Wat is Stuxnet?

Als het om cyberbeveiliging gaat, zijn het normaal gesproken datalekken die het nieuws halen. Deze incidenten treffen veel mensen en vertegenwoordigen een vreselijke nieuwsdag voor het bedrijf aan de ontvangende kant van het datalek. Veel minder regelmatig hoor je over een nieuwe zero-day-exploit die vaak een golf van datalekken aankondigt van bedrijven die zichzelf niet kunnen beschermen. Het komt niet vaak voor dat u hoort over cyberincidenten die gebruikers niet rechtstreeks treffen. Stuxnet is een van die zeldzame uitzonderingen.

Zich een weg naar binnen banen

Stuxnet is de naam van een soort malware. Concreet is het een worm. Een worm is een term die wordt gebruikt om te verwijzen naar malware die zichzelf automatisch van het ene geïnfecteerde apparaat naar het andere kan verspreiden. Hierdoor kan het zich snel verspreiden, omdat een enkele infectie kan resulteren in een infectie op veel grotere schaal. Dit was niet eens wat Stuxnet beroemd maakte. Evenmin was hoe wijd het zich verspreidde, omdat het niet zoveel infecties veroorzaakte. Wat Stuxnet deed opvallen, waren zijn doelen en zijn technieken.

Stuxnet werd voor het eerst gevonden in een nucleaire onderzoeksfaciliteit in Iran. Met name de Natanz-faciliteit. Hierbij vallen een aantal zaken op. Ten eerste was Natanz een atoomfabriek die bezig was met het verrijken van uranium. Ten tweede was de faciliteit niet verbonden met internet. Dit tweede punt maakt het moeilijk om het systeem met malware te infecteren en staat doorgaans bekend als een "air gap". Een luchtspleet wordt over het algemeen gebruikt voor gevoelige systemen die niet actief een internetverbinding nodig hebben. Het maakt het installeren van updates moeilijker, maar het vermindert ook het bedreigingslandschap.

In dit geval kon Stuxnet de luchtspleet "overbruggen" door het gebruik van USB-sticks. Het precieze verhaal is onbekend, met twee populaire opties. Het oudere verhaal was dat de USB-sticks stiekem op de parkeerplaats van de faciliteit waren gedropt en dat een overdreven nieuwsgierige medewerker hem had aangesloten. Een recent verhaal beweert dat een Nederlandse mol die in de faciliteit werkte, de USB-stick inplugde of iemand anders liet doen. Dus. De malware op de USB-stick omvatte de eerste van vier zero-day-exploits die in Stuxnet werden gebruikt. Deze zero-day lanceerde de malware automatisch toen de USB-stick op een Windows-computer werd aangesloten.

Doelen van Stuxnet

Het primaire doelwit van Stuxnet lijkt de kerncentrale van Natanz te zijn. Andere faciliteiten werden ook getroffen, waarbij Iran bijna 60% van alle wereldwijde infecties zag. Natanz is opwindend omdat een van zijn kernfuncties als nucleaire faciliteit het verrijken van uranium is. Terwijl lichtverrijkt uranium nodig is voor kerncentrales, is hoogverrijkt uranium nodig om een ​​op uranium gebaseerde atoombom te bouwen. Hoewel Iran stelt dat het uranium verrijkt voor gebruik in kerncentrales, is er internationale bezorgdheid over de hoeveelheid verrijking die plaatsvindt en dat Iran zou kunnen proberen een kernwapen te bouwen.

Om uranium te verrijken, is het nodig om drie isotopen te scheiden: U234, U235 en U238. U238 is veruit de meest natuurlijk voorkomende, maar is niet geschikt voor kernenergie of gebruik van kernwapens. De huidige methode maakt gebruik van een centrifuge waarbij door het ronddraaien de verschillende isotopen op gewicht worden gescheiden. Het proces is om verschillende redenen traag en kost veel tijd. Cruciaal is dat de gebruikte centrifuges erg gevoelig zijn. De centrifuges in Natanz draaiden op 1064 Hz. Stuxnet zorgde ervoor dat de centrifuges sneller en vervolgens langzamer gingen draaien, tot 1410 Hz en tot 2 Hz. Dit veroorzaakte fysieke belasting van de centrifuge, wat resulteerde in een catastrofale mechanische storing.

Deze mechanische storing was het beoogde resultaat, met het veronderstelde doel om het uraniumverrijkingsproces van Iran te vertragen of te stoppen. Dit maakt Stuxnet het eerste bekende voorbeeld van een cyberwapen dat wordt gebruikt om de capaciteiten van een natiestaat te verminderen. Het was ook het eerste gebruik van enige vorm van malware dat resulteerde in de fysieke vernietiging van hardware in de echte wereld.

