Naar inhoud springen

Stuxnet

Uit Wikipedia, de vrije encyclopedie

Stuxnet is een schadelijk computerprogramma. Het bestaan van deze geavanceerde worm werd ontdekt in juni 2010 door een fabrikant van antivirussoftware uit Wit-Rusland. Het programma beïnvloedt de werking van bepaalde Siemens-apparatuur op schadelijke wijze. Het zou ontwikkeld zijn om Iraanse ultracentrifuges die gebruikt worden in het nucleair programma van Iran te saboteren. De worm wijzigt de PLC waarmee de motoren van de centrifuges aangestuurd worden.

Datum Toelichting
17 juni 2010 De Wit-Russische firma VirusBlokAda, een leverancier van antivirussoftware, maakt bekend Stuxnet gevonden te hebben. De malware krijgt de naam Trojan-Spy.0485 en Malware-Cryptor.Win32.Inject.gen.2 en de drivers worden onder de naam Rootkit.TmpHider en SScope.Rootkit.TmpHider.2 geregistreerd in de virusdatabase.[1]
20 juni 2010 Stuxnet maakt gebruik van een certificaat van Realtek en JMicron Technology Corp. Microsoft heeft in samenwerking met Verisign en toestemming van Realtek het certificaat ingetrokken.[2]
18 juli 2010 Microsoft publiceert twee tijdelijke workarounds in afwachting van de patch.[3]
21 juli 2010 Microsoft brengt een reparatieprogramma uit om een zeer ernstig beveiligingslek met betrekking tot icoontjes van snelkoppelingen te dichten.[4]
2 augustus 2010 Microsoft brengt een noodpatch uit die een lek dicht in snelkoppelingen. Dit is een kwetsbaarheid die gebruikt werd door Stuxnet.[5]
4 augustus 2010 Trend Micro brengt een detectie- en verwijdertool voor Stuxnet uit.
18 augustus 2010 Siemens brengt een securitypatch uit.
27 september 2010 Het hoofd van de technologieraad van het Iraanse ministerie van Industrie, Mahmoud Liayi, maakt bekend dat Stuxnet 30.000 Iraanse computers heeft geïnfecteerd. Het computerprogramma heeft geen schade aangebracht aan de kerncentrale in Bushehr.[6]
15 november 2010 Rob Hulsebos, software- en netwerkexpert, helpt Symantec met het ontleden van het computerprogramma. Hieruit blijkt dat de worm alleen is gericht op zeer specifieke systemen, zoals ultracentrifuges voor het verrijken van uranium.[7]
29 november 2010 De Iraanse president geeft voor het eerst toe dat 'een beperkt aantal' uraniumverrijkingscentrifuges problemen heeft ondervonden door de computerworm.[8]
14 december 2010 Microsoft dicht in Windows het laatste beveiligingsgat waarvan Stuxnet gebruikmaakt om zich te verspreiden.[9]
15 januari 2011 De New York Times bericht op basis van anonieme bronnen binnen het Amerikaanse leger en de inlichtingendiensten dat de worm is gemaakt door de Verenigde Staten en Israël en deze uitgeprobeerd zou zijn in een testopstelling met centrifuges in de zwaar beveiligde Dimona-atoominstallatie.[10]
18 april 2011 Gholam Reza Jalali, commandant in het Iraanse leger, laat in een krant weten dat volgens onderzoek de worm door Israël en de Verenigde Staten is gemaakt en dat het Duitse bedrijf Siemens verantwoordelijk wordt gehouden voor het aan deze landen doorspelen van informatie over de Iraanse scada-systemen.[11]
19 september 2011 Het Stuxnetvirus treft Mitsubishi Heavy Industries, volgens Yomiuri zijn er tachtig computers besmet geraakt met het virus. De pc’s zouden zowel in het hoofdkantoor in Tokio staan als op andere afdelingen verspreid over Japan.[12]
1 juni 2012 De New York Times schrijft dat president Obama opdracht gaf voor de Stuxnetaanval op Iran in 2010.[13]
24 juni 2012 De Stuxnetsuperworm is officieel overleden, wegens een in de programmacode aangebrachte einddatum.[14][15]
25 december 2012 Ondanks het officiële 'overlijden' van het virus meldt een Iraans persbureau dat een energiecentrale in het zuiden van Iran, bij de Straat van Hormuz, doelwit zou zijn geweest van een nieuwe Stuxnetaanval.[16]

Functionaliteit

[bewerken | brontekst bewerken]

De complexe worm:

  • verspreidt zichzelf via USB-sticks en een andere variant via het LAN;
  • maakt gebruik van vijf beveiligingsgaten, waarvan vier voorheen onbekend waren;[17]
  • verbergt zichzelf via een rootkit;
  • verwijdert zichzelf van de USB-stick na drie infecties;
  • actualiseert zichzelf via een eigen P2P-netwerk;
  • installeert zichzelf in stuurprogramma's, waarvoor een digitaal certificaat vereist is;
  • modificeert een PLC-programma dusdanig dat dit lange tijd voor een PLC-programmeur onzichtbaar is;
  • luistert het verkeer naar frequentieomvormers af en laat na enige tijd het toerental van de motoren, die door de frequentieomvormers worden aangestuurd, variëren.

Nieuwe kwetsbaarheden

[bewerken | brontekst bewerken]

De worm maakt gebruik van de volgende kwetsbaarheden in Windows:

  • MS10-046: kwetsbaarheid in Windows Shell[18]
  • MS10-061: kwetsbaarheid in Print Spooler service[19]
  • MS10-073: kwetsbaarheid in Windows Kernel-Mode Drivers[20]
  • MS10-091: kwetsbaarheid in OpenType Font Driver[21]

Een studie over de verspreiding van Stuxnet door Symantec laat zien dat met name Iran, Indonesië en India getroffen werden door de worm.[22]

De Nederlander Erik van Sabben heeft in 2007 de worm tijdens zijn infiltratie in het nucleaire complex in Natanz in Iran geïnstalleerd. Het meest waarschijnlijke scenario is dat hij een waterpomp leverde, die de worm bevatte. Na installatie van de pomp kon de worm zich verspreiden. Door het virus draaide een groot aantal nucleaire centrifuges zichzelf kapot.[23] De worm legde een vijfde van de Iraanse computers die gebruikt worden voor het kernprogramma plat. Volgens Israël zou het Iraanse atoomprogramma hierdoor voor meerdere jaren vertraagd zijn.

Land Besmette computers
Iran 58,85%
Indonesië 18,22%
India 8,31%
Azerbeidzjan 2,57%
Verenigde Staten 1,56%
Pakistan 1,28%
Anders 9,2%
Zie de categorie Stuxnet van Wikimedia Commons voor mediabestanden over dit onderwerp.