Krachtig digitaal wapen van onbekende oorsprong

quote:

Op vrijdag 1 oktober 2010 19:35 schreef Disko.Krali het volgende:

[..]

Als er een activatie was, was die al geweest
Je gaat niet een activatie later laten uitvoeren want zoals nu word je virus toch snel ontdekt

quote:

Op vrijdag 1 oktober 2010 19:37 schreef Granduppaaaaah het volgende:
Ben benieuwd of hackers lessen uit dit stuk software leren en het tegen burgers gaan gebruiken.

quote:

Op donderdag 23 september 2010 22:55 schreef iehlaak het volgende:

[..]

Hij richt zich uitsluitend op Siemens PLC's als ik het goed heb. En die zitten vooral in industriële systemen. Maar hoe hij weet welk industrieel systeem de PLC aanstuurt is mij een raadsel.

Overigens zou ik me als grootmacht behoorlijk zorgen maken, tenzij ik het zelf gemaakt hebt uiteraard. US die van afstand fabrieken in China kan uitzetten, of omgekeerd...

quote:

Op vrijdag 1 oktober 2010 19:37 schreef Osiris024 het volgende:

[..]

Virus speciaal gemaakt voor Siemens systemen ongedoken , Iran heeft veel fabrieken enzo met deze systemen, veel systemen zijn besmet , Iran durft besmette nucliare fabriek niet op te starten hierdoor. verdere gevolgen qua besmetting en impact onbekend.

alstublieft.

quote:

Op vrijdag 1 oktober 2010 19:47 schreef Snaavel het volgende:

[..]

Dank u wel mijn heer..
mijn antwoord op de samenvatting is dus.. 2012!!! WE GAAN ER ALLEMAAL AAN!!!!

quote:

Op vrijdag 1 oktober 2010 19:46 schreef Mr.44 het volgende:

[..]

De Iraanse kerncentrale zal wel opgezet zijn met hulp van de Russen dus zullen ze ook wel grofweg hun systemen/codes gebruiken. Dan hoef je enkel nog te weten wat de Russen tegenwoordig gebruiken.

quote:

Stuxnetworm valt Nederlandse multinational aan

Een grote leverancier van industriële sorteersystemen heeft twee aanvallen van de gevaarlijke Stuxnet-worm afgeslagen. De kerncentrale Borssele is inmiddels in hoogste staat van paraatheid.

Willem van der Craats, corporate ICT-manager van Vanderlande Industries uit Veghel, heeft slechts vaag gehoord van Stuxnet. Maar na ruggespraak blijkt dat de geavanceerde worm ook systemen van zijn concern heeft aangevallen. "Ik heb navraag gedaan, en op onze systemen in India en Engeland is inderdaad Stuxnet aangetroffen. We hebben het verholpen, want de antivirussoftware heeft het afgevangen," vertelt Van der Craats opgelucht.
Bagagesysteem Schiphol

Vanderlande Industries is geen kleintje. Het concern zet ruim een half miljard euro per jaar om en heeft vestigingen in tien Europese landen, de VS, China en India. Vanderlande maakt geavanceerde sorteer- en distributiesystemen voor de industrie, de transportsector en luchthavens. Schiphol, Heathrow en Charles de Gaulle gebruiken bagagesystemen van Vanderlande.

De innovatieve Veghelse technologie maakt volop gebruik van processtuur- en controlesystemen (SCADA) van fabrikant Siemens. Net als talloze andere fabrieken, energiecentrales, (drink)waterbeheerders en havenbedrijven. Veel, heel veel vitale infrastructuur, vooral in Europa, draait op Siemens-systemen, waaronder Simatic WinCC en Step 7 software.
Ingenieus cyberwapen

En precies op WinCC en Step 7 heeft de kwaadaardige Stuxnet-worm het gemunt. WinCC is visualisatiesoftware voor het monitoren van geautomatiseerde processen. Step7 is voor ingenieurs die software maken en configureren voor programmable controllers van Siemens die dienst doen in fabrieken en productieprocessen.

Stuxnet is een supergeavanceerde tientrapsraket die zich via maar liefst vier verschillende zeroday-gaten in Windows in WinCC en Step 7 nestelt. Vanuit daar kan het cruciale bedrijfsprocessen bespioneren en manipuleren.

