Nederlander ontleedt Stuxnet-worm

Met dank aan een niet bij naam genoemde Nederlandse Profibus-expert is het Symantec-onderzoekers gelukt om ook de diepste lagen van de code van Stuxnet te ontcijferen. Daaruit blijkt dat de geavanceerde spionageworm het alleen voorzien heeft op zeer specifieke systemen, zoals ultracentrifuges voor het verrijken van uranium, meldt Symantec.

4 zero day-gaten

Al eerder is duidelijk geworden dat de superworm, via maar liefst vier zero day-gaten in Windows, specifieke maar veelgebruikte industriële beheersoftware van Siemens infecteerde. Via die zogeheten SCADA-software nestelt Stuxnet zich vervolgens in de daadwerkelijke controllers, de zogenaamde PLC's, voor fabriekssystemen. Daar bespioneert en manipuleert de malware dan commando's die aan de achterliggende machinerie wordt gegeven.

Die communicatie verloopt via Profibus (Process Field Bus). Dat is een netwerkstandaard voor de gedistribueerde uitwisseling van informatie (input/output, I/O) tussen industriële machines, aansturingsmodules (PLC's) en de programmeerinterfaces daarvoor (zoals Siemens' SCADA-pakketten WinCC en Step 7).

Alleen hoog toerental

Met hulp van de Nederlandse Profibus-expert is nu ook aan het licht gekomen hoe de laatste fase van infectie en sabotage in zijn werk gaat. Stuxnet blijkt alleen in te grijpen op machines met een zeer hoog toerental.

Pas als de worm omwentelingssnelheden van 807 Hz (48420 toeren per minuut, rpm) of hoger detecteert, begint het zijn subtiele sabotagewerk.

Machinerie saboteren

Over de periode van maanden schroeft het heel af toe het toerental drastisch omhoog en omlaag: naar 1410Hz, dan plots naar bijna stilstand (2Hz) en vervolgens weer naar 1064Hz. Hierdoor treden allerhande storingen op in de aangestuurde motoren. In de SCADA-interface is daar echter niets te zien, want Stuxnet verandert tevens de feedbackdata vanuit de machines, zodat het lijkt of er niets aan de hand is.

Zelfs als de pc's met Windows en WinCC/Step 7 erop zijn gedeïnfecteerd, blijft Stuxnet aanwezig en actief in de PLC's zelf. De worm blijft dus via Profibus de machinerie saboteren. Nieuw geprogrammeerde blokken code worden ín de PLC door Stuxnet overschreven voordat ze in het geheugen gaan. Dat maakt Stuxnet tot een nog nooit vertoonde tientrapsraket.

Wel nucleair doelwit

Symantec suggereert op basis van het mikpunt van de enorm hoge toeren dat het doelwit van Stuxnet inderdaad nucleaire technologie was. Voor de verrijking van uranium zijn namelijk zeer snel draaiende ultracentrifuges nodig.

Motoren en frequentieregelaars die met dergelijke snelheden werken, vallen onder het regime van de Amerikaanse Nuclear Regulatory Commission, die de export ervan streng reguleert. Volgens Symantec wordt het soort hoge-frequentieregelaars die Stuxnet speficiek manipuleert alleen gefabriceerd in Finland en in Iran.

Symantec was niet meteen bereikbaar voor inhoudelijk commentaar en nadere informatie over de Nederlandse Profibus-expert.

Eerder in het Dossier Stuxnet:

20 juli: Wormwerende inlogwijziging saboteert beheersysteem

22 juli: Veel aanvallen via shortcut-lek Windows verwacht

26 juli: Iran blijkt doelwit Windows shortcut-worm

28 juli: Microsoft raadt externe afweer shortcut-lek af

31 juli: Noodpatch voor Windows shortcut-lek

4 aug: Veel kritieke systemen krijgen geen XP-patch

15 sept: Microsoft laat twee gaten voor Stuxnet-worm open

23 sept: Stuxnet-worm update zichzelf via p2p

27 sept: Stuxnet besmet Iraanse kerncentrale

28 sept: Stuxnet-worm laat backdoor achter

1 okt: Stuxnet sloopte mogelijk satelliet

4 okt: Stuxnetworm valt Nederlandse multinational aan

4 okt: 'VS faalt bij waarschuwing voor stuxnetworm'

12 okt: EU: Stuxnet-gevaar overschrijdt landsgrenzen

13 okt: Microsoft laat Stuxnet-gat openstaan

26 okt: Stuxnet-patch Siemens laat gat open

3 nov: 'Stuxnet-scanner' zoekt aanvalsdoelen