En dit is vrij precies wat Stuxnet doet met de PLC's:quote:Stuxnet heeft drie speficieke payloads, zeg maar 'kernkoppen'. Uit onderzoek van Symantec blijkt dat twee van de drie aanvalsmodules alleen in werking treden als zij industriële frequentieregelaars tegenkomen die electromotoren aansturen die met extreme snelheden draaien. Boven de 800 Hz, dat is 48420 toeren per minuut (rpm). [...]
Er zijn bovendien maar heel weinig industriële processen waarbij dergelijke omwentelingssnelheid noodzakelijk zijn. De belangrijkste is uraniumverrijking. Maar zijn er geen andere industriële toepassingen met dergelijke toerentallen? Pompen, turbines? We vroegen het aan Adrie Huesman, universitair docent TU Delft van het Delft Center for Systems and Control.
"50.000 rpm is wel extreem hoog. Compressoren komen hier nog het dichtste bij, maar die komen meestal niet uit boven de 10.000 rpm. Met dat toerental kun je een druk opbouwen van 200 bar, dat is ongeveer de maximum gangbare druk in bijvoorbeeld de chemische industrie. Hogere snelheden zijn niet nodig en dus de investering niet waard, omdat het veel duurder wordt. Vanwege de extreme centrifugale krachten zijn dan speciale materialen nodig", legt Huesman uit.
"De Chinezen werken momenteel aan geavanceerde separatoren, maar die halen ook niet meer dan 10.000 rpm. Ik ken geen industriële applicaties die hogere toeren hebben dan dat."
bron
Als het niet zo griezelig was waarvoor het gebruikt wordt, dan is het echt fucking briljant bedacht!quote:“The STL code [in Stuxnet] was sending down things like ‘word 47F and 1′,” Chien recalls. “And you look at the frequency converter [manual], and it says, ‘To start the frequency converter, send down the word 47F and set this value to 1. We were speechless.”
Based on information in the code, Stuxnet was targeting a facility that had 33 or more of the frequency converter drives installed, all operating at between 807Hz and 1,210Hz.
Stuxnet searches for a facility that has a minimum of 33 frequency converters installed.
The malware would sit quietly on the system doing reconnaissance for about two weeks, then launch its attack swiftly and quietly, increasing the frequency of the converters to 1,410Hz for 15 minutes, before restoring them to a normal frequency of 1,064Hz. The frequency would remain at this level for 27 days, before Stuxnet would kick in again and drop the frequency down to 2Hz for 50 minutes.
The drives would remain untouched for another 27 days, before Stuxnet would attack again with the same sequence. The extreme range of frequencies suggested Stuxnet was trying to destroy whatever was on the other end of the converters.
quote:Op woensdag 15 februari 2012 20:59 schreef YuckFou het volgende:
Aangezien Resonancer een eigen topic aan heeft gemaakt kan ik deze wel even kapen
Ik zit te dubben of ik een [BNW] topic aan Stuxnet moet wijden, de code is inmiddels in ieder gevaal deels op t net gekomen en dus in handen van virusschrijvers en andere nerds, ik hoef denk ik niet te vertellen wat dit voor impact kan hebben als Anonymous in plaats van een ddos attack een derivaat van Stuxnet inzet om een bedrijf klem te zetten, dat kan heel verre gevolgen hebben....
63?quote:Op woensdag 15 februari 2012 22:57 schreef Bankfurt het volgende:
"Volgens vooraanstaand computerbeveiliger Symantec zijn sinds juli van dit jaar 63 pc's in Japan besmet geraakt met Stuxnet. Een computervirus dat is gekweekt om servers aan te vallen die geïsoleerd zijn van het internet".
En het originele Stuxnet is gemaakt voor 1 doel, en echt 1 doel alleen, nucleaire centrifuges slopen, niks anders, het zijn juist de derivaten die we de komende maanden kunnen verwachten die me zorgen baren...quote:Within a week of establishing the sinkhole, about 38,000 infected machines were reporting in from dozens of countries. Before long, the number would surpass 100,000. Stuxnet was spreading rapidly, despite signatures distributed by antivirus firms to stop it.