Stuxnet zou het speciaal voorzien hebben op het Iraanse nucleaire programma, stellen experts na analyse van de broncode en het infectiepatroon van de worm. De malware wordt gezien als de meest ingenieuze ooit, waardoor de verdenking sterk uitgaat naar een geheim cybercommando, wellicht van Israël of de VS.
Onder de radar

Zo heeft Stuxnet de net voltooide Iraanse kernenergiecentrale bij Bushehr getroffen. Het opstarten van deze centrale is onlangs met zeker vier maanden uitgesteld, maar Iran ontkent elk verband met Stuxnet. Wel erkent het regime dat er infecties zijn geweest en heeft het enkele arrestaties verricht in verband met 'nucleaire cyberspionage'.

De oorsponkelijke Stuxnet-worm, die al ruim een jaar oud is, sprong alleen van systeem naar systeem via usb-sticks. Dat lijkt primitief, maar het is exact de bedoeling. Want praktisch alle SCADA-systemen zijn - juist uit veiligheidsoverwegingen - stand alone: niet verbonden met een netwerk en al helemaal niet met internet.

Het uitvoeren van updates en het kopiëren van logfiles gebeurt daarom meestal met een...precies, usb-stick. En omdat Stuxnet zich hierdoor nauwelijks verspreidde bleef het lange tijd onder de radar van industriële systeembeheerders en antivirusbedrijven.
Collateral damage

Toch vermoedt onder meer antivirusbedrijf Symantec, dat zojuist een uitgebreide analyse van Stuxnet heeft gepubliceerd, dat die eerste versie zijn doel niet heeft bereikt. Daarom werd een tweede, agressievere variant ontwikkeld die zich ook via netwerken vermenigvuldigt. In plaats van de lasergeleide raket lijkt het nu meer op een clusterbom.

Met als gevolg dat inmiddels honderduizenden, zo niet miljoenen pc's zijn getroffen, waaronder die van talloze Chinese fabriekssystemen. Mogelijk is zelfs een Indiase satelliet onklaar gemaakt. Het is de collateral damage van Stuxnet.

Security-experts vrezen echter dat andere hackers met Stuxnet aan de haal gaan en nieuwe varianten loslaten, die nog veel besmettelijker zijn, met als doelwit miljoenen kwetsbare Windows-systemen.

Want Microsoft heeft weliswaar al meerdere patches uitgebracht, maar die zijn niet beschikbaar voor verouderde pc's met Windows XP SP 1 of 2. Dit geldt voor circa een kwart van de particuliere pc's en bijna de helft van alle bedrijfscomputers. Bovendien zijn twee van de vier misbruikte kwetsbaarheden nog niet verholpen.
Onwetend

De dreiging Stuxnet staat echter nauwelijks op de kaart bij de industrie, blijkt uit een korte rondgang langs technische automatiseerders. Sommigen hebben er überhaupt niet van gehoord, anderen komen met de reflexmatige reactie: het speelt hier niet, onze systemen zijn veilig.

"Dergelijke SCADA en PLC-systemen (programmable logic controller) zitten geïsoleerd op locale systemen en netwerken. Die zijn strikt gescheiden van internet", aldus Wijnand van Asseldonk, operationeel manager van Task24, een grote dienstverlener in de technische automatisering. "We hebben van onze opdrachtgevers hierover nog niets gehoord. En we hebben het er zelf eigenlijk ook niet over."
Kerncentrales draaien niet op Windows

Volgens Siemens valt het ook allemaal wel mee. "We hebben hier in Nederland geen problemen, voor zover ik weet. We hebben in juli hierover over met onze klanten gecommuniceerd en een update uitgebracht. Er zijn wereldwijd 15 aanvallen gemeld, allemaal zonder nadelige gevolgen voor productiesystemen", sust de woordvoerder van Siemens Nederland.

"We gaan niet mee met al die speculaties over gehackte kerncentrales. We willen het niet downplayen, maar er is geen harde informatie over. We zijn bovendien direct noch indirect betrokken bij het nucleaire programma in Iran", verzekert de zegsman. "En kerncentrales werken sowieso niet onder Windows."

Draait de enige kernenergiecentrale van Nederland, Borssele, ook niet op Windows? "Ik kan u zulke details niet geven, ik hoop dat u dat begrijpt", aldus de woordvoerster van EPZ, de eigenaar van de kerncentrale. "Ik kan u wel vertellen dat we Siemens systemen gebruiken." Het nucleaire complex werd begin jaren zeventig zelfs door Siemens gebouwd.
Borssele op defcon 1

In Borssele, een nationale infrastructuur, zijn ze een stuk alerter op Stuxnet. "We zijn al een tijd op de hoogte van dit virus. We worden in een zo vroeg mogelijk stadium op de hoogte gesteld bij dit soort problemen. We hebben diverse voorzorgsmaatregelen genomen om infectie te voorkomen", verzekert de zegsvrouw.

