27 september 2010

Stuxnet, volgens deskundigen mogelijk de meest complexe malware ooit gebouwd, heeft in Iran zeker 30.000 Windows-systemen besmet. Daaronder zijn PC’s die in nucleaire installaties draaien. Een schoonmaakoperatie zou op touw zijn gezet. Stuxnet, die systemen vooral besmet via USB-sticks, werd in juni op Iraanse Windows-computers ontdekt door het relatief onbekende antivirusbedrijf VirusBlokAda uit Wit-Rusland. Uit onderzoek door diverse beveiligingsfirma’s bleek dat de malware zich niet richt op het stelen van gebruikersgegevens of het versturen van spam, maar zich juist richt op het aanvallen van aanstuursoftware voor industriële systemen. Daarbij richt Stuxnet zich bovendien uitsluitend op Scada, software waarmee industriële systemen zijn aan te sturen. Scada-systemen worden onder andere gebruikt in de omstreden nucleaire installaties in Iran. Stuxnet richt zicht bovendien geheel op Scada-software die door Siemens wordt gemaakt. Inmiddels heeft de Iraanse overheid toegegeven dat de Stuxnet-worm op zeker 30.000 ip-adressen van bedrijfssystemen in Iran is aangetroffen.

Vermoedelijk gaat het om nog een groter aantal, omdat veschillende pc’s met één IP-adres werken of niet aan het internet zijn gekoppeld. Onder de besmette systemen zijn ook PC’s die worden gebruikt in nucleaire installaties, waaronder de kerncentrale Bushehr, die tegen de wil van het Westen op korte termijn zou worden opgestart. Of ook systemen van de uraniumverrijkingscentrale Natanz zijn aangevallen, is onduidelijk. Volgens Iran zijn er geen kritische bedrijfssystemen besmet in de kerncentrale van Bushehr, maar is er wel een groep deskundigen samengesteld om getroffen PC’s te ontsmetten. Een medewerker van het Iraanse ministerie van industrie liet weten dat er vanuit het Westen een ‘elektronische oorlog’ tegen Iran wordt gevoerd. Ondertussen wordt er onder deskundigen druk gespeculeerd over wie Stuxnet heeft kunnen maken, mede omdat de malware zeer complex is en zich uitsluitend richt op het aanvallen van Siemens-software om zo systemen te kunnen herprogrammeren met mogelijk sabotage als hoofddoel. Het bouwen van een dergelijk complex stukje malware zou een groot team programmeurs vereisen met bovendien veel specialistische kennis. Als mogelijke verdachten worden Israël en de Verenigde Staten aangewezen, beide aartsvijanden van Iran en bevreesd voor een mogelijk Iraans kernwapenprogramma. Bovendien is het mogelijk dat de makers van Stuxnet al hebben toegeslagen; Wikileaks bracht op 17 juli 2009 het nieuws dat er in de opwerkingsfabriek in Natanz een ‘ernstig nucleair ongeluk’ heeft plaatsgevonden. De informatie zou afkomstig zijn van een anonieme bron die bij het Iraanse kernprogramma is betrokken. Onder andere Symantec heeft Stuxnet uitvoerig onderzocht. De malware gebruikt liefst vier ‘zero-day’ (ongepatchte) kwetsbaarheden in Windows om een systeem via veelal een USB-stick te besmetten, waaronder een autorun-methode die ook werkt als autorun in Windows is uitgeschakeld. Ook is de kwaadaardige code voorzien van een aantal gestolen certificaten, waaronder een van Realtek, zodat onderdelen van de halve megabyte zware malware zich probleemloos op een Windows-systeem weten te nestelen. Verder wordt een rootkit-constructie gebruikt om Stuxnet onzichtbaar te maken voor detectietools. Stuxnet beschikt over een p2p-component, waardoor het zich vrijwel ongestoord kan blijven updaten. Symantec zal op 29 september een onderzoeksrapport over Stuxnet vrijgeven. Siemens heeft het probleem rondom de kwetsbaarheden in zijn Scada-software eerder deze maand onderkend. De Duitse firma zou de malware in zeker veertien fabrieken hebben ontdekt, maar er zou geen schade zijn aangericht. Stuxnet weet de software van Siemens mede te infiltreren doordat de default-wachtwoorden niet zijn gewijzigd. Bovendien zou Siemens huiverig zijn om de wachtwoorden te veranderen, omdat kritische bedrijfssystemen zouden kunnen vastlopen.