6 oktober 2010 16:59

Stuxnet: theorieën versus feiten

Stuxnet doet de wereld van computerbeveiliging op zijn grondvesten schudden. De worm zorgt voor de wildste verhalen over cyberoorlogen tussen kernmogendheden. Maar wat is er nu precies van waar? Wij gaan op zoek naar de theorieën versus de feiten.

Wat weten we over Stuxnet? Zeker is dat dit het eerste stukje malware is dat de besturing van industriële faciliteiten zoals elektriciteitscentrales onder vuur neemt. Toen de worm werd ontdekt, in juli van dit jaar, dachten experts dat Stuxnet bedoeld was voor spionagedoeleinden. Intussen heeft Symantec uitgeklaard dat de malware de controle van centrales wil overnemen.

Industriële systemen
Eddy Willems, veiligheidsexpert bij G Data, licht toe: “Stuxnet besmet aanvankelijk gewone thuis- en kantoorcomputers, maar heeft wel als uiteindelijk doel om industriële systemen te bereiken. De worm heeft een USB-component, en is dus gericht op werknemers van dergelijke centrales die zich met hun (besmette) USB-stick aanmelden op het industriële systeem. Social engineering is daarbij een belangrijk gegeven.”

Een Duitse onderzoeker die gespecialiseerd is in industriële controlesystemen suggereerde vorige maand dat Stuxnet mogelijk gemaakt is om een nucleaire installatie in Iran te saboteren. De hype en de speculaties zijn sindsdien alleen nog maar toegenomen. Maar hoever liggen deze theorieën van de praktijk?

Israël of de Verenigde Staten?
Er is een hardnekkige theorie die stelt dat Stuxnet verspreid is door Israël of de Verenigde Staten om het atoomprogramma van Iran te ontwortelen. Harde bewijzen om die stelling te staven zijn er niet. Niemand weet wie er achter deze malware zit, of wat het beoogde doelwit is.

Tot nog toe vonden de meeste infecties plaats in Iran, gevolgd door Indonesië en India. Maar maakt dat van Iran een doelwit, of betekent dit alleen dat Iran zijn systemen minder goed beveiligt? Willems en zijn collega’s merken intussen ook dat het zwaartepunt van de besmettingen verschuift van Iran naar India.

Volgens onderzoeker Ralph Langner richt Stuxnet zijn pijlen op de Iraanse kerncentrale in Bushehr, omdat die vermoedelijk werkt met de software van Siemens waar Stuxnet het op gemunt heeft. Andere bronnen, onder wie Gary McGraw van beveiligingsbedrijf Cigital, hebben het dan weer over de uraniumcentrifuges in het Iraanse Natanz als mogelijk doelwit.

Volgens een woordvoerder van de Iraanse inlichtingendienst hebben autoriteiten recent verschillende “spionnen” gearresteerd die gelinkt worden aan de cyberaanvallen. Maar liefst dertigduizend Iraanse computers zouden besmet zijn om “gebruikt te worden in de elektronische oorlogsvoering tegen Iran. Het effect van deze spionageworm in overheidssystemen is evenwel niet ernstig, en is min of meer een halt toegebracht”, aldus een overheidsmededeling.

Stuxnet niet simpel te maken
Specialisten veronderstellen ook dat er erg veel middelen beschikbaar moeten zijn geweest om de Stuxnetworm te kunnen maken, wat in de richting van een staat zou kunnen wijzen. Stuxnet gebruikt twee nagemaakte digitale handtekeningen om software op computers te krijgen en misbruikt vijf verschillende kwetsbaarheden in Windows – waarvan er intussen al drie gepatcht zijn door Microsoft.

De worm verbergt ook bepaalde code in een rootkit op het geïnfecteerde systeem en buit het wachtwoord van de databaseserver uit dat ingebakken zit in de Siemens-systemen.

De makers van Stuxnet moeten ook over gevoelige informatie van de Siemens WinCC/Step 7-software beschikt hebben. De worm bootst immers een industrieel controlesysteem na, uploadt een versleuteld programma en verandert de code op de PLC’s van Siemens. Zo’n PLC (programmable logic controller) wordt in de industrie gebruikt bij de automatisering van bepaalde processen, zoals drukkleppen, waterpompen, turbines en nucleaire centrifuges.

