quote:http://news.yahoo.com/s/csm/327178Stuxnet malware is 'weapon' out to destroy ... Iran's Bushehr nuclear plant?
Cyber security experts say they have identified the world's first known cyber super weapon designed specifically to destroy a real-world target – a factory, a refinery, or just maybe a nuclear power plant.
The cyber worm, called Stuxnet, has been the object of intense study since its detection in June. As more has become known about it, alarm about its capabilities and purpose have grown. Some top cyber security experts now say Stuxnet's arrival heralds something blindingly new: a cyber weapon created to cross from the digital realm to the physical world – to destroy something.
At least one expert who has extensively studied the malicious software, or malware, suggests Stuxnet may have already attacked its target – and that it may have been Iran's Bushehr nuclear power plant, which much of the world condemns as a nuclear weapons threat.
The appearance of Stuxnet created a ripple of amazement among computer security experts. Too large, too encrypted, too complex to be immediately understood, it employed amazing new tricks, like taking control of a computer system without the user taking any action or clicking any button other than inserting an infected memory stick. Experts say it took a massive expenditure of time, money, and software engineering talent to identify and exploit such vulnerabilities in industrial control software systems.
Unlike most malware, Stuxnet is not intended to help someone make money or steal proprietary data. Industrial control systems experts now have concluded, after nearly four months spent reverse engineering Stuxnet, that the world faces a new breed of malware that could become a template for attackers wishing to launch digital strikes at physical targets worldwide. Internet link not required.
"Until a few days ago, people did not believe a directed attack like this was possible," Ralph Langner, a German cyber-security researcher, told the Monitor in an interview. He was slated to present his findings at a conference of industrial control system security experts Tuesday in Rockville, Md. "What Stuxnet represents is a future in which people with the funds will be able to buy an attack like this on the black market. This is now a valid concern."
A gradual dawning of Stuxnet's purpose
It is a realization that has emerged only gradually.
Stuxnet surfaced in June and, by July, was identified as a hypersophisticated piece of malware probably created by a team working for a nation state, say cyber security experts. Its name is derived from some of the filenames in the malware. It is the first malware known to target and infiltrate industrial supervisory control and data acquisition (SCADA) software used to run chemical plants and factories as well as electric power plants and transmission systems worldwide. That much the experts discovered right away.
But what was the motive of the people who created it? Was Stuxnet intended to steal industrial secrets – pressure, temperature, valve, or other settings –and communicate that proprietary data over the Internet to cyber thieves?
By August, researchers had found something more disturbing: Stuxnet appeared to be able to take control of the automated factory control systems it had infected – and do whatever it was programmed to do with them. That was mischievous and dangerous.
But it gets worse. Since reverse engineering chunks of Stuxnet's massive code, senior US cyber security experts confirm what Mr. Langner, the German researcher, told the Monitor: Stuxnet is essentially a precision, military-grade cyber missile deployed early last year to seek out and destroy one real-world target of high importance – a target still unknown.
"Stuxnet is a 100-percent-directed cyber attack aimed at destroying an industrial process in the physical world," says Langner, who last week became the first to publicly detail Stuxnet's destructive purpose and its authors' malicious intent. "This is not about espionage, as some have said. This is a 100 percent sabotage attack."
A guided cyber missile
On his website, Langner lays out the Stuxnet code he has dissected. He shows step by step how Stuxnet operates as a guided cyber missile. Three top US industrial control system security experts, each of whom has also independently reverse-engineered portions of Stuxnet, confirmed his findings to the Monitor.
"His technical analysis is good," says a senior US researcher who has analyzed Stuxnet, who asked for anonymity because he is not allowed to speak to the press. "We're also tearing [Stuxnet] apart and are seeing some of the same things."
Other experts who have not themselves reverse-engineered Stuxnet but are familiar with the findings of those who have concur with Langner's analysis.
"What we're seeing with Stuxnet is the first view of something new that doesn't need outside guidance by a human – but can still take control of your infrastructure," says Michael Assante, former chief of industrial control systems cyber security research at the US Department of Energy's Idaho National Laboratory. "This is the first direct example of weaponized software, highly customized and designed to find a particular target."
"I'd agree with the classification of this as a weapon," Jonathan Pollet, CEO of Red Tiger Security and an industrial control system security expert, says in an e-mail.
One researcher's findingsLangner's research, outlined on his website Monday, reveals a key step in the Stuxnet attack that other researchers agree illustrates its destructive purpose. That step, which Langner calls "fingerprinting," qualifies Stuxnet as a targeted weapon, he says.
Langner zeroes in on Stuxnet's ability to "fingerprint" the computer system it infiltrates to determine whether it is the precise machine the attack-ware is looking to destroy. If not, it leaves the industrial computer alone. It is this digital fingerprinting of the control systems that shows Stuxnet to be not spyware, but rather attackware meant to destroy, Langner says.
Stuxnet's ability to autonomously and without human assistance discriminate among industrial computer systems is telling. It means, says Langner, that it is looking for one specific place and time to attack one specific factory or power plant in the entire world.
"Stuxnet is the key for a very specific lock – in fact, there is only one lock in the world that it will open," Langner says in an interview. "The whole attack is not at all about stealing data but about manipulation of a specific industrial process at a specific moment in time. This is not generic. It is about destroying that process."
So far, Stuxnet has infected at least 45,000 industrial control systems around the world, without blowing them up – although some victims in North America have experienced some serious computer problems, Eric Byres, a Canadian expert, told the Monitor. Most of the victim computers, however, are in Iran, Pakistan, India, and Indonesia. Some systems have been hit in Germany, Canada, and the US, too. Once a system is infected, Stuxnet simply sits and waits – checking every five seconds to see if its exact parameters are met on the system. When they are, Stuxnet is programmed to activate a sequence that will cause the industrial process to self-destruct, Langner says.
Langner's analysis also shows, step by step, what happens after Stuxnet finds its target. Once Stuxnet identifies the critical function running on a programmable logic controller, or PLC, made by Siemens, the giant industrial controls company, the malware takes control. One of the last codes Stuxnet sends is an enigmatic “DEADF007.” Then the fireworks begin, although the precise function being overridden is not known, Langner says. It may be that the maximum safety setting for RPMs on a turbine is overridden, or that lubrication is shut off, or some other vital function shut down. Whatever it is, Stuxnet overrides it, Langner’s analysis shows.
"After the original code [on the PLC] is no longer executed, we can expect that something will blow up soon," Langner writes in his analysis. "Something big."
For those worried about a future cyber attack that takes control of critical computerized infrastructure – in a nuclear power plant, for instance – Stuxnet is a big, loud warning shot across the bow, especially for the utility industry and government overseers of the US power grid.
"The implications of Stuxnet are very large, a lot larger than some thought at first," says Mr. Assante, who until recently was security chief for the North American Electric Reliability Corp. "Stuxnet is a directed attack. It's the type of threat we've been worried about for a long time. It means we have to move more quickly with our defenses – much more quickly."
Has Stuxnet already hit its target?It might be too late for Stuxnet's target, Langner says. He suggests it has already been hit – and destroyed or heavily damaged. But Stuxnet reveals no overt clues within its code to what it is after.
A geographical distribution of computers hit by Stuxnet, which Microsoft produced in July, found Iran to be the apparent epicenter of the Stuxnet infections. That suggests that any enemy of Iran with advanced cyber war capability might be involved, Langner says. The US is acknowledged to have that ability, and Israel is also reported to have a formidable offensive cyber-war-fighting capability.
Could Stuxnet's target be Iran's Bushehr nuclear power plant, a facility much of the world condemns as a nuclear weapons threat?
Langner is quick to note that his views on Stuxnet's target is speculation based on suggestive threads he has seen in the media. Still, he suspects that the Bushehr plant may already have been wrecked by Stuxnet. Bushehr's expected startup in late August has been delayed, he notes, for unknown reasons. (One Iranian official blamed the delay on hot weather.)
But if Stuxnet is so targeted, why did it spread to all those countries? Stuxnet might have been spread by the USB memory sticks used by a Russian contractor while building the Bushehr nuclear plant, Langner offers. The same contractor has jobs in several countries where the attackware has been uncovered.
"This will all eventually come out and Stuxnet's target will be known," Langner says. "If Bushehr wasn't the target and it starts up in a few months, well, I was wrong. But somewhere out there, Stuxnet has found its target. We can be fairly certain of that."
quote:Epic.Stuxnet's ability to autonomously and without human assistance discriminate among industrial computer systems is telling. It means, says Langner, that it is looking for one specific place and time to attack one specific factory or power plant in the entire world.
"Stuxnet is the key for a very specific lock – in fact, there is only one lock in the world that it will open," Langner says in an interview. "The whole attack is not at all about stealing data but about manipulation of a specific industrial process at a specific moment in time. This is not generic. It is about destroying that process."
Voor degenen onder jullie die hebben geld te verliezen .. Misschien is het nu een goed moment om lang te gaan met olie ..?
Stuxnet malware is 'wapen' uit om te vernietigen ... Iran Bushehr kerncentrale?
De Stuxnet malware heeft geïnfiltreerd industriële computersystemen wereldwijd. Nu, cyber-beveiliging speurders zeggen dat het een search-and-destroy wapen bedoeld om een doel te raken. Een deskundige suggereert dat het misschien na de Iraanse Bushehr kerncentrale.
http://www.csmonitor.com/USA/2010/09...-nuclear-plant
Cyber security experts zeggen dat ze 's werelds eerste bekende cyber superwapen specifiek ontworpen om een real-doel world destroy geïdentificeerd - een fabriek, een raffinaderij, of heel misschien een kerncentrale.
De cyber-worm, genaamd Stuxnet, is het voorwerp van intense studie sinds de detectie in juni. Naarmate er meer bekend is geworden over, hebben alarm over de mogelijkheden en het doel gegroeid. Enkele top cyber security experts zeggen nu Stuxnet komst aankondigt iets verblindend nieuw: een cyber wapen gemaakt om van de digitale wereld over te steken om de fysieke wereld - om iets te vernietigen.
Ten minste een deskundige die uitgebreid heeft bestudeerd de schadelijke software of malware, suggereert Stuxnet misschien al haar doelstelling hebben aangevallen - en dat het kan zijn geweest van Iran Bushehr kerncentrale, die veel van de wereld veroordeelt als een bedreiging van nucleaire wapens.