As Chien and O Murchu mapped the geographical location of the infections, a strange pattern emerged. Out of the initial 38,000 infections, about 22,000 were in Iran. Indonesia was a distant second, with about 6,700 infections, followed by India with about 3,700 infections. The United States had fewer than 400. Only a small number of machines had Siemens Step 7 software installed – just 217 machines reporting in from Iran and 16 in the United States.
The infection numbers were way out of sync with previous patterns of worldwide infections — such as what occurred with the prolific Conficker worm — in which Iran never placed high, if at all, in infection stats. South Korea and the United States were always at the top of charts in massive outbreaks, which wasn’t a surprise since they had the highest numbers of internet users. But even in outbreaks centered in the Middle East or Central Asia, Iran never figured high in the numbers. It was clear the Islamic Republic was at the center of the Stuxnet infection.
Backdoors idd. Ik ben er zelf ooit 1 tegengekomen, heel griezelig; in dit geval een soort bug/OS ontwerpfout, maar toch...quote:Op woensdag 15 februari 2012 23:04 schreef YuckFou het volgende:
Stuxnet fascineert me eigenlijk om twee redenen...
Enerzijds de techniek, als je erin duikt is het griezelig hoe ver ze zijn gegaan, de timing, de backdoors, de zero day exploits, de precisie van de code, een van de eerste opmerkingen die me altijd is bijgebleven is dat de code zo schoon en opgeruimd was.
Wel eens gehoord van Comverse en Amdocs?quote:Waar bij andere wormen en virussen vaak resten code of slordig geschreven code staat is Stuxnet clean van a tot z, met geen regel teveel, maar zeker ook niet te weinig.
Dat er niet zo maar hackertjes achter zaten was al snel duidelijk, en veel vingers wezen de kant van de VS en Israel op, maar voor zover nu bekend is, is er alleen een video van een afgezwaaide Israelische generaal die een vermelding van Sutxnet maakt, en dat is weer "volgens een bron" in Ha'aretz geopenbaard, maar voor [BNW] is dat even genoeg alhoewel ik de VS ook wel verdenk van hevige samenwerking hierbij....
Tweede punt is de code, die (deels) op t net is verschenen, SCADA systemen van Siemens blijken nog even kwetsbaar als voor Stuxnet, vaak beveiligt met een standaard of zelfs geen wachtwoord, wat misbruik bij een hack natuurlijk heel reëel maakt, zeker met een redelijk overacktief hackersnetwerk alla Anonymous of Lulzsec die zoals ze hebben laten zien niet terugdeinzen voor grote organisaties en bedrijven, en er is nogal een verschil tussen een ddos attack of het lamleggen van een industrieel proces als zo'n groepering z'n zin niet krijgt...
Wat denk je van backdoors in de vorm van wireless software, ook in oude OS ? of datacommunicatie via het elektriciteitsnetwerk ?quote:Op woensdag 15 februari 2012 23:44 schreef J0kkebr0k het volgende:
De eerste Stuxnet versie was een virus die niet gericht was op verspreiding via Internet en/of netwerken, omdat juist de target systemen niet op Internet zijn aangesloten vanwege het grote risico van buitenaf besmet te raken. De besmetting vond plaats via bijvoorbeeld een simpele USB stick en je kunt wel raden dat het niet zo simpel is om een USB stick bij een (Iraanse) kerncentrale binnen te krijgen en in een van de kritische systemen te proppen.
Simpelweg een besmette USB stick over het hek bij een kerncentrale werpen in de hoop dat een medewerker hem vind en uit nieuwsgierigheid naar de inhoud de stick in een systeem prikt, lijkt me niet aan de orde, dus er zal van binnenuit sprake zijn geweest van spionage.
Latere Stuxnet versies verspreidden zich wel via internet (peer to peer via Remote Procedure Call) waardoor vele systemen werden besmet. Soort van clusterbom. Echter, de systemen die echt cruciaal zijn en niet met de buitenwereld communiceren, zijn niet vatbaar voor dit virus.