EPZ is dan ook een belangrijke participant in de Nationale Infrastructuur ter bestrijding van Cybercrime, kortweg NICC. "We hebben hierover regelmatig contact met Govcert en NICC, in de nucleaire werkgroep." Govcert publiceerde begin augustus een factsheet over Stuxnet.

Binnen de NICC zijn er verschillende gremia die zich momenteel met de worm bezighouden, zoals voorgenoemde nucleaire werkgroep en een groep voor de hele energiesector. Er is zelfs een overlegorgaan speciaal voor SCADA-systemen, zoals het gewraakte Siemens WinCC.

Zelf draagt de woordvoerster van EPZ haar steentje bij aan de waakzaamheid. "Ik volg met Google Alert allerlei berichten over Stuxnet. Het heeft zeker onze aandacht."
Patch genegeerd

Dat is een heel ander geluid dan uit de industrie. Want de 'communicatie' van Microsoft en Siemens over Stuxnet is door weinig automatiseerders gehoord of serieus genomen. Bedrijven blijken of helemaal niet op de hoogte, of zien geen noodzaak voor de updates. Van Asseldonk van dienstverlener Task24 weet dan ook niet één bedrijf dat de belangrijke Simatic-patch van Siemens heeft uitgerold.

Bij multinational Vanderlande Industries is het niet anders. Tot nog toe dan. ICT-manager Van der Craats: "Voor zover ik weet hebben we de update van Siemens op onze systemen nog niet geïnstalleerd. We zijn dat momenteel direct aan het onderzoeken. Ik ga dit nu allemaal wel even controleren."
_bron

quote:

Stuxnet: gevaarlijker dan de gemiddelde worm

Alsof de malware-dreiging nog niet naar genoeg is, ontpopt Stuxnet zich nu tot een uiterst professionele en doelgerichte tool om hele economieën mee te ontwrichten.

Om de paar jaar komt er een malware-programma voorbij dat de wereld van de IT-beveiliging flink onder druk zet. Code Red deed dat in 2001 door een groot aantal IIS webservers te infecteren (en heeft er en passant voor gezorgd dat Microsoft serieus werk ging maken van veilige software-ontwikkeling). In 2003 was het SQL Slammer dat binnen 10 minuten zo’n beetje iedere ongepatchte SQL-server op het internet wist te besmetten. De MS-Blaster worm baande zich een weg door de meeste firewalls rond beveiligde bedrijfs-perimeters. De grote wormen Sobig, MyDoom, Netsky en Bagle bewezen dat hackers echt geen onbeveiligde open SMTP-verbindingen nodig hebben om spam te versturen. En allerlei Trojans toonden aan dat bijna elk authenticatieproces eenvoudig omzeild kan worden om bankrekeningen te plunderen.

En nu hebben we Stuxnet, dat de afgelopen maanden steeds meer media-aandacht heeft gekregen. En dat is niet zo gek, want dit is malware zoals we die nooit eerder hebben meegemaakt. Als Stuxnet een voorbode is van wat ons nog te wachten staat, denken we straks met weemoed terug aan de tijd dat we ons nog zorgen maakten over boot-virussen, valse attachments en boosaardige macro’s.
Industriële doelwitten

Om te beginnen is Stuxnet de eerste worm die zich bewust en direct richt op industriële beheersystemen in de categorie SCADA supervisor control en data-acquisitie. Hoewel van SCADA-systemen inmiddels wel bekend is dat ze niet al te best beveiligd zijn, gaat Stuxnet een stap verder: het richt zich op specifieke SCADA-systemen, zoals die van Siemens. Als het de kans krijgt, herprogrammeert het hun PLCs (Programmable Logic Controllers) en verstopt zich vervolgens middels de eerste specifiek voor SCADA geschreven rootkit (als je daar meer over wilt weten, lees dan vooral Symantecs W32_Stuxnet Dossier).

Het lijkt erop dat de makers van Stuxnet een manier zoeken om energiecentrales op afstand te bedienen. Volgens veel waarnemers was Iran het primaire doelwit, gezien het feit dat daar het grootste aantal infecties is opgetreden. Die hypothese werd verder gevoed toen het woord “Myrtus” in de worm werd aangetroffen, dat volgens sommigen een verband heeft met het Hebreeuwse woord Esther. Het boek van Esther verhaalt van een Perzische samenzwering tegen de Joden, die de Perzen vervolgens te vlug af waren met een verwoestende aanval – enfin, maak zelf het complot maar af.

