Stuxnetworm is volledig doorgrond
Dankzij anonieme Nederlander
15 november 2010 | Jan Custers
Volgens beveiligingsspecialist Symantec heeft een anonieme Nederlander een belangrijke rol gespeeld bij het in kaart brengen van de beruchte Stuxnetworm. De malware richt zich op zeer specifieke industriële configuraties, vermoedelijk installaties om uranium te verrijken.
Omdat virusbestrijder Symantec zelf niet in staat bleek de worm te doorgronden, deed het bedrijf een oproep aan het publiek. Een niet bij naam genoemde Nederlander bracht de onderzoekers op het juiste pad, zodat de eindfase van het virus kon worden blootgelegd.
Iran en Finland
Eerder was al bekend geworden dat Stuxnet via vier zerodaygaten infiltreert in industriële beheersoftware van Siemens. Via deze Scada-software dringt Stuxnet vervolgens binnen in de PLC’s, de controllers van fabriekssystemen, en manipuleert het de aansturing en controle-output.
De aansturingmodules voor industriële installaties en de Scada-software communiceren via de netwerkstandaard Profibus (Process Field Bus). Een Nederlandse expert ontdekte dat de worm alleen in werking treedt als er frequency-converterdrives van twee fabrikanten worden aangetroffen. De fabrikanten bevinden zich in Iran en Finland.
Een frequency-converterdrive wordt gebruikt om de snelheid van een motor aan te sturen. Dat doet hij door dynamisch de frequentie van zijn output aan te passen. Hoe hoger die frequentie, hoe sneller de motor draait.
Zeer specifiek
Stuxnet is dus op zoek naar dergelijke configuraties, maar zelfs dan nog is het niet altijd actief. Alleen wanneer er zeer hoge snelheden bereikt worden, met een frequentie tussen 807 en 1210 Hz, treedt het virus in werking.
Het verfijnde virus saboteert het industriële proces door de snelheid over een lange periode enkele keren bruusk te laten terugvallen en te verhogen. De operator merkt daar echter niets van, omdat de worm de data-output vervalst.
Verrijking van uranium
Frequency-converterdrives die een dergelijke snelheid halen, kennen een beperkt aantal toepassingen. Zo worden ze bijvoorbeeld gebruikt in de centrifuges met een extreem hoge snelheid die benodigd zijn voor de verrijking van uranium.
Om die reden wordt de verkoop van dergelijke apparaten met een output van meer dan 600 Hz in de Verenigde Staten aan banden gelegd door de regulator van de kernindustrie.
Symantec beweert hiermee nu, met de hulp van de anonieme Nederlander, het Stuxnetvirus volledig doorgrond te hebben.
bron: ZDNet
Lees verder op ZDNet »
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