De verschijning van Stuxnet creëerde een rimpeling van verbazing bij computerbeveiliging deskundigen. Te groot, te gecodeerd, te complex om onmiddellijk te worden begrepen, werkten verbazingwekkende nieuwe trucs, zoals het nemen van controle van een computer zonder dat de gebruiker maatregelen te nemen of door te klikken op een andere knop boven de invoeging van een besmet memory stick. Experts zeggen dat het heeft een enorme uitgaven van tijd, geld, en software engineering talent te identificeren en te benutten dergelijke kwetsbaarheden in software voor industriële controle systemen.
Tegenstelling tot de meeste malware, is Stuxnet niet bedoeld om iemand te helpen geld te verdienen of te stelen eigen gegevens. Industrial Control Systems experts hebben nu gesloten, na bijna vier maanden doorgebracht reverse engineering Stuxnet, dat de wereld een nieuw soort malware dat kan een sjabloon voor aanvallers willen digitale stakingen lancering op fysieke doelen over de hele wereld geworden gezichten. Internet link niet vereist.
"Tot een paar dagen geleden, mensen niet geloven dat een gerichte aanval als dit mogelijk was," Ralph Langner, een Duitse cyber-security-onderzoeker, vertelde de Monitor in een interview. Hij werd afgekraakt om zijn bevindingen te presenteren op een conferentie van industriële besturing security experts dinsdag in Rockville, Md "Wat Stuxnet vertegenwoordigt, is een toekomst waarin mensen met het geld zal worden staat zijn om een aanval als deze kopen op de zwarte markt. is nu een geldige zorg. "
Een geleidelijke aanbreken van het doel Stuxnet's
Het is een besef dat er slechts geleidelijk ontstaan.
Stuxnet opgedoken in juni en in juli, werd geïdentificeerd als een hypersophisticated stukje malware waarschijnlijk gemaakt door een team dat werkt voor een nationale staat, zeggen cyberveiligheid experts. De naam is afgeleid van enkele van de bestandsnamen in de malware. Het is de eerste malware bekend te richten en te infiltreren industriële supervisory control and data-acquisitie (SCADA)-software gebruikt om de chemische en fabrieken, alsook elektrische centrales en transmissie systemen wereldwijd draaien. Dat veel experts ontdekten meteen.
Maar wat was het motief van de mensen die het gemaakt heeft? Was Stuxnet bedoeld om industriële geheimen te stelen - druk, temperatuur, de klep of andere instellingen, en dat eigen gegevens via het internet naar dieven cyber communiceren?
In augustus had vonden de onderzoekers iets meer verontrustend: Stuxnet bleek in staat om de controle van de geautomatiseerde fabriek besturingssystemen had geïnfecteerd te nemen - en wat het ook was geprogrammeerd om te doen met ze doen. Dat was ondeugend en gevaarlijk.
Maar het wordt nog erger. Aangezien reverse engineering brokken van de massale code Stuxnet's, hoge Amerikaanse cyber security experts bevestigen wat de heer Langner, de Duitse onderzoeker, de Monitor zei: Stuxnet is in wezen een precisie, militaire-grade cyber raketten ingezet begin vorig jaar op te sporen en te vernietigen een echte wereld doelgroep van groot belang - een doelstelling nog onbekend.
"Stuxnet is een 100-procent-gerichte cyberaanval gericht op het vernietigen van een industrieel proces in de fysieke wereld", zegt Langner, die vorige week werd de eerste in het openbaar detail destructieve doeleinden Stuxnet en haar auteurs kwaadaardige bedoelingen. "Dit gaat niet over spionage, zoals sommigen hebben gezegd. Dit is een 100 procent sabotage aanval."
Een begeleide cyber raket
Op zijn website, Lange legt de Stuxnet code die hij heeft ontleed. Hij laat stap voor stap hoe Stuxnet werkt als een geleide cyber raket. Top drie Amerikaanse industriële besturing security experts, van wie elk heeft ook zelfstandig aan reverse-engineering delen van Stuxnet, zijn bevindingen bevestigd aan de monitor.
"Zijn technische analyse is goed," zegt een hoge Amerikaanse onderzoeker die heeft onderzocht Stuxnet, die vroeg om anonimiteit omdat hij niet is toegestaan om te spreken met de pers. "We zijn ook scheuren [Stuxnet] uit elkaar en zien een aantal van dezelfde dingen."
Andere deskundigen die niet zelf aan reverse-engineering Stuxnet maar vertrouwd zijn met de bevindingen van degenen die het eens zijn met de analyse van Langner's.
"Wat we zien met Stuxnet is de eerste opvatting van iets nieuws dat buiten begeleiding hoeft niet door een mens - maar kan nog steeds de controle over uw infrastructuur," zegt Michael Assante, voormalig hoofd van industriële besturingssystemen cyberveiligheid onderzoek op het Amerikaanse ministerie van Energie Idaho National Laboratory. "Dit is de eerste directe voorbeeld van bewapende software, volledig op maat gemaakte en ontworpen om een bepaald doel te vinden."
"Ik zou het eens met de indeling van dit als een wapen," Jonathan Pollet, CEO van Red Tiger Veiligheid en een industriële besturing security expert, zegt in een e-mail.
Een onderzoeker de bevindingen van
Langner Het onderzoek, beschreven op zijn website maandag, onthult een belangrijke stap in de Stuxnet aanval die andere onderzoekers het erover eens illustreert haar destructieve doel. Die stap, die Langner noemt "fingerprinting" Stuxnet kwalificeert als een gerichte wapen, zegt hij.
Langner haakt in op het vermogen Stuxnet om "vingerafdruk" van de computer systeem is infiltreert om te bepalen of het de precieze machine de aanval-ware is op zoek te vernietigen. Zo niet, dan laat de industriële computer alleen. Het is deze digitale vingerafdrukken van de controlesystemen die laat zien Stuxnet niet spyware, maar attackware bedoeld om te vernietigen, zegt Lange.
Stuxnet's vermogen om zelfstandig en zonder menselijke hulp discrimineren tussen industriële computersystemen is veelzeggend. Het betekent, zegt Langner, dat zij op zoek naar een specifieke plaats en tijd om een specifieke fabriek of energiecentrale aanslag in de hele wereld.
"Stuxnet is de sleutel voor een zeer specifieke lock - in feite is er slechts een slot in de wereld dat het zal openen," zegt Lange in een interview. "De hele aanval is helemaal niet over het stelen van data, maar over het manipuleren van een specifiek industrieel proces op een bepaald moment in de tijd. Dit is geen soortnaam. Het gaat om dat proces te vernietigen."
Tot dusver Stuxnet heeft ten minste 45.000 industriële besturingssystemen over de hele wereld besmet zijn, zonder ze op te blazen - hoewel sommige slachtoffers in Noord-Amerika hebben meegemaakt een aantal ernstige computerproblemen, Eric Byres, een Canadese deskundige, vertelde de Monitor. Het merendeel van het slachtoffer computers zijn echter in Iran, Pakistan, India en Indonesië. Sommige systemen zijn hit in Duitsland, Canada en de VS, ook. Zodra een systeem is besmet, Stuxnet zit gewoon en wacht - controle om de vijf seconden om te zien of de exacte parameters wordt voldaan aan het systeem. Als ze, Stuxnet is geprogrammeerd voor het activeren van een sequentie die het industriële proces zal leiden tot zelfvernietiging, Langner zegt.
Langner de analyse laat ook zien, stap voor stap, wat er gebeurt na Stuxnet vindt zijn doel. Zodra Stuxnet identificeert de kritieke functie draait op een programmeerbare logische controller of PLC, gemaakt door Siemens, het reusachtige industriële controleert bedrijf, de malware neemt de leiding. Een van de laatste codes Stuxnet stuurt is een raadselachtige "DEADF007." Dan het vuurwerk beginnen, hoewel de precieze functie wordt overschreven is niet bekend, zegt Langner. Het kan zijn dat de maximale veiligheid instelling voor RPM op een turbine overschreven is, of dat de smering is uitgeschakeld, of een andere belangrijke functie uitgeschakeld. Wat het ook is, Stuxnet hem opheft, Langner analyse toont.
"Na de oorspronkelijke code [op de PLC] is niet meer uitgevoerd worden, kunnen we verwachten dat er spoedig iets zal opblazen," Lange schrijft in zijn analyse. "Iets groots."
Voor degenen die zich zorgen over een toekomstige cyberaanval dat de controle van kritieke infrastructuur geautomatiseerde neemt - in een kerncentrale, bijvoorbeeld - Stuxnet is een grote, luide waarschuwing schot voor de boeg, vooral voor de nutssector en de overheid opzichters van het Amerikaanse elektriciteitsnet .
"De gevolgen van Stuxnet zijn zeer groot, veel groter dan enkele dacht eerst," zegt de heer Assante, die tot voor kort was security chief voor de Noord-Amerikaanse Electric Reliability Corp "Stuxnet is een gerichte aanval. Het is het soort bedreiging We zijn bezorgd over voor een lange tijd Het betekent dat we sneller gaan met onze verdediging.. - veel sneller "
Heeft Stuxnet al zijn doel te raken?
Het is misschien te laat voor target Stuxnet's, Langner zegt. Hij suggereert het al is geraakt - en vernietigd of zwaar beschadigd. Maar Stuxnet onthult geen openlijke aanwijzingen binnen de code om wat het is na.
Een geografische spreiding van de computers zijn getroffen door Stuxnet, die Microsoft in juli, vond Iran om de schijnbare epicentrum van de Stuxnet infecties. Dat suggereert dat enige vijand van Iran met geavanceerde cyberoorlog mogelijkheid zou kunnen worden betrokken, zegt Langner. De VS is erkend dat vermogen hebben, en Israël is ook gemeld aan een formidabele offensieve cyber-oorlogvoeringvermogen hebben.
Kunnen Stuxnet's doelwit van Iran Bushehr kerncentrale, een faciliteit veel van de wereld veroordeelt als een bedreiging voor kernwapens?
