Stuxnet probeert om de omwentelingssnelheid van bepaalde elektromotoren in fabrieken te wijzigen. Dat heeft een Nederlandse expert op het gebied van de programmering van industriële systemen ontdekt . Tot nu was alleen bekend dat Stuxnet fabrieksprocessen probeerde te beïnvloeden, maar niet precies welke. Dat laat Symantec weten op een bedrijfsblog.
De antivirusleverancier gaf begin november delen van de Stuxnet-code vrij en riep experts op te helpen achterhalen wat het doelwit van dit gevanceerde virus is. Met de hulp van een Nederlandse expert, waarvan Symantec de naam niet noemt, is het onderzoek nu een stapje verder geholpen. De Nederlander is een expert op het gebied van Profibus. Dat is een datacommunicatie-standaard voor het aansturen van sensoren en actuatoren. Waar sensoren enkel metingen verrichten, beïnvloeden actuatoren hun omgeving.
Leveranciers in Finland en Iran
De actuator waar Stuxnet zich op richt is een frequentie-omvormer. Dat is een apparaat dat de omwentelingssnelheid van elektromotoren regelt. Een frequentie-omvormer doet dat door de voedingsspanning aan- en uit te schakelen, in een bepaalde frequentie. Hoe hoger de freqentie, hoe sneller de motor draait.
Wanneer Stuxnet via een usb-stick een lokaal bedrijfsnetwerk binnenkomt, zoekt het binnen dat bedrijfsnetwerk naar computers die actuatoren aansturen: programmable logic controllers (PLC's). Het was al bekend dat Stuxnet zich richt op PLC's waar een bepaald type aansturingssoftware van Siemens draait. Nu blijkt dat het virus zich enkel richt op PLC's die frequentie-omvormers aansturen. Bovendien gaat het om frequentie-omvormers afkomstig van één of twee fabrikanten. Eén van deze twee fabrikanten bevindt zich in Finland, de ander in Iran.
Hoge omwentelingssnelheden
Stuxnet wijzigt, via de PLC en de frequentieomvormer, de omwentelingssnelheid van motoren gedurende korte intervallen. Het zou op die manier de normale werking van industriële controleprocessen verstoren. Stuxnet wijzigt de omwentelingssnelheid alleen waneer de motoren gedurende een bepaalde periode met een frequentie van 807 Hz tot 1210 Hz gedraaid hebben.
Dit zijn volgens Symantec behoorlijk hoge omwentelingssnelheden, die het industriële doelwit van Stuxnet verder inperken. 'We zijn geen experts in industriële controlesystemen en kennen niet alle toepassingen bij deze snelheden, maar deze snelheden maken een lopende band in een verpakkingsfabriek een onwaarschijnlijk doelwit', schrijft de antivirusleverancier met gevoel voor understatement. 'We willen graag horen welke toepassingen er bestaan voor frequentie-omvormers die opereren met deze snelheden.'
Symantec vermeldt op de blog een link naar zijn geüpdate rapport over Stuxnet. Ook is hier een filmpje te zien over de manier waarop een virus PLC's kan ontregelen.
Dat soort frequenties hoort bij nucleaire ultra centrifuges. Zou dus kunnen betekenen dat stuxnet dit soort apparaten moet ontregelen.
Peter is me net voor, ik dacht ook meteen aan ultracentrifuges, zie:
http://science.howstuffworks.com/uranium-centrifuge.htm
1200 Hz ~= 72000 RPM
(Ultracentrifuges werken bij orde grootte 100000 RPM.)
Verder liet het schema zien dat er een grote aantallen motoren (~180) mee aangestuurd worden, ook typisch voor een ultracentrifuge cascade.
Iran heeft een programma voor opwekking van uranium tot nucleaire brandstof/splijtstof, en Duitsland (Siemens PLCs?) is bekend leverancier van allerlei industriele “toepassingen” in het Midden-Oosten.
De genoemde motorcontroller kwam of uit Iran, of uit Finland. Gezien de gevoeligheid van de techniek (zie ook “Howstuffworks”) is het niet uitgesloten dat Iran zelf bepaalde onderdelen maakt, zoals een controller.
Gezien de geavanceerdheid van het virus, en de specifieke targetting, lijkt het het werk van een doelgerichte organisatie met voldoende technische en financiele middelen.
Als je dan ook nog eens bedenkt dat er landen zijn die absoluut niet blij zijn met wat Iran aan het doen is, omdat president Ahmadinejad meerdere malen gedreigd heeft Israel met atoomwapens van de kaart te vegen, dan ligt er ook een motief.