Wat is Stuxnet en hoe gevaarlijk is het?

Stuxnet is een krachtige en kwaadaardige computerworm die voor het eerst in 2010 opdook. Het is een van de grootste en duurste exemplaren van dit type malware. Het maakt gebruik van de vroeger nog onbekende zero-day-kwetsbaarheden van Windows om computers te infecteren en zich naar andere systemen te verspreiden. Stuxnet richtte zich oorspronkelijk op de centrifuge-installaties van het Iraanse programma voor iraniumverrijking, waarop het een cyberaanval van ongekende grootte uitvoerde. Cyberaanvallers hebben het later echter aangepast om andere faciliteiten, zoals elektriciteitscentrales en gasleidingen, aan te vallen.

Hoewel geen enkel land officieel heeft toegegeven Stuxnet te hebben gemaakt, wordt aangenomen dat de VS en Israël de worm gezamenlijk hebben ontwikkeld. Stuxnet was het eerste virus dat de fysieke vernietiging van geïnfecteerde apparaten veroorzaakte. Het heeft het nucleaire programma van Iran ernstige schade toegebracht.

De Stuxnet code is zeer geavanceerd en destructief. Het is echter zorgvuldig ontworpen om alleen doelen met specifieke configuraties te beïnvloeden en minimale schade aan andere apparaten te aan te richten.

Omdat Irans nucleaire faciliteiten, waar de aanval op was gericht, van het wereldwijde netwerk waren afgesloten, werd het systeem waarschijnlijk handmatig via USB-sticks geïnfecteerd.

Stuxnet is complexe malware. Het bevat code voor een man-in-the-middle-aanval die sensorsignalen vervalst, zodat een geïnfecteerd systeem niet wordt uitgeschakeld vanwege abnormaal gedrag. Het is ook ongewoon groot, in verschillende programmeertalen geschreven en verspreidt zich snel. Het Stuxnet virus richt zich op drie systemische lagen:

• Windows OS
• Siemens PCS 7, WinCC, en STEP7 industriële software-applicaties
• Siemens S7 programmeerbare logische controller

Stuxnet infiltreert in Windows-systemen door gebruik te maken van zero-day-kwetsbaarheden (een kwetsbaarheid die eerder door hackers is ontdekt dan de softwareleverancier). Het maakt gebruik van de ingeschakelde optie om netwerkprinters te delen of een LNK/PIF-kwetsbaarheid om een bestand uit te voeren wanneer het in Windows Verkenner wordt bekeken.

De malware heeft toegang tot zowel gebruikers- als kernelniveaus en bevat een rootkit die de worm voor controlesystemen verbergt. De rootkit is met behulp van gestolen softwarelicenties geïnstalleerd.

Na het binnendringen van Windows-systemen infecteert het Stuxnet virus softwarebestanden van Siemens, waar de centrifuges gebruik van maken, en verstoort hun communicatie.

Stuxnet installeert ook malwareblokken in PLC-monitoren, waarmee de motoren van de centrifuges worden aangestuurd. Vervolgens verandert het constant de frequentie van het systeem en beïnvloedt het de werking van motoren door hun rotatiesnelheid te veranderen.

Stuxnet werd in 2010 ontdekt en gerapporteerd, hoewel het al sinds 2005 in ontwikkeling was. Stuxnet 0.5 [McD13] is de eerste bekende versie van Stuxnet. In januari 2010 zagen inspecteurs die de verrijkingsfabriek van Natanz bezochten dat de centrifuges niet goed werkten. De oorzaak van de storing konden ze op dat moment niet achterhalen. Ze vonden vijf maanden later pas kwaadaardige bestanden in een van de systemen.

De worm verspreidde zich in maart 2010, maar de eerste variant verscheen in 2009. Op 15 juli 2010 werd het bestaan van de worm algemeen bekend door een DDoS-attack op een mailinglijst voor de beveiliging van industriële systemen.

Stuxnet verspreidde zich in twee golven. De eerste golf was minder zichtbaar en gerichter dan de tweede. Stuxnet viel pas echt op tijdens de tweede golf, die agressiever en meer gespreid was. De worm slaagde erin meer dan 20.000 apparaten te infecteren in 14 Iraanse nucleaire installaties en verwoestte ongeveer 900 centrifuges.

Hoewel Stuxnet niet veel schade buiten zijn doel aanrichtte, was het een voorbeeld voor latere malware die zich op infrastructuur richtte. Er zijn gewijzigde versies van de Stuxnet code geschreven om niet-nucleaire faciliteiten aan te vallen.

De invloed van Stuxnet op de malware van vandaag de dag is groot. Dit zijn enkele voorbeelden:

• Flame. Flame is geavanceerde spyware die ook gericht is op Iran en andere landen in het Midden-Oosten, vooral op onderwijs- en overheidsinstellingen. Flame wordt via USB-sticks verspreid. Het registreert toetsaanslagen en neemt Skype-gesprekken op.
• Havex. In tegenstelling tot Flame richt Havex zich voornamelijk op westerse landen. Deze spyware bespioneert luchtvaart-, defensie-, energie- en farmaceutische bedrijven.
• Duqu. Duqu is een verzameling van malware die ook misbruik maakt van Windows zero-day-kwetsbaarheden. Het lijkt erg op Stuxnet en richt zich ook op nucleaire faciliteiten in Iran.
• Industroyer. Industroyer is een stukje malware dat in 2016 werd gebruikt om het elektriciteitsnet van Oekraïne aan te vallen. Door de aanval zat een deel van Kiev een uur lang zonder stroom.
• Triton. Triton richtte zich op een petrochemische fabriek in Saoedi-Arabië. Triton wordt “de meest moorddadige malware te wereld” genoemd omdat beveiligingssystemen kan uitschakelen en zo aan een fabrieksramp kan bijdragen.

Een paar interessante feiten over Stuxnet:

• Stuxnet is de eerste malware die doelapparaten infecteerde via USB-drives.
• Stuxnet kan zichzelf updaten door gebruik te maken van P2P-communicatie en online verbinding.
• Stuxnet gebruikte gestolen digitale certificaten om de rootkit te installeren.
• Er is een Stuxnet documentaire: Zero Days.

Stuxnet is gericht op grote systemen en vormt geen directe bedreiging voor individuele gebruikers. Dit zijn daarom een paar tips voor bedrijven:

• Bescherm industriële netwerken en bedrijfsnetwerken met een firewall om verspreiding van malware te voorkomen.
• Maak een whitelist van veilige applicaties om je netwerk op kwaadaardige software te kunnen filteren.
• Houd je netwerk nauwlettend in de gaten voor ongebruikelijke activiteiten.
• Handhaaf een strikt beleid voor verwisselbare media om te voorkomen dat er geïnfecteerde USB-sticks op apparaten worden aangesloten.