Lange is snel op te merken dat zijn visie op de doelgroep Stuxnet is speculatie gebaseerd op suggestieve vragen die hij heeft gezien in de media. Nog, hij vermoedt dat de plant al Bushehr kan zijn vernietigd door Stuxnet. verwacht opstarten Bushehr in eind augustus vertraging heeft opgelopen, merkt hij op, om onbekende redenen. (Een Iraanse officiële schuld van de vertraging op warm weer.)
Maar als Stuxnet zo is gericht, waarom het uitbreiden naar alle landen? Stuxnet zou kunnen zijn verspreid door de USB-sticks worden gebruikt door een Russische aannemer tijdens de bouw van de kerncentrale Bushehr, Langner biedt. Dezelfde aannemer heeft banen in verschillende landen waar de attackware is blootgelegd.
"Dit alles zal uiteindelijk naar buiten komen en Stuxnet streefcijfer bekend zal worden," zegt Langner. "Als Bushehr was niet het doel en het begint in een paar maanden, nou ja, ik had het mis. Maar ergens daar buiten, heeft Stuxnet gevonden zijn doel. We kunnen er redelijk zeker van dat."
quote:Via een USB stick.Op donderdag 23 september 2010 21:03 schreef Netsplitter het volgende:
Hoe willen ze iets vernietigen als dat niet op internet aangesloten zit op geen enkele manier?
quote:Stuxnet might have been spread by the USB memory sticks used by a Russian contractor while building the Bushehr nuclear plant, Langner offers. The same contractor has jobs in several countries where the attackware has been uncovered.
quote:Iran is juist het epicentrum van de infectie, aldus het nieuwsbericht.Op donderdag 23 september 2010 21:02 schreef Martin73 het volgende:
Iran beschikt vast niet over zo'n virus, maar ze kunnen de Hezbollah opdracht geven om de Israëlische kerncentrale met raketten te bestoken. 1-1.
quote:A geographical distribution of computers hit by Stuxnet, which Microsoft produced in July, found Iran to be the apparent epicenter of the Stuxnet infections.
Net een puber die na twee jaar krantenwijk zijn scooter gekocht heeft, maar het ding niet kan starten omdat die dan explodeert.
quote:Erg grappig.Op donderdag 23 september 2010 21:19 schreef -Techno- het volgende:
[..]
Iran is juist het epicentrum van de infectie, aldus het nieuwsbericht.
[..]
quote:http://www.bbc.co.uk/news/technology-11388018'Rare package'
Stuxnet was first detected in June by a security firm based in Belarus, but may have been circulating since 2009.
Unlike most viruses, the worm targets systems that are traditionally not connected to the internet for security reasons.
Instead it infects Windows machines via USB keys - commonly used to move files around - infected with malware.
Once it has infected a machine on a firm's internal network, it seeks out a specific configuration of industrial control software made by Siemens.
Once hijacked, the code can reprogram so-called PLC (programmable logic control) software to give attached industrial machinery new instructions.
"[PLCs] turn on and off motors, monitor temperature, turn on coolers if a gauge goes over a certain temperature," said Mr O'Murchu.
"Those have never been attacked before that we have seen."
If it does not find the specific configuration, the virus remains relatively benign.
However, the worm has also raised eyebrows because of the complexity of the code used and the fact that it bundled so many different techniques into one payload.
"There are a lot of new, unknown techniques being used that we have never seen before," he said These include tricks to hide itself on PLCs and USB sticks as well as up to six different methods that allowed it to spread.
In addition, it exploited several previously unknown and unpatched vulnerabilities in Windows, known as zero-day exploits.
"It is rare to see an attack using one zero-day exploit," Mikko Hypponen, chief research officer at security firm F-Secure, told BBC News. "Stuxnet used not one, not two, but four."
He said cybercriminals and "everyday hackers" valued zero-day exploits and would not "waste" them by bundling so many together.
Microsoft has so far patched two of the flaws.
quote:een 7 staat meestal voor een T. Anders gebruik je een 1.Op donderdag 23 september 2010 22:20 schreef iehlaak het volgende:
Zou DEADF007 leetspeak voor DEADFOOL zijn?
Deadfoot?
.quote:Hij doorzoekt de hele computer naar wat voor gegevens er op staat denk ik...Op donderdag 23 september 2010 22:35 schreef Denaamishaas het volgende:
Hoe herkent die virus dat het een kerncentrale-computer is? En niet een consumentenpc of een SAP-computer
Alsof er nog geen virussen bestonden die bijvoorbeeld de koeler van je processor doen uitvallen, met alle gevolgen van dien...
quote:Hij richt zich uitsluitend op Siemens PLC's als ik het goed heb. En die zitten vooral in industriële systemen. Maar hoe hij weet welk industrieel systeem de PLC aanstuurt is mij een raadsel.Op donderdag 23 september 2010 22:35 schreef Denaamishaas het volgende:
Hoe herkent die virus dat het een kerncentrale-computer is? En niet een consumentenpc of een SAP-computer
Overigens zou ik me als grootmacht behoorlijk zorgen maken, tenzij ik het zelf gemaakt hebt uiteraard. US die van afstand fabrieken in China kan uitzetten, of omgekeerd...
quote:Ja maar dat was een illegale rip, laat dat een lesje voor ze zijn, aldus stichting Brein.Op donderdag 23 september 2010 22:13 schreef Revolution-NL het volgende:
Net alsof die gasten geen virusscanner en de laatste Windows Updates op die kerncentrale geinstalleerd hebben
quote:Vind je zelf niet dat er een subtiel verschil bestaat tussen de koeler van je processor en de koeling van een kerncentrale?Op donderdag 23 september 2010 22:51 schreef YazooW het volgende:
Oeh wat eng zeg, de overheid mag van mij nu meteen een stukje software op mijn PC plaatsen die alles netjes in de gaten houdt wat er op mijn PC gebeurd zodat die stoute boeven niet zo'n aanval op mijn PC kunnen doen!
Alsof er nog geen virussen bestonden die bijvoorbeeld de koeler van je processor doen uitvallen, met alle gevolgen van dien...
quote:Vermomd als Backdoor Burqas 9.avi waarschijnlijk.Op donderdag 23 september 2010 22:59 schreef iehlaak het volgende:
Misschien heeft zo'n Iraanse ingenieur het virus wel binnengehaald bij het downloaden.
quote:Tuurlijk wel, maar het artikel doet net voorkomen alsof dit de eerste keer is dat er een virus is dat iets ernstig kan veroorzaken in "het echte leven" zeg maar...Op donderdag 23 september 2010 22:57 schreef iehlaak het volgende:
[..]
Vind je zelf niet dat er een subtiel verschil bestaat tussen de koeler van je processor en de koeling van een kerncentrale?
Trouwens is het ook wel een beetje raar, dat een grote trots van Iran, die kerncentrale, bestuurd wordt door een Amerikaans besturingssysteem.
quote:Woon je toevallig naast een kerncentrale?Op donderdag 23 september 2010 23:02 schreef Stokstaart het volgende:
Kan het ook voor overheidsdoeleinden gebruikt worden naar ons toe ?
quote:Dit is heel erg echt...Op donderdag 23 september 2010 23:41 schreef Originele_Naam het volgende:
als dit echt is moeten we ons echt zorgen gaan maken
quote:En vandaag:Stuxnet besmet Iraanse kerncentrale
De eerste kerncentrale van Iran is voor zijn opening al getroffen door de computerworm Stuxnet. Maar volgens de autoriteiten heeft de malware geen schade veroorzaakt.
Het Iraanse persbureau IRNA heeft zondag bevestigd dat computers van medewerkers van de eerste kerncentrale van Iran zijn besmet geraakt met de Stuxnet-malware. De centrale gaat over enkele weken van start. Volgens het hoofd van de kernreactor heeft de malware 'geen schade toegebracht aan de belangrijke systemen van de centrale'. Iraanse it-experts hebben volgens IRNA extra voorzorgsmaatregelen genomen om cyberaanvallen op de nucleaire faciliteiten tegen te gaan.
Onderzoek VS
Stuxnet is bezig met een opmars, nadat hij in juli door Duitse onderzoekers werd ontdekt. In totaal zijn er nu volgens antivirusbedrijven zo'n 45 duizend besmettingen geconstateerd, waarvan 60 procent in Iran en 18 procent in Indonesië. De computerworm kan systemen overnemen. De malware is waarschijnlijk gemaakt door experts die werken in opdracht van een overheid of een rijke private groepering, stelt Symantec in een analyse. Stuxnet is volgens Symantec-manager Liam O Murchu ontworpen om doelwitten met een hoge waarde te raken, maar naar de precieze oorsprong blijft het volgens hem nog gissen.
Ook de Amerikaanse overheid voert onderzoek uit naar Stuxnet. De onderzoekers hebben ook nog niet achterhaald wie er achter de malware zit en wat het doel is, aldus een ambtenaar op het gebied van computerbeveiliging tegen persbureau Associated Press.
Siemens-systeem doelwit
Tot nu toe is de computerworm al doorgedrongen tot onder meer vijftien industriële centrales, waaronder die op het gebied van waterzuivering, olie en electriciteit. Volgens Siemens is geen van de complexe door Stuxnet ernstig in de problemen geraakt. Stuxnet lijkt met name op Iran gericht, stelden onderzoekers eerder al.
Stuxnet blijkt zichzelf overigens via p2p bij te werken. De worm vertrouwt niet alleen op een 'traditionele' aansturing via zogeheten command and control-servers, die al zijn neergehaald door malwarebestrijders. Dat Stuxnet peer-to-peer verbindingen gebruikt om de malware te updaten, doet denken aan de geavanceerde Conficker-worm, die voor zover bekend echter nooit is ingezet voor malafide doeleinden.
bron
quote:Nasty is een understatementStuxnet sloopte mogelijk satelliet
De paniek over Stuxnet verspreidt zich snel, omdat de worm cruciale infrastructuur aanvalt. In China zijn 1000 fabrieken getroffen en er is mogelijk zelfs een satelliet onklaar gemaakt.
Er duiken steeds wildere verhalen over de buitengewoon geavanceerde Stuxnet-worm op. Cyberexpert Jeffrey Carr onthult dat Stuxnet wellicht een Indiase tv-satelliet in baan om de aarde onklaar heeft gemaakt.
