Stuxnet
Stuxnet is een schadelijk computerprogramma. Het bestaan van deze geavanceerde worm werd ontdekt in juni 2010 door een fabrikant van antivirussoftware uit Wit-Rusland. Het programma beïnvloedt de werking van bepaalde Siemens-apparatuur op schadelijke wijze. Het zou ontwikkeld zijn om Iraanse ultracentrifuges die gebruikt worden in het nucleair programma van Iran te saboteren. De worm wijzigt de PLC waarmee de motoren van de centrifuges aangestuurd worden.
Geschiedenis
| Datum | Toelichting |
|---|---|
| 17 juni 2010 | De Wit-Russische firma VirusBlokAda, een leverancier van antivirussoftware, maakt bekend Stuxnet gevonden te hebben. De malware krijgt de naam Trojan-Spy.0485 en Malware-Cryptor.Win32.Inject.gen.2 en de drivers worden onder de naam Rootkit.TmpHider en SScope.Rootkit.TmpHider.2 geregistreerd in de virusdatabase.[1] |
| 20 juni 2010 | Stuxnet maakt gebruik van een certificaat van Realtek en JMicron Technology Corp. Microsoft heeft in samenwerking met Verisign en toestemming van Realtek het certificaat ingetrokken.[2] |
| 18 juli 2010 | Microsoft publiceert twee tijdelijke workarounds in afwachting van de patch.[3] |
| 21 juli 2010 | Microsoft brengt een reparatieprogramma uit om een zeer ernstig beveiligingslek met betrekking tot icoontjes van snelkoppelingen te dichten.[4] |
| 2 augustus 2010 | Microsoft brengt een noodpatch uit die een lek dicht in snelkoppelingen. Dit is een kwetsbaarheid die gebruikt werd door Stuxnet.[5] |
| 4 augustus 2010 | Trend Micro brengt een detectie- en verwijdertool voor Stuxnet uit. |
| 18 augustus 2010 | Siemens brengt een securitypatch uit. |
| 27 september 2010 | Het hoofd van de technologieraad van het Iraanse ministerie van Industrie, Mahmoud Liayi, maakt bekend dat Stuxnet 30.000 Iraanse computers heeft geïnfecteerd. Het computerprogramma heeft geen schade aangebracht aan de kerncentrale in Bushehr.[6] |
| 15 november 2010 | Rob Hulsebos, software- en netwerkexpert, helpt Symantec met het ontleden van het computerprogramma. Hieruit blijkt dat de worm alleen is gericht op zeer specifieke systemen, zoals ultracentrifuges voor het verrijken van uranium.[7] |
| 14 december 2010 | Microsoft dicht in Windows het laatste beveiligingsgat waarvan Stuxnet gebruikmaakt om zich te verspreiden.[8] |
| 29 november 2010 | De Iraanse president geeft voor het eerst toe dat 'een beperkt aantal' uraniumverrijkingscentrifuges problemen heeft ondervonden door de computerworm.[9] |
| 15 januari 2011 | De New York Times bericht op basis van anonieme bronnen binnen het Amerikaanse leger en de inlichtingendiensten dat de worm is gemaakt door de Verenigde Staten en Israël en deze uitgeprobeerd zou zijn in een testopstelling met centrifuges in de zwaar beveiligde Dimona-atoominstallatie.[10] |
| 18 april 2011 | Gholamreza Jalali, commandant in het Iraanse leger, laat in een krant weten dat volgens onderzoek de worm door Israël en de Verenigde Staten is gemaakt en dat het Duitse bedrijf Siemens verantwoordelijk wordt gehouden voor het aan deze landen doorspelen van informatie over de Iraanse scada-systemen.[11] |
| 19 september 2011 | Het Stuxnetvirus treft Mitsubishi Heavy Industries, volgens Yomiuri zijn er tachtig computers besmet geraakt met het virus. De pc’s zouden zowel in het hoofdkantoor in Tokio staan als op andere afdelingen verspreid over Japan.[12] |
| 1 juni 2012 | De New York Times schrijft dat president Obama opdracht gaf voor de Stuxnetaanval op Iran in 2010.[13] |
| 24 juni 2012 | De Stuxnetsuperworm is officieel overleden, wegens een in de programmacode aangebrachte einddatum.[14][15] |
| 25 december 2012 | Ondanks het officiële 'overlijden' van het virus meldt een Iraans persbureau dat een energiecentrale in het zuiden van Iran, bij de Straat van Hormuz, doelwit zou zijn geweest van een nieuwe Stuxnetaanval.[16] |
Functionaliteit
De complexe worm:
- verspreidt zichzelf via USB-sticks en een andere variant via het LAN;
- maakt gebruik van vijf beveiligingsgaten, waarvan vier voorheen onbekend waren;[17]
- verbergt zichzelf via een Rootkit;
- verwijdert zichzelf van de USB-stick na drie infecties;
- actualiseert zichzelf via een eigen P2P-netwerk;
- installeert zichzelf in stuurprogramma's, waarvoor een digitaal certificaat vereist is;
- modificeert een PLC-programma dusdanig dat dit lange tijd voor een PLC-programmeur onzichtbaar is;
- luistert het verkeer naar frequentieomvormers af en laat na enige tijd het toerental van de motoren, die door de frequentieomvormers worden aangestuurd, variëren.
Nieuwe kwetsbaarheden
De worm maakt gebruik van de volgende kwetsbaarheden in Windows:
Besmettingen
Een studie over de verspreiding van Stuxnet door Symantec laat zien dat met name Iran, Indonesië en India getroffen werden door de worm.[22]
| Land | Besmette computers |
|---|---|
| Iran | 58.85% |
| Indonesië | 18.22% |
| India | 8.31% |
| Azerbeidzjan | 2.57% |
| Verenigde Staten | 1.56% |
| Pakistan | 1.28% |
| Anders | 9.2% |
De worm legde een vijfde van de Iraanse computers die gebruikt worden voor het kernprogramma plat. Volgens Israël zou het Iraanse atoomprogramma hierdoor voor meerdere jaren vertraagd zijn.
Zie ook
- Flame
- Lijst van malware
- Zero Days, documentaire uit 2016
Externe link
- Vijf bewijzen dat Stuxnet kerncentrales saboteerde (Webwereld, 20 november 2010)
- Nationaal Cyber Security Centrum: factsheet over stuxnet (gearchiveerd)
 |
Zie de categorie Stuxnet van Wikimedia Commons voor mediabestanden over dit onderwerp. |
This article is issued from
Wikipedia.
The text is licensed under Creative
Commons - Attribution - Sharealike.
Additional terms may apply for the media files.