De worm vertrouwt niet alleen op een 'traditionele' aansturing via zogeheten command and control-servers, die al zijn neergehaald door malwarebestrijders. Securitybedrijf Symantec heeft ontdekt dat Stuxnet peer-to-peer verbindingen tussen installaties van Stuxnet gebruikt om de malware te updaten. Dit doet denken aan de geavanceerde Conficker-worm, die voor zover bekend echter nooit is ingezet voor malafide doeleinden.

Backupverbinding

"P2p-netwerken worden vaak gebruikt juist omdat ze moeilijk plat zijn te leggen, aangezien er geen centraal knooppunt (point of failure) is. De makers van Stuxnet waren zich ervan bewust dat ze de controle over hun command and control servers konden kwijtraken en hebben dus een p2p updatefunctie ingebouwd om voorbereid te zijn", blogt security-onderzoeker Liam O Murchu van Symantec.

De worm zoekt zelf contact met andere installaties, waarna er bij contact versienummers worden vergeleken om een eventuele oudere versie automatisch bij te werken. Het doet dit via het rpc-protocol (remote procedure call), waarvoor het eigen server- en client-code installeert zodra het op een Windows-pc is binnengedrongen. "Dit betekent dat de aanvallers nog steeds in staat zijn om de worm te updaten en aan te sturen via dit p2p-communicatiekanaal."

Nederlandse waarschuwing

Juist die mogelijkheid tot aanpassing van de complexe worm is ook al aangehaald door Govcert. Die ict-securitydienst van de Nederlandse overheid heeft vorige maand al een factsheet over het in juni ontdekte Stuxnet uitgebracht, bedoeld voor Nederlandse organisaties. Stuxnet is echter gericht op productiebedrijven die een specifiek beheerpakket voor industriële omgevingen draaien. De aanpassingsmogelijkheden en de geavanceerde aard van Stuxnet ontkrachten de notie dat het gevaar beperkt is tot een handvol organisaties.

"Je ziet dat Stuxnet gebruik maakt van meerdere kwetsbaarheden om systemen te kunnen besmetten en voor sommige van die kwetsbaarheden is nog geen oplossing beschikbaar van de leverancier. Als malware misbruik kan maken van dergelijke kwetsbaarheden (waarvoor geen oplossing is), dan is het risico van besmetting groter", vertelt Govcert in een toelichting aan Webwereld.

De factsheet geeft uitleg over en maatregelen tegen deze worm. Uit de nog lopende analyse van de malware door securitybedrijven is al gebleken dat Stuxnet niet alleen maatwerk is, maar ook zeer geavanceerd. De worm gebruikt maar liefst vier beveiligingsgaten die voorheen onbekend waren. Het is zeldzaam dat malware meerdere zogeheten zero-day gaten in één keer inzet.

Nog open

Microsoft heeft al wel patches uitgebracht om enkele van de gaten te dichten die Stuxnet benut om binnen te komen. Twee van die gaten staan nog open, hoewel die minder ernstig worden geacht. Achter Stuxnet schuilen echter duidelijk professionele malwaremakers die goed onderlegd zijn. Zij passen hun worm dus aan, mogelijk om andere zero-day gaten te gebruiken en daarlangs andere systemen binnen te dringen.

Het is volgens Govcert in het verband van nog openstaande gaten "extra belangrijk om beveiligingssoftware te gebruiken: soms heeft een leverancier geen oplossing, maar kan antivirussoftware al wel herkennen dat er een poging tot misbruik plaatsvindt."

'Normaal' risico

"Als u gebruik maakt van de programma’s WinCC of Step 7 van Siemens, of als uw organisatie een procescontrole-omgeving (SCADA) heeft, dan loopt u een verhoogd risico", stelt Govcert in de factsheet over Stuxnet. Organisaties die die industriële beheersoftware niet gebruiken, lopen dus een 'normaal' risico. Govcert bevestigt dat nu in de toelichting aan Webwereld.

"Voor het gros van de mensen en organisaties vormt Stuxnet een bedreiging die overeenkomt met andere malware: het is malware die in de loop van de tijd verandert en aangepast wordt en wordt voorzien van nieuwe manieren om zich te verspreiden en systemen te besmetten."

Dat is via de p2p-functie van Stuxnet dus mogelijk. Govcert adviseert dan ook de gangbare securitymaatregelen, waaronder het updaten van software en het gebruik van antivirus en firewalls. Dat laatste "het liefst in meerdere lagen."