Op 7 juli werd de INSAT-4B satelliet getroffen door een ernstige storing waardoor de helft van de transponders uitviel. Hierdoor had 70 procent van de Indiase tv-satellietklanten geen signaal meer en moest halsoverkop worden overgeschakeld op een Chinese satelliet.
Uit onderzoek naar de CV’s van twee ex-werknemers van het Indiase Ruimtevaart Agenstschap blijkt dat de organisatie werkt met de gewraakte Siemens-systemen Siemens S7-400 PLC and SIMATIC WinCC. Deze zogenaamde SCADA-software is het belangrijkste doelwit van de Stuxnet-worm.
Nieuwe berichten uit China wijzen er op dat meer dan 1000 fabrieken zijn getroffen en rond de 6 miljoen pc’s.
Werk van de Mossad?
De Stuxnet worm die krachtcentrales zoals de Iraanse kernfabriek Bushehr aanvalt, is zeer waarschijnlijk een opdracht van een overheid. De eerste verdachte is Israël, omdat het virus een mysterieuze code bevat die naar een belangrijke datum voor het land wijst. Ook zou de maker heel goed een (ex-)werknemer van Siemens moeten zijn, gezien de SCADA-expertise die nodig is om Stuxnet te bouwen.
Al deze suggesties worden gedaan door beveiligingsonderzoekers op de Virus Bulletin 2010 conferentie. Graham Cluley, senior technologie consultant bij beveiligingsbedrijf Sophos, zegt dat het er “sterk op lijkt dat de maker kennis van binnenuit nodig had om deze worm te kunnen maken.” De malware is volgens onderzoekers een van de meest geavanceerde ooit.
Mysterieuze code
Verder is er een code ontdekt in het virus met als functie dat de worm de aanval afbreekt wanneer bepaalde waarden gelijk zijn aan deze code. De onderzoekers Nicolas Falliere, Liam O Murchu en Eric Chen speculeren dat deze code een datum zou representeren.
De code is ‘19790509’ en zou naar de datum 9 mei 1979 verwijzen. Deze datum zou kunnen verwijzen naar de executie van de Joods Iraanse zakenman Habib Elghanian. Hij werd terechtgesteld omdat hij een vriendschap zou hebben met de vijanden van God. Elghanian zou gespioneerd hebben voor Israël en daarbij veel geld geïnvesteerd hebben in het Israëlische leger.
Opdracht van overheid
Toch waarschuwen de drie beveiligingsonderzoekers voor voorbarige conclusies. Het is namelijk vaak een tactiek van hackers om als afleiding te verwijzen naar iets wat ze niet zijn. De hack is echter dermate geavanceerd, dat het volgens hoofd onderzoeker Mikko Hyppönen zeer waarschijnlijk een overheidsinspanning moet zijn.
Sabotage
Ook een sterke aanwijzing daarvoor is dat bij nader onderzoek naar het virus geen enkele manier is ontdekt waarop geld verdiend kan worden met de worm. Het doel van de malware is daarmee dus pure sabotage van krachtcentrales en andere cruciale infrastructuur.
Cyberoorlog
Saillant detail zijn de verdenkingen dat de Iraanse kerncentrale Bushehr, het schijnbare hoofddoelwit van de aanval, een dekmantel zou zijn voor het produceren van kernwapens door Iran.
In het statement van het Russische Kaspersky Labs, waarschuwt de beveiligingsfirma dat Stuxnet een “werkend en angstaanjagend prototype is van een geavanceerd cyberwapen dat zou kunnen leiden tot een nieuwe wapenwedloop.”
bron
quote:De eerste verdachte is Israël, omdat het virus een mysterieuze code bevat die naar een belangrijke datum voor het land wijst.
Generaal Moos - Kom we gaan ontraceerbaar virus maken, het moet alles slopen en moet absoluut onherleidbaar zijn naar ons!
Programmeur Sam - Ah, mag ik er niet een cryptische verwijzing instoppen naar een voor ons land belangrijke datum zodat ze toch kunnen weten dat het van ons is?
Generaal Moos - Nou goed dan... Eentje!
quote:Echt heOp vrijdag 1 oktober 2010 16:16 schreef SicSicSics het volgende:
[..]
Generaal Moos - Kom we gaan ontraceerbaar virus maken, het moet alles slopen en moet absoluut onherleidbaar zijn naar ons!
Programmeur Sam - Ah, mag ik er niet een cryptische verwijzing instoppen naar een voor ons land belangrijke datum zodat ze toch kunnen weten dat het van ons is?
Generaal Moos - Nou goed dan... Eentje!
Of zo van: "Hmmm hoe kunnen we de aandacht van ons afleiden en de schuld aan israel geven?"quote:Mooi werk op zich als dit werk van de Mossad is. Helaas dan wel een beetje lullig dat bedrijven en particulieren in China, India en Indonesië hierdoor schade oplopen.Op vrijdag 1 oktober 2010 15:56 schreef YuckFou het volgende:
[..]
Dit is heel erg echt...
[..]
En vandaag:
[..]
Nasty is een understatement
quote:Ik denk dat China hier op zich wel een klein bezwaar tegen gaat maken.Op vrijdag 1 oktober 2010 16:19 schreef EdvandeBerg het volgende:
[..]
Mooi werk op zich als dit werk van de Mossad is. Helaas dan wel een beetje lullig dat bedrijven en particulieren in China, India en Indonesië hierdoor schade oplopen.
Het is echt einde verhaal met Israël. De goede reputatie loopt hard achteruit en de wanhoop en onmacht neemt met de dag toe.
)quote:Wat is er mis met economische oorlogsvoering?
[..]
Mooi werk op zich als dit werk van de Mossad is. Helaas dan wel een beetje lullig dat bedrijven en particulieren in China, India en Indonesië hierdoor schade oplopen.
De gevolgen hiervan zijn bijzonder verstrekkend , wat ik ervan begrijp is deze attack eigenlijk niet te stoppen ,nauwelijks op te sporen en nooit met 100% zekerheid te verwijderen van de systemen.
De chaos zal overheersen en veel plants zullen voor de zekerheid stil liggen en eventueel alsnog "ontploffen" als ze weer opstarten met Stux nog aan boord.
Just the beginning.
quote:tenzij alle code ter plekke in de systemen wordt geprogrammeerd zal er toch iets zijn om de data via computer 1 die waarschijnlijk wel in contact staat met het internet op computer 2 te krijgen.Op donderdag 23 september 2010 21:03 schreef Netsplitter het volgende:
Hoe willen ze iets vernietigen als dat niet op internet aangesloten zit op geen enkele manier?
Dus als je die pc kan infecteren kan die weer de andere pc besmetten
Er is geen internet aansluiting
De virus is erop gekomen via USB stick
Hoe wil je je signalen naar je virus sturen
Kansloos
quote:Op het interne bedrijfs netwerk dus zonder gateway naar het internet.Op vrijdag 1 oktober 2010 19:28 schreef Mr.44 het volgende:
[..]
tenzij alle code ter plekke in de systemen wordt geprogrammeerd zal er toch iets zijn om de data via computer 1 die waarschijnlijk wel in contact staat met het internet op computer 2 te krijgen.
Dus als je die pc kan infecteren kan die weer de andere pc besmetten
Besmet 1 computer binnen dit netwerk en je hebt de rest ook als je wilt.
Men vermoed dat de attackware van een USB drive kwam van een russische contractor.
quote:Het is helemaal niet nodig signalen er heen te sturen, je kan de activatie erin verwerken.Op vrijdag 1 oktober 2010 19:29 schreef Disko.Krali het volgende:
Heel leuk dit allemaal.
Er is geen internet aansluiting
De virus is erop gekomen via USB stick
Hoe wil je je signalen naar je virus sturen
Kansloos
quote:Als er een activatie was, was die al geweest
[..]
Het is helemaal niet nodig signalen er heen te sturen, je kan de activatie erin verwerken.
Je gaat niet een activatie later laten uitvoeren want zoals nu word je virus toch snel ontdekt
quote:Virus speciaal gemaakt voor Siemens systemen ongedoken , Iran heeft veel fabrieken enzo met deze systemen, veel systemen zijn besmet , Iran durft besmette nucliare fabriek niet op te starten hierdoor. verdere gevolgen qua besmetting en impact onbekend.
alstublieft.
quote:er is een virus gevonden dat geprogrammeerd is om de PLC code van bijvoorbeeld een kerncentrale te verneuken en de code en trucs in de code zijn te complex om door 1 grappenmaker gemaakt te zijn maar moet bijna wel het werk zijn van een staat
quote:Men weet nog eigenlijk niks wat het nu precies doet, gezien de besmetting is er een activatieOp vrijdag 1 oktober 2010 19:35 schreef Disko.Krali het volgende:
[..]
Als er een activatie was, was die al geweest
Je gaat niet een activatie later laten uitvoeren want zoals nu word je virus toch snel ontdekt
Onbekend wat de attackware nu precies en wat het op de langere termijn gaat doen.
En d.m.v. fingerprinting wordt er blijkbaar specifiek naar speciale doelen gezocht en wij weten nog niet welke en wat de impact daarop is.
[ Bericht 0% gewijzigd door Osiris024 op 01-10-2010 19:58:04 ]
quote:ze hebben voor dit grapje eerder ideeën overgenomen van de wat meer kwaadwillende hackers.Op vrijdag 1 oktober 2010 19:37 schreef Granduppaaaaah het volgende:
Ben benieuwd of hackers lessen uit dit stuk software leren en het tegen burgers gaan gebruiken.
quote:De Iraanse kerncentrale zal wel opgezet zijn met hulp van de Russen dus zullen ze ook wel grofweg hun systemen/codes gebruiken. Dan hoef je enkel nog te weten wat de Russen tegenwoordig gebruiken.Op donderdag 23 september 2010 22:55 schreef iehlaak het volgende:
[..]
Hij richt zich uitsluitend op Siemens PLC's als ik het goed heb. En die zitten vooral in industriële systemen. Maar hoe hij weet welk industrieel systeem de PLC aanstuurt is mij een raadsel.
Overigens zou ik me als grootmacht behoorlijk zorgen maken, tenzij ik het zelf gemaakt hebt uiteraard. US die van afstand fabrieken in China kan uitzetten, of omgekeerd...
quote:Dank u wel mijn heer..
[..]