Wat maar weinig mensen weten is dat energiecentrales en andere industriële systemen alle vele jaren lang te maken hebben met directe aanvallen. Begin 2009 vertelde beveiligingsexpert Joseph Weiss nog aan het Amerikaanse congres dat hij bewijs had gevonden van meer dan 125 geslaagde aanvallen op de systemen van nucleaire installaties, waterkrachtcentrales, de olie-industrie en landbouworganisaties. In de VS zou zo’n aanval zelfs al tot een dodelijk slachtoffer hebben geleid, al moet ik toegeven dat ik zijn bronnen of documentatie nooit zelf heb kunnen raadplegen. NERC, de North-American Electric Reliability Corporation, ontkent dat er onderbrekingen zijn geweest of slachtoffers zijn gevallen als gevolg van malware op computersystemen, maar het is natuurlijk mogelijk dat die twee niet over dezelfde gegevens beschikken.

Ik heb ook gelezen dat elders op de wereld energiecentrales met succes zijn gegijzeld voor losgeld, en dat sommige systemen als gevolg daarvan zijn uitgevallen (waarbij minimaal een slachtoffer geverifieerd is). Dat malware zich nu direct richt op de toch al zwak verdedigde SCADA-systemen is niet best.
Geavanceerd en professioneel

Stuxnet is ook beangstigend als voorbode van de malware van de toekomst doordat het volgens ervaren antimalware-analisten opvallend schone code is, zeker als je de grootte en de complexiteit van de worm in aanmerking neemt. De kans dat deze worm zijn werk niet doet door een programmeerfoutje is bijzonder klein.

Ikzelf bestudeer malware nu al meer dan twintig jaar, en ik kan je vertellen dat 99,9 procent van de malware, zelfs de professionele criminele malware, vol bugs en slordige code staat. De meeste malware heeft niet voor niets ingebouwde ‘death of error’ herstelroutines. De gemiddelde malwareschrijver maakt zich niet zo druk om de schoonheid van zijn of haar creatie; de maker van Stuxnet wel.

Daar komt nog bij dat de huidige implementatie van Stuxnet gebruikmaakt van minstens drie verschillende kwetsbare plekken in Windows en twee verschillende soorten rootkits: een voor de SCADA PLC en een andere voor geïnfecteerde Windows-computers. Het verbergt de infectie voor nieuwsgierige ogen en antimalware scanners. Helemaal fraai is dat Stuxnet bewust op zoek gaat naar minimaal 10 verschillende antivirus scan-executables om zich vervolgens in die vertrouwde processen te injecteren, net als in nog wat andere bekende Windows-bestanden, zoals winlogon.exe. In plaats van dat het die software probeert te vermijden, maakt het er juist gebruik van om zichzelf voort te planten.

Stuxnet verspreidt zich ook via USB-stations en gedeelde bestanden, waarbij het gebruikmaakt van een fout in Windows Shell waardoor de worm ontwaakt zodra het slachtoffer alleen nog maar de map opent waar hij in staat. Die truc is nog niet vaak vertoond.

Stuxnet maakt bijzonder handig gebruik van tientallen hoogst interessante technieken; eentje waar ik codeur een paar maanden geleden al van opkeek was dat de malware ondertekend was met een digitaal certificaat van twee betrouwbare en populaire software-leveranciers: Realtek Semiconductor en JMicron Technology. De Taiwanese bedrijven delen kennelijk een kantoor.

Ik heb nog niet achterhaald hoe die digitale handtekening precies werd gekraakt, maar dat is voor mij minstens zo interessant als alle andere lessen die ik van Stuxnet heb geleerd. Is er ingebroken bij die organisaties (wellicht met een ander malware programma) om die certificaten te kunnen gebruiken ten bate van Stuxnet? Of zat er iemand bij die bedrijven die met die certificaten aan de haal is gegaan? Als iemand het weet, hoor ik het graag in de reacties.

Waarnemers zijn er niet over uit of Stuxnet nou een rol speelt in een complot om Iraanse energiecentrales neer te halen, of dat het de bedoeling was wereldwijd energiecentrales te gijzelen voor losgeld. Wat het ook is geweest of nog gaat worden, een verontrustende evolutie in de wereld van de malware is het zeker.
_bron

quote:

Nederlander ontleedt Stuxnet-worm

Een Nederlandse expert op het gebied van de industriële netwerkstandaard Profibus heeft Symantec geholpen om de code en het doel van de superworm Stuxnet te ontrafelen.

Met dank aan een niet bij naam genoemde Nederlandse Profibus-expert is het Symantec-onderzoekers gelukt om ook de diepste lagen van de code van Stuxnet te ontcijferen. Daaruit blijkt dat de geavanceerde spionageworm het alleen voorzien heeft op zeer specifieke systemen, zoals ultracentrifuges voor het verrijken van uranium, meldt Symantec.

