Fabrieken, installaties en nutsbedrijven in Iran zijn flink geïnfecteerd door de worm. Die is speciaal ontworpen om via het Windows-gat gebruik te maken van bekende zwakheden in de industriële beheersoftware Simatic WinCC en processtuursoftware Simatic PCS 7 van Siemens. Securitybedrijf Symantec meldt dat bijna 60 procent van de Stuxnet-infecties in Iran zit.

Al maanden

De malware is vorige maand ontdekt door antivirusbedrijf VirusBlokAda uit het Oost-Europese Wit-Rusland. Dat bedrijf trof de worm aan op een systeem van een Iraanse klant. De worm is al langere tijd in omloop, mogelijk al sinds januari , vertelt technisch directeur Elias Levy aan Computerworld.

Symantec speculeert nog dat organisaties en bedrijven in Iran door handelsembargo’s mogelijk ook erg weinig antivirussoftware hebben draaien. Siemens, wiens bedrijfssoftware op de korrel is genomen door deze maatwerk-malware, heeft eerder dit jaar aangegeven zijn activiteiten in Iran, die 438 miljoen dollar opleveren, te willen stopzetten.

VS slechts 1,56 procent

Na Iran (met 58,85 procent) volgen Indonesië en India met respectievelijk 18,22 en 8,31 procent van de besmettingen. Ter vergelijking: de met veel meer fabrieken en computers bevolkte Verenigde Staten haalt slechts 1,56 procent van de infecties. Deze percentages zijn afkomstig van een totaal van 14.000 unieke ip-adressen die Symantec vorige week gedurende drie dagen heeft gemeten. Dat is gedaan na analyse van de malware die contact blijkt te zoeken met twee command and control-servers, die vervolgens zijn afgesneden.

Het aantal van 14.000 ip-adressen is kleiner dan het daadwerkelijke aantal besmette computers, merkt Symantec nog op. De meeste organisaties gebruiken namelijk één extern ip-adres voor hun vele interne systemen. Dit is niet slechts een aanname van het securitybedrijf: Stuxnet stuurt ook gegevens van de computer mee waarop het draait, waaronder ook het interne ip-adres. Symantec-topman Levy schat dat er zo’n 15.000 tot 20.000 computers besmet zijn.

Default wachtwoorden

De worm gebruikt het nog altijd openstaande shortcut-beveiligingslek in Windows, maar gebruikt dat slechts als opstap naar het werkelijke doel. Dat is de beheersoftware Simatic WinCC, die dient om fabrieken en nutsbedrijven te besturen. Stuxnet dringt daar binnen via de default wachtwoorden die in 2008 zijn uitgelekt en probeert informatie uit die systemen naar buiten te verzenden.

Bijkomend probleem is dat de industriële beheersoftware voor de eigen werking deels vertrouwt op dat default wachtwoord. Het wijzigen daarvan, om de worm te weren, kan dus het hele systeem platleggen. Fabrikant Siemens heeft klanten hier al voor gewaarschuwd.

Ontwormingstool

Inmiddels is Siemens ook met een verwijderingmiddel gekomen. De op de supportpagina aangeboden Sysclean-tool is afkomstig van Trend Micro. Het detecteert en verwijdert de malware, maar doet dat pas als de tool én de benodigde definitiebestanden zijn gedownload. Eerstgenoemde is het zip-bestand dat Siemens biedt, de tweede is bij Trend Micro op te halen.

De tool draait op de 32-bit uitvoeringen van Windows XP, 2003, Vista en 7 naast ook de oudere Windows-versies NT 4.0 en 2000 (zowel de Workstation- als Server-varianten). Voor NT moeten beheerders nog wel een bijbehorend dll-bestand vanaf de installatie-cd voor Windows kopiëren naar een systeemmap.

Iconen verbergen

Daarnaast biedt Siemens ook een Simatic Security Update aan. Dat is echter een eigen uitvoering van de workaround die Microsoft al biedt en die simpelweg het weergeven van iconen voor snelkoppelingen (shortcuts) uitschakelt. Zodra Microsoft met een daadwerkelijke patch voor het shortcut-lek komt, zal Siemens een security update uitbrengen die de iconen weer herstelt.