Stuxnet, de geavanceerde worm die zou zijn gemaakt om de Iraanse kernreactor in Bushehr te saboteren, is om een aantal redenen volstrekt uniek. Hij richt zich op de software die fabrieksprocessen aanstuurt om industriële complexen te saboteren. De malware combineert verschillende aanvalstechnieken en gaat zeer doelgericht en geruisloos te werk. Dit alles overtuigt de experts van Computable's security topic ervan dat de malware gemaakt is door een groep gespecialiseerde professionals die op basis van hun kennis zijn geselecteerd en gedurende een relatief lange periode hebben samengewerkt.
Stuxnet richt zich op procescontrole
'Stuxnet richt zich op software die industriële processen aanstuurt. De malware 'is terug te vinden in bedrijven waar er een programmable logic controller (PLC)-koppeling is: dat wil zeggen een koppeling die het mogelijk maakt om machines te besturen', legt beveiligingsevangelist Eddy Willems van G Data Security Labs uit.
'De manier waarop Stuxnet zich verbergt en waarop het interactie heeft met de industrial control systems (ICS) duidt op een grondige voorbereiding en een grote kennis van de werking van Scada-omgevingen', zegt ook beveiligingsadviseur Christiaan Beek van TenICT. Scada, afkorting van Supervisory Control And Data Acquisition, is het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van verschillende machines in grote industriële systemen.
'Een PLC wordt geprogrammeerd vanuit software, in dit geval WindowsCC/Step7', vervolgt Beek. 'Stuxnet infecteert deze software met een rootkit en gaat vervolgens op zoek naar kwetsbare PLC's. De malware onderschept de datablokken totdat het de juiste PLC's heeft aangetroffen. Vervolgens voegt Stuxnet code aan deze datablokken toe en verbergt zich voor de operator door rootkit-technieken te gebruiken.'
Stuxnet belaagt industriële complexen
Stuxnet misbruikt procesautomatisering, zoals stroom- en kerncentrales. Via de worm kunnen aanvallers met standaard wachtwoorden toegang tot systemen krijgen en deze herprogrammeren.
'Omdat met het overnemen van deze besturing niet direct geld te verdienen is, dringt het vermoeden zich op dat dit virus ingezet wordt door een groep die niet direct uit is op geld, maar op het saboteren van infrastructuur en industrie. Dat klinkt bedreigend en dat is het ook', zegt hoofd kenniscentrum Gert Jan Timmerman van Info Support.
'De gangbare malware heeft als doelstelling om bijvoorbeeld identiteiten te stelen, fraude te plegen, internettoegangen te blokkeren (denial of service in allerlei varianten), enzovoorts. In al die gevallen gaat het om systemen en netwerken die algmeen gebruikt worden', zegt informatiebeveiligingsadviseur John Rudolph. 'In dit geval worden er industriële complexen belaagd. Als een dergelijke aanval lukt (denk aan bijvoorbeeld een 'industrial denial of service'), is de directe schade voor de onderneming enorm.'
Stuxnet is gemaakt door een groep gespecialiseerde professionals
'Stuxnet maakt misbruik van een combinatie van menselijk gedrag, bestaande zwakheden in de generieke software, de onachtzaamheid die bestaat op het gebied van certificaten en de beveiligingsarme architectuur van de PLC's (procescomputers)', legt opleider Bernhard van der Feen van Pink Elephant uit. 'Dit samen is zeker niet simpel en vereist een forse investering. Daarbij is gekozen voor een zeer specifiek doel (wat vooralsnog een nucleaire fabriek zoals Bushehr in Iran lijkt te zijn). Na bestudering van de malware hebben we geconcludeerd dat dit gebouwd moet zijn door een goed georganiseerde groep specialisten. Specialisten die op basis van hun kennis geselecteerd zijn en gedurende een relatief lange periode hebben samengewerkt.'
'Ik deel de mening met andere experts, dat dit soort malware niet zomaar geschreven is door een stel hobbyisten. Dit is malware die ingezet zou kunnen worden bij elektronische oorlogsvoering. Hiermee zou de vijand een slag in zijn industrie toegebracht kunnen worden', vult Beek aan.
Stuxnet combineert vier zero day attacks
'Wat Stuxnet bijzonder (gevaarlijk) maakt is dat het in een hybride vorm misbruik maakt van verschillende typen kwetsbaarheden in Windows. Dit maakt het slagingspercentage groot', zegt beveiligingsadviseur Maarten Hartsuijker. Een zero day attack is een aanval die misbruik maakt van een tot dan toe nog onbekend beveiligingslek: er zit dus nul ('zero') dagen tussen het ontdekken van het beveiligingslek en het repareren ervan.