Dan moet die datacommunicatie wel mogelijk zijn en het "ontvangende" systeem een netwerkadapter hebben die dit mogelijk maakt. Dat lijkt me in verreweg de meeste systemen niet aan de orde.quote:Op woensdag 15 februari 2012 23:52 schreef Bankfurt het volgende:
[..]
Wat denk je van backdoors in de vorm van wireless software, ook in oude OS ? of datacommunicatie via het elektriciteitsnetwerk ?
Het is technisch mogelijk; dus het lijkt mij dat het gebeurt in intelligence kringen.quote:Op woensdag 15 februari 2012 23:58 schreef J0kkebr0k het volgende:
[..]
Dan moet die datacommunicatie wel mogelijk zijn en het "ontvangende" systeem een netwerkadapter hebben die dit mogelijk maakt. Dat lijkt me in verreweg de meeste systemen niet aan de orde.
Spyware of een geheim OS dat draait naast het gewone OS, dat zich laat bedienen met wireless toegang met een interface naar de gewone bedrijfssoftware.quote:Wat bedoel je met backdoors in de vorm van wireless software?
Ik maak alleen maar gebruik van het stopcontact voor mijn lokale netwerk. Het is dan wel via het het reguliere ethernet protocol maar ik zou het eerlijk gezegd vreemd vinden wanneer het elektriciteitsnet niet gebruikt zou worden voor talloze andere communicatie doeleinden die minder standaard zijn.quote:Op woensdag 15 februari 2012 23:58 schreef J0kkebr0k het volgende:
[..]
Dan moet die datacommunicatie wel mogelijk zijn en het "ontvangende" systeem een netwerkadapter hebben die dit mogelijk maakt. Dat lijkt me in verreweg de meeste systemen niet aan de orde.
Wat bedoel je met backdoors in de vorm van wireless software?
Readers comment :quote:14feb2012 - Experts say Iran has 'neutralized' Stuxnet virus
* Computer virus disrupted Iran's centrifuges
* More advanced attacks in the offing?
By Mark Hosenball
Feb 14 (Reuters) - Iranian engineers have succeeded in neutralizing and purging the computer virus known as Stuxnet from their country's nuclear machinery, European and U.S. officials and private experts have told Reuters.
The malicious code, whose precise origin and authorship remain unconfirmed, made its way as early as 2009 into equipment controlling centrifuges Iran is using to enrich uranium, dealing a significant but perhaps temporary setback to Iran's suspected nuclear weapons work.
Many experts believe that Israel, possibly with assistance from the United States, was responsible for creating and deploying Stuxnet. But no authoritative account of who invented Stuxnet or how it got into Iran's centrifuge control equipment has surfaced.
U.S. and European officials, who insisted on anonymity when discussing a highly sensitive subject, said their governments' experts agreed that the Iranians had succeeded in disabling Stuxnet and getting it out of their machinery.
The officials declined to provide any details on how their governments verified that the Iranians had ultimately defeated the virus. It was not clear when it occurred but secrecy on the subject has been so tight that news is only now emerging.
Some officials said they believe that the Iranians were helped in their efforts by Western cybersecurity experts, whose detailed technical analyses of Stuxnet's computer code have circulated widely on the Internet.
Once the Iranians became aware that their equipment had been infected by the virus, experts said it would only have been a matter of time before they would have been able to figure out a way of shutting down the malicious code and getting it out of their systems.
"If Iran would not have gotten rid of Stuxnet by now (or even months ago), that would indicate that they were complete idiots," said German computer security consultant Ralph Langner. Langner is regarded as the first Western expert to identify the ultra-complex worm and conclude that it was specifically targeted toward equipment controlling Iranian nuclear centrifuges.
Peter Sommer, a computer security expert based in Britain, said that once Iran had detected the presence of the worm and figured out how it worked, it shouldn't have been too hard for them to disable it.
"Once you know that it's there it's not that difficult to reverse engineer... Neutralization of Stuxnet, once its operation is understood, would not be that difficult as it was precisely engineered to disrupt a specific item of machinery.
"Once Stuxnet's signature is identified it can be eliminated from a system," Sommer added.
Private experts say that however well-crafted the original Stuxnet was, whoever created it probably would have to be even more clever if they want to try to supplant it with new cyber-weapons directed at Iran's nuclear program.
