Analyse: Stuxnet – Digital Sabotage af Kritisk Infrastruktur (2010)
Stuxnet betragtes som det første digitale våben designet til at forårsage fysisk ødelæggelse af infrastruktur. Opdaget i 2010 markerede det en ny æra i cyberkrigsførelse, hvor angrebet var målrettet Irans atomprogram i Natanz.
Hvad skete der?
Stuxnet var en ekstremt sofistikeret orm udviklet til at sabotere Siemens PLC (Programmable Logic Controllers), der styrede centrifugerne til uranberigelse. Ved at ændre centrifugernes hastighed i korte intervaller fik ormen centrifugerne til at vibrere og til sidst gå i stykker, alt imens kontrolsystemerne viste normale målinger for operatørerne.
Dette resulterede i:
- Sabotage af ca. 1.000 centrifuger.
- En betydelig forsinkelse af det iranske atomprogram.
- En global bevidsthed om sårbarheden i industrielle kontrolsystemer (ICS).
Sårbarheden og Indtrængningsmetoden
Ormen var unik på flere områder:
- Zero-day sårbarheder: Stuxnet benyttede hele fire hidtil ukendte sårbarheder i Windows til at sprede sig.
- Air-gap indtrængning: For at ramme et system uden internetforbindelse (air-gapped), spredte ormen sig oprindeligt via inficerede USB-sticks.
- Digitale certifikater: Ormen benyttede stjålne, legitime certifikater fra respekterede hardwareproducenter (Realtek og JMicron), hvilket fik den til at se troværdig ud for antivirusprogrammer.
- Specialiseret payload: Ormen blev først “våben” når den fandt præcis den type Siemens-hardware, den var kodet til at ramme. På alle andre maskiner forblev den inaktiv.
Læringspunkter for IT-sikkerhed
Stuxnet viste, at intet system er hundrede procent sikkert, selv uden internetadgang:
- USB-sikkerhed: USB-porte i kritiske miljøer skal være fysisk blokerede eller strengt kontrollerede.
- PLC-beskyttelse: Industrielle systemer har brug for specifik sikkerhedsovervågning, der kan detektere uautoriserede programændringer i PLC’er.
- Supply Chain Integrity: Tillid til digitale signaturer kan misbruges, hvis producenter bliver hacket.
- Cyber-Fysisk Sikkerhed: Vi skal tænke IT-sikkerhed sammen med fysisk driftssikkerhed i OT-miljøer.
MITRE ATT&CK for ICS Referencer
Stuxnet er det ultimative eksempel på angreb på industrielle kontrolsystemer:
- T0847 - Replication Through Removable Media: Spredning via inficerede USB-sticks til systemer uden internetadgang (air-gap).
- T0831 - Manipulation of Control: Ændring af centrifugernes hastighed for at skabe fysisk skade.
- T0843 - Program Download: Upload af ondsindet kode til Siemens PLC’er.
- T0830 - Masquerading: Brugen af stjålne certifikater fra Realtek/JMicron for at undgå detektering.
Denne analyse er en del af serien “Analyser af cyberangreb”, hvor vi kigger på historiske hændelser for at lære af fortidens fejl.
> Quiz: Test din viden
1. Hvordan spredte Stuxnet sig ind i de air-gapped anlæg?
2. Hvor mange zero-day sårbarheder udnyttede Stuxnet?
3. Hvad saboterede Stuxnet fysisk?
4. Hvad er et air-gapped system?