'De eerste berichten over Stuxnet in juli hadden het alleen nog maar over de LNK-kwetsbaarheid', legt principal consultant Lex Borger van Domus Technica uit. 'Nooit eerder was bedacht dat snelkoppelingen – de behulpzame icoontjes die verwijzen naar bestanden elders – door virussen effectief misbruikt konden worden. Later kwam men er achter dat zeker drie andere kwetsbaarheden gebruikt werden. Misbruik van het print-mechanisme is nu gepatched door Microsoft, de andere twee nog niet.'
'Het gebruik van maar liefst 4 zero-day kwetsbaarheden, aanval op een specifieke routine van het procesbesturingsprogramma binnen een Siemens PLC, het ontvreemden van een geheim certificaat, de geavanceerde methodiek waarop de worm zich zelf 'update', en andere geavanceerde features, maakt het de meest geavanceerde aanval tot nu toe', concludeert netwerk- en beveiligingsmanager Sinclair Koelemij van Honeywell.
Stuxnet is ‘professionele’ malware
'Onderzoekers staan verbaasd over hoe geavanceerd Stuxnet is', vervolgt Borger. 'Het is modulair opgebouwd, heeft verschillende mechanismen voor zeer verschillende doelen en is hierdoor ook snel in te zetten met een hele andere payload.'
'Daarnaast is het bijzonder dat de verspreidingsplatforms voornamelijk de verwisselbare schijven, zoals usb-sticks en gedeelde netwerkbestanden, zijn. Door deze manier van verspreiden, bereikt Stuxnet systemen die om veiligheidsredenen geen verbinding met internet hebben', zegt verkoopmanager Arnoud Hablous bij Trend Micro. 'Het is een gecombineerde wormaanval waarbij USB-sticks als medium dienen voor de initiële infectie. Het is geschreven in meerdere programmeertalen', vult beveiligingsportfoliomanager Jan-Paul van Hall van Axians aan.
'Stuxnet is wel een bijzonder mooie illustratie van een aantal tendensen die we al langer zien bij malware' zegt landenmanager Benelux Jan van Haver van G Data. 'Het is bijzonder ingenieus gemaakte software: een aanduiding van de toenemende professionalisering is de malware business. Ook de ingebakken functionaliteit om zichzelf zo goed en zo lang mogelijk verborgen te houden is typisch voor hedendaagse malware.'
De malware 'gebruikt zijn eigen peer-to-peer functionaliteit om in zijn omgeving bewust te zijn van andere geïnfecteerde computers en de software zo actueel mogelijk te houden door versies te vergelijken en vernieuwingen door te sturen', vult Borger aan.
Stuxnet is zeer geruisloos
Stuxnet is vrijwel onzichtbaar. Ten eerste maakt het gebruik van een rootkit. Dat is een set softwaretools die zich diep in het besturingssysteem nestelt en bijna niet te verwijderen is zonder de functie ervan te beschadigen. 'Zelfs bij volledige de-installatie in Windowsprogrammatuur blijft de rootkit nog actief', zegt algemeen directeur Steven Dondorp van Northwave.
'Tenslotte valt op dat Stuxnet een selfdestructopdracht bevat en zichzelf verwijdert van de USB-stick na 3 infecties. Dit maakt het lastiger om de bron op te sporen', vult technisch directeur Cor Rosielle van Outpost24 en Lab106 aan.
Stuxnet heeft ‘omgevingsbewustzijn’
Stuxnet weet wat het wil en waar het is. 'Stuxnet is zich bewust van zijn omgeving', zegt Borger. 'Het heeft niet tot doel om zich zoveel mogelijk te verspreiden, het heeft veel meer een opdracht om op bedrijfsnetwerken onopgemerkt te blijven en op zoek te gaan naar Scada-systemen (fabrieksnetwerken).'
'Wat Stuxnet zo bijzonder maakt, is de combinatie van 4 zero day lekken in Windows, diepgaande kennis van een industriëel systeem, gestolen digitale certificaten en een hoge kwaliteit, waardoor de activiteiten van deze malware maandenlang ongedetecteerd hebben kunnen blijven', zegt systeemadviseur John Veldhuis. 'Ook lijkt de software, in tegenstelling tot de meeste malware, er niet op uit om geld te verdienen voor de criminelen die dit inzetten, maar juist bedoeld om schade te veroorzaken door sabotage van industriële systemen. Het 'non-profit' karakter gecombineerd met de hoge kosten die het vervaardigen van deze malware met zich mee moet hebben gebracht, maakt Stuxnet tot een buitenbeentje in het malwarespectrum.'