Virus speciaal gemaakt voor Siemens systemen ongedoken , Iran heeft veel fabrieken enzo met deze systemen, veel systemen zijn besmet , Iran durft besmette nucliare fabriek niet op te starten hierdoor. verdere gevolgen qua besmetting en impact onbekend.
alstublieft.
mijn antwoord op de samenvatting is dus.. 2012!!! WE GAAN ER ALLEMAAL AAN!!!!
quote:Op vrijdag 1 oktober 2010 19:47 schreef Snaavel het volgende:
[..]
Dank u wel mijn heer..
mijn antwoord op de samenvatting is dus.. 2012!!! WE GAAN ER ALLEMAAL AAN!!!!
quote:Gewoon met duits spul voor de aansturing dusOp vrijdag 1 oktober 2010 19:46 schreef Mr.44 het volgende:
[..]
De Iraanse kerncentrale zal wel opgezet zijn met hulp van de Russen dus zullen ze ook wel grofweg hun systemen/codes gebruiken. Dan hoef je enkel nog te weten wat de Russen tegenwoordig gebruiken.
De reactor en koeling enzo is van russische origine.
quote:Ik vind vooral de naïviteit en onwetendheid van de aangehaalde systeembeheerders bizar omdat dit toch echt wel een ernstig stuk malware isStuxnetworm valt Nederlandse multinational aan
Een grote leverancier van industriële sorteersystemen heeft twee aanvallen van de gevaarlijke Stuxnet-worm afgeslagen. De kerncentrale Borssele is inmiddels in hoogste staat van paraatheid.
Willem van der Craats, corporate ICT-manager van Vanderlande Industries uit Veghel, heeft slechts vaag gehoord van Stuxnet. Maar na ruggespraak blijkt dat de geavanceerde worm ook systemen van zijn concern heeft aangevallen. "Ik heb navraag gedaan, en op onze systemen in India en Engeland is inderdaad Stuxnet aangetroffen. We hebben het verholpen, want de antivirussoftware heeft het afgevangen," vertelt Van der Craats opgelucht.
Bagagesysteem Schiphol
Vanderlande Industries is geen kleintje. Het concern zet ruim een half miljard euro per jaar om en heeft vestigingen in tien Europese landen, de VS, China en India. Vanderlande maakt geavanceerde sorteer- en distributiesystemen voor de industrie, de transportsector en luchthavens. Schiphol, Heathrow en Charles de Gaulle gebruiken bagagesystemen van Vanderlande.
De innovatieve Veghelse technologie maakt volop gebruik van processtuur- en controlesystemen (SCADA) van fabrikant Siemens. Net als talloze andere fabrieken, energiecentrales, (drink)waterbeheerders en havenbedrijven. Veel, heel veel vitale infrastructuur, vooral in Europa, draait op Siemens-systemen, waaronder Simatic WinCC en Step 7 software.
Ingenieus cyberwapen
En precies op WinCC en Step 7 heeft de kwaadaardige Stuxnet-worm het gemunt. WinCC is visualisatiesoftware voor het monitoren van geautomatiseerde processen. Step7 is voor ingenieurs die software maken en configureren voor programmable controllers van Siemens die dienst doen in fabrieken en productieprocessen.
Stuxnet is een supergeavanceerde tientrapsraket die zich via maar liefst vier verschillende zeroday-gaten in Windows in WinCC en Step 7 nestelt. Vanuit daar kan het cruciale bedrijfsprocessen bespioneren en manipuleren.
Stuxnet zou het speciaal voorzien hebben op het Iraanse nucleaire programma, stellen experts na analyse van de broncode en het infectiepatroon van de worm. De malware wordt gezien als de meest ingenieuze ooit, waardoor de verdenking sterk uitgaat naar een geheim cybercommando, wellicht van Israël of de VS.
Onder de radar
Zo heeft Stuxnet de net voltooide Iraanse kernenergiecentrale bij Bushehr getroffen. Het opstarten van deze centrale is onlangs met zeker vier maanden uitgesteld, maar Iran ontkent elk verband met Stuxnet. Wel erkent het regime dat er infecties zijn geweest en heeft het enkele arrestaties verricht in verband met 'nucleaire cyberspionage'.
De oorsponkelijke Stuxnet-worm, die al ruim een jaar oud is, sprong alleen van systeem naar systeem via usb-sticks. Dat lijkt primitief, maar het is exact de bedoeling. Want praktisch alle SCADA-systemen zijn - juist uit veiligheidsoverwegingen - stand alone: niet verbonden met een netwerk en al helemaal niet met internet.
Het uitvoeren van updates en het kopiëren van logfiles gebeurt daarom meestal met een...precies, usb-stick. En omdat Stuxnet zich hierdoor nauwelijks verspreidde bleef het lange tijd onder de radar van industriële systeembeheerders en antivirusbedrijven.
Collateral damage
Toch vermoedt onder meer antivirusbedrijf Symantec, dat zojuist een uitgebreide analyse van Stuxnet heeft gepubliceerd, dat die eerste versie zijn doel niet heeft bereikt. Daarom werd een tweede, agressievere variant ontwikkeld die zich ook via netwerken vermenigvuldigt. In plaats van de lasergeleide raket lijkt het nu meer op een clusterbom.
Met als gevolg dat inmiddels honderduizenden, zo niet miljoenen pc's zijn getroffen, waaronder die van talloze Chinese fabriekssystemen. Mogelijk is zelfs een Indiase satelliet onklaar gemaakt. Het is de collateral damage van Stuxnet.
Security-experts vrezen echter dat andere hackers met Stuxnet aan de haal gaan en nieuwe varianten loslaten, die nog veel besmettelijker zijn, met als doelwit miljoenen kwetsbare Windows-systemen.
Want Microsoft heeft weliswaar al meerdere patches uitgebracht, maar die zijn niet beschikbaar voor verouderde pc's met Windows XP SP 1 of 2. Dit geldt voor circa een kwart van de particuliere pc's en bijna de helft van alle bedrijfscomputers. Bovendien zijn twee van de vier misbruikte kwetsbaarheden nog niet verholpen.
Onwetend
De dreiging Stuxnet staat echter nauwelijks op de kaart bij de industrie, blijkt uit een korte rondgang langs technische automatiseerders. Sommigen hebben er überhaupt niet van gehoord, anderen komen met de reflexmatige reactie: het speelt hier niet, onze systemen zijn veilig.
"Dergelijke SCADA en PLC-systemen (programmable logic controller) zitten geïsoleerd op locale systemen en netwerken. Die zijn strikt gescheiden van internet", aldus Wijnand van Asseldonk, operationeel manager van Task24, een grote dienstverlener in de technische automatisering. "We hebben van onze opdrachtgevers hierover nog niets gehoord. En we hebben het er zelf eigenlijk ook niet over."
Kerncentrales draaien niet op Windows
Volgens Siemens valt het ook allemaal wel mee. "We hebben hier in Nederland geen problemen, voor zover ik weet. We hebben in juli hierover over met onze klanten gecommuniceerd en een update uitgebracht. Er zijn wereldwijd 15 aanvallen gemeld, allemaal zonder nadelige gevolgen voor productiesystemen", sust de woordvoerder van Siemens Nederland.
"We gaan niet mee met al die speculaties over gehackte kerncentrales. We willen het niet downplayen, maar er is geen harde informatie over. We zijn bovendien direct noch indirect betrokken bij het nucleaire programma in Iran", verzekert de zegsman. "En kerncentrales werken sowieso niet onder Windows."
Draait de enige kernenergiecentrale van Nederland, Borssele, ook niet op Windows? "Ik kan u zulke details niet geven, ik hoop dat u dat begrijpt", aldus de woordvoerster van EPZ, de eigenaar van de kerncentrale. "Ik kan u wel vertellen dat we Siemens systemen gebruiken." Het nucleaire complex werd begin jaren zeventig zelfs door Siemens gebouwd.
Borssele op defcon 1
In Borssele, een nationale infrastructuur, zijn ze een stuk alerter op Stuxnet. "We zijn al een tijd op de hoogte van dit virus. We worden in een zo vroeg mogelijk stadium op de hoogte gesteld bij dit soort problemen. We hebben diverse voorzorgsmaatregelen genomen om infectie te voorkomen", verzekert de zegsvrouw.
EPZ is dan ook een belangrijke participant in de Nationale Infrastructuur ter bestrijding van Cybercrime, kortweg NICC. "We hebben hierover regelmatig contact met Govcert en NICC, in de nucleaire werkgroep." Govcert publiceerde begin augustus een factsheet over Stuxnet.
Binnen de NICC zijn er verschillende gremia die zich momenteel met de worm bezighouden, zoals voorgenoemde nucleaire werkgroep en een groep voor de hele energiesector. Er is zelfs een overlegorgaan speciaal voor SCADA-systemen, zoals het gewraakte Siemens WinCC.
Zelf draagt de woordvoerster van EPZ haar steentje bij aan de waakzaamheid. "Ik volg met Google Alert allerlei berichten over Stuxnet. Het heeft zeker onze aandacht."
Patch genegeerd
Dat is een heel ander geluid dan uit de industrie. Want de 'communicatie' van Microsoft en Siemens over Stuxnet is door weinig automatiseerders gehoord of serieus genomen. Bedrijven blijken of helemaal niet op de hoogte, of zien geen noodzaak voor de updates. Van Asseldonk van dienstverlener Task24 weet dan ook niet één bedrijf dat de belangrijke Simatic-patch van Siemens heeft uitgerold.
Bij multinational Vanderlande Industries is het niet anders. Tot nog toe dan. ICT-manager Van der Craats: "Voor zover ik weet hebben we de update van Siemens op onze systemen nog niet geïnstalleerd. We zijn dat momenteel direct aan het onderzoeken. Ik ga dit nu allemaal wel even controleren."
bron
quote:Stuxnet: gevaarlijker dan de gemiddelde worm
Alsof de malware-dreiging nog niet naar genoeg is, ontpopt Stuxnet zich nu tot een uiterst professionele en doelgerichte tool om hele economieën mee te ontwrichten.