Het daadwerkelijke proces van Stuxnet – Infectie

Stuxnet werd via een USB-stick in een computer geïntroduceerd. Het gebruikte een zero-day-exploit om zichzelf uit te voeren wanneer het automatisch op een Windows-computer werd aangesloten. Er werd een USB-stick gebruikt omdat het primaire doelwit van de nucleaire faciliteit van Natanz geen luchtverbinding had en niet was verbonden met internet. De USB-stick is in de buurt van de faciliteit 'gedropt' en door een onwetende medewerker in het apparaat gestoken of door een Nederlandse mol in de faciliteit geïntroduceerd; de details hiervan zijn gebaseerd op onbevestigde rapporten.

De malware infecteerde Windows-computers toen de USB-stick werd geplaatst via een zero-day-kwetsbaarheid. Deze kwetsbaarheid was gericht op het proces dat pictogrammen weergaf en externe code kon uitvoeren. Cruciaal was dat voor deze stap geen gebruikersinteractie nodig was, behalve het plaatsen van de USB-stick. De malware bevatte een rootkit waardoor het het besturingssysteem diep kon infecteren en alles, inclusief tools zoals antivirusprogramma's, kon manipuleren om zijn aanwezigheid te verbergen. Het kon zichzelf installeren met behulp van een paar gestolen sleutels voor het ondertekenen van de bestuurder.

Tip: Rootkits zijn bijzonder vervelende virussen die erg moeilijk te detecteren en te verwijderen zijn. Ze brengen zichzelf in een positie waarin ze het hele systeem kunnen aanpassen, inclusief de antivirussoftware, om de aanwezigheid ervan te detecteren.

De malware probeerde zich vervolgens via lokale netwerkprotocollen te verspreiden naar andere aangesloten apparaten. Sommige methoden maakten gebruik van eerder bekende exploits. Eén maakte echter gebruik van een zero-day-kwetsbaarheid in de Windows Printer Sharing-driver.

Interessant is dat de malware een controle bevatte om het infecteren van andere apparaten uit te schakelen zodra het apparaat drie verschillende apparaten had geïnfecteerd. Die apparaten waren echter zelf vrij om elk nog eens drie apparaten te infecteren, enzovoort. Het bevatte ook een controle die de malware op 24 juni 2012 automatisch verwijderde.

Het daadwerkelijke proces van Stuxnet - Exploitatie

Toen het zich eenmaal had verspreid, controleerde Stuxnet of het geïnfecteerde apparaat zijn doelen, de centrifuges, kon beheersen. Siemens S7 PLC's of Programmable Logic Controllers bestuurden de centrifuges. De PLC's werden op hun beurt geprogrammeerd door de Siemens PCS 7, WinCC en STEP7 Industrial Control System (ICS) software. Om het risico te minimaliseren dat de malware wordt gevonden waar het zijn doelwit niet kan beïnvloeden als het geen van de drie geïnstalleerde stukjes software kan vinden, blijft het inactief en doet het niets anders.

Als er ICS-toepassingen zijn geïnstalleerd, infecteert deze een DLL-bestand. Hierdoor kan het bepalen welke gegevens de software naar de PLC stuurt. Tegelijkertijd wordt een derde zero-day-kwetsbaarheid, in de vorm van een hardgecodeerd databasewachtwoord, gebruikt om de applicatie lokaal te besturen. Gecombineerd stelt dit de malware in staat om de programmering van de PLC aan te passen en dit te verbergen voor de ICS-software. Het genereert valse metingen die aangeven dat alles in orde is. Het doet dit bij het analyseren van de programmering, het verbergen van de malware en het rapporteren van de draaisnelheid, waarbij het daadwerkelijke effect wordt verborgen.

De ICS infecteert dan alleen Siemens S7-300 PLC's, en zelfs dan alleen als de PLC is aangesloten op een frequentieregelaar van een van de twee leveranciers. De geïnfecteerde PLC valt dan alleen daadwerkelijk systemen aan waarvan de aandrijffrequentie tussen 807Hz en 1210Hz ligt. Dit is veel sneller dan traditionele centrifuges, maar typerend voor de gascentrifuges die worden gebruikt voor uraniumverrijking. De PLC krijgt ook een onafhankelijke rootkit om te voorkomen dat niet-geïnfecteerde apparaten de werkelijke rotatiesnelheden zien.

Resultaat

In de Natanz-faciliteit werd aan al deze vereisten voldaan, aangezien de centrifuges een bereik van 1064 Hz hebben. Eenmaal geïnfecteerd spande de PLC de centrifuge gedurende 15 minuten tot 1410 Hz, zakte vervolgens naar 2 Hz en draaide vervolgens terug naar 1064 Hz. Herhaaldelijk gedaan gedurende een maand, veroorzaakte dit het uitvallen van ongeveer duizend centrifuges in de Natanz-faciliteit. Dit gebeurde omdat de veranderingen in de rotatiesnelheid mechanische spanning op de aluminium centrifuge veroorzaakten, zodat onderdelen uitzetten, met elkaar in contact kwamen en mechanisch faalden.