Al eerder is duidelijk geworden dat de superworm, via maar liefst vier zero day-gaten in Windows, specifieke maar veelgebruikte industriële beheersoftware van Siemens infecteerde. Via die zogeheten SCADA-software nestelt Stuxnet zich vervolgens in de daadwerkelijke controllers, de zogenaamde PLC's, voor fabriekssystemen. Daar bespioneert en manipuleert de malware dan commando's die aan de achterliggende machinerie wordt gegeven.

Die communicatie verloopt via Profibus (Process Field Bus). Dat is een netwerkstandaard voor de gedistribueerde uitwisseling van informatie (input/output, I/O) tussen industriële machines, aansturingsmodules (PLC's) en de programmeerinterfaces daarvoor (zoals Siemens' SCADA-pakketten WinCC en Step 7).

Met hulp van de Nederlandse Profibus-expert is nu ook aan het licht gekomen hoe de laatste fase van infectie en sabotage in zijn werk gaat. Stuxnet blijkt alleen in te grijpen op machines met een zeer hoog toerental.

Pas als de worm omwentelingssnelheden van 704 Hz (42240 toeren per minuut, rpm) detecteert, begint het zijn subtiele sabotagewerk.

Over de periode van maanden schroeft het heel af toe het toerental drastisch omhoog en omlaag: naar 1410Hz, dan plots naar bijna stilstand (2Hz) en vervolgens weer naar 1064Hz. Hierdoor treden allerhande storingen op in de aangestuurde motoren. In de SCADA-interface is daar echter niets te zien, want Stuxnet verandert tevens de feedbackdata vanuit de machines, zodat het lijkt of er niets aan de hand is.

Zelfs als de pc's met Windows en WinCC/Step 7 erop zijn gedeïnfecteerd, blijft Stuxnet aanwezig en actief in de PLC's zelf. De worm blijft dus via Profibus de machinerie saboteren. Nieuw geprogrammeerde blokken code worden ín de PLC door Stuxnet overschreven voordat ze in het geheugen gaan. Dat maakt Stuxnet tot een nog nooit vertoonde tientrapsraket.

Symantec suggereert op basis van het mikpunt van de enorm hoge toeren dat het doelwit van Stuxnet inderdaad nucleaire technologie was. Voor de verrijking van uranium zijn namelijk zeer snel draaiende ultracentrifuges nodig.

Motoren en frequentieregelaars die met dergelijke snelheden werken, vallen onder het regime van de Amerikaanse Nuclear Regulatory Commission, die de export ervan streng reguleert. Volgens Symantec wordt het soort hoge-frequentieregelaars die Stuxnet speficiek manipuleert alleen gefabriceerd in Finland en in Iran.

Symantec was niet meteen bereikbaar voor inhoudelijk commentaar en nadere informatie over de Nederlandse Profibus-expert.

_bron

quote:

Op maandag 15 november 2010 15:08 schreef SicSicSics het volgende:
Wat ik nou niet snap he... Wat moeten al die getroffen bedrijven met snel draaiende ultracentrifuges? Of begrijp ik het verkeerd en is Stuxnet waardeloos, omdat hij niet doet wat hij zou moeten doen?

quote:

Op maandag 15 november 2010 16:32 schreef YuckFou het volgende:
Die getroffen bedrijven bevinden zich met name in Iran, en die sneldraaiende centrifuges worden vooral gebruikt bij de verrijking van nucleair materiaal...misschien dat dit het iets verduidelijkt?

quote:

Op maandag 15 november 2010 16:51 schreef SicSicSics het volgende:

[..]



Eigenlijk is Stuxnet ongevaarlijk zolang je geen turbocentrifuges hebt. Dus was er een hoop heisa om niks, tenminste, de mogelijkheden die stuxnet biedt zijn gevaarlijk, stuxnet zelf niet (zolang je geen turbocentrifuges hebt).

quote:

Op maandag 15 november 2010 16:51 schreef SicSicSics het volgende:
Eigenlijk is Stuxnet ongevaarlijk zolang je geen turbocentrifuges hebt. Dus was er een hoop heisa om niks, tenminste, de mogelijkheden die stuxnet biedt zijn gevaarlijk, stuxnet zelf niet (zolang je geen turbocentrifuges hebt).

quote:

Op maandag 15 november 2010 16:54 schreef Basp1 het volgende:
Wanneer de worm anders geimplementeerd was en niet op het toerental gefixed was zou het volgens mij bij veel meer scada toepassingen mogelijk zijn om dit te saboteren.

quote:

Op maandag 15 november 2010 18:02 schreef YuckFou het volgende:

[..]


