Vijf organisaties doelwit Stuxnetworm
De Stuxnetworm had vijf organisaties als doelwit, waar het in totaal 12.000 systemen infecteerde. Dat blijkt uit een bijgewerkt rapport dat Symantec over de worm heeft gepubliceerd. Drie organisaties werden eenmaal aangevallen, een twee keer en de laatste zelfs drie keer. De aanvallen vonden plaats in juni 2009, juli 2009, maart 2010, april 2010 en mei 2010. Alle organisaties hadden één of meerdere vestigingen in Iran.
Symantec kreeg bij het onderzoek naar de worm hulp van ESET, F-Secure, Kaspersky Labs, Microsoft, McAfee en Trend Micro. De anti-virusbedrijven deelden alle gevonden exemplaren met elkaar, waardoor er een beter beeld van de omvang van de infectie werd verkregen. In totaal zijn er 3280 unieke exemplaren ontdekt, die bij elkaar 12.000 machines infecteerden.
Volgens Symantec zijn er zeker drie varianten (juni 2009, april 2010 en maart 2010) en bestaat er mogelijk zelfs een vierde variant. Die is echter nooit gevonden. De variant van maart 2010 was het succesvolst en voor 69% van de infecties verantwoordelijk.
Sabotage
De onderzoekers ontdekten verder dat Stuxnet over twee sabotage strategieën beschikte, ook wel code 315 en code 417 genoemd, maar dat code 417 was uitgeschakeld. Aangezien de code niet compleet is en staat uitgeschakeld, is onduidelijk wat het precieze doel was. Het is volgens Symantec zeker een tweede, onafhankelijke aanvalsstrategie.
Deze code verwacht zes groepen van 164 apparaten. De groepen moeten bij elkaar 297 dagen actief zijn, of 35 dagen voor een enkele groep, voordat de sabotage-routine begint. Vervolgens zouden 110 van de 164 apparaten worden gesaboteerd. Deze sabotage-routine zou zeven minuten duren.
Typo of een lure? ;o)
de rest van de wereld maar wijzen op israel en amerika.
interessanter is de vraag waarom er zoveel specifieke info in staat, wie kan hier weet van hebben?
hoe raar is dan de gedachte dat het om interne sabotage gaat in iran, tegen het bewind?
Het concentreert zich op PLC besturingen en : "includes a highly specialized malware payload that is designed to target only Siemens Supervisory Control And Data Acquisition (SCADA) systems". en "Unlike most malware, Stuxnet does little harm to computers and networks that do not meet specific configuration requirements "
Niet iets dat je voor de lol op regenachtige zondagmiddag op je zolderkamertje in elkaar zit te frutten om te kijken of je het kunt !!!
interessanter is de vraag waarom er zoveel specifieke info in staat, wie kan hier weet van hebben?
hoe raar is dan de gedachte dat het om interne sabotage gaat in iran, tegen het bewind?
Waarschijnlijk zal er hulp van binnenuit zijn geweest (er zal niet tijdens een rondleiding iemand ergens een usb stickje in gestoken hebben en gezegd hebben: "wacht even ik wil even iets uitproberen")
daarbij, het is reeds gebeurd.
ik zou een andere vraag willen stellen, hoe komt het dat een high impact omgeving zo slecht is beveiligd?
waarom is het niet opgemerkt door bv tripwire of ossec?
als het antwoord is, het is niet toegepast, dan graag uitleg waarom niet.
dat iets door een filter heen gaat kan ik geloven, echter, opslaan of wijzigen is iets anders.
dat betekent dat je tevoren moet weten wat een hash is en hoe deze gegenereerd wordt opdat deze gelijk blijft.
vergeten we daarbij nog de aanmaak/access gegevens.
indien we hier niet op kunnen blijken te vertrouwen moet de hash worden vervangen, ookal kost dit extra rekenkracht.
Het voordeel van de verrassing. Niemand had het waarschijnlijk gedacht, of er aan gedacht !
Kijk even terug naar 9-11. Wie had ooit gedacht dat er terroristen zouden zijn die 2 vliegtuigen zouden kapen en die dan in de Twin Towers zouden boren en dan nog bijna gelijk ook.
Ik ben eerder benieuwd in: Wat staat ons nog te wachten.
Autocomputers met Malware
Vliegtuigcomputers met Malware
Hier is op basis van zeer gedetaileerde info iets ontwikkeld, informatie die waarschijnlijk "ouderwets" verkregen is door middel van ouderwets spionage werk.
de aard van het beestje is vertrouwen in de ander, dat vergt investering en bevestiging.
hoewel ik niks met oorlog heb zou het helpen systemen military grade te maken.
dat is wat anders dan dat flauwe millennium gedoe.
niet alles natuurlijk, zie uit naar discussie, bakkie erbij, gezellig.
de andere mogelijkheid is niks doen en op je af laten komen, goedkoopste oplossing.
de reële optie is dat onze professie weer engineering wordt, niet alleen knippen/plakken.
iedereen denk tegenwoordig verstand van automatisering te hebben.
wij zijn een uitstervend ras, bezeken en bescheten.
bedenk eens wat een geld er verspild wordt aan die zogenaamde homeland security, zet daar eens een deel van in ter verbetering systemen en opleiding.
helaas is dit een circus waar we achteraan blijven lopen met lapmiddelen.
de bronnen dienen bestreden te worden.
dan bedoel ik niet personen maar een systeem structuur die misbruik uitsluit, infecties onmogelijk.
dit is interessant en tegelijk zeer ingrijpend.
opnieuw uitvinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
