż 33 urządzenia tych firm. Jednak i samo to nie wystarczy, Stuxnet ingeruje tylko w konwertery częstotliwości pracujące w zakresie pomiędzy 807 i 1210 herców.

Jeśli w sieci sterowania jest więcej urządzeń irańskich niż fińskich, Stuxnet uruchamia jedną sekwencję poleceń, jeśli jest odwrotnie, drugą. W każdym razie polecenia te polegają na krótkich gwałtownych zmianach częstotliwości pracy konwerterów, a co za tym idzie sterowanych przez nie silników. Częstotliwość pracy jest najpierw zmieniana na 1410Hz, później obniżana na 2Hz, a potem podwyższana do 1064Hz, jednak zmiany odbywały się po długich (kilka tygodni) okresach oczekiwania przy ustawieniach poprawnych i na krótkie okresy. Tak wprowadzane zmiany jest bardzo trudno odkryć, a jeszcze trudniej zdiagnozować ich przyczynę, co jak podkreślają badacze, pozwalało Stuxnetowi ukrywać się w systemach celu.

Wyniki badań dodają następne poszlaki do teorii głoszącej, że Stuxnet jest bronią wycelowaną w irańskie zakłady uzdatniania uranu w Natanz. Nie dość że konwertery częstotliwości zdolne do pracy z częstotliwością większą niż 600Hz są uznawane za materiały strategiczne, ze względu na potencjalne wykorzystanie w wirówkach do wzbogacania uranu, to jeszcze sam proces polega na długotrwałym, jednostajnym odwirowywaniu gazowego sześciofluorku uranu, w celu zebrania najcięższej frakcji (radioaktywny uran 238 jest około jednego procenta cięższy od nieaktywnego uranu 235). Każde zaburzenie procesu wirowania, na przykład przez gwałtowne zmiany prędkości wirówek, znacząco obniży wydajność procesu i jakość otrzymywanego paliwa jądrowego.

Komentatorzy wskazują, że niedługo przed wyrwaniem się Stuxneta na wolność i wykryciem go przez badaczy bezpieczeństwa (czerwiec 2009), w zakładach w Natanz prawdopodobnie wydarzył się poważny wypadek, który o 800 zmniejszył liczbę działających tam wirówek. Cóż, gwałtowne wyhamowanie urządzenia obracającego się z prędkością 1000 obrotów na sekundę do 2 obrotów na sekundę może się skończyć nawet jego zniszczeniem.

Badacze podkreślają, że z analizy robaka wynika, że stworzyła go bogata, dobrze wyposażona organizacja. Do testowania działania robaka, trzeba było stworzyć środowisko analogiczne do tego jakie miał zaatakować, a sterowniki SCADA i irańskie konwertery częstotliwości - klasyfikowane przecież jako materiał strategiczny i podlegające kontroli obrotu międzynarodowego - nie walają się na złomowiskach całego świata. Jednak prawdopodobnie nigdy nie dowiemy się z całą pewnością kto był mocodawcą Stuxneta.

Chociaż, zakładając że Stuxnet faktycznie wycelowany był w zakłady w Natanz, nasuwają się dwie oczywiste możliwości: Ameryka i Izrael.

[Na podstawie W32.Stuxnet Dossier, Wired Threat Level, za The Register]

Janusz A. Urbanowicz