De Stuxnetworm is mogelijk ontworpen om het verrijkingsproces van uranium te saboteren. Dat suggereert Symantec, op basis van de bijdrage van een Nederlandse expert op het gebied van de programmering van industriële systemen.
Stuxnet wijzigt de omwentelingssnelheid van elektromotoren gedurende korte intervallen. Het doet dat alleen waneer de motoren gedurende een bepaalde periode met een frequentie van 807 Hz tot 1210 Hz gedraaid hebben. Symantec wijst erop dat elektromotoren met zulke hoge toerentallen ‘gebruikt kunnen worden voor uraniumverrijking.’ De antivirusleverancier vraagt zich hardop af of er andere toepassingen bestaan die dezelfde snelheden gebruiken. Zo ja, dan zou het bedrijf ‘dat graag horen.’
Volgens de beveiligingsonderzoekers was het niet de bedoeling van de worm om het verrijkingsproces tot stilstand te brengen. Dat zou te veel in de gaten lopen. In plaats daarvan moest Stuxnet mogelijk de kwaliteit van het verrijkte uranium in zoverre omlaag brengen, zodat het niet meer gebruikt kon worden voor de productie van atoombommen.
Scada
De analyse geeft voeding aan een al langer bestaand vermoeden: dat er politieke motieven ten grondslag liggen aan de productie van Stuxnet. De manier waarop Stuxnet zich verbergt en waarop het interactie heeft met industriële omgevingen duidt op een grondige voorbereiding en een grote kennis van de werking van Scada-omgevingen. Stuxnet zit zo geavanceerd in elkaar dat de malware alleen kan zijn gemaakt door een groep gespecialiseerde professionals die op basis van hun kennis zijn geselecteerd en gedurende een relatief lange periode hebben samengewerkt.
Doelwit van Stuxnet zou mogelijk een nucleaire faciliteit in Natanz in Iran kunnen zijn. Dat suggereerde beveiligingsexpert Frank Rieger van het Duitse beveiligingsbedrijf GSMK al in september. De Duitse onderzoeker Ralph Langer suggereerde eerder dat Stuxnet tot doel had een kernreactor in Bushehr in Iran te saboteren.
Symantec
Symantec gaf begin november delen van de Stuxnet-code vrij en riep experts op te helpen achterhalen wat het doelwit van dit gevanceerde virus is. Met de hulp van een Nederlandse expert, waarvan Symantec de naam niet noemt, is het onderzoek nu een stapje verder geholpen. De Nederlander is een expert op het gebied van Profibus. Dat is een datacommunicatiestandaard voor het aansturen van sensoren en actuatoren. Waar sensoren enkel metingen verrichten, beïnvloeden actuatoren hun omgeving.
De actuator waar Stuxnet zich op richt is een frequentie-omvormer. Dat is een apparaat dat de omwentelingssnelheid van elektromotoren regelt. Een frequentie-omvormer doet dat door de voedingsspanning aan en uit te schakelen, in een bepaalde frequentie. Hoe hoger de freqentie, hoe sneller de motor draait.
Wanneer Stuxnet via een usb-stick een lokaal bedrijfsnetwerk binnenkomt, zoekt het binnen dat bedrijfsnetwerk naar computers die actuatoren aansturen: programmable logic controllers (PLC’s). Het was al bekend dat Stuxnet zich richt op PLC’s waar een bepaald type aansturingssoftware van Siemens draait. Nu blijkt dat het virus zich enkel richt op PLC’s die frequentie-omvormers aansturen. Bovendien gaat het om frequentie-omvormers afkomstig van één of twee fabrikanten. Eén van deze twee fabrikanten bevindt zich in Finland, de ander in Iran.