Wat is er met Stuxnet gebeurd? Sinds het honderden centrifuges vernietigde in een nucleaire verrijkingsfaciliteit in Iran in 2010, is de worm stil geweest—maar niet inactief.

vergeleken met veel van zijn malware collega ‘ s, heeft de Stuxnet worm veel meer dan de spreekwoordelijke 15 minutes of fame gehad.

met goede reden. Het was een precedent. Het was een van de meest geavanceerde stukken van malware ooit gemaakt op het moment. Kaspersky Lab schatte dat het een team van 10 programmeurs twee tot drie jaar kostte om het te maken.

Het heeft ook een lijn overschreden. In plaats van “alleen” te worden gebruikt om computers te hacken en de gegevens ervan te stelen, werd het gebruikt om fysieke vernietiging te veroorzaken.

Wat is Stuxnet?tegen de tijd dat het voor het eerst openbaar werd in 2010, had Stuxnet de vernietiging mogelijk gemaakt van bijna duizend, of ongeveer een vijfde, van de centrifuges in de Iraanse kernverrijkingsfaciliteit in Natanz, waardoor het nucleaire programma van dat land met 18 maanden of meer was teruggelopen. Uiteraard werd dat internationaal nieuws dat niet alleen maanden maar jaren duurde.na een tijdje rond de kwestie van de toeschrijving te hebben gewipt, kwamen de meeste rapporten overeen dat het “algemeen aanvaard” was dat Stuxnet een cyberwapen was gemaakt door Israëlische en Amerikaanse inlichtingendiensten. Er zijn boeken over geschreven, er zijn tal van seminars over gehouden, en natuurlijk beschuldigingen en bedreigingen onder de betrokken natiestaten.

Stuxnet was ook belangrijk omdat de aanvallers de worm in de Natanz computers kregen, ook al waren de systemen “air-gapped” – niet verbonden met het internet. Ze kregen toegang met behulp van USB-sticks om de malware te planten op de systemen van derden bedrijven die een verbinding met de Iraanse nucleaire programma had.

gerelateerd: Air gaps in ICS going, going … en zo ook security

Stuxnet was zeer gericht, ontworpen om alleen te scannen voor Siemens STEP 7 software op computers die een PLC (programmable logic controller) besturen. Als een van beide ontbreekt, zou Stuxnet in de computer slapen. Maar als beide aanwezig waren, het zou de codes te wijzigen en kwaadaardige commando ‘ s te geven aan de PLC, terwijl het terugsturen van feedback die het leek alsof alles normaal was.

deze commando ‘ s zorgden ervoor dat de centrifuges uit de hand draaiden en zichzelf vernietigden voordat iemand die het systeem controleerde wist dat er iets mis was.naar verluidt was Stuxnet nooit bedoeld om zich verder te verspreiden dan Natanz. Echter, de malware eindigde op internet-verbonden computers en begon te verspreiden in het wild, dankzij een zeer geavanceerde en agressieve ontwerp.

Wat is er sindsdien gebeurd?

na de Natanz aanval, Stuxnet vervaagde uit de reguliere koppen binnen een paar jaar, maar het kwam kort terug in 2016, toen een Microsoft Security Intelligence rapport geïdentificeerd onder exploit-gerelateerde malware families ontdekt in de tweede helft van 2015.

gerelateerd: 6 jaar later,’ Stuxnet ‘ kwetsbaarheid blijft uitgebuit

het vervaagde weer tot afgelopen November, toen Reuters, gevolgd door tal van andere verkooppunten, meldde een bewering van de Iraanse civiele defensie chief dat de regering van het land had ontdekt en gestopt een Israëlische poging om computersystemen te infecteren met wat hij beschreef als een nieuwe versie van Stuxnet.Gholamreza Jalali, hoofd van de National Passive Defense Organization (NPDO), zei tegen IRNA news service van Iran: “onlangs ontdekten we een nieuwe generatie Stuxnet die bestond uit verschillende onderdelen … en probeerde onze systemen binnen te dringen.Mohammad-Javad Azari Jahromi, de Iraanse minister van telecommunicatie, beschuldigde Israël ervan achter de aanval te zitten en zei dat de malware bedoeld was om “de communicatie-infrastructuur van Iran te schaden.”Maar hij zei dat de” waakzame technische teams “van het land de aanval hadden geblokkeerd en dat Israël” met lege handen was teruggekeerd.The Times of Israel rapporteerde in die tijd dat Iran-functionarissen hadden toegegeven dat ze werden geconfronteerd met een aanval van ” een gewelddadiger, geavanceerder en geavanceerder virus dan voorheen, dat de infrastructuur en strategische netwerken heeft getroffen.”

Wat is de huidige status van Stuxnet?

Wat is nu de status van Stuxnet? Hoewel het al jaren in het wild is, betekent dat niet dat iedereen het kan gebruiken om dezelfde soort schade aan te richten.Liam O ‘Murchu van Symantec, directeur van de Security Technology and Response group, vertelde CSO magazine in 2017 dat het de meest complexe code was die het team had beoordeeld en” in een totaal andere competitie was dan alles wat we ooit eerder hadden gezien.”

hij zei ook niet te geloven websites die beweren dat de Stuxnet-code beschikbaar is om te downloaden, omdat de broncode voor de worm niet was vrijgegeven of gelekt en kan niet worden geëxtraheerd uit de binaries die beschikbaar zijn in het wild.

hoewel de code voor één driver—een zeer klein deel van het totale pakket—was gereconstrueerd via reverse engineering, is dat niet hetzelfde als het hebben van de originele code.

toch zei O ‘ Murchu dat onderzoekers veel over de code konden begrijpen door het binaire in actie te onderzoeken en het te reverse engineering. Bijvoorbeeld,” het was vrij duidelijk vanaf de eerste keer dat we deze app geanalyseerd dat het op zoek was naar een aantal Siemens-apparatuur, ” zei hij.

en na drie tot zes maanden van reverse engineering, ” waren we in staat om te bepalen, ik zou zeggen, 99 procent van alles wat er gebeurt in de code.”

maar de November aankondiging van Iran bevestigt wat er gebeurt met Stuxnet. Het evolueert, zoals de meeste malware families doen. Het is niet zozeer dat het terug is. Het is dat het nooit weg is gegaan—en het zal vrijwel zeker weer in de krantenkoppen staan.

meer informatie over ICS-beveiliging