Krachtig digitaal wapen van onbekende oorsprong

quote:

Nederlander ontleedt Stuxnet-worm

Een Nederlandse expert op het gebied van de industriële netwerkstandaard Profibus heeft Symantec geholpen om de code en het doel van de superworm Stuxnet te ontrafelen.

Met dank aan een niet bij naam genoemde Nederlandse Profibus-expert is het Symantec-onderzoekers gelukt om ook de diepste lagen van de code van Stuxnet te ontcijferen. Daaruit blijkt dat de geavanceerde spionageworm het alleen voorzien heeft op zeer specifieke systemen, zoals ultracentrifuges voor het verrijken van uranium, meldt Symantec.

Al eerder is duidelijk geworden dat de superworm, via maar liefst vier zero day-gaten in Windows, specifieke maar veelgebruikte industriële beheersoftware van Siemens infecteerde. Via die zogeheten SCADA-software nestelt Stuxnet zich vervolgens in de daadwerkelijke controllers, de zogenaamde PLC's, voor fabriekssystemen. Daar bespioneert en manipuleert de malware dan commando's die aan de achterliggende machinerie wordt gegeven.

Die communicatie verloopt via Profibus (Process Field Bus). Dat is een netwerkstandaard voor de gedistribueerde uitwisseling van informatie (input/output, I/O) tussen industriële machines, aansturingsmodules (PLC's) en de programmeerinterfaces daarvoor (zoals Siemens' SCADA-pakketten WinCC en Step 7).

Met hulp van de Nederlandse Profibus-expert is nu ook aan het licht gekomen hoe de laatste fase van infectie en sabotage in zijn werk gaat. Stuxnet blijkt alleen in te grijpen op machines met een zeer hoog toerental.

Pas als de worm omwentelingssnelheden van 704 Hz (42240 toeren per minuut, rpm) detecteert, begint het zijn subtiele sabotagewerk.

Over de periode van maanden schroeft het heel af toe het toerental drastisch omhoog en omlaag: naar 1410Hz, dan plots naar bijna stilstand (2Hz) en vervolgens weer naar 1064Hz. Hierdoor treden allerhande storingen op in de aangestuurde motoren. In de SCADA-interface is daar echter niets te zien, want Stuxnet verandert tevens de feedbackdata vanuit de machines, zodat het lijkt of er niets aan de hand is.

Zelfs als de pc's met Windows en WinCC/Step 7 erop zijn gedeïnfecteerd, blijft Stuxnet aanwezig en actief in de PLC's zelf. De worm blijft dus via Profibus de machinerie saboteren. Nieuw geprogrammeerde blokken code worden ín de PLC door Stuxnet overschreven voordat ze in het geheugen gaan. Dat maakt Stuxnet tot een nog nooit vertoonde tientrapsraket.

Symantec suggereert op basis van het mikpunt van de enorm hoge toeren dat het doelwit van Stuxnet inderdaad nucleaire technologie was. Voor de verrijking van uranium zijn namelijk zeer snel draaiende ultracentrifuges nodig.

Motoren en frequentieregelaars die met dergelijke snelheden werken, vallen onder het regime van de Amerikaanse Nuclear Regulatory Commission, die de export ervan streng reguleert. Volgens Symantec wordt het soort hoge-frequentieregelaars die Stuxnet speficiek manipuleert alleen gefabriceerd in Finland en in Iran.

Symantec was niet meteen bereikbaar voor inhoudelijk commentaar en nadere informatie over de Nederlandse Profibus-expert.

_bron

quote:

Op maandag 15 november 2010 15:08 schreef SicSicSics het volgende:
Wat ik nou niet snap he... Wat moeten al die getroffen bedrijven met snel draaiende ultracentrifuges? Of begrijp ik het verkeerd en is Stuxnet waardeloos, omdat hij niet doet wat hij zou moeten doen?

quote:

Op maandag 15 november 2010 16:32 schreef YuckFou het volgende:
Die getroffen bedrijven bevinden zich met name in Iran, en die sneldraaiende centrifuges worden vooral gebruikt bij de verrijking van nucleair materiaal...misschien dat dit het iets verduidelijkt?

quote:

Op maandag 15 november 2010 16:51 schreef SicSicSics het volgende:

[..]



