Stuxnetworm is volledig doorgrond
Dankzij anonieme Nederlander
15 november 2010 | Jan Custers
Volgens beveiligingsspecialist Symantec heeft een anonieme Nederlander een belangrijke rol gespeeld bij het in kaart brengen van de beruchte Stuxnetworm. De malware richt zich op zeer specifieke industriële configuraties, vermoedelijk installaties om uranium te verrijken.
Omdat virusbestrijder Symantec zelf niet in staat bleek de worm te doorgronden, deed het bedrijf een oproep aan het publiek. Een niet bij naam genoemde Nederlander bracht de onderzoekers op het juiste pad, zodat de eindfase van het virus kon worden blootgelegd.
Iran en Finland
Eerder was al bekend geworden dat Stuxnet via vier zerodaygaten infiltreert in industriële beheersoftware van Siemens. Via deze Scada-software dringt Stuxnet vervolgens binnen in de PLC’s, de controllers van fabriekssystemen, en manipuleert het de aansturing en controle-output.
De aansturingmodules voor industriële installaties en de Scada-software communiceren via de netwerkstandaard Profibus (Process Field Bus). Een Nederlandse expert ontdekte dat de worm alleen in werking treedt als er frequency-converterdrives van twee fabrikanten worden aangetroffen. De fabrikanten bevinden zich in Iran en Finland.
Een frequency-converterdrive wordt gebruikt om de snelheid van een motor aan te sturen. Dat doet hij door dynamisch de frequentie van zijn output aan te passen. Hoe hoger die frequentie, hoe sneller de motor draait.
Zeer specifiek
Stuxnet is dus op zoek naar dergelijke configuraties, maar zelfs dan nog is het niet altijd actief. Alleen wanneer er zeer hoge snelheden bereikt worden, met een frequentie tussen 807 en 1210 Hz, treedt het virus in werking.
Het verfijnde virus saboteert het industriële proces door de snelheid over een lange periode enkele keren bruusk te laten terugvallen en te verhogen. De operator merkt daar echter niets van, omdat de worm de data-output vervalst.
Verrijking van uranium
Frequency-converterdrives die een dergelijke snelheid halen, kennen een beperkt aantal toepassingen. Zo worden ze bijvoorbeeld gebruikt in de centrifuges met een extreem hoge snelheid die benodigd zijn voor de verrijking van uranium.
Om die reden wordt de verkoop van dergelijke apparaten met een output van meer dan 600 Hz in de Verenigde Staten aan banden gelegd door de regulator van de kernindustrie.
Symantec beweert hiermee nu, met de hulp van de anonieme Nederlander, het Stuxnetvirus volledig doorgrond te hebben.
bron: ZDNet
Related Partner info »
Panda Security lanceert bètaversie van Panda Global Protection 2013
27/04/2012 | pressrelease | Partner info : Panda Security NV
Terremark introduceert Enterprise Cloud Private Edition
27/04/2012 | pressrelease | Partner info : Terremark, a Verizon Company
Introductie Cloud Computing
07/07/2011 | whitepaper | Partner info : Terremark, a Verizon Company
Lees verder op ZDNet »
Amerikaans waterstation gehackt
Hackers kunnen celdeuren openen
'Anonymous bezit broncode Stuxnet'
Twitterworm misbruikt linkverkorter Google
Malware misbruikt Stuxnetgat in Windows
Atoomprogramma Iran beschadigd door Stuxnet
Ben jij besmet met Stuxnet?
Stuxnet: theorieën versus feiten
Stuxnetvirus wint terrein
Nog meer op ZDNet »
To .be or not to .be
Blog : De Redactie
Het zijn hoogdagen voor ICANN. De organisatie krijgt bakken geld voor nieuwe toplevel domeinnamen. Maar wie staat te springen om ze te gebruiken?
» Boot Windows 8 te snel?
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
» Antwerpse jeugd kan begeleid gamen
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
» Super tip: het internet als e-book
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
Review: Silent Hill - Downpour
Game
Na een ongeluk met een gevangenistransport kom je in het onheilspellende Silent Hill terecht. Wapens zijn schaars, dus zal je moeten improviseren om te overleven.
