Deze nieuwe conclusies (pdf) trekt Symantec uit een analyse van 3,280 unieke monsters van de Stuxnet-worm. Deze zouden voortkomen uit in totaal 12.000 infecties, die allemaal terug te leiden zijn tot vijf bronnen in Iran. Volgens Symantec is dat maar een klein deel van het totale aantal Stuxnet-infecties, maar zijn daar al redelijk betrouwbare conclusies te trekken.

Vierde, onbekende variant

Zo is al duidelijk dat het om ten minste drie varianten gaat, met een mogelijkheid dat er nog een vierde, voorheen onbekende variant rondwaart, aldus het officiële Symantec-blog. Ook opvallend is de vondst dat de oudste code dateert van juni 2009, zo wijzen de timestamps uit.

De worm is pas in juli vorig jaar ontdekt door Wit-Russische computerbeveiligers. Dat sluit niet uit dat er vóór die tijd al aanvallen met Stuxnet hebben plaatsgevonden. Later is de oorsprong van de worm geschat op begin 2010.

Meertrapsraket

Stuxnet is een worm die zogenaamde SCADA-systemen platlegt. SCADA, wat staat voor Supervisory Control and Data Acquisition, is ontwikkeld door het Duitse bedrijf Siemens. De software wordt in de industrie veel gebruikt om machines aan te sturen. Ook nutsbedrijven en kerncentrales gebruiken SCADA, net als militaire installaties.

Dikwijls wordt SCADA aangestuurd met Windows-pc's, en daar maakt Stuxnet gretig van gebruik door meerdere bekende zero-daylekken uit te buiten. Uiteindelijk wordt dan het onderliggende systeem geïnfecteerd, de PLC (programmable logic controller). Onderzoekers geven aan dat Stuxnet bijzonder geavanceerd is, en dat het er sterk op lijkt dat de worm als deel van een politieke agenda is ontwikkeld.

Drie aanvallen op één organisatie

Drie organisaties in Iran zouden eenmaal door Stuxnet zijn aangevallen, één organisatie kreeg twee pogingen te verduren, en het derde doelwit zou zelfs drie keer onder vuur genomen zijn. Welke vijf doelen in Iran zijn aangevallen, wil Symantec niet zeggen, maar er zijn sterke aanwijzingen dat onder andere de uranium-opwerkfabriek in Natanz een hoofddoelwit is. Ook de Kerncentrale in Bushehr was een Stuxnet-doel.