De stuxnet worm is een hot topic binnen Computable en bij andere security gerelateerde websites. Heel veel ophef hoe de worm innoverend zou zijn door dat deze geinfiltreerd is middels de USB stick en specifiek gemaakt voor een specifiek systeem.
Het verbaasd me wederom dat deze worm zich heeft kunnen infiltreren en verspreiden en wel om de volgende redenen;
1. In de jaren 80 toen de eerste virussen zich begonnen te verspreiden werd dit ook alleen gedaan door de 5,25 inch floppy disks/1,44 inch. anno 2010 gelijkwaardig met de USB stick. Niks nieuws dus alleen slimmer.
2. Periode na de aanval van 9/11 (11/9)werden er al verschillende scenario’s bedacht (schrijven in infosecurity magazine) over de mogelijkheid van aanvallen op scada systemen.
3. Vulnerability scanners ala nessus, hebben al meerdere signatures voor Scada systemen.
4. Vanaf dat de computer bestaat zijn er al genoeg films gemaakt die voorspellend zijn geweest, “The Net” is daar een heel goed voorbeeld van. Hierbij werd een soortgelijke malware geimplementeerd binnen een virusscanner de “gatekeeper” . Dit zou dus een nieuwe methode kunnen zijn om “malware” te kunnen implementeren op werkstations. Nu worden er al “fake” virusscanners gedeployed maar wat gebeurd er als bijvoorbeeld geinfiltreerd wordt binnen bijv de meest gebruikte virus en malware scanners. Misschien moeten we dan juist op dat soort scada systemen geen virusscanners laten draaien als het toch helemaal gescheiden is.
5. De basis begint nog steeds bij een risico impact analyse. In deze specifieke situatie is het niet hoe groot de kans is dat het gebeurt maar wat voor impact heeft het als het gebeurd. En dan kan je tot de conclusie komen dat er geen usb sticks gebruikt mogen worden of andere losse media. Of alleen dedicated USB sticks intern gebruikt mogen worden door specifieke personen na uitgifte.
6. Een productie en testplatform lijkt me niet overbodig en zou de worm misschien ontdekt kunnen worden intern. Het verbaasd me nog meer dat de worm ontdekt is uberhaupt. Want als het zo specifiek is dan gaat men ook specifieker te werk en niet zomaar ergens een usb stickje loslaten in het wild.
7.Een zeroday exploit is een zeroday totdat de patch is ontwikkeld en uitgegeven. Het lijkt me dat de ontwikkeling van zo een specifieke worm in meerde programmeertalen langer duurt dan deze periode.
8.ISO27002 is een guideline om dit soort zaken af te dekken en nog beter zou zijn ISO27001 te implementeren, maar je zou verwachten dat bij dit soort belangrijke systemen hier aan gedacht wordt.
9. De ontwikkelaar van het scada systeem is in deze ook een zwakke schakel, als speciefiek informatie beschikbaar komt zit er iets mis bij de ontwikkelaar zelf. Gaan hun wel zorgvuldig om met hun informatie. Blijkbaar is dit op een of andere manier toch uitgelekt.
10. Men wordt meestal pas wakker als er daadwerkelijk een security incident plaats heeft gevonden en men gaat dan pas actie ondernemen wat dus te laat is.
11. In het kader van alles moet goedkoper worden scada systemen gewoon gekoppeld aan het internet om beheerd te worden op afstand en updates te laten uitvoeren, wel op een speciale manier. Dit komt in de praktijk voor, wel met aantekening dat het dan een mindere impact zou hebben op de bevolking als bij Nuts bedrijven.
Conclusie:
In de 20/30 jaar is er weinig veranderd en ook zal er weinig veranderen in de toekomst, de impact wordt alleen groter.
Heb mij al eerder verbaasd over het gebruik van windows in Siemens PLC’s en MES systemen. Dit blijkt nu inderdaad te vragen om problemen; maar was volstrekt voorspelbaar!
Helaas zijn de consequenties bij mission critical systems vaak onacceptabel groot.
Feit is dat de linux multi micro-kernel architectuur ook [- of juist- bij embedded] toch weer superieur te zijn.
En gelukkig pakt het in Iran nu goed uit.
Way to Go! Schept weer een hoop werk.
Hier staat er ook wat over:
http://www.debka.com/article/9050/
’t Is wel een Israelische bron, dus niet helemaal onafhankelijk, maar toch.
*hoopt net als Edgar dat Iran verdere plannen uit zijn hoofd laat.*