Om de paar jaar komt er een malware-programma voorbij dat de wereld van de IT-beveiliging flink onder druk zet. Code Red deed dat in 2001 door een groot aantal IIS webservers te infecteren (en heeft er en passant voor gezorgd dat Microsoft serieus werk ging maken van veilige software-ontwikkeling). In 2003 was het SQL Slammer dat binnen 10 minuten zo’n beetje iedere ongepatchte SQL-server op het internet wist te besmetten. De MS-Blaster worm baande zich een weg door de meeste firewalls rond beveiligde bedrijfs-perimeters. De grote wormen Sobig, MyDoom, Netsky en Bagle bewezen dat hackers echt geen onbeveiligde open SMTP-verbindingen nodig hebben om spam te versturen. En allerlei Trojans toonden aan dat bijna elk authenticatieproces eenvoudig omzeild kan worden om bankrekeningen te plunderen.
En nu hebben we Stuxnet, dat de afgelopen maanden steeds meer media-aandacht heeft gekregen. En dat is niet zo gek, want dit is malware zoals we die nooit eerder hebben meegemaakt. Als Stuxnet een voorbode is van wat ons nog te wachten staat, denken we straks met weemoed terug aan de tijd dat we ons nog zorgen maakten over boot-virussen, valse attachments en boosaardige macro’s.
Industriële doelwitten
Om te beginnen is Stuxnet de eerste worm die zich bewust en direct richt op industriële beheersystemen in de categorie SCADA supervisor control en data-acquisitie. Hoewel van SCADA-systemen inmiddels wel bekend is dat ze niet al te best beveiligd zijn, gaat Stuxnet een stap verder: het richt zich op specifieke SCADA-systemen, zoals die van Siemens. Als het de kans krijgt, herprogrammeert het hun PLCs (Programmable Logic Controllers) en verstopt zich vervolgens middels de eerste specifiek voor SCADA geschreven rootkit (als je daar meer over wilt weten, lees dan vooral Symantecs W32_Stuxnet Dossier).
Het lijkt erop dat de makers van Stuxnet een manier zoeken om energiecentrales op afstand te bedienen. Volgens veel waarnemers was Iran het primaire doelwit, gezien het feit dat daar het grootste aantal infecties is opgetreden. Die hypothese werd verder gevoed toen het woord “Myrtus” in de worm werd aangetroffen, dat volgens sommigen een verband heeft met het Hebreeuwse woord Esther. Het boek van Esther verhaalt van een Perzische samenzwering tegen de Joden, die de Perzen vervolgens te vlug af waren met een verwoestende aanval – enfin, maak zelf het complot maar af.
Wat maar weinig mensen weten is dat energiecentrales en andere industriële systemen alle vele jaren lang te maken hebben met directe aanvallen. Begin 2009 vertelde beveiligingsexpert Joseph Weiss nog aan het Amerikaanse congres dat hij bewijs had gevonden van meer dan 125 geslaagde aanvallen op de systemen van nucleaire installaties, waterkrachtcentrales, de olie-industrie en landbouworganisaties. In de VS zou zo’n aanval zelfs al tot een dodelijk slachtoffer hebben geleid, al moet ik toegeven dat ik zijn bronnen of documentatie nooit zelf heb kunnen raadplegen. NERC, de North-American Electric Reliability Corporation, ontkent dat er onderbrekingen zijn geweest of slachtoffers zijn gevallen als gevolg van malware op computersystemen, maar het is natuurlijk mogelijk dat die twee niet over dezelfde gegevens beschikken.
Ik heb ook gelezen dat elders op de wereld energiecentrales met succes zijn gegijzeld voor losgeld, en dat sommige systemen als gevolg daarvan zijn uitgevallen (waarbij minimaal een slachtoffer geverifieerd is). Dat malware zich nu direct richt op de toch al zwak verdedigde SCADA-systemen is niet best.
Geavanceerd en professioneel
Stuxnet is ook beangstigend als voorbode van de malware van de toekomst doordat het volgens ervaren antimalware-analisten opvallend schone code is, zeker als je de grootte en de complexiteit van de worm in aanmerking neemt. De kans dat deze worm zijn werk niet doet door een programmeerfoutje is bijzonder klein.
Ikzelf bestudeer malware nu al meer dan twintig jaar, en ik kan je vertellen dat 99,9 procent van de malware, zelfs de professionele criminele malware, vol bugs en slordige code staat. De meeste malware heeft niet voor niets ingebouwde ‘death of error’ herstelroutines. De gemiddelde malwareschrijver maakt zich niet zo druk om de schoonheid van zijn of haar creatie; de maker van Stuxnet wel.
Daar komt nog bij dat de huidige implementatie van Stuxnet gebruikmaakt van minstens drie verschillende kwetsbare plekken in Windows en twee verschillende soorten rootkits: een voor de SCADA PLC en een andere voor geïnfecteerde Windows-computers. Het verbergt de infectie voor nieuwsgierige ogen en antimalware scanners. Helemaal fraai is dat Stuxnet bewust op zoek gaat naar minimaal 10 verschillende antivirus scan-executables om zich vervolgens in die vertrouwde processen te injecteren, net als in nog wat andere bekende Windows-bestanden, zoals winlogon.exe. In plaats van dat het die software probeert te vermijden, maakt het er juist gebruik van om zichzelf voort te planten.
Stuxnet verspreidt zich ook via USB-stations en gedeelde bestanden, waarbij het gebruikmaakt van een fout in Windows Shell waardoor de worm ontwaakt zodra het slachtoffer alleen nog maar de map opent waar hij in staat. Die truc is nog niet vaak vertoond.
Stuxnet maakt bijzonder handig gebruik van tientallen hoogst interessante technieken; eentje waar ik codeur een paar maanden geleden al van opkeek was dat de malware ondertekend was met een digitaal certificaat van twee betrouwbare en populaire software-leveranciers: Realtek Semiconductor en JMicron Technology. De Taiwanese bedrijven delen kennelijk een kantoor.
Ik heb nog niet achterhaald hoe die digitale handtekening precies werd gekraakt, maar dat is voor mij minstens zo interessant als alle andere lessen die ik van Stuxnet heb geleerd. Is er ingebroken bij die organisaties (wellicht met een ander malware programma) om die certificaten te kunnen gebruiken ten bate van Stuxnet? Of zat er iemand bij die bedrijven die met die certificaten aan de haal is gegaan? Als iemand het weet, hoor ik het graag in de reacties.
Waarnemers zijn er niet over uit of Stuxnet nou een rol speelt in een complot om Iraanse energiecentrales neer te halen, of dat het de bedoeling was wereldwijd energiecentrales te gijzelen voor losgeld. Wat het ook is geweest of nog gaat worden, een verontrustende evolutie in de wereld van de malware is het zeker.
bron
Vooral t dikgedrukte maakt het best griezelig....quote:Nederlander ontleedt Stuxnet-worm
Een Nederlandse expert op het gebied van de industriële netwerkstandaard Profibus heeft Symantec geholpen om de code en het doel van de superworm Stuxnet te ontrafelen.
Met dank aan een niet bij naam genoemde Nederlandse Profibus-expert is het Symantec-onderzoekers gelukt om ook de diepste lagen van de code van Stuxnet te ontcijferen. Daaruit blijkt dat de geavanceerde spionageworm het alleen voorzien heeft op zeer specifieke systemen, zoals ultracentrifuges voor het verrijken van uranium, meldt Symantec.
Al eerder is duidelijk geworden dat de superworm, via maar liefst vier zero day-gaten in Windows, specifieke maar veelgebruikte industriële beheersoftware van Siemens infecteerde. Via die zogeheten SCADA-software nestelt Stuxnet zich vervolgens in de daadwerkelijke controllers, de zogenaamde PLC's, voor fabriekssystemen. Daar bespioneert en manipuleert de malware dan commando's die aan de achterliggende machinerie wordt gegeven.
Die communicatie verloopt via Profibus (Process Field Bus). Dat is een netwerkstandaard voor de gedistribueerde uitwisseling van informatie (input/output, I/O) tussen industriële machines, aansturingsmodules (PLC's) en de programmeerinterfaces daarvoor (zoals Siemens' SCADA-pakketten WinCC en Step 7).
Met hulp van de Nederlandse Profibus-expert is nu ook aan het licht gekomen hoe de laatste fase van infectie en sabotage in zijn werk gaat. Stuxnet blijkt alleen in te grijpen op machines met een zeer hoog toerental.
Pas als de worm omwentelingssnelheden van 704 Hz (42240 toeren per minuut, rpm) detecteert, begint het zijn subtiele sabotagewerk.
Over de periode van maanden schroeft het heel af toe het toerental drastisch omhoog en omlaag: naar 1410Hz, dan plots naar bijna stilstand (2Hz) en vervolgens weer naar 1064Hz. Hierdoor treden allerhande storingen op in de aangestuurde motoren. In de SCADA-interface is daar echter niets te zien, want Stuxnet verandert tevens de feedbackdata vanuit de machines, zodat het lijkt of er niets aan de hand is.
Zelfs als de pc's met Windows en WinCC/Step 7 erop zijn gedeïnfecteerd, blijft Stuxnet aanwezig en actief in de PLC's zelf. De worm blijft dus via Profibus de machinerie saboteren. Nieuw geprogrammeerde blokken code worden ín de PLC door Stuxnet overschreven voordat ze in het geheugen gaan. Dat maakt Stuxnet tot een nog nooit vertoonde tientrapsraket.
Symantec suggereert op basis van het mikpunt van de enorm hoge toeren dat het doelwit van Stuxnet inderdaad nucleaire technologie was. Voor de verrijking van uranium zijn namelijk zeer snel draaiende ultracentrifuges nodig.
Motoren en frequentieregelaars die met dergelijke snelheden werken, vallen onder het regime van de Amerikaanse Nuclear Regulatory Commission, die de export ervan streng reguleert. Volgens Symantec wordt het soort hoge-frequentieregelaars die Stuxnet speficiek manipuleert alleen gefabriceerd in Finland en in Iran.
Symantec was niet meteen bereikbaar voor inhoudelijk commentaar en nadere informatie over de Nederlandse Profibus-expert.
bron
Die getroffen bedrijven bevinden zich met name in Iran, en die sneldraaiende centrifuges worden vooral gebruikt bij de verrijking van nucleair materiaal...misschien dat dit het iets verduidelijkt?quote:Op maandag 15 november 2010 15:08 schreef SicSicSics het volgende:
Wat ik nou niet snap he... Wat moeten al die getroffen bedrijven met snel draaiende ultracentrifuges? Of begrijp ik het verkeerd en is Stuxnet waardeloos, omdat hij niet doet wat hij zou moeten doen?