"Aspects of Stuxnet could be re-used, but it is important to understand that its success depended not only on 'clever coding' but also required a great deal of specific intelligence and testing. It was the first known highly-targeted cyber-weapon, as opposed to more usual cyber weapons which are more diffuse in their targeting," Sommer said.
'CAT AND MOUSE GAME'
David Albright, a former United Nations weapons inspector who has extensively investigated Iran's nuclear program for the private Institute for Science and International Security, which he leads, said that spy agencies would have to go back to the drawing board if they're intent on continuing to try to hobble Iran's nuclear program via cyber-warfare.
Iran says that its nuclear program is for peaceful purposes but many Western officials believe it is seeking to build nuclear weapons.
"I would assume that once Iran learned of Stuxnet, then intelligence agencies looked at this method of cyber attack as compromised regardless of how long it has taken Iran to neutralize it. It is a cat and mouse game."
But Albright added that "intelligence agencies have likely been looking at more advanced forms of attack for a couple of years that they hope will catch the Iranians unprepared."
Reports first surfaced in 2010 that Iran's main nuclear enrichment facility at Natanz was hit by Stuxnet, though some experts later said it likely first was deployed a year earlier. Experts who later analyzed the Stuxnet code said it was engineered specifically to attack machines made by the German company Siemens that control high-speed centrifuges, used to purify uranium which can fuel a nuclear weapon.
Tehran accused the United States and Israel of planting the virus. In November 2010, Iranian President Mahmoud Ahmadinejad said that malicious software had created problems in some of Iran's uranium enrichment centrifuges, although he said the problems had been solved.
Several experts said, however, that while they believed the virus' potency waned over time, they had not heard confirmation that the Iranians had defeated and purged it.
Experts say the inventors of Stuxnet had to be unusually clever because the centrifuge control equipment at which it was targeted - and which it apparently succeeded in hobbling - was entirely cut-off from the Internet. So not only did the worm's creators have to write a code that would cause targeted equipment to malfunction but they had to figure out a way to physically introduce the code into a "closed system."
Most experts think the virus was somehow introduced into Iran's control systems via some kind of computer thumb drive.
European and U.S. experts have said that they believe that Stuxnet, at least for a time, caused serious malfunctions in the operations of Iranian nuclear centrifuges.
Iran and its antagonists today appear to be engaged in multiple levels of clandestine warfare, with unknown assailants killing Iranian nuclear scientists and, in the last few days, bomb attacks on Israeli embassy personnel in India and Georgia. Israel has blamed Iran.
http://www.reuters.com/ar(...)dUSL2E8DE9NL20120214
Electriciteitsnetwerk: dat is misschien mogelijk op grote afstanden, maar dan zou een bron wel leuk zijn. Overigens is het goed mogelijk dat die centrifuge-stations een eigen krachtbron hebben en niet op het netwerk zitten.quote:Op woensdag 15 februari 2012 23:52 schreef Bankfurt het volgende:
[..]
Wat denk je van backdoors in de vorm van wireless software, ook in oude OS ? of datacommunicatie via het elektriciteitsnetwerk ?
http://nl.wikipedia.org/wiki/Power_line_communicationquote:Op donderdag 16 februari 2012 01:57 schreef Dhalsim het volgende:
[..]
Ik maak alleen maar gebruik van het stopcontact voor mijn lokale netwerk. Het is dan wel via het het reguliere ethernet protocol maar ik zou het eerlijk gezegd vreemd vinden wanneer het elektriciteitsnet niet gebruikt zou worden voor talloze andere communicatie doeleinden die minder standaard zijn.
Langs de andere kant hoop ik dat we hier niet meer van horen in de toekomst ...quote:Op donderdag 16 februari 2012 13:22 schreef Boswachtertje het volgende:
zeer interessant.. hier wil ik wel wat meer van weten!
Dat spreekt voor zich..quote:Op donderdag 16 februari 2012 13:30 schreef UncleScorp het volgende:
[..]
Langs de andere kant hoop ik dat we hier niet meer van horen in de toekomst ...
A new type of warfare is born ...
|
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |