Stuxnet

Stuxnet is een schadelijk computerprogramma. Het bestaan van deze geavanceerde worm werd ontdekt in juni 2010 door een fabrikant van antivirussoftware uit Wit-Rusland. Het programma beïnvloedt de werking van bepaalde Siemens-apparatuur op schadelijke wijze. Het zou ontwikkeld zijn om Iraanse ultracentrifuges die gebruikt worden in het nucleair programma van Iran te saboteren. De worm wijzigt de PLC waarmee de motoren van de centrifuges aangestuurd worden.

Geschiedenis[bewerken | brontekst bewerken]

Datum	Toelichting
17 juni 2010	De Wit-Russische firma VirusBlokAda, een leverancier van antivirussoftware, maakt bekend Stuxnet gevonden te hebben. De malware krijgt de naam Trojan-Spy.0485 en Malware-Cryptor.Win32.Inject.gen.2 en de drivers worden onder de naam Rootkit.TmpHider en SScope.Rootkit.TmpHider.2 geregistreerd in de virusdatabase.^[1]
20 juni 2010	Stuxnet maakt gebruik van een certificaat van Realtek en JMicron Technology Corp. Microsoft heeft in samenwerking met Verisign en toestemming van Realtek het certificaat ingetrokken.^[2]
18 juli 2010	Microsoft publiceert twee tijdelijke workarounds in afwachting van de patch.^[3]
21 juli 2010	Microsoft brengt een reparatieprogramma uit om een zeer ernstig beveiligingslek met betrekking tot icoontjes van snelkoppelingen te dichten.^[4]
2 augustus 2010	Microsoft brengt een noodpatch uit die een lek dicht in snelkoppelingen. Dit is een kwetsbaarheid die gebruikt werd door Stuxnet.^[5]
4 augustus 2010	Trend Micro brengt een detectie- en verwijdertool voor Stuxnet uit.
18 augustus 2010	Siemens brengt een securitypatch uit.
27 september 2010	Het hoofd van de technologieraad van het Iraanse ministerie van Industrie, Mahmoud Liayi, maakt bekend dat Stuxnet 30.000 Iraanse computers heeft geïnfecteerd. Het computerprogramma heeft geen schade aangebracht aan de kerncentrale in Bushehr.^[6]
15 november 2010	Rob Hulsebos, software- en netwerkexpert, helpt Symantec met het ontleden van het computerprogramma. Hieruit blijkt dat de worm alleen is gericht op zeer specifieke systemen, zoals ultracentrifuges voor het verrijken van uranium.^[7]
29 november 2010	De Iraanse president geeft voor het eerst toe dat 'een beperkt aantal' uraniumverrijkingscentrifuges problemen heeft ondervonden door de computerworm.^[8]
14 december 2010	Microsoft dicht in Windows het laatste beveiligingsgat waarvan Stuxnet gebruikmaakt om zich te verspreiden.^[9]
15 januari 2011	De New York Times bericht op basis van anonieme bronnen binnen het Amerikaanse leger en de inlichtingendiensten dat de worm is gemaakt door de Verenigde Staten en Israël en deze uitgeprobeerd zou zijn in een testopstelling met centrifuges in de zwaar beveiligde Dimona-atoominstallatie.^[10]
18 april 2011	Gholamreza Jalali, commandant in het Iraanse leger, laat in een krant weten dat volgens onderzoek de worm door Israël en de Verenigde Staten is gemaakt en dat het Duitse bedrijf Siemens verantwoordelijk wordt gehouden voor het aan deze landen doorspelen van informatie over de Iraanse scada-systemen.^[11]
19 september 2011	Het Stuxnetvirus treft Mitsubishi Heavy Industries, volgens Yomiuri zijn er tachtig computers besmet geraakt met het virus. De pc’s zouden zowel in het hoofdkantoor in Tokio staan als op andere afdelingen verspreid over Japan.^[12]
1 juni 2012	De New York Times schrijft dat president Obama opdracht gaf voor de Stuxnetaanval op Iran in 2010.^[13]
24 juni 2012	De Stuxnetsuperworm is officieel overleden, wegens een in de programmacode aangebrachte einddatum.^[14]^[15]
25 december 2012	Ondanks het officiële 'overlijden' van het virus meldt een Iraans persbureau dat een energiecentrale in het zuiden van Iran, bij de Straat van Hormuz, doelwit zou zijn geweest van een nieuwe Stuxnetaanval.^[16]

Functionaliteit[bewerken | brontekst bewerken]

De complexe worm:

verspreidt zichzelf via USB-sticks en een andere variant via het LAN;
maakt gebruik van vijf beveiligingsgaten, waarvan vier voorheen onbekend waren;^[17]
verbergt zichzelf via een Rootkit;
verwijdert zichzelf van de USB-stick na drie infecties;
actualiseert zichzelf via een eigen P2P-netwerk;
installeert zichzelf in stuurprogramma's, waarvoor een digitaal certificaat vereist is;
modificeert een PLC-programma dusdanig dat dit lange tijd voor een PLC-programmeur onzichtbaar is;
luistert het verkeer naar frequentieomvormers af en laat na enige tijd het toerental van de motoren, die door de frequentieomvormers worden aangestuurd, variëren.