Eigenlijk is Stuxnet ongevaarlijk zolang je geen turbocentrifuges hebt. Dus was er een hoop heisa om niks, tenminste, de mogelijkheden die stuxnet biedt zijn gevaarlijk, stuxnet zelf niet (zolang je geen turbocentrifuges hebt).quote:
Die getroffen bedrijven bevinden zich met name in Iran, en die sneldraaiende centrifuges worden vooral gebruikt bij de verrijking van nucleair materiaal...misschien dat dit het iets verduidelijkt?
Wanneer de worm anders geimplementeerd was en niet op het toerental gefixed was zou het volgens mij bij veel meer scada toepassingen mogelijk zijn om dit te saboteren.quote:
[..]
Eigenlijk is Stuxnet ongevaarlijk zolang je geen turbocentrifuges hebt. Dus was er een hoop heisa om niks, tenminste, de mogelijkheden die stuxnet biedt zijn gevaarlijk, stuxnet zelf niet (zolang je geen turbocentrifuges hebt).
quote:
Eigenlijk is Stuxnet ongevaarlijk zolang je geen turbocentrifuges hebt. Dus was er een hoop heisa om niks, tenminste, de mogelijkheden die stuxnet biedt zijn gevaarlijk, stuxnet zelf niet (zolang je geen turbocentrifuges hebt).
Er zijn een aantal punten die van dat hele stuxnet bij me zijn blijven hangen....quote:
Wanneer de worm anders geimplementeerd was en niet op het toerental gefixed was zou het volgens mij bij veel meer scada toepassingen mogelijk zijn om dit te saboteren.
- de code is schoon, niet een beetje opgeschoond, nee van a-z schoongeveegd, geen onnodige regels, geen slordigheden en vreselijk goed geprogrammeerd
-de infecties worden gemaakt op bekende maar niet gepatchte zwakke plekken in precies de systemen die geraakt moeten worden, in dit geval de Siemens besturingselectronica
-niet alleen de pc word geinfecteerd maar juist de PLC die de machines aandrijft, PLC's kan je zien als kleine losstaande computertjes die in processturende kasten zijn gebouwd en daar van allerlei processen controleren en regelen, dat stuxnet zich daarin nestelt is uitermate verontrustend omdat je voor zover ik het begrijp de PLC's moet vervangen om de infectie eruit te krijgen
-de procesoperator heeft niet door dat er wat mis is omdat stuxnet ervoor zorgt dat de feedback naar de sturende installatie kloppend lijkt.
Al met al is het dus gelukt om industriële processen volledig te ontregelen met behulp van een wormvirus, iets wat me grote zorgen baart, ook al wordt gespeculeerd dat de CIA en de MOSSAD hierachter zitten, eenmaal ontleed en verandert zal het me niet verbazen als derivaten hiervan andere industriën gaan treffen omdat hackers en scriptkiddies willen kijken of ze dat lukt, een powerplant platleggen is natuurlijk een stuk stoerder dan een website ddos'en en dat is precies wat je met een aangepaste versie van deze worm zou kunnen doen.
Dat laatste dacht ik dus ook meteen. Ergens op aarde hebben een stel genieën van programmeurs dit ding gemaakt, naar wat ik hoor genialer geschreven dan welk virus ook - geven ze daarmee niet een volledig ontlede Pandora's Box aan de hackertjes all over the world?quote:Op maandag 15 november 2010 18:02 schreef YuckFou het volgende:
[..]
[..]
Er zijn een aantal punten die van dat hele stuxnet bij me zijn blijven hangen....
- de code is schoon, niet een beetje opgeschoond, nee van a-z schoongeveegd, geen onnodige regels, geen slordigheden en vreselijk goed geprogrammeerd
-de infecties worden gemaakt op bekende maar niet gepatchte zwakke plekken in precies de systemen die geraakt moeten worden, in dit geval de Siemens besturingselectronica
-niet alleen de pc word geinfecteerd maar juist de PLC die de machines aandrijft, PLC's kan je zien als kleine losstaande computertjes die in processturende kasten zijn gebouwd en daar van allerlei processen controleren en regelen, dat stuxnet zich daarin nestelt is uitermate verontrustend omdat je voor zover ik het begrijp de PLC's moet vervangen om de infectie eruit te krijgen
[ afbeelding ]
-de procesoperator heeft niet door dat er wat mis is omdat stuxnet ervoor zorgt dat de feedback naar de sturende installatie kloppend lijkt.
Al met al is het dus gelukt om industriële processen volledig te ontregelen met behulp van een wormvirus, iets wat me grote zorgen baart, ook al wordt gespeculeerd dat de CIA en de MOSSAD hierachter zitten, eenmaal ontleed en verandert zal het me niet verbazen als derivaten hiervan andere industriën gaan treffen omdat hackers en scriptkiddies willen kijken of ze dat lukt, een powerplant platleggen is natuurlijk een stuk stoerder dan een website ddos'en en dat is precies wat je met een aangepaste versie van deze worm zou kunnen doen.
Kleine C&P uit een artikel hierboven:quote:
Ergens op aarde hebben een stel genieën van programmeurs dit ding gemaakt, naar wat ik hoor genialer geschreven dan welk virus ook - geven ze daarmee niet een volledig ontlede Pandora's Box aan de hackertjes all over the world?
Ik ben bang dat je gelijk hebt, gezien de complexiteit van de code en de truukjes die erin staan zal het misschien even, of een tijd, duren voor er een stuxnet 2.0 komt maar ik ben bang dat die zeker komt, alleen zal de desbetreffende programmeur, of programmeurs, wel verstand moeten hebben van industriële processen als ze zich daarop willen richten.quote:Ikzelf bestudeer malware nu al meer dan twintig jaar, en ik kan je vertellen dat 99,9 procent van de malware, zelfs de professionele criminele malware, vol bugs en slordige code staat. De meeste malware heeft niet voor niets ingebouwde death of error herstelroutines. De gemiddelde malwareschrijver maakt zich niet zo druk om de schoonheid van zijn of haar creatie; de maker van Stuxnet wel.
Daar komt nog bij dat de huidige implementatie van Stuxnet gebruikmaakt van minstens drie verschillende kwetsbare plekken in Windows en twee verschillende soorten rootkits: een voor de SCADA PLC en een andere voor geïnfecteerde Windows-computers. Het verbergt de infectie voor nieuwsgierige ogen en antimalware scanners. Helemaal fraai is dat Stuxnet bewust op zoek gaat naar minimaal 10 verschillende antivirus scan-executables om zich vervolgens in die vertrouwde processen te injecteren, net als in nog wat andere bekende Windows-bestanden, zoals winlogon.exe. In plaats van dat het die software probeert te vermijden, maakt het er juist gebruik van om zichzelf voort te planten.
Stuxnet verspreidt zich ook via USB-stations en gedeelde bestanden, waarbij het gebruikmaakt van een fout in Windows Shell waardoor de worm ontwaakt zodra het slachtoffer alleen nog maar de map opent waar hij in staat. Die truc is nog niet vaak vertoond.
Stuxnet maakt bijzonder handig gebruik van tientallen hoogst interessante technieken; eentje waar ik codeur een paar maanden geleden al van opkeek was dat de malware ondertekend was met een digitaal certificaat van twee betrouwbare en populaire software-leveranciers: Realtek Semiconductor en JMicron Technology. De Taiwanese bedrijven delen kennelijk een kantoor.
Maar als dat eenmaal gebeurt is houd weinig ze nog tegen om, om het even welke industrie, daar hun worm op te richten en dat plat te leggen, en met de koppeling van systemen, de achteloosheid waarmee USBstckis gebruikt worden en het vertrouwen in virusscanners vrees ik dat de volgende attack een veel groter probleem gaat geven dan deze.
Hier is het bijna klaar dat professionals zich ermee bezig hebben gehouden en het uiteindelijk vooral en alleen op de Iraanse kerncentrales gericht is.
Een verbouwde variant van stuxnet die willekeurig processen verstoord en zo een energiecentrale, waterzuivering of farmaceutisch bedrijf treft en daar voor problemen zorgt kan een enorme impact hebben op de mensen die daar direct mee te maken hebben, stroom die uitvalt, vervuild water wat terugstroomt het drinkwater net in of medicijnen die verkeerde hoeveelheden werkzame stof bevatten, allemaal voorbeelden wat een niet opgemerkte verstoring van zo'n proces kan veroorzaken
Het lastigste aspect van het maken van een kernwapen is het verkrijgen van een kritieke massa van een bepaald materiaal. Je moet een paar kilo van een specifiek isotoop, bijvoorbeeld uranium of plutonium, hebben. De truc is om de isotopen te scheiden en dat doe je met een centrifuge. Als je je kritieke massa hebt is het maken van een kernwapen een eitje.quote:
Wat ik nou niet snap he... Wat moeten al die getroffen bedrijven met snel draaiende ultracentrifuges? Of begrijp ik het verkeerd en is Stuxnet waardeloos, omdat hij niet doet wat hij zou moeten doen?
Maar vooral de laatste alinea:quote:Hoe een Nederlander de Stuxnet-puzzel oploste
Profibus-expert Rob Hulsebos schoot Symantec te hulp om de superworm Stuxnet te ontleden. "Ik vraag me af: wat circuleert er allemaal al waar we niets van weten?"
Begin deze week werd duidelijk dat Symantec de laatste puzzelstukjes van Stuxnet-code had ontcijferd. Dankzij een tot nog toe anonieme Nederlandse Profibus-expert. Hij heet Rob Hulsebos en is software- en netwerkexpert, gespecialiseerd in industriële procesautomatisering, meer specifiek systemen Profibus, AS-Interface, Modbus, CAN, en Profinet. Hoe kwam je op het idee om Symantec uit de brand te helpen?
"In de zomervakantie werd ik door de Canadese cybersecurity-expert Eric Byres geattendeerd op Stuxnet, dat toen net ontdekt was. Niemand had toen een idee wat het virus deed, anders dan "iets" met Siemens PLC's." Hulsebos, naast Profibus-expert tevens journalist, schreef meteen een verhaal voor het industriële vakblad Automatie.
