Stuxnet probeert om de omwentelingssnelheid van bepaalde elektromotoren in fabrieken te wijzigen. Dat heeft een Nederlandse expert op het gebied van de programmering van industriële systemen ontdekt. Tot nu was alleen bekend dat Stuxnet fabrieksprocessen probeerde te beïnvloeden, maar niet precies welke. Dat laat Symantec weten op een bedrijfsblog.
De antivirusleverancier gaf begin november delen van de Stuxnet-code vrij en riep experts op te helpen achterhalen wat het doelwit van dit gevanceerde virus is. Met de hulp van een Nederlandse expert, waarvan Symantec de naam niet noemt, is het onderzoek nu een stapje verder geholpen. De Nederlander is een expert op het gebied van Profibus. Dat is een datacommunicatie-standaard voor het aansturen van sensoren en actuatoren. Terwijl sensoren enkel metingen verrichten, beïnvloeden actuatoren hun omgeving.
Leveranciers in Finland en Iran
De actuator waar Stuxnet zich op richt is een frequentie-omvormer. Dat is een apparaat dat de omwentelingssnelheid van elektromotoren regelt. Een frequentie-omvormer doet dat door de voedingsspanning aan- en uit te schakelen, in een bepaalde frequentie. Hoe hoger de freqentie, hoe sneller de motor draait.
Wanneer Stuxnet via een usb-stick een lokaal bedrijfsnetwerk binnenkomt, zoekt het binnen dat bedrijfsnetwerk naar computers die actuatoren aansturen: programmable logic controllers (PLC’s). Het was al bekend dat Stuxnet zich richt op PLC’s waar een bepaald type aansturingssoftware van Siemens draait. Nu blijkt dat het virus zich enkel richt op PLC’s die frequentie-omvormers aansturen. Bovendien gaat het om frequentie-omvormers afkomstig van één of twee fabrikanten. Eén van deze twee fabrikanten bevindt zich in Finland, de ander in Iran.
Hoge omwentelingssnelheden
Stuxnet wijzigt, via de PLC en de frequentieomvormer, de omwentelingssnelheid van motoren gedurende korte intervallen. Het zou op die manier de normale werking van industriële controleprocessen verstoren. Stuxnet wijzigt de omwentelingssnelheid alleen waneer de motoren gedurende een bepaalde periode met een frequentie van 807 Hz tot 1210 Hz gedraaid hebben.
Dit zijn volgens Symantec behoorlijk hoge omwentelingssnelheden, die het industriële doelwit van Stuxnet verder inperken. ‘We zijn geen experts in industriële controlesystemen en kennen niet alle toepassingen bij deze snelheden, maar deze snelheden maken een lopende band in een verpakkingsfabriek een onwaarschijnlijk doelwit’, schrijft de antivirusleverancier met gevoel voor understatement. ‘We willen graag horen welke toepassingen er bestaan voor frequentie-omvormers die opereren met deze snelheden.’
Symantec vermeldt op de blog een link naar zijn geüpdate rapport over Stuxnet. Ook is hier een filmpje te zien over de manier waarop een virus PLC’s kan ontregelen.