Eigenlijk is Stuxnet ongevaarlijk zolang je geen turbocentrifuges hebt. Dus was er een hoop heisa om niks, tenminste, de mogelijkheden die stuxnet biedt zijn gevaarlijk, stuxnet zelf niet (zolang je geen turbocentrifuges hebt).

quote:

Op maandag 15 november 2010 16:51 schreef SicSicSics het volgende:
Eigenlijk is Stuxnet ongevaarlijk zolang je geen turbocentrifuges hebt. Dus was er een hoop heisa om niks, tenminste, de mogelijkheden die stuxnet biedt zijn gevaarlijk, stuxnet zelf niet (zolang je geen turbocentrifuges hebt).

quote:

Op maandag 15 november 2010 16:54 schreef Basp1 het volgende:
Wanneer de worm anders geimplementeerd was en niet op het toerental gefixed was zou het volgens mij bij veel meer scada toepassingen mogelijk zijn om dit te saboteren.

quote:

Op maandag 15 november 2010 18:02 schreef YuckFou het volgende:

[..]


[..]


Er zijn een aantal punten die van dat hele stuxnet bij me zijn blijven hangen....

- de code is schoon, niet een beetje opgeschoond, nee van a-z schoongeveegd, geen onnodige regels, geen slordigheden en vreselijk goed geprogrammeerd

-de infecties worden gemaakt op bekende maar niet gepatchte zwakke plekken in precies de systemen die geraakt moeten worden, in dit geval de Siemens besturingselectronica

-niet alleen de pc word geinfecteerd maar juist de PLC die de machines aandrijft, PLC's kan je zien als kleine losstaande computertjes die in processturende kasten zijn gebouwd en daar van allerlei processen controleren en regelen, dat stuxnet zich daarin nestelt is uitermate verontrustend omdat je voor zover ik het begrijp de PLC's moet vervangen om de infectie eruit te krijgen

[ afbeelding ]

-de procesoperator heeft niet door dat er wat mis is omdat stuxnet ervoor zorgt dat de feedback naar de sturende installatie kloppend lijkt.

Al met al is het dus gelukt om industriële processen volledig te ontregelen met behulp van een wormvirus, iets wat me grote zorgen baart, ook al wordt gespeculeerd dat de CIA en de MOSSAD hierachter zitten, eenmaal ontleed en verandert zal het me niet verbazen als derivaten hiervan andere industriën gaan treffen omdat hackers en scriptkiddies willen kijken of ze dat lukt, een powerplant platleggen is natuurlijk een stuk stoerder dan een website ddos'en en dat is precies wat je met een aangepaste versie van deze worm zou kunnen doen.

quote:

Op maandag 15 november 2010 18:11 schreef superworm het volgende:
Ergens op aarde hebben een stel genieën van programmeurs dit ding gemaakt, naar wat ik hoor genialer geschreven dan welk virus ook - geven ze daarmee niet een volledig ontlede Pandora's Box aan de hackertjes all over the world?

quote:

Ikzelf bestudeer malware nu al meer dan twintig jaar, en ik kan je vertellen dat 99,9 procent van de malware, zelfs de professionele criminele malware, vol bugs en slordige code staat. De meeste malware heeft niet voor niets ingebouwde death of error herstelroutines. De gemiddelde malwareschrijver maakt zich niet zo druk om de schoonheid van zijn of haar creatie; de maker van Stuxnet wel.

Daar komt nog bij dat de huidige implementatie van Stuxnet gebruikmaakt van minstens drie verschillende kwetsbare plekken in Windows en twee verschillende soorten rootkits: een voor de SCADA PLC en een andere voor geïnfecteerde Windows-computers. Het verbergt de infectie voor nieuwsgierige ogen en antimalware scanners. Helemaal fraai is dat Stuxnet bewust op zoek gaat naar minimaal 10 verschillende antivirus scan-executables om zich vervolgens in die vertrouwde processen te injecteren, net als in nog wat andere bekende Windows-bestanden, zoals winlogon.exe. In plaats van dat het die software probeert te vermijden, maakt het er juist gebruik van om zichzelf voort te planten.

Stuxnet verspreidt zich ook via USB-stations en gedeelde bestanden, waarbij het gebruikmaakt van een fout in Windows Shell waardoor de worm ontwaakt zodra het slachtoffer alleen nog maar de map opent waar hij in staat. Die truc is nog niet vaak vertoond.

Stuxnet maakt bijzonder handig gebruik van tientallen hoogst interessante technieken; eentje waar ik codeur een paar maanden geleden al van opkeek was dat de malware ondertekend was met een digitaal certificaat van twee betrouwbare en populaire software-leveranciers: Realtek Semiconductor en JMicron Technology. De Taiwanese bedrijven delen kennelijk een kantoor.

quote:

Hoe een Nederlander de Stuxnet-puzzel oploste

Profibus-expert Rob Hulsebos schoot Symantec te hulp om de superworm Stuxnet te ontleden. "Ik vraag me af: wat circuleert er allemaal al waar we niets van weten?"

