image

"Aanval Stuxnet-worm was succesvol"

maandag 4 oktober 2010, 06:45 door Redactie, 0 reacties

De aanval door de Stuxnet-worm was zeer waarschijnlijk succesvol, aldus Symantec onderzoeker Liam O'Murchu. O'Murchu onderzocht de 1,5MB grote worm en stond aan de basis van dit rapport. Hij schetst een mogelijke aanval, waarbij de aanvallers eerst het door het doelwit gebruikte Industrial control system (ICS) wilden achterhalen. Aangezien bijna elk ICS anders is, hadden de aanvallers de ontwerpdocumenten nodig. Mogelijk zijn die door een insider gestolen of door een eerdere versie van Stuxnet of andere malware buitgemaakt. Aan de hand hiervan werd een nieuwere versie van de worm ontwikkeld. "Elke feature van Stuxnet is voor een specifieke reden geïmplementeerd, met als uiteindelijke doel het saboteren van de ICS."

Om de code testen moesten de aanvallers over een exacte kopie beschikken. O'Murchu schat dat de volledige cyclus mogelijk zes maanden heeft geduurd en dat er vijf tot tien programmeurs bij betrokken zijn geweest, plus nog allerlei andere individuen, waaronder quality assurance en management. Voor het digitaal ondertekenen van de bestanden hebben ze mogelijk fysiek bij Realtek en JMicron ingebroken om de benodigde certificaten te stelen. Beide bedrijven bevinden zich op hetzelfde techpark in Taiwan.

USB-stick
De infectie van het doelwit heeft mogelijk met hulp van een derde partij plaatsgevonden, zoals een aannemer of een werknemer van de faciliteit. Daarbij vond de infectie mogelijk via een USB-stick plaats. Eenmaal op het netwerk infecteerde Stuxnet verschillende computers via verschillende beveiligingslekken en USB-sticks. De Symantec-onderzoeker merkt op dat de verspreiding via USB-sticks nodig was om het laatste "sprongetje" naar een Field PG computer te maken, die nooit met een onbetrouwbaar netwerk wordt verbonden. Aangezien deze computer geen uitgaande internetverbinding had, bevatte de Stuxnet-worm alle functionaliteit om het systeem te saboteren. Updates vonden via een P2P-methode plaats.

Zodra de worm het doelwit vond, werd de code van de programmable logic controller (PLC) aangepast. "Deze aanpassingen saboteerden waarschijnlijk het systeem, wat gezien de grote investeringen waarschijnlijk een waardevol doelwit was." Aangezien Stuxnet de aanpassingen verborg, was het lastig voor de slachtoffers om het probleem te ontdekken. Door voor een worm te kiezen kozen de aanvallers bewust voor nevenschade om hun doelwit te bereiken. Een doelwit dat zeer waarschijnlijk gesaboteerd is. "De aanvallers hebben waarschijnlijk hun initiële aanval voltooid tegen de tijd dat ze ontdekt werden", concludeert O'Murchu.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.