[..]


Er zijn een aantal punten die van dat hele stuxnet bij me zijn blijven hangen....

- de code is schoon, niet een beetje opgeschoond, nee van a-z schoongeveegd, geen onnodige regels, geen slordigheden en vreselijk goed geprogrammeerd

-de infecties worden gemaakt op bekende maar niet gepatchte zwakke plekken in precies de systemen die geraakt moeten worden, in dit geval de Siemens besturingselectronica

-niet alleen de pc word geinfecteerd maar juist de PLC die de machines aandrijft, PLC's kan je zien als kleine losstaande computertjes die in processturende kasten zijn gebouwd en daar van allerlei processen controleren en regelen, dat stuxnet zich daarin nestelt is uitermate verontrustend omdat je voor zover ik het begrijp de PLC's moet vervangen om de infectie eruit te krijgen

[ afbeelding ]

-de procesoperator heeft niet door dat er wat mis is omdat stuxnet ervoor zorgt dat de feedback naar de sturende installatie kloppend lijkt.

Al met al is het dus gelukt om industriële processen volledig te ontregelen met behulp van een wormvirus, iets wat me grote zorgen baart, ook al wordt gespeculeerd dat de CIA en de MOSSAD hierachter zitten, eenmaal ontleed en verandert zal het me niet verbazen als derivaten hiervan andere industriën gaan treffen omdat hackers en scriptkiddies willen kijken of ze dat lukt, een powerplant platleggen is natuurlijk een stuk stoerder dan een website ddos'en en dat is precies wat je met een aangepaste versie van deze worm zou kunnen doen.

quote:

Op maandag 15 november 2010 18:11 schreef superworm het volgende:
Ergens op aarde hebben een stel genieën van programmeurs dit ding gemaakt, naar wat ik hoor genialer geschreven dan welk virus ook - geven ze daarmee niet een volledig ontlede Pandora's Box aan de hackertjes all over the world?

quote:

Ikzelf bestudeer malware nu al meer dan twintig jaar, en ik kan je vertellen dat 99,9 procent van de malware, zelfs de professionele criminele malware, vol bugs en slordige code staat. De meeste malware heeft niet voor niets ingebouwde death of error herstelroutines. De gemiddelde malwareschrijver maakt zich niet zo druk om de schoonheid van zijn of haar creatie; de maker van Stuxnet wel.

Daar komt nog bij dat de huidige implementatie van Stuxnet gebruikmaakt van minstens drie verschillende kwetsbare plekken in Windows en twee verschillende soorten rootkits: een voor de SCADA PLC en een andere voor geïnfecteerde Windows-computers. Het verbergt de infectie voor nieuwsgierige ogen en antimalware scanners. Helemaal fraai is dat Stuxnet bewust op zoek gaat naar minimaal 10 verschillende antivirus scan-executables om zich vervolgens in die vertrouwde processen te injecteren, net als in nog wat andere bekende Windows-bestanden, zoals winlogon.exe. In plaats van dat het die software probeert te vermijden, maakt het er juist gebruik van om zichzelf voort te planten.

Stuxnet verspreidt zich ook via USB-stations en gedeelde bestanden, waarbij het gebruikmaakt van een fout in Windows Shell waardoor de worm ontwaakt zodra het slachtoffer alleen nog maar de map opent waar hij in staat. Die truc is nog niet vaak vertoond.

Stuxnet maakt bijzonder handig gebruik van tientallen hoogst interessante technieken; eentje waar ik codeur een paar maanden geleden al van opkeek was dat de malware ondertekend was met een digitaal certificaat van twee betrouwbare en populaire software-leveranciers: Realtek Semiconductor en JMicron Technology. De Taiwanese bedrijven delen kennelijk een kantoor.

quote:

Hoe een Nederlander de Stuxnet-puzzel oploste

Profibus-expert Rob Hulsebos schoot Symantec te hulp om de superworm Stuxnet te ontleden. "Ik vraag me af: wat circuleert er allemaal al waar we niets van weten?"

Begin deze week werd duidelijk dat Symantec de laatste puzzelstukjes van Stuxnet-code had ontcijferd. Dankzij een tot nog toe anonieme Nederlandse Profibus-expert. Hij heet Rob Hulsebos en is software- en netwerkexpert, gespecialiseerd in industriële procesautomatisering, meer specifiek systemen Profibus, AS-Interface, Modbus, CAN, en Profinet. Hoe kwam je op het idee om Symantec uit de brand te helpen?

