Nieuws
image

Virusbestrijders bewonderen Stuxnet-worm

vrijdag 17 september 2010, 13:35 door Redactie, 7 reacties

De Stuxnet-worm die wereldwijd tientallen fabrieken infecteerde, krijgt veel bewondering van anti-virusbedrijven. "Het is echt verbazend, de middelen die in deze worm zijn gaan zitten", zegt Liam O Murchu van Symantec. Roel Schouwenberg van Kaspersky Lab noemt de werking van de worm zelfs 'baanbrekend'. Beide anti-virusbedrijven ontdekten de aanvullende exploits waardoor de worm zich verspreidt. Naast het Windows LNK-lek, gebruikt de worm vier andere kwetsbaarheden.

Iran was het voornaamste doelwit van de worm, aangezien 60% van de besmette machines zich daar bevond. Het was de aanvallers vooral om SCADA-systemen te doen, die via het netwerk werden geïnfecteerd. De besmetting van het netwerk vond via een geïnfecteerde USB-stick plaats. Naast de vijf exploits, waarvan vier zero-days, gebruikte Stuxnet ook twee legitieme certificaten van Realtek en JMicron.

Indrukwekkend
"De organisatie en complexiteit om het gehele pakket uit te voeren zijn zeer indrukwekkend", aldus Schouwenberg. "Wie erachter zit had een missie om bij de bedrijven binnen te komen die ze als doelwit hadden." Volgens O Murchu is het duidelijk dat de worm door een team van mensen met verschillende achtergronden is gemaakt. Stuxnet is ongeveer een halve megabyte groot en in meerdere talen geschreven, waaronder C, C++ en andere object-georiënteerde talen.

"Wat de SCADA-kant betreft, wat een zeer gespecialiseerd onderwerp is, zouden ze fysieke hardware nodig hebben gehad om te testen, en de kennis van de specifieke werkvloer", laat O Muchu weten. "Het was een groot, groot project." Om niet al teveel op te vallen, werd er een teller op de geïnfecteerde USB-stick aangebracht, zodat die niet meer dan drie pc's kon infecteren. "Ze wilden de verspreiding van deze dreiging beperken, zodat het binnen de aan te vallen fabriek bleef."

Conficker
Dat verklaart ook het gebruik van de MS08-067 exploit, waardoor ook Conficker zich verspreidde. "In de meeste SCADA-netwerken wordt niet gelogd en is er zeer beperkte beveiliging en erg langzame patchcycli aanwezig", verklaart Schouwenberg. Daardoor was de MS08-067 exploit ideaal. O Murchu denkt niet dat het om een private groep gaat. "Het ging ze niet alleen om de informatie, dus een concurrent is uitgesloten. Ze wilden de PLCs herprogrammeren en de machines op een manier besturen die niet door de oorspronkelijke beheerders bedoeld was. Dat wijst op meer dan alleen industriële spionage."

Siemens liet eerder weten dat veertien van de fabrieken door de worm waren besmet, maar dat er geen schade was aangericht. De beide virusbestrijders zijn daar niet zeker van. Zowel Schouwenberg als O Murchu gaan ervan uit dat de operatie van de aanvallers succesvol was, aangezien de command & control infrastructuur zeer primitief was. "Ze waren ervan overtuigd dat ze konden doen wat ze wilden voordat ze werden ontdekt."

Reacties (7)
17-09-2010, 14:14 door Anoniem
Wat werd er eigenlijk in die Siemens fabrieken gemaakt? Zijn er nu geen producten de wereld in gestuurd die anders zijn dan hoe Siemens ze bedoeld had?

En opvallend dat Iran zo sterk geraakt is. Dat suggereert imho eerder dat een VS er achter zit dan China zoals elders op security.nl werd geroepen.
18-09-2010, 01:30 door Anoniem
Inlichtingendiensten staan erom bekend dat ze gedrag van andere inlichtingendiensten kopieren als cover. Het is altijd mogelijk dat het niet China was. Maar China moet ook niet worden onderschat, ze liggen mijlenver voor en dit behoort zeker tot hun mogelijkheden. Het past ook in hun werkmethoden (gescheiden productie- en gebruikcellen). China heeft uiteraard ook alle hardware om te testen.

Kijkend naar de doelen van de Chinezen, is het niet vreemd dat ze proberen controle te verkrijgen over strategische infrastructuur van landen, waaronder dus industrie. Denk alleen maar aan een doelwit als een watermaatschappij. Dat doe je alleen maar als je wilt weten hoe je de watervoorziening kan stilleggen of kan gebruiken voor biologische aanvallen.
19-09-2010, 15:06 door Anoniem
'En opvallend dat Iran zo sterk geraakt is. Dat suggereert imho eerder dat een VS er achter zit dan China zoals elders op security.nl werd geroepen'

ja, maar China kan Iran gebruikt hebben om China uit het verdachte rijtje te halen voor mensen zoals jij
21-09-2010, 17:30 door Anoniem
"Now they know that we know that they know that we know" (Art, The Burbs)
25-09-2010, 16:23 door Anoniem
Siemens maakt PLC's (zeg maar een controller met in- en uitgangen voor besturingen) en HMI's (touch screens e.d.). Deze apparatuur wordt steeds 'universeler' naar bovenliggende systemen. Vroeger communiceerde PLC's onderling nauwelijks of via eigen bussystem (CAN, Profibus enz). Het systeem was een eiland waar alleen iemand met een speciale programmeerkabel bij kon.

Omdat er steeds meer behoefte in de industrie is om systemen beter samen te laten werken en niet overal een mannetje naast te zetten, zal je de informatie naar een centraal punt moeten halen. Alle gegevens moeten dan wel verwerkbaar zijn en het mag niet te duur zijn. PC's (al dan niet industrieel) en PC software zijn dan vaak gebuikte oplossingen...
Dat een USB stick ingeplugd wordt om gegevens over te zetten en de netwerkaansluiting van de SCADA pc aan het kantoornetwerk hangen (remote service, logfiles uitlezen), maakt het allemaal wel kwetsbaar.

Bijkomend nadeel is dat de plc's/scada systemen het terrein zijn van programmeurs in tegenstelling tot kantoor PC's en servers die door systeembeheerders bewaakt worden. De programmeurs zijn nog niet zo gewend aan de boze buitenwereld waar ze sinds kort mee te maken hebben.
25-09-2010, 21:42 door Anoniem
Er bestaat ook een goede kans dat STUXNET vooral bedoeld was als een aanval op SIEMENS. Misschien omdat deze hard en software leveren aan Iran.... Kan me voorstelen dat deze aanval bepaald geen goede reclame is voor SIEMENS..

Stuxnet legt EN wereldweid de aandacht op het feit dat Siemens technologie levert voor Iraanse kerncentrales EN dat deze apparatuur onderwerp van een amerikaanse of chinese aanval kan zijn. Ik kan me zo voorstellen dat bedrijven zich door dit voorval nog eens vaker op het hoofd krabben over waar ze zaken doen met wie...

En van wat dan daadwerkelijk de schade en de functie is van het virus is dan maar de vraag..
26-09-2010, 21:45 door Anoniem
Als je het mij vraagt, is deze aanval specifiek gericht op de nucleaire centra in Iran. Stuxnet richt zich op SCADA systemen, omdat dit de systemen zijn die aldaar worden gebruikt. Dat andere SCADA systemen ook geraakt worden is dan niet meer dan 'collateral damage'.
En als bovenstaande klopt, dan is de oorsprong van Stuxnet eerder te vinden in 'Het Westen' dan in China.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search