Nieuwe kwetsbaarheden[bewerken | brontekst bewerken]

De worm maakt gebruik van de volgende kwetsbaarheden in Windows:

MS10-046: kwetsbaarheid in Windows Shell^[18]
MS10-061: kwetsbaarheid in Print Spooler service^[19]
MS10-073: kwetsbaarheid in Windows Kernel-Mode Drivers^[20]
MS10-091: kwetsbaarheid in OpenType Font Driver^[21]

Besmettingen[bewerken | brontekst bewerken]

Een studie over de verspreiding van Stuxnet door Symantec laat zien dat met name Iran, Indonesië en India getroffen werden door de worm.^[22]

De Nederlander Erik van Sabben heeft in 2007 de worm tijdens zijn infiltratie in het nucleaire complex in Natanz in Iran geïnstalleerd. Het meest waarschijnlijke scenario is dat hij een waterpomp leverde, die de worm bevatte. Na installatie van de pomp kon de worm zich verspreiden. Door het virus draaide een groot aantal nucleaire centrifuges zichzelf kapot.^[23] De worm legde een vijfde van de Iraanse computers die gebruikt worden voor het kernprogramma plat. Volgens Israël zou het Iraanse atoomprogramma hierdoor voor meerdere jaren vertraagd zijn.

Land	Besmette computers
Iran	58.85%
Indonesië	18.22%
India	8.31%
Azerbeidzjan	2.57%
Verenigde Staten	1.56%
Pakistan	1.28%
Anders	9.2%

Zie ook[bewerken | brontekst bewerken]

Flame
Lijst van malware
Zero Days, documentaire uit 2016

Externe link[bewerken | brontekst bewerken]

Bronnen, noten en/of referenties

Zie de categorie Stuxnet van Wikimedia Commons voor mediabestanden over dit onderwerp.

[1] Rootkit.TmpHider (Rootkit.TmpHider op www.anti-virus.by). Gearchiveerd op 6 juli 2011. Geraadpleegd op 29 juni 2011.

[2] Professionele Stuxnet-worm verrast virusbestrijder (Security.nl, 20 juli 2010)

[3] Microsoft waarschuwt voor extreem ernstig Windows-lek (Security.nl, 18 juli 2010)

[4] Microsoft fix voor ernstig Windows LNK-lek (Security.nl, 21 juli 2010)

[5] Microsoft brengt noodpatch uit voor lek in snelkoppelingen (Tweakers, 31 juli 2010

[6] Worm infecteert 30.000 computers in Iran (NU.nl, 27 september 2010)

[7] Nederlander ontleedt Stuxnet: A Breakthrough (Symantec, 16 november 2010)

[8] Iran had wel last van Stuxnet (NU.nl, 30 november 2010)

[9] Microsoft dicht laatste Stuxnet-gat (Webwereld, 10 december 2010)

[10] Israeli Test on Worm Called Crucial in Iran Nuclear Delay (New York Times, 15 januari 2011)

[11] Iran accuses Siemens over Stuxnet virus attack (Reuters, 17 april 2011)

[12] Japan's defense industry hit by its first cyber attack(Reuters, 19 september 2011)

[13] Obama Order Sped Up Wave of Cyberattacks Against Iran (New York Times, 1 juni 2012)

[14] Stuxnet superworm officieel overleden Security.nl, 25 juni 2012

[15] "Today is the day when Stuxnet stops spreading. Also known as the Stuxment Day." Tweet van Mikko Hyppönen, 24 juni 2012

[16] ttp://nos.nl/artikel/455419-iran-weert-stuxnetaanval.html

[17] Intelligentie Stuxnet verraste Microsoft (Webwereld, 28 december 2010)

[18] Microsoft Security Bulletin MS10-046 - Critical

[19] Microsoft Security Bulletin MS10-061 - Critical

[20] Microsoft Security Bulletin MS10-073 - Important

[21] Microsoft Security Bulletin MS10-091 - Critical

[22] W32.Stuxnet (Symantec, 17 september 2010)

[23] ‘Nederlander saboteerde atoomcomplex in Iran, Den Haag wist niets’ Nos.nl, 8 januari 2024

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]