Begin deze week werd duidelijk dat Symantec de laatste puzzelstukjes van Stuxnet-code had ontcijferd. Dankzij een tot nog toe anonieme Nederlandse Profibus-expert. Hij heet Rob Hulsebos en is software- en netwerkexpert, gespecialiseerd in industriële procesautomatisering, meer specifiek systemen Profibus, AS-Interface, Modbus, CAN, en Profinet. Hoe kwam je op het idee om Symantec uit de brand te helpen?

"In de zomervakantie werd ik door de Canadese cybersecurity-expert Eric Byres geattendeerd op Stuxnet, dat toen net ontdekt was. Niemand had toen een idee wat het virus deed, anders dan "iets" met Siemens PLC's." Hulsebos, naast Profibus-expert tevens journalist, schreef meteen een verhaal voor het industriële vakblad Automatie.
Roep om hulp

"In september kwam de eerste analyse van Symantec over Stuxnet uit, en toen bleek al dat het veel complexer in elkaar zat dan iedereen in eerste instantie dacht. Symantec riep in zijn blog de industrie op om te helpen. In de tussentijd is men verder gegaan met het uitpluizen van Stuxnet, en ik vind dat ze in korte tijd een indrukwekkende diepgang hebben bereikt, ook al omdat de Siemens PLC programmeeromgeving, de gebruikte PLC besturingen, de WinCC database, frequentieomvormers, PLC assembly, en Profibus niet bepaald zaken zijn die de gemiddelde virusbestrijder dagelijks aantreft."

"In de tweede versie van Symantec's analyse, die begin november werd gepubliceerd, zaten al veel meer PLC-details uitgewerkt. In het blog werd nogmaals de industrie opgeroepen om mee te helpen; op de eerste oproep had niemand gereageerd. Dat verbaasde me wel, want de impact van Stuxnet is immers niet mis.
Liever eerst anoniem

Wilde je daarom ook anoniem blijven? "Ik had al gezien dat er voor Stuxnet een enorme interesse bestond. Symantec raadde me ook aan om, gegeven de mogelijke makers van Stuxnet, een 'low profile' aan te houden. Maar inmiddels is vanuit allerlei andere bronnen nog veel meer detail over de andere helft van Stuxnet bekend geworden, mijn bijdrage aan de analyse valt hierbij in het niet," aldus Hulsebos bescheiden.

Dat hij voorzichtig is met details heeft nog een andere reden: de fabrikanten van SCADA en PLC's zitten niet op openheid te wachten. Zo wordt de publicatie van het boek Hacking SCADA al een jaar tegengehouden met juridische dreigementen. Volgens de auteur is het boek feitelijk een gedetailleerde bundeling van openbaar beschikbare informatie.

Symantec liep dus vast bij het uitpluizen de aansturing via Profibus van de I/O, totdat Hulsebos het onderzoek weer vlot trok. "Om de werking van het virus te begrijpen is het zeer belangrijk om te weten wat die I/O voor functie heeft in het geheel. Dat is natuurlijk geheel afwijkend van een normaal virus, dat bestanden op een PC aanpast of installeert op de harde schijf. De PC-omgeving is 100% bekend, dus PC-virussen zijn wat dat betreft makkelijker te decoderen. Maar een virus op een PLC met zijn Profibus I/O is nieuw, niemand had dat ooit gezien en er is dus ook geen enkele ervaring mee hoe zo'n virus te decoderen."
Unieke code

"Aangezien de Siemens PLC's via Profibus hun I/O aansturen, is het van belang te weten: wat is dat voor I/O precies? Nu is het zo dat in Profibus elk type apparaat een unieke 16 bits "Ident Code" heeft. Deze worden toegekend door de Profibus gebruikersvereniging, en voor de PLC is het de handtekening van "heb ik de juiste soort I/O aan mijn netwerk hangen". Door te weten welke ident code's in de PLC gezocht worden, is ook uit te zoeken wat voor soort apparaat het is, welke I/O functies het heeft, wie de leverancier is, etc. Dat was voor Symantec het ontbrekende puzzelstukje blijkbaar - men zag wel dat de PLC op zoek was naar

apparaten van het type "7050" en "9500", maar kon er niet achter komen wat dat nu precies betekende. Door mijn tip werd ze dit duidelijk. Via Google had ik zelf zo gevonden dat de ene ident code naar een product van een Fins bedrijf leidt (Vacon, red). Even later meldde Symantec me al dat men de andere ident code had weten te herleiden naar een Iraans bedrijf" (Fararo Paya, red).
Geen infectie, wel manipulatie

Overigens ontkent Vacon dat hun frequentieregelaars door Stuxnet kunnen worden geïnfecteerd. Hulsebos: Vacon heeft op zich gelijk dat het virus hun drives niet infecteert. Dat kan ook niet via Profibus met zulke apparatuur - de firmware zit waarschijnlijk in flash geheugen en kan niet via Profibus geüpdate worden. Niet dat het onmogelijk is, maar ik heb het nog nooit iemand zien doen - en moet de PLC het nog aansturen.

