image

Onderzoekers ontdekken oerversie van Stuxnetworm

dinsdag 26 februari 2013, 22:02 door Redactie, 2 reacties

Eén van de meest complexe malware ooit ontdekt blijkt een voorganger te hebben gehad die tussen 2007 en 2009 actief was en de Iraanse uraniumverrijkingscentrale in Natanz probeerde te saboteren. In 2010 werd Stuxnet ontdekt, een zeer geavanceerde worm die verschillende lekken gebruikte om zich te verspreiden, waaronder een geheel nieuwe aanvalsvector.

Het openen van een USB-stick voldoende was hierdoor voldoende om besmet te raken, ook al stond Autorun uitgeschakeld. Op deze manier kon Stuxnet systemen besmetten die niet direct op internet waren aangesloten.

De malware wijzigde op besmette systemen de programmable logic controller (PLC) die weer de 'frequency converter drives' in de verrijkingscentrale aanstuurden. Door het aanpassen van de output frequenties en dus de snelheid van de motoren, raakten de motoren beschadigd.

De malware liet de beheerders echter geloven dat alles in orde was door eerder opgenomen informatie over de status van het systeem opnieuw af te spelen. De eerste variant van Stuxnet die onderzoekers in het wild ontdekten was Stuxnet versie 1.001, gemaakt in 2009.

Oerversie
Dat bleek echter niet de eerste versie te zijn, aldus onderzoekers van Symantec. Die ontdekten namelijk Stuxnet 0.5, die tussen 2007 en 2009 was ingezet. Er zijn zelfs aanwijzingen dat deze versie of varianten ervan mogelijk al in 2005 operationeel waren. Deze oerversie van Stuxnet heeft een aantal opvallende kenmerken.

De malware is gebouwd op het Flame-platform, een ander zeer geavanceerd virus dat vorig jaar mei werd ontdekt. Symantec baseert zich op de registratie van de Command & Control-server waarmee Stuxnet 0.5 communiceerde. Die vond op 3 november 2005 plaats. In totaal werden er vier C&C-servers voor de malware geregistreerd.

USB-sticks
De malware verspreidde zich via het infecteren van Step7 projecten op USB-sticks. Step7 is software van Siemens waarmee het mogelijk is om een PLC te programmeren. In tegenstelling tot latere Stuxnet-versies, gebruikt versie 0.5 geen beveiligingslekken in Windows of andere Microsoft software.

Daarnaast was het zo geprogrammeerd om op 4 juli 2009 zichzelf uit te schakelen. De communicatie met de C&C-server stopte al op 11 januari 2009. Een andere opmerkelijke eigenschap is de aanwezigheid van een volledig werkende exploit tegen Siemens 417 PLCs, die juist in versies 1.x incompleet was.

Ondanks de leeftijd van Stuxnet 0.5 ontdekte Symantec toch nog wereldwijd een klein aantal infecties. Hoeveel het er zijn laat het anti-virusbedrijf niet weten, maar 47% bevindt zich in Iran. Twee procent van de infecties werd in Nederland aangetroffen.

Sabotage
Net als Stuxnet 1.0 had ook Stuxnet 0.5 de Iraanse uraniumverrijkingscentrale in Natanz als doelwit. De code die de 417 PLCs aanviel wijzigde de staat van de kleppen die worden gebruikt om UF6 (uranium hexafluoride gas) in de uraniumverrijkingscentrifuge te brengen.

Door de aanval sloten de kleppen zich wat tot de mogelijke vernietiging van centrifuges en gerelateerde systemen zou kunnen leiden. Daarnaast nam ook deze Stuxnet-versie 'snapshots' van het systeem als dat normaal opereerde, en liet dat tijdens de aanval aan de beheerders zien, zodat die niet door hadden dat het systeem gesaboteerd werd.

Ook zorgde de software ervoor dat de status van de kleppen niet kon worden aangepast als de beheerder tijdens de aanvalscyclus de instellingen probeerde te wijzigen. Het is onbekend of deze aanvallen ook werkten. Zoals eerder gesteld werd vanaf Stuxnet 1.0 besloten om de centrifugesnelheden aan te passen.

Evolutie
Aan de hand van Stuxnet 0.5 is het duidelijk dat de 'supermalware' een lange evolutie doormaakte. Na versie 0.5 werd besloten om het Flamer-platform in te wisselen voor het Tilded-platform, wat ook voor het geavanceerde Duqu-virus werd gebruikt. Wat betreft de twee platformen verschillen Tilded en Flamer genoeg van elkaar om te suggereren dat er verschillende auteurs aan werkten, aldus Symantec

Daarnaast werd ook de verspreidingswijze aangepast en werden onder andere Autorun en het snelkoppelings-lek gebruikt. In totaal gebruikten de verschillende Stuxnet-versies 10 verschillende manieren om zich te verspreiden.

Een andere ontwikkeling was het gebruik van meerdere 'zero-day-lekken', onder andere voor Windows. De verschillende Stuxnet-versies gebruikten bij elkaar 8 verschillende beveiligingslekken, voornamelijk in Windows. Probeerde Stuxnet 0.5 nog Siemens 417 PLCs uit te schakelen, Stuxnet 1.0 had het op Siemens 315 PLCs voorzien.

Maker
In het uitgebreide rapport dat Symantec over de malware maakte gaat het bedrijf geen één keer in op de vraag wie de malware ontwikkelde. Wel wordt Iran als slachtoffer van de worm genoemd. Vorig jaar kwam de New York Times echter met de onthulling dat de supermalware door de Verenigde Staten en Israël was ontwikkeld.

Reacties (2)
27-02-2013, 10:32 door [Account Verwijderd]
[Verwijderd]
27-02-2013, 11:06 door Anoniem
nee hoor :)


In de VS werd besloten om een replica van de Iraanse P-1 centrifuges te ontwikkelen om zo 'the bug', zoals de worm werd genoemd, te testen. Na verschillende succesvolle tests werd toestemming voor de aanval gegeven, maar die kon niet via het internet worden uitgevoerd, aangezien de centale in Natanz niet op het web is aangesloten. USB-sticks waren uiteindelijk de 'heilige graal' om de verrijkingscentrale binnen te dringen.

De eerste aanval van Stuxnet in 2008 was kleinschalig en zorgde ervoor dat een aantal centrifuges niet meer werkten, tot grote verbazing van de Iraniërs. Het feit dat Stuxnet de beheerders van de centrale liet geloven dat alles volgens plan werkte, was volgens één overheidsfunctionaris het meeste briljante gedeelte van de code.

Programmeerfout
Toen Obama de verkiezingen in 2008 won was de centrale en een groot deel van de centrifuges nog steeds intact. Obama besloot het project dan ook door te zetten, mede omdat Stuxnet eigenlijk de enige keuze was om Iran te stoppen. In 2010 veroorzaakte een programmeerfout ervoor dat Stuxnet openbaar werd en zich massaal verspreidde. De fout zou mogelijk door de Israëliërs zijn veroorzaakt, hoewel dat niet zeker is.

Het artikel in de New York Times is gebaseerd op het boek “Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power" dat dinsdag verschijnt. De krant sprak ook nog met overheidsfunctionarissen over het recent ontdekte Flame-virus, maar dat zou geen onderdeel van 'Olympic Games' zijn
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.