Roep om hulp
"In september kwam de eerste analyse van Symantec over Stuxnet uit, en toen bleek al dat het veel complexer in elkaar zat dan iedereen in eerste instantie dacht. Symantec riep in zijn blog de industrie op om te helpen. In de tussentijd is men verder gegaan met het uitpluizen van Stuxnet, en ik vind dat ze in korte tijd een indrukwekkende diepgang hebben bereikt, ook al omdat de Siemens PLC programmeeromgeving, de gebruikte PLC besturingen, de WinCC database, frequentieomvormers, PLC assembly, en Profibus niet bepaald zaken zijn die de gemiddelde virusbestrijder dagelijks aantreft."
"In de tweede versie van Symantec's analyse, die begin november werd gepubliceerd, zaten al veel meer PLC-details uitgewerkt. In het blog werd nogmaals de industrie opgeroepen om mee te helpen; op de eerste oproep had niemand gereageerd. Dat verbaasde me wel, want de impact van Stuxnet is immers niet mis.
Liever eerst anoniem
Wilde je daarom ook anoniem blijven? "Ik had al gezien dat er voor Stuxnet een enorme interesse bestond. Symantec raadde me ook aan om, gegeven de mogelijke makers van Stuxnet, een 'low profile' aan te houden. Maar inmiddels is vanuit allerlei andere bronnen nog veel meer detail over de andere helft van Stuxnet bekend geworden, mijn bijdrage aan de analyse valt hierbij in het niet," aldus Hulsebos bescheiden.
Dat hij voorzichtig is met details heeft nog een andere reden: de fabrikanten van SCADA en PLC's zitten niet op openheid te wachten. Zo wordt de publicatie van het boek Hacking SCADA al een jaar tegengehouden met juridische dreigementen. Volgens de auteur is het boek feitelijk een gedetailleerde bundeling van openbaar beschikbare informatie.
Symantec liep dus vast bij het uitpluizen de aansturing via Profibus van de I/O, totdat Hulsebos het onderzoek weer vlot trok. "Om de werking van het virus te begrijpen is het zeer belangrijk om te weten wat die I/O voor functie heeft in het geheel. Dat is natuurlijk geheel afwijkend van een normaal virus, dat bestanden op een PC aanpast of installeert op de harde schijf. De PC-omgeving is 100% bekend, dus PC-virussen zijn wat dat betreft makkelijker te decoderen. Maar een virus op een PLC met zijn Profibus I/O is nieuw, niemand had dat ooit gezien en er is dus ook geen enkele ervaring mee hoe zo'n virus te decoderen."
Unieke code
"Aangezien de Siemens PLC's via Profibus hun I/O aansturen, is het van belang te weten: wat is dat voor I/O precies? Nu is het zo dat in Profibus elk type apparaat een unieke 16 bits "Ident Code" heeft. Deze worden toegekend door de Profibus gebruikersvereniging, en voor de PLC is het de handtekening van "heb ik de juiste soort I/O aan mijn netwerk hangen". Door te weten welke ident code's in de PLC gezocht worden, is ook uit te zoeken wat voor soort apparaat het is, welke I/O functies het heeft, wie de leverancier is, etc. Dat was voor Symantec het ontbrekende puzzelstukje blijkbaar - men zag wel dat de PLC op zoek was naar
apparaten van het type "7050" en "9500", maar kon er niet achter komen wat dat nu precies betekende. Door mijn tip werd ze dit duidelijk. Via Google had ik zelf zo gevonden dat de ene ident code naar een product van een Fins bedrijf leidt (Vacon, red). Even later meldde Symantec me al dat men de andere ident code had weten te herleiden naar een Iraans bedrijf" (Fararo Paya, red).
Geen infectie, wel manipulatie
Overigens ontkent Vacon dat hun frequentieregelaars door Stuxnet kunnen worden geïnfecteerd. Hulsebos: Vacon heeft op zich gelijk dat het virus hun drives niet infecteert. Dat kan ook niet via Profibus met zulke apparatuur - de firmware zit waarschijnlijk in flash geheugen en kan niet via Profibus geüpdate worden. Niet dat het onmogelijk is, maar ik heb het nog nooit iemand zien doen - en moet de PLC het nog aansturen.
Wat wel gebeurt is dat de PLC de Vacon drives instructies geeft om iets te doen - en dat Stuxnet hier roet in het eten gooit. Net als je in de auto zou zitten en hem in z'n vooruit zet, lekker aan het rijden bent, en een virus in je autobesturing opeens de bougies verkeerd laat vonken - is de bougie dan besmet? Nee dus. Die doet gewoon wat hem is opgedragen, als "output". Intussen is wel je motor aan gort."
Terug naar het onderzoek van Symantec. Hulsebos: "Een paar dagen later hadden ze enorme vooruitgang gemaakt. Op de Finse website was de handleiding van de frequentieomvormer te vinden en met de hulp daarvan werd weer duidelijk hoe dit apparaat via Stuxnet omgeprogrammeerd werd op andere frequenties. Met de handleiding is ook duidelijk wat de bitpatronen in de PLC allemaal betekenen, en wat bepaalde getallen betekenen. Zo is het wijzigen van een output van -10000 naar +10000 op zich betekenisloos. Maar als je weet dat er een analoge uitgang met een bereik van -10..+10V achter zit, dan wordt er opeens weer stukje van de puzzel duidelijker."
Geen hulp van Siemens of Profibus
"Deze resultaten heeft Symantec nu gepubliceerd. Hiermee is de analyse nog niet compleet, want nu is de vraag: wat hangt er achter de frequentieomvormers? Alles lijkt te wijzen op ultracentrifugemotoren, gebaseerd op de toerentallen. Het zou natuurlijk ook best iets anders kunnen zijn, maar aangezien ik niets weet van frequentieomvormers kan ik daar Symantec niet verder bij helpen. Om zekerheid te krijgen of het gaat om ultracentrifuges is ook nog domeinkennis nodig - wat gaat er precies fout als Stuxnet in actie komt?
De komende maanden zal hier waarschijnlijk nog wel veel duidelijker gaan worden als Symantec hulp krijgt. Ik vind het wel opvallend dat men geen hulp gekregen heeft van Siemens of de Profibus-vereniging. Als ik hen zou zijn, zou ik toch graag willen weten hoe mijn producten misbruikt worden, en om daarna na te denken hoe zoiets in de toekomst voorkomen zou kunnen worden."
bron
Precies wat we hierboven ook al ons afvroegen, wat gaat er nu nog meer komen en treffend, wat hij zich afvraagt, wat circuleert er al meer?quote:
Doos van Pandora
Hulsebos vreest dat Stuxnet een Doos van Pandora heeft geopend. "Waar men in de industriële cybersecurity wereld nu bang voor is, is dat Stuxnet een aanzuigende werking heeft op allerlei malware-auteurs, die nu gezien hebben dat de industriële besturingen makkelijk binnen te komen zijn. De vraag is dus, hoe snel komt die malware op ons af? Binnen de industriële markt heeft Stuxnet dan ook heel wat losgemaakt. Er is opeens duidelijk welke risico's we lopen. Het is een geluk bij een ongeluk dat Stuxnet niets deed (op een of twee locaties na dan). Maar omdat Stuxnet eigenlijk bij toeval ontdekt is, vraag ik me af: wat circuleert er allemaal al waar we niets van weten?"
bron
Als je niet beter zou weten, ja, maar er is niks [BNW] aan, t is allemaal echt, echt gebeurd, en echt aan het gebeuren...:{quote:
Als dat zou kunnen, graag. Helaas is dit maar al te reëel, met minstens 45.000 besmettingen in industriële controlesystemen, en voorlopig nog geen idee wat dit ding nog meer kan als je stukjes code aanpast, de 'sleutel' verandert zodat die op een ander 'slot' past.quote:
Dr. Hax does not approve!
quote:SCADA System's Hard-Coded Password Circulated Online for Years
A sophisticated new piece of malware that targets command-and-control software installed in critical infrastructures uses a known default password that the software maker hard-coded into its system. The password has been available online since at least 2008, when it was posted to product forums in Germany and Russia.
The password protects the database used in Siemens’ Simatic WinCC SCADA system, which runs on Windows operating systems. SCADA, short for “supervisory control and data acquisition,” systems are programs installed in utilities and manufacturing facilities to manage the operations. SCADA has been the focus of much controversy lately for being potentially vulnerable to remote attack by malicious outsiders who might want to seize control of utilities for purposes of sabotage, espionage or extortion.
Israël en VS testen computerworm tegen Iran
FF opletten dat Siemens niet te veel stem-machines levert.quote:
Het zou me niet verbazen als dit soort technieken ook ingezet gaan worden om financiële data te manipuleren.
Dat werd pas geleidelijk duidelijk, naarmate het onderzoek vorderde. In eerste instantie bleken allerlei installaties en pocessen vatbaar te zijn voor de worm, maar het echte doel werd pas laat geïdentificeerd.quote:
[..]
Eigenlijk is Stuxnet ongevaarlijk zolang je geen turbocentrifuges hebt. Dus was er een hoop heisa om niks, tenminste, de mogelijkheden die stuxnet biedt zijn gevaarlijk, stuxnet zelf niet (zolang je geen turbocentrifuges hebt).
Overigens maken reacties na jouw vraag al duidelijk, dat de lading van deze worm heel verschillend kan zijn: niet alleen toerentallen kunnen gemanipuleerd en gefaked worden, ook allerlei andere processen en terugkoppelingen. Bijvoorbeeld de stand van kleppen en de doorstroming in een raffinaderij of een chemische fabriek, doorlaatopening en waterhoogte in een stuwdam, etc.
Overigens mag ik er op wijzen dat Nederland ook ultracentrifuges heeft draaien, in Almelo. Die dus ook vatbaar zijn voor de worm.
Even een tekening maken van een opgestoken middelvinger en die naar de draaibanken van Nelcon (Kalmar) sturen
Nope...... PLC werkt met fysieke machines, het schiet helemaal niet op om hiermee het SWIFT-netwerk op te gaanquote:
Het zou me niet verbazen als dit soort technieken ook ingezet gaan worden om financiële data te manipuleren.