"In de zomervakantie werd ik door de Canadese cybersecurity-expert Eric Byres geattendeerd op Stuxnet, dat toen net ontdekt was. Niemand had toen een idee wat het virus deed, anders dan "iets" met Siemens PLC's." Hulsebos, naast Profibus-expert tevens journalist, schreef meteen een verhaal voor het industriële vakblad Automatie.
Roep om hulp

"In september kwam de eerste analyse van Symantec over Stuxnet uit, en toen bleek al dat het veel complexer in elkaar zat dan iedereen in eerste instantie dacht. Symantec riep in zijn blog de industrie op om te helpen. In de tussentijd is men verder gegaan met het uitpluizen van Stuxnet, en ik vind dat ze in korte tijd een indrukwekkende diepgang hebben bereikt, ook al omdat de Siemens PLC programmeeromgeving, de gebruikte PLC besturingen, de WinCC database, frequentieomvormers, PLC assembly, en Profibus niet bepaald zaken zijn die de gemiddelde virusbestrijder dagelijks aantreft."

"In de tweede versie van Symantec's analyse, die begin november werd gepubliceerd, zaten al veel meer PLC-details uitgewerkt. In het blog werd nogmaals de industrie opgeroepen om mee te helpen; op de eerste oproep had niemand gereageerd. Dat verbaasde me wel, want de impact van Stuxnet is immers niet mis.
Liever eerst anoniem

Wilde je daarom ook anoniem blijven? "Ik had al gezien dat er voor Stuxnet een enorme interesse bestond. Symantec raadde me ook aan om, gegeven de mogelijke makers van Stuxnet, een 'low profile' aan te houden. Maar inmiddels is vanuit allerlei andere bronnen nog veel meer detail over de andere helft van Stuxnet bekend geworden, mijn bijdrage aan de analyse valt hierbij in het niet," aldus Hulsebos bescheiden.

Dat hij voorzichtig is met details heeft nog een andere reden: de fabrikanten van SCADA en PLC's zitten niet op openheid te wachten. Zo wordt de publicatie van het boek Hacking SCADA al een jaar tegengehouden met juridische dreigementen. Volgens de auteur is het boek feitelijk een gedetailleerde bundeling van openbaar beschikbare informatie.

Symantec liep dus vast bij het uitpluizen de aansturing via Profibus van de I/O, totdat Hulsebos het onderzoek weer vlot trok. "Om de werking van het virus te begrijpen is het zeer belangrijk om te weten wat die I/O voor functie heeft in het geheel. Dat is natuurlijk geheel afwijkend van een normaal virus, dat bestanden op een PC aanpast of installeert op de harde schijf. De PC-omgeving is 100% bekend, dus PC-virussen zijn wat dat betreft makkelijker te decoderen. Maar een virus op een PLC met zijn Profibus I/O is nieuw, niemand had dat ooit gezien en er is dus ook geen enkele ervaring mee hoe zo'n virus te decoderen."
Unieke code

"Aangezien de Siemens PLC's via Profibus hun I/O aansturen, is het van belang te weten: wat is dat voor I/O precies? Nu is het zo dat in Profibus elk type apparaat een unieke 16 bits "Ident Code" heeft. Deze worden toegekend door de Profibus gebruikersvereniging, en voor de PLC is het de handtekening van "heb ik de juiste soort I/O aan mijn netwerk hangen". Door te weten welke ident code's in de PLC gezocht worden, is ook uit te zoeken wat voor soort apparaat het is, welke I/O functies het heeft, wie de leverancier is, etc. Dat was voor Symantec het ontbrekende puzzelstukje blijkbaar - men zag wel dat de PLC op zoek was naar

apparaten van het type "7050" en "9500", maar kon er niet achter komen wat dat nu precies betekende. Door mijn tip werd ze dit duidelijk. Via Google had ik zelf zo gevonden dat de ene ident code naar een product van een Fins bedrijf leidt (Vacon, red). Even later meldde Symantec me al dat men de andere ident code had weten te herleiden naar een Iraans bedrijf" (Fararo Paya, red).
Geen infectie, wel manipulatie

Overigens ontkent Vacon dat hun frequentieregelaars door Stuxnet kunnen worden geïnfecteerd. Hulsebos: Vacon heeft op zich gelijk dat het virus hun drives niet infecteert. Dat kan ook niet via Profibus met zulke apparatuur - de firmware zit waarschijnlijk in flash geheugen en kan niet via Profibus geüpdate worden. Niet dat het onmogelijk is, maar ik heb het nog nooit iemand zien doen - en moet de PLC het nog aansturen.

