Stuxnet-worm laat backdoor achter
Gepubliceerd: Dinsdag 28 september 2010
Auteur: Jasper Bakker
De Stuxnet-worm injecteert ook een achterdeur in projectbestanden van industriële beheersoftware. Daarmee kan het na opschoning terugkomen en ook andere pc's besmetten.
De geavanceerde worm heeft dus niet alleen een ingebouwde mogelijkheid om zichzelf te updaten via p2p. Daarvoor zijn nog actieve besmettingen nodig. Nu blijkt uit het voortgaande onderzoek naar deze complexe maatwerkmalware dat het ook malafide dll-bestanden achterlaat in projectbestanden van Siemens aanstuurprogramma Step 7. Dat pakket dient om industriële beheersystemen te programmeren en te configureren.
Back-up besmet
De achtergelaten backdoor stelt Stuxnet in staat om terug te komen nadat de worm is verwijderd. Bovendien is het mogelijk om eerder niet besmette pc's te infecteren als die een Step 7-projectbestand met de malafide dll openen. Hiermee benut Stuxnet niet alleen de reguliere back-ups van data, maar ook het waarschijnlijke scenario dat beheerders een back-up doen voordat ze scannen op de worm en die verwijderen.
De backdoor is ontdekt door Symantec. Manager Liam O Murchu van het security response team van die leverancier vertelt aan Computerworld dat Stuxnet zichzelf hiermee nog verder kan verspreiden. De worm komt in eerste instantie binnen via eerder nog onbekende (zero-day) beveiligingsgaten in Windows, maar ook via malafide usb-sleutels. Bij laatstgenoemde binnendringmethode is de officiële digitale handtekening en usb-id van hardwarefabrikant Realtek gekaapt.
Iran: 'geen grote schade'
Overigens ontkent Iran, wat de meeste Stuxnet-besmettingen telt, nu dat de ict-omgeving in zijn kerncentrale is beschadigd door Stuxnet. De worm heeft wel degelijk pc's in die centrale geïnfecteerd, zegt een woordvoerder van de Iraanse regering. Hij spreekt echter tegen dat er sprake is van "grote schade". Het is niet duidelijk wat de impact van de besmetting is en wat Iran verstaat onder 'kleine schade' in dit verband.
