23 september 2010

Een zeer geavanceerde worm, in juli 2010 ontdekt, is mogelijk op maat geschreven om de kernreactor in de Iraanse plaats Bushehr te saboteren. Dat zegt Ralph Langner, een expert op het gebied van de beveiliging van industriële systemen. De Stuxnet-worm werd ontdekt door een Wit-Russisch beveiligingsbedrijf, op de machines van een Iraanse fabriek. Daarna dook het ook op in onder meer Indiase en Indonesische fabrieken. Beveiligingsexperts zijn onder de indruk van de complexiteit van Stuxnet, dat misbruik maakt van (hoe origineel !) zwakheden binnen Windows, zoals het icoon-lek, en industriële beheersoftware van Siemens. Ze zijn het eens dat de worm moet zijn geschreven door een team van hoog gekwalificeerde experts. De gigantische hoeveelheid werk die Stuxnet verraadt, doet sommigen zelfs vermoeden dat de maker(s) steun kregen van een regering. Stuxnet heeft zelfs zoveel indruk gemaakt, dat experts bezorgd uitzien naar de volgende generatie malware. De angst bestaat dat kwaadwillenden zich massaal zullen laten inspireren door de intelligentie achter de computerworm.

Aanvankelijk dacht men dat de worm is geschreven om industriële geheimen te stelen, maar experts beginnen nu te geloven dat de worm slechts met één doel is ontwikkeld: het saboteren van de omstreden kernreactor in Bushehr. Een analyse die Langner publiceerde, speelt daarin een belangrijke rol. Hij ontdekte dat de worm bedrijfsinstellingen wil wijzigen, die zo specifiek zijn dat het waarschijnlijk maar om één fabriek gaat, en hij vermoedt dat dat de Iraanse kernreactor is. De reactor zou mogelijk geïnfecteerd zijn via een aanval op de website van een Russische onderaannemer die meewerkt aan de bouw van de reactor. Volgens Langner is de aanval zo specifiek, dat de makers van de code achterhaald kunnen worden. Omdat de makers dat ook weten, vermoedt Langner dat het om een snelle aanval gaat en dat deze al in het verleden ligt. Zijn vermoeden volgt onder andere uit het feit dat de bouw van de kernreactor in Bushehr verschillende keren is vertraagd. Langner heeft bovendien aanwijzingen dat de bouwers zich weinig bewust zijn van cybergevaren. Niet iedereen is het eens met deze analyse. Zo is niet de kernreactor, maar de uraniumverrijkingscentrale in Natanz waarschijnlijk het doelwit van de Stuxnet-worm, zo speculeert de Duitse beveiligingsexpert Frank Rieger. Volgens Rieger is Stuxnet buitengewoon knap geprogrammeerd en zorgt het ervoor dat niets crasht. Ook zijn er geen signalen dat het systeem besmet is en wordt de uiteindelijke lading alleen uitgevoerd als de worm op het juiste systeem aanwezig is. Volgens Rieger hadden de makers van Stuxnet uitgebreide kennis over de aan te vallen faciliteit. Rieger wil niet over het land in kwestie spreken, maar er zouden slechts een handvol overheden en net zoveel bedrijven hier toe in staat zijn. Hij betwijfelt of de kernreactor het doel is, aangezien de reactor alleen online gaat als Rusland dat wil. En dat hebben ze nu al verschillende jaren uitgesteld. De worm was zo geprogrammeerd dat die in januari 2009 moest stoppen met verspreiden. De aanvallers wisten toen al dat ze hun doelwit hadden bereikt. Op 17 juli 2009 verscheen een bericht op WikiLeaks dat er in Natanz een nucleair ongeluk was gebeurd. Tien dagen eerder kwam een Israëlische krant met een artikel over een cyberoorlog tegen het Iraanse nucleaire programma, waarbij ook het gebruik van besmette USB-sticks werd genoemd. Rieger speculeert dat Stuxnet alle systemen in Natanz infecteerde en vervolgens tegelijkertijd liet falen. De Duitser merkt op dat als Iran openheid van zaken geeft, we pas echt weten wat er heeft plaatsgevonden. Inmiddels heeft Symantec een analyse online gezet waarin staat hoe Stuxnet de machines van fabrieken kan herprogrammeren en aansturen. Eerder werd al bekend dat de worm over P2P-functionaliteit beschikt om informatie en de versie van de worm bij te werken.