Stuxnet
Stuxnet is een schadelijk computerprogramma. Het bestaan van deze geavanceerde worm werd ontdekt in juni 2010 door een fabrikant van antivirussoftware uit Wit-Rusland. Het programma beïnvloedt de werking van bepaalde Siemens-apparatuur op schadelijke wijze. Het zou ontwikkeld zijn om Iraanse ultracentrifuges die gebruikt worden in het nucleair programma van Iran te saboteren. De worm wijzigt de PLC waarmee de motoren van de centrifuges aangestuurd worden.
Geschiedenis
[bewerken | brontekst bewerken]Datum | Toelichting |
---|---|
17 juni 2010 | De Wit-Russische firma VirusBlokAda, een leverancier van antivirussoftware, maakt bekend Stuxnet gevonden te hebben. De malware krijgt de naam Trojan-Spy.0485 en Malware-Cryptor.Win32.Inject.gen.2 en de drivers worden onder de naam Rootkit.TmpHider en SScope.Rootkit.TmpHider.2 geregistreerd in de virusdatabase.[1] |
20 juni 2010 | Stuxnet maakt gebruik van een certificaat van Realtek en JMicron Technology Corp. Microsoft heeft in samenwerking met Verisign en toestemming van Realtek het certificaat ingetrokken.[2] |
18 juli 2010 | Microsoft publiceert twee tijdelijke workarounds in afwachting van de patch.[3] |
21 juli 2010 | Microsoft brengt een reparatieprogramma uit om een zeer ernstig beveiligingslek met betrekking tot icoontjes van snelkoppelingen te dichten.[4] |
2 augustus 2010 | Microsoft brengt een noodpatch uit die een lek dicht in snelkoppelingen. Dit is een kwetsbaarheid die gebruikt werd door Stuxnet.[5] |
4 augustus 2010 | Trend Micro brengt een detectie- en verwijdertool voor Stuxnet uit. |
18 augustus 2010 | Siemens brengt een securitypatch uit. |
27 september 2010 | Het hoofd van de technologieraad van het Iraanse ministerie van Industrie, Mahmoud Liayi, maakt bekend dat Stuxnet 30.000 Iraanse computers heeft geïnfecteerd. Het computerprogramma heeft geen schade aangebracht aan de kerncentrale in Bushehr.[6] |
15 november 2010 | Rob Hulsebos, software- en netwerkexpert, helpt Symantec met het ontleden van het computerprogramma. Hieruit blijkt dat de worm alleen is gericht op zeer specifieke systemen, zoals ultracentrifuges voor het verrijken van uranium.[7] |
29 november 2010 | De Iraanse president geeft voor het eerst toe dat 'een beperkt aantal' uraniumverrijkingscentrifuges problemen heeft ondervonden door de computerworm.[8] |
14 december 2010 | Microsoft dicht in Windows het laatste beveiligingsgat waarvan Stuxnet gebruikmaakt om zich te verspreiden.[9] |
15 januari 2011 | De New York Times bericht op basis van anonieme bronnen binnen het Amerikaanse leger en de inlichtingendiensten dat de worm is gemaakt door de Verenigde Staten en Israël en deze uitgeprobeerd zou zijn in een testopstelling met centrifuges in de zwaar beveiligde Dimona-atoominstallatie.[10] |
18 april 2011 | Gholam Reza Jalali, commandant in het Iraanse leger, laat in een krant weten dat volgens onderzoek de worm door Israël en de Verenigde Staten is gemaakt en dat het Duitse bedrijf Siemens verantwoordelijk wordt gehouden voor het aan deze landen doorspelen van informatie over de Iraanse scada-systemen.[11] |
19 september 2011 | Het Stuxnetvirus treft Mitsubishi Heavy Industries, volgens Yomiuri zijn er tachtig computers besmet geraakt met het virus. De pc’s zouden zowel in het hoofdkantoor in Tokio staan als op andere afdelingen verspreid over Japan.[12] |
1 juni 2012 | De New York Times schrijft dat president Obama opdracht gaf voor de Stuxnetaanval op Iran in 2010.[13] |
24 juni 2012 | De Stuxnetsuperworm is officieel overleden, wegens een in de programmacode aangebrachte einddatum.[14][15] |
25 december 2012 | Ondanks het officiële 'overlijden' van het virus meldt een Iraans persbureau dat een energiecentrale in het zuiden van Iran, bij de Straat van Hormuz, doelwit zou zijn geweest van een nieuwe Stuxnetaanval.[16] |
Functionaliteit
[bewerken | brontekst bewerken]De complexe worm:
- verspreidt zichzelf via USB-sticks en een andere variant via het LAN;
- maakt gebruik van vijf beveiligingsgaten, waarvan vier voorheen onbekend waren;[17]
- verbergt zichzelf via een rootkit;
- verwijdert zichzelf van de USB-stick na drie infecties;
- actualiseert zichzelf via een eigen P2P-netwerk;
- installeert zichzelf in stuurprogramma's, waarvoor een digitaal certificaat vereist is;
- modificeert een PLC-programma dusdanig dat dit lange tijd voor een PLC-programmeur onzichtbaar is;
- luistert het verkeer naar frequentieomvormers af en laat na enige tijd het toerental van de motoren, die door de frequentieomvormers worden aangestuurd, variëren.