Bijbelse referenties
Symantec decompileerde de Stuxnetcode en kwam tot enkele opmerkelijke vaststellingen die in de richting van Israël zouden kunnen wijzen. Al is het ook denkbaar dat bepaalde referenties bewust in de code werden gestopt om de aandacht af te leiden van de eigenlijke bron. Zo zal Stuxnet bijvoorbeeld geen computer besmetten die een registersleutel heeft waar de waarde 19790509 in voorkomt. Want 9 mei 1979 is de datum van de executie van een prominente Iraanse Jood in Teheran.

En dan zijn er nog de namen van bepaalde bestandsmappen in de code die volgens Symantec Joodse bijbelse referenties kunnen zijn: guavas en myrtus. Myrtus is het Latijnse woord voor Myrtle, een andere naam voor Esther (de Joodse koningin die haar volk redde van de Perzen). Maar je zou het natuurlijk ook kunnen lezen als My RTU’s (remote terminal units). Symantec raadt de lezers van het rapport alvast aan om “voorzichtig te zijn met conclusies te trekken, omdat de aanvallers er baat bij houden om anderen te beschuldigen.”

Is Stuxnet ontworpen om een fabriek te saboteren, of om iets op te blazen? Door een grondige analyse van de code heeft Symantec kunnen achterhalen hoe de bestandsstructuur van Stuxnet in elkaar zit en welke instructies Stuxnet mogelijk kan injecteren in de PLC’s. Maar de beveiliger heeft te weinig context om te zien waarvoor de software bedoeld is. Dat hangt af van de installatie en het materiaal dat besmet wordt. “We weten dat er staat dat adres X aangepast moet worden naar waarde Y, maar we hebben geen idee hoe dat zich vertaalt in de echte wereld”, aldus Symantec.

In het rapport hebben onderzoekers de code 0xDEADF007 teruggevonden, om aan te duiden wanneer een proces in een eindfase is beland. Dat kan verwijzen naar ‘Dead Fool’ of ‘Dead Foot’, een term die in het vliegwezen gebruikt wordt om motordefecten aan te duiden. Maar zelfs met die hints is het onduidelijk of het de bedoeling is om iets op te blazen of stil te leggen.

Tijdens een demonstratie op de Virus Bulletin Conference in Vancouver toonde Symantec-onderzoeker Liam O’Murchu het potentieel van Stuxnet in de echte wereld. Hij programmeerde een S7-300 PLC om een luchtpomp drie seconden te laten draaien. Vervolgens liet hij de toeschouwers zien hoe een PLC die besmet is met Stuxnet dat commando kan aanpassen naar 140 seconden, om zo bij wijze van dramatische climax een ballon te laten ontploffen.

Schade al toegebracht?
Heeft de malware zijn schade al aangericht? Misschien is dat wel het geval, en heeft diegene die het doelwit was dat gewoon nog niet bekendgemaakt. Maar ook daar is geen bewijs van. De worm circuleert wel al behoorlijk lang, dus er kan al wel een en ander gebeurd zijn. Bij Microsoft kwamen ze de malware begin juli op het spoor, en zij hebben aanwijzingen dat Stuxnet op dat moment al zeker een jaar in ontwikkeling was.

F-Secure heeft het in een blogpost over de theoretische mogelijkheden die er zijn voor Stuxnet: “Het kan motoren, transportbanden en pompen aanpassen. Stuxnet zou een fabriek kunnen platleggen. Met de juiste aanpassingen zou het in theorie ook dingen kunnen laten ontploffen.”

En ook bij Siemens hebben ze al gezegd dat de code van Stuxnet het mogelijk maakt om alarmsystemen, toegangspanelen en deuren te controleren. In theorie zou dit gebruikt kunnen worden om toegang te krijgen tot geheime locaties.

Op zoek naar eerste besmetting
De beveiligingswereld doet op dit moment zijn uiterste best om te achterhalen waar Stuxnet vandaan komt. Eddy Willems vertelt dat “de worm een soort database bevat die meer vertelt over welke computers besmet zijn. Als we die gegevens zouden kunnen lezen, kunnen we nagaan waar de eerste besmetting heeft plaatsgevonden. En dat zou de zaken al flink vooruithelpen.

“Voor de gewone gebruikers is er weinig gevaar. Zij worden ten slotte enkel als doorgeefluik gebruikt. Maar van Stuxnet hebben we het laatste nog niet gehoord”, besluit Willems.