Wat wel gebeurt is dat de PLC de Vacon drives instructies geeft om iets te doen - en dat Stuxnet hier roet in het eten gooit. Net als je in de auto zou zitten en hem in z'n vooruit zet, lekker aan het rijden bent, en een virus in je autobesturing opeens de bougies verkeerd laat vonken - is de bougie dan besmet? Nee dus. Die doet gewoon wat hem is opgedragen, als "output". Intussen is wel je motor aan gort."

Terug naar het onderzoek van Symantec. Hulsebos: "Een paar dagen later hadden ze enorme vooruitgang gemaakt. Op de Finse website was de handleiding van de frequentieomvormer te vinden en met de hulp daarvan werd weer duidelijk hoe dit apparaat via Stuxnet omgeprogrammeerd werd op andere frequenties. Met de handleiding is ook duidelijk wat de bitpatronen in de PLC allemaal betekenen, en wat bepaalde getallen betekenen. Zo is het wijzigen van een output van -10000 naar +10000 op zich betekenisloos. Maar als je weet dat er een analoge uitgang met een bereik van -10..+10V achter zit, dan wordt er opeens weer stukje van de puzzel duidelijker."
Geen hulp van Siemens of Profibus

"Deze resultaten heeft Symantec nu gepubliceerd. Hiermee is de analyse nog niet compleet, want nu is de vraag: wat hangt er achter de frequentieomvormers? Alles lijkt te wijzen op ultracentrifugemotoren, gebaseerd op de toerentallen. Het zou natuurlijk ook best iets anders kunnen zijn, maar aangezien ik niets weet van frequentieomvormers kan ik daar Symantec niet verder bij helpen. Om zekerheid te krijgen of het gaat om ultracentrifuges is ook nog domeinkennis nodig - wat gaat er precies fout als Stuxnet in actie komt?

De komende maanden zal hier waarschijnlijk nog wel veel duidelijker gaan worden als Symantec hulp krijgt. Ik vind het wel opvallend dat men geen hulp gekregen heeft van Siemens of de Profibus-vereniging. Als ik hen zou zijn, zou ik toch graag willen weten hoe mijn producten misbruikt worden, en om daarna na te denken hoe zoiets in de toekomst voorkomen zou kunnen worden."
_bron

quote:

Doos van Pandora

Hulsebos vreest dat Stuxnet een Doos van Pandora heeft geopend. "Waar men in de industriële cybersecurity wereld nu bang voor is, is dat Stuxnet een aanzuigende werking heeft op allerlei malware-auteurs, die nu gezien hebben dat de industriële besturingen makkelijk binnen te komen zijn. De vraag is dus, hoe snel komt die malware op ons af? Binnen de industriële markt heeft Stuxnet dan ook heel wat losgemaakt. Er is opeens duidelijk welke risico's we lopen. Het is een geluk bij een ongeluk dat Stuxnet niets deed (op een of twee locaties na dan). Maar omdat Stuxnet eigenlijk bij toeval ontdekt is, vraag ik me af: wat circuleert er allemaal al waar we niets van weten?"
_bron

quote:

Op maandag 22 november 2010 07:46 schreef Zwansen het volgende:
Lol, potentieel BNW-topic?

quote:

Op maandag 22 november 2010 07:46 schreef Zwansen het volgende:
Lol, potentieel BNW-topic?

quote:

SCADA System's Hard-Coded Password Circulated Online for Years
A sophisticated new piece of malware that targets command-and-control software installed in critical infrastructures uses a known default password that the software maker hard-coded into its system. The password has been available online since at least 2008, when it was posted to product forums in Germany and Russia.

The password protects the database used in Siemens’ Simatic WinCC SCADA system, which runs on Windows operating systems. SCADA, short for “supervisory control and data acquisition,” systems are programs installed in utilities and manufacturing facilities to manage the operations. SCADA has been the focus of much controversy lately for being potentially vulnerable to remote attack by malicious outsiders who might want to seize control of utilities for purposes of sabotage, espionage or extortion.

quote:

Op maandag 22 november 2010 13:35 schreef raptorix het volgende:
Het zou me niet verbazen als dit soort technieken ook ingezet gaan worden om financiële data te manipuleren.

quote:

Op maandag 15 november 2010 16:51 schreef SicSicSics het volgende:

[..]

Eigenlijk is Stuxnet ongevaarlijk zolang je geen turbocentrifuges hebt. Dus was er een hoop heisa om niks, tenminste, de mogelijkheden die stuxnet biedt zijn gevaarlijk, stuxnet zelf niet (zolang je geen turbocentrifuges hebt).