Nieuwe kwetsbaarheden
[bewerken | brontekst bewerken]De worm maakt gebruik van de volgende kwetsbaarheden in Windows:
- MS10-046: kwetsbaarheid in Windows Shell[18]
- MS10-061: kwetsbaarheid in Print Spooler service[19]
- MS10-073: kwetsbaarheid in Windows Kernel-Mode Drivers[20]
- MS10-091: kwetsbaarheid in OpenType Font Driver[21]
Besmettingen
[bewerken | brontekst bewerken]Een studie over de verspreiding van Stuxnet door Symantec laat zien dat met name Iran, Indonesië en India getroffen werden door de worm.[22]
De Nederlander Erik van Sabben heeft in 2007 de worm tijdens zijn infiltratie in het nucleaire complex in Natanz in Iran geïnstalleerd. Het meest waarschijnlijke scenario is dat hij een waterpomp leverde, die de worm bevatte. Na installatie van de pomp kon de worm zich verspreiden. Door het virus draaide een groot aantal nucleaire centrifuges zichzelf kapot.[23] De worm legde een vijfde van de Iraanse computers die gebruikt worden voor het kernprogramma plat. Volgens Israël zou het Iraanse atoomprogramma hierdoor voor meerdere jaren vertraagd zijn.
Land | Besmette computers |
---|---|
Iran | 58,85% |
Indonesië | 18,22% |
India | 8,31% |
Azerbeidzjan | 2,57% |
Verenigde Staten | 1,56% |
Pakistan | 1,28% |
Anders | 9,2% |
Zie ook
[bewerken | brontekst bewerken]- Flame
- Lijst van malware
- Zero Days, documentaire uit 2016
Externe link
[bewerken | brontekst bewerken]- Vijf bewijzen dat Stuxnet kerncentrales saboteerde (Webwereld, 20 november 2010)
- Nationaal Cyber Security Centrum: factsheet over stuxnet (gearchiveerd)
- ↑ Rootkit.TmpHider (Rootkit.TmpHider op www.anti-virus.by). Gearchiveerd op 6 juli 2011. Geraadpleegd op 29 juni 2011.
- ↑ Professionele Stuxnet-worm verrast virusbestrijder (Security.nl, 20 juli 2010)
- ↑ Microsoft waarschuwt voor extreem ernstig Windows-lek (Security.nl, 18 juli 2010)
- ↑ Microsoft fix voor ernstig Windows LNK-lek (Security.nl, 21 juli 2010)
- ↑ Microsoft brengt noodpatch uit voor lek in snelkoppelingen (Tweakers, 31 juli 2010
- ↑ Worm infecteert 30.000 computers in Iran (NU.nl, 27 september 2010)
- ↑ Nederlander ontleedt Stuxnet: A Breakthrough (Symantec, 16 november 2010)
- ↑ Iran had wel last van Stuxnet (NU.nl, 30 november 2010)
- ↑ Microsoft dicht laatste Stuxnet-gat (Webwereld, 10 december 2010)
- ↑ Israeli Test on Worm Called Crucial in Iran Nuclear Delay (New York Times, 15 januari 2011)
- ↑ Iran accuses Siemens over Stuxnet virus attack (Reuters, 17 april 2011)
- ↑ Japan's defense industry hit by its first cyber attack(Reuters, 19 september 2011)
- ↑ Obama Order Sped Up Wave of Cyberattacks Against Iran (New York Times, 1 juni 2012)
- ↑ Stuxnet superworm officieel overleden Security.nl, 25 juni 2012
- ↑ "Today is the day when Stuxnet stops spreading. Also known as the Stuxment Day." Tweet van Mikko Hyppönen, 24 juni 2012
- ↑ "Iran weert Stuxnet-aanval", NOS Nieuws, 25 december 2012.
- ↑ Intelligentie Stuxnet verraste Microsoft (Webwereld, 28 december 2010)
- ↑ Microsoft Security Bulletin MS10-046 - Critical
- ↑ Microsoft Security Bulletin MS10-061 - Critical
- ↑ Microsoft Security Bulletin MS10-073 - Important
- ↑ Microsoft Security Bulletin MS10-091 - Critical
- ↑ W32.Stuxnet (Symantec, 17 september 2010)
- ↑ ‘Nederlander saboteerde atoomcomplex in Iran, Den Haag wist niets’ Nos.nl, 8 januari 2024