Stuxnet explained

Iran_StuxnetMicrosoft patcht 45 lekken, waaronder Stuxnet en Freak‘ was op 12 maart 2015 op Security.nl te lezen. Stuxnet wordt gezien als het eerste digitale wapen in een cyberoorlog en heeft daarmee onherroepelijk een dominante plaats op de ‘Canon van het Internet‘ verworven. Voor mij een reden om me erin te verdiepen. Het volgende is een beknopte beschrijving afkomstig uit verschillende publicaties.

Voorwoord
Stuxnet wordt gezien als het eerste digitale wapen in een cyberoorlog tussen Amerika/Israël enerzijds en Iran/Palestina anderzijds. De constructie is erg goed doordacht zelfs zodanig dat na uitvoerige analyse het nog onduidelijk was wat haar destructieve werking zou zijn. Nu jaren later weten we pas dat de malware bedoeld was om Iraanse kerncentrales te saboteren.

Aanleiding
De aanleiding was de bekendmaking van Iran dat zij Uranium konden verrijken en dus in theorie ook in staat zijn om daarmee kernwapens te produceren. Staatsvijand nummer één, Israël zocht direct naar een manier om dit te verhinderen. Een bombardement werd door de Amerikanen niet toegestaan en er moest dus gezocht worden naar een ander alternatief. Deze werd gevonden in Stuxnet.

Werking
De werking is misschien wel het best te vergelijken met de Hink-Stap-Sprong techniek uit de atletiek. Men kwam er achter dat de verrijkingscentrales gebruik maakten van zogenaamde Programmable Logical Controllers (PLC’s) van Siemens en dat deze werden aangestuurd door Siemens WinCC/PCS 7 SCADA control (Step 7) software welke weer draaide op Microsoft Windows systemen. Via kwetsbaarheden in al deze componenten wist men uiteindelijk de centrifuges ongemerkt een hogere omwentelsnelheid te geven zodanig dat deze uiteindelijk kapot gingen. De standaard omwentelsnelheid was 1064 Hz en na de besmetting varieerde dit.

De Iraanse kerncentrales werden door het Stuxnet virus letterlijk ‘herkend’. Zodra het virus specifieke onderdelen herkende én de centrifuge draaide met een bepaalde gemiddelde omwentelsnelheid dan werd het destructieve gedeelte van de software geactiveerd.

Effectiviteit
Stuxnet deed waarvoor het ontworpen was. In totaal werden 984 centrifuges vernield en men schat dat Iran 2,5 tot 3 jaar aan tijd heeft verloren bij de verdere ontwikkeling op dit gebied.

Misbruikte kwetsbaarheden
De volgende onderdelen werden op één of andere manier ‘gebruikt’ door het virus:

  • Verspreiding: via besmette USB flash drives.
  • Siemens PLC: geen kwetsbaarheid
  • Siemens WinCC/PCS 7 SCADA control software (Step 7) software: Siemens had een wachtwoord hardcoded opgenomen in de software. Deze was al langer bekend maar werd niet direct gepatcht en dus sprake van een zero-day-exploit.
  • Microsoft Windows: Verschillende Stuxnet varianten maakten gebruik van verschillende kwetsbaarheden, waaronder:
    • MS08-067 ook wel CVE-2008-4250 of Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874).
    • MS10-046 ook wel CVE-2010-2568 of Microsoft Windows Shortcut ‘LNK/PIF’ Files Automatic File Execution Vulnerability (BID 41732).
    • MS10-061 ook wel CVE-2010-2729 of Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073).
    • MS10-091 ook wel CVE-2010-3956 of Microsoft Windows Vulnerability in OpenType Font Driver (2296199).
    • MS15-018 ook wel CVE-2015-0032 of Microsoft Cumulative Security Update for Internet Explorer (3032359).

Ontdekking
Stuxnet werd 17 juni 2010 als eerste opgemerkt door VirusBlockAda. Zij gaven het de naam Trojan-Spy.0485. Later maakten Symantec en Kaspersky hun uitgebreide analyses bekend.

Opmerkelijk
Enkele opmerkelijkheden:

  • Iran is verreweg het meest besmette land. Er mag aangenomen worden dat de besmetting vanuit Iran heeft plaats gevonden. Dit wordt ook nog eens bekrachtigd doordat de broncode gecompileerd is met een Iraanse timestamp.
  • Een ander opmerkelijk gegeven is de liquidatie van een betrokken Iraanse wetenschapper.
  • 24 juni 2012 om 0:00:01 schakelde Stuxnet zich uit.
  • De actie droeg de codenaam ‘Olympic Games’.
  • Het eerste doelwit de Iraanse kerncentrale Natanz is virtueel nagebouwd in de American National Laboratories.
  • De analyse van Stuxnet duurde vrij lang omdat de worm “ongewoon complex en groot is”, aldus Mikko Hypponen van F-Secure.
  • In de Stuxnet code werd de datum “05091979? aangetroffen, wat mogelijk een verwijzing naar 9 mei 1979 is. Toen werd de Joods-Iraanse zakenman Habib Elghanian op verdenking van spionage voor Israël geëxecuteerd.

Het vervolg
Het virus is welliswaar niet meer actief maar delen ervan zijn gekopieerd in andere malware zoals Duqu en Flame.

Publicaties

  • Symantec heeft een 49 pagina’s tellende beschrijving gepubliceerd.
  • Kaspersky Securelist maakte de slachtoffers bekend.
  • Wikipedia niet vergeten.
  • Wired publiceerde een mooie interactieve timeline.

great_stuxnet

Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Cyberwar ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security
Dit bericht werd geplaatst in Cyberwarfare, Security en getagged met , , , , . Maak dit favoriet permalink.

4 reacties op Stuxnet explained

  1. Wouter zegt:

    Wanneer deze opgesonde security bullitens niet worden geinstalleerd op mijn de systemen, kan hetzelfde bij mij gebeuren?

    Als iran hun security updates hadden uitgevoerd, konden zij deze hack dan voormomen?

    Groet,

    Wouter

    • Klopt. Als Iran deze patches had aangebracht was het een stuk moeilijker geweest. Vraag is nog wel of zij al besmet waren voordat de patches gepubliceerd werden.

      Verschillende security bedrijven vernamen al de besmetting met Stuxnet maar vroegen zich af wat het deed immers het richtte totaal geen schade aan.

  2. Pingback: Canon van het Internet | The Sloeserwij Files

  3. Pingback: Cyberwar has started (part 4: Iran) | The Sloeserwij Files

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s