Wat wel gebeurt is dat de PLC de Vacon drives instructies geeft om iets te doen - en dat Stuxnet hier roet in het eten gooit. Net als je in de auto zou zitten en hem in z'n vooruit zet, lekker aan het rijden bent, en een virus in je autobesturing opeens de bougies verkeerd laat vonken - is de bougie dan besmet? Nee dus. Die doet gewoon wat hem is opgedragen, als "output". Intussen is wel je motor aan gort."

Terug naar het onderzoek van Symantec. Hulsebos: "Een paar dagen later hadden ze enorme vooruitgang gemaakt. Op de Finse website was de handleiding van de frequentieomvormer te vinden en met de hulp daarvan werd weer duidelijk hoe dit apparaat via Stuxnet omgeprogrammeerd werd op andere frequenties. Met de handleiding is ook duidelijk wat de bitpatronen in de PLC allemaal betekenen, en wat bepaalde getallen betekenen. Zo is het wijzigen van een output van -10000 naar +10000 op zich betekenisloos. Maar als je weet dat er een analoge uitgang met een bereik van -10..+10V achter zit, dan wordt er opeens weer stukje van de puzzel duidelijker."
Geen hulp van Siemens of Profibus

"Deze resultaten heeft Symantec nu gepubliceerd. Hiermee is de analyse nog niet compleet, want nu is de vraag: wat hangt er achter de frequentieomvormers? Alles lijkt te wijzen op ultracentrifugemotoren, gebaseerd op de toerentallen. Het zou natuurlijk ook best iets anders kunnen zijn, maar aangezien ik niets weet van frequentieomvormers kan ik daar Symantec niet verder bij helpen. Om zekerheid te krijgen of het gaat om ultracentrifuges is ook nog domeinkennis nodig - wat gaat er precies fout als Stuxnet in actie komt?

De komende maanden zal hier waarschijnlijk nog wel veel duidelijker gaan worden als Symantec hulp krijgt. Ik vind het wel opvallend dat men geen hulp gekregen heeft van Siemens of de Profibus-vereniging. Als ik hen zou zijn, zou ik toch graag willen weten hoe mijn producten misbruikt worden, en om daarna na te denken hoe zoiets in de toekomst voorkomen zou kunnen worden."
_bron

quote:

Doos van Pandora

Hulsebos vreest dat Stuxnet een Doos van Pandora heeft geopend. "Waar men in de industriële cybersecurity wereld nu bang voor is, is dat Stuxnet een aanzuigende werking heeft op allerlei malware-auteurs, die nu gezien hebben dat de industriële besturingen makkelijk binnen te komen zijn. De vraag is dus, hoe snel komt die malware op ons af? Binnen de industriële markt heeft Stuxnet dan ook heel wat losgemaakt. Er is opeens duidelijk welke risico's we lopen. Het is een geluk bij een ongeluk dat Stuxnet niets deed (op een of twee locaties na dan). Maar omdat Stuxnet eigenlijk bij toeval ontdekt is, vraag ik me af: wat circuleert er allemaal al waar we niets van weten?"
_bron

quote:

Op maandag 22 november 2010 07:46 schreef Zwansen het volgende:
Lol, potentieel BNW-topic?

quote:

Op maandag 22 november 2010 07:46 schreef Zwansen het volgende:
Lol, potentieel BNW-topic?

quote:

SCADA System's Hard-Coded Password Circulated Online for Years
A sophisticated new piece of malware that targets command-and-control software installed in critical infrastructures uses a known default password that the software maker hard-coded into its system. The password has been available online since at least 2008, when it was posted to product forums in Germany and Russia.

The password protects the database used in Siemens’ Simatic WinCC SCADA system, which runs on Windows operating systems. SCADA, short for “supervisory control and data acquisition,” systems are programs installed in utilities and manufacturing facilities to manage the operations. SCADA has been the focus of much controversy lately for being potentially vulnerable to remote attack by malicious outsiders who might want to seize control of utilities for purposes of sabotage, espionage or extortion.

quote:

Op maandag 22 november 2010 13:35 schreef raptorix het volgende:
Het zou me niet verbazen als dit soort technieken ook ingezet gaan worden om financiële data te manipuleren.

quote:

Op maandag 15 november 2010 16:51 schreef SicSicSics het volgende:

[..]

Eigenlijk is Stuxnet ongevaarlijk zolang je geen turbocentrifuges hebt. Dus was er een hoop heisa om niks, tenminste, de mogelijkheden die stuxnet biedt zijn gevaarlijk, stuxnet zelf niet (zolang je geen turbocentrifuges hebt).

quote:

Op maandag 22 november 2010 13:35 schreef raptorix het volgende:
Het zou me niet verbazen als dit soort technieken ook ingezet gaan worden om financiële data te manipuleren.