Stuxnet

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Stuxnet is een schadelijk computerprogramma. Het bestaan van deze geavanceerde worm werd ontdekt in juni 2010 door een anti-virusfabrikant uit Wit-Rusland. Het programma beïnvloedt de werking van bepaalde Siemens-apparatuur op schadelijke wijze. Het zou ontwikkeld zijn om Iraanse ultracentrifuges te saboteren. Deze worden gebruikt voor het maken van nucleaire brandstof. De worm wijzigt de PLC waarmee de motoren van de centrifuges aangestuurd worden.

Geschiedenis[bewerken]

Datum Toelichting
17 juni 2010 De Wit-Russische firma VirusBlokAda, een leverancier van antivirus software, maakt bekend Stuxnet gevonden te hebben. De malware krijgt de naam Trojan-Spy.0485 en Malware-Cryptor.Win32.Inject.gen.2 en de drivers worden onder de naam Rootkit.TmpHider en SScope.Rookit.TmpHider.2 geregistreerd in de virusdatabase[1].
20 juni 2010 Stuxnet maakt gebruik van een certificaat van Realtek en JMicron Technology Corp. Microsoft heeft in samenwerking met Verisign en toestemming van Realtek het certificaat ingetrokken [2].
18 juli 2010 Microsoft publiceert twee tijdelijke workarounds in afwachting van de patch [3].
21 juli 2010 Microsoft brengt een reparatieprogramma uit om een zeer ernstig beveiligingslek met betrekking tot icoontjes van snelkoppelingen te fixen [4].
2 augustus 2010 Microsoft brengt een noodpatch uit die een lek dicht in snelkoppelingen. Dit is een kwetsbaarheid die gebruik werd door Stuxnet [5].
4 augustus 2010 Trend Micro brengt een Stuxnet detectie en verwijdertool uit.
18 augustus 2010 Siemens brengt een securitypatch uit.
27 september 2010 Hoofd van de technologieraad van het ministerie van Industrie, Mahmoud Liayi, maakte bekend dat Stuxnet 30.000 Iraanse computers heeft geïnfecteerd. Het computerprogramma heeft geen schade aangebracht aan de kerncentrale in Bushehr [6].
15 november 2010 Rob Hulsebos, software- en netwerkexpert, gespecialiseerd in industriële procesautomatisering, meer specifiek systemen Profibus, AS-Interface, Modbus, CAN, en Profinet helpt Symantec met het ontleden van het computerprogramma. Hieruit blijkt dat de worm alleen is gericht op zeer specifieke systemen, zoals ultracentrifuges voor het verrijken van uranium [7].
14 december 2010 Microsoft dicht het laatste beveiligingsgat in Windows, waarvan Stuxnet gebruik maakt om zich te verspreiden [8].
29 november 2010 Iraanse president geeft voor het eerst toe dat 'een beperkt aantal' uraniumverrijkingscentrifuges problemen heeft ondervonden door de computerworm [9].
15 januari 2011 New York Times maakt bekend op basis van anonieme bronnen binnen het Amerikaanse leger en de inlichtingendiensten dat de worm is gemaakt door de Verenigde Staten en Israël en deze is uitgeprobeerd zou zijn in een testopstelling met centrifuges in de zwaar beveiligde Dimona-atoominstallatie[10].
18 april 2011 Gholamreza Jalali, commandant in het Iraanse leger, laat in een krant weten dat volgens onderzoek de worm door Israël en de Verenigde Staten is gemaakt en dat het Duitse bedrijf Siemens verantwoordelijk wordt gehouden voor het doorspelen van informatie over de Iraanse scada-systemen aan deze landen [11].
19 september 2011 Stuxnet virus treft Mitsubishi Heavy Industries, volgens Yomiuri zijn er tachtig computers besmet geraakt met het virus. De pc’s zouden zowel in het hoofdkantoor in Tokio staan als op andere afdelingen verspreid over Japan.[12].
1 juni 2012 The New York Times schrijft dat President Obama opdracht gaf voor de Stuxnetaanval op Iran in 2010.[13]
24 juni 2012 Stuxnet superworm officieel overleden, wegens een in de programmacode aangebrachte einddatum.[14][15]
25 december 2012 Ondanks het officiële 'overlijden' van het virus meldt een Iraans persbureau dat een energiecentrale in het zuiden van Iran, bij de Straat van Hormuz, doelwit zou zijn geweest van een nieuwe Stuxnet-aanval.[16]