Hoewel er meldingen zijn van ongeveer 1000 centrifuges die rond deze tijd worden weggegooid, is er weinig tot geen bewijs van hoe catastrofaal de storing zou zijn. Het verlies is mechanisch, deels veroorzaakt door spanning en resonerende trillingen. De storing zit ook in een enorm, zwaar apparaat dat erg snel ronddraait en waarschijnlijk dramatisch was. Bovendien zou de centrifuge uraniumhexafluoridegas bevatten, dat giftig, bijtend en radioactief is.

Records tonen aan dat hoewel de worm effectief was in zijn taak, hij niet 100% effectief was. Het aantal functionele centrifuges dat Iran bezat, daalde van 4700 tot ongeveer 3900. Bovendien werden ze allemaal relatief snel vervangen. De fabriek in Natanz heeft in 2010, het jaar van infectie, meer uranium verrijkt dan het voorgaande jaar.

De worm was ook niet zo subtiel als gehoopt. Vroege meldingen van willekeurige mechanische storingen van centrifuges bleken niet verdacht te zijn, ook al veroorzaakte een voorloper ze naar Stuxnet. Stuxnet was actiever en werd geïdentificeerd door een ingeschakeld beveiligingsbedrijf omdat Windows-computers af en toe crashten. Dergelijk gedrag wordt waargenomen wanneer geheugenexploitaties niet werken zoals bedoeld. Dit leidde uiteindelijk tot de ontdekking van Stuxnet, niet de mislukte centrifuges.

Naamsvermelding

De toeschrijving van Stuxnet is gehuld in plausibele ontkenning. Er wordt echter algemeen aangenomen dat de schuldigen zowel de VS als Israël zijn. Beide landen hebben sterke politieke meningsverschillen met Iran en maken ernstig bezwaar tegen zijn nucleaire programma's, uit angst dat het probeert een kernwapen te ontwikkelen.

De eerste hint voor deze toeschrijving komt van de aard van Stuxnet. Deskundigen schatten dat een team van 5 tot 30 programmeurs minstens zes maanden nodig zou hebben gehad om te schrijven. Bovendien gebruikte Stuxnet vier zero-day-kwetsbaarheden, een ongehoord aantal in één keer. De code zelf was modulair en eenvoudig uit te breiden. Het was gericht op een industrieel besturingssysteem en daarna op een niet bijzonder gebruikelijk systeem.

Het was ongelooflijk specifiek gericht om het risico op detectie te minimaliseren. Bovendien gebruikte het gestolen chauffeurscertificaten die zeer moeilijk toegankelijk zouden zijn geweest. Deze factoren wijzen op een uiterst bekwame, gemotiveerde en goed gefinancierde bron, wat vrijwel zeker een APT van een natiestaat betekent.

Specifieke aanwijzingen voor betrokkenheid van de VS zijn onder meer het gebruik van zero-day-kwetsbaarheden die eerder werden toegeschreven aan de Equation-groep, waarvan algemeen wordt aangenomen dat deze deel uitmaakt van de NSA. Israëlische deelname wordt iets minder goed toegeschreven, maar verschillen in codeerstijl in verschillende modules wijzen sterk op het bestaan ​​van ten minste twee bijdragende partijen. Bovendien zijn er ten minste twee getallen die, indien omgezet in datums, politiek significant zouden zijn voor Israël. Israël paste ook zijn geschatte tijdlijn voor een Iraans kernwapen aan kort voordat Stuxnet werd ingezet, wat aangeeft dat ze op de hoogte waren van een dreigende impact op het vermeende programma.

Conclusie

Stuxnet was een zichzelf voortplantende worm. Het was het eerste gebruik van een cyberwapen en het eerste geval van malware die vernietiging in de echte wereld veroorzaakte. Stuxnet werd voornamelijk ingezet tegen de Iraanse kerncentrale van Natanz om de uraniumverrijkingscapaciteit ervan te verminderen. Het maakte gebruik van vier zero-day-kwetsbaarheden en was zeer complex. Alle tekenen wijzen erop dat het wordt ontwikkeld door een nationale APT, met verdenkingen op de VS en Israël.

Hoewel Stuxnet succesvol was, had het geen significante invloed op het uraniumverrijkingsproces van Iran. Het opende ook de deur voor het toekomstige gebruik van cyberwapens om fysieke schade aan te richten, zelfs in vredestijd. Hoewel er veel andere factoren waren, hielp het ook om het politieke, publieke en zakelijke bewustzijn van cyberbeveiliging te vergroten. Stuxnet werd ingezet in de periode 2009-2010