Functionaliteit[bewerken]

De complexe worm:

  • verspreidt zichzelf via USB-sticks en een andere variant via het LAN;
  • maakt gebruik van vijf beveiligingsgaten, waarvan vier voorheen onbekend waren [17];
  • verbergt zichzelf via een Rootkit;
  • verwijdert zichzelf van de USB-stick na drie infecties;
  • actualiseert zichzelf via een eigen P2P-netwerk;
  • installeert zichzelf in stuurprogramma's, waarvoor een digitaal certificaat (een soort paspoort) vereist is;
  • modificeert het PLC programma dusdanig dat dit lange tijd voor een PLC programmeur onzichtbaar is;
  • luistert het verkeer naar frequentieomvormers af en laat na enige tijd het toerental, van de motoren die door de frequentieomvormers worden aangestuurd, variëren.

Nieuwe kwetsbaarheden[bewerken]

De worm maakt gebruik van de volgende nieuwe kwetsbaarheden in Windows:

  • MS10-046: kwetsbaarheid in Windows Shell [18]
  • MS10-061: kwetsbaarheid in Print Spooler service [19]
  • MS10-073: kwetsbaarheid in Windows Kernel-Mode Drivers [20]
  • MS10-091: kwetsbaarheid in OpenType Font Driver [21]

Besmettingen[bewerken]

Een studie over de verspreiding van Stuxnet door Symantec laat zien dat met name Iran, Indonesië en India getroffen werden door de worm [22].

Land Besmette computers
Iran 58.85%
Indonesië 18.22%
India 8.31%
Azerbeidzjan 2.57%
Verenigde Staten 1.56%
Pakistan 1.28%
Anders 9.2%

De worm legde een vijfde van de Iraanse computers, die gebruikt worden voor het kernprogramma plat. Volgens Israël zou het Iraanse atoomprogramma hierdoor voor meerdere jaren vertraagd zijn.

Zie ook[bewerken]

Externe link[bewerken]

Referenties[bewerken]

  1. Rootkit.TmpHider (Rootkit.TmpHider op www.anti-virus.by)
  2. Professionele Stuxnet-worm verrast virusbestrijder (Security.nl, 20 juli 2010)
  3. Microsoft waarschuwt voor extreem ernstig Windows-lek (Security.nl, 18 juli 2010)
  4. Microsoft fix voor ernstig Windows LNK-lek (Security.nl, 21 juli 2010)
  5. Microsoft brengt noodpatch uit voor lek in snelkoppelingen (Tweakers, 31 juli 2010
  6. Worm infecteert 30.000 computers in Iran (NU.nl, 27 september 2010)
  7. Nederlander ontleedt Stuxnet: A Breakthrough (Symantec, 16 november 2010)
  8. Microsoft dicht laatste Stuxnet-gat (Webwereld, 10 december 2010)
  9. Iran had wel last van Stuxnet (NU.nl, 30 november 2010)
  10. Israeli Test on Worm Called Crucial in Iran Nuclear Delay (New York Times, 15 januari 2011)
  11. Iran accuses Siemens over Stuxnet virus attack (Reuters, 17 april 2011)
  12. Japan's defense industry hit by its first cyber attack(Reuters, 19 september 2011)
  13. Obama Order Sped Up Wave of Cyberattacks Against Iran (New York Times, 1 juni 2012)
  14. Stuxnet superworm officieel overleden Security.nl, 25 juni 2012
  15. "Today is the day when Stuxnet stops spreading. Also known as the Stuxment Day." Tweet van Mikko Hyppönen, 24 juni 2012
  16. http://nos.nl/artikel/455419-iran-weert-stuxnetaanval.html
  17. Intelligentie Stuxnet verraste Microsoft (Webwereld, 28 december 2010)
  18. Microsoft Security Bulletin MS10-046 - Critical
  19. Microsoft Security Bulletin MS10-061 - Critical
  20. Microsoft Security Bulletin MS10-073 - Important
  21. Microsoft Security Bulletin MS10-091 - Critical
  22. W32.Stuxnet (Symantec, 17 september 2010)