Ik wou jullie mening wel eens horen over het stukje beneden

ttp://www.security.nl/artikel/34490/1/Virusbestrijders_bewonderen_Stuxnet-worm.html

De Stuxnet-worm die wereldwijd tientallen fabrieken infecteerde, krijgt veel bewondering van anti-virusbedrijven. "Het is echt verbazend, de middelen die in deze worm zijn gaan zitten", zegt Liam O Murchu van Symantec. Roel Schouwenberg van Kaspersky Lab noemt de werking van de worm zelfs 'baanbrekend'. Beide anti-virusbedrijven ontdekten de aanvullende exploits waardoor de worm zich verspreidt. Naast het Windows LNK-lek, gebruikt de worm vier andere kwetsbaarheden.

Iran was het voornaamste doelwit van de worm, aangezien 60% van de besmette machines zich daar bevond. Het was de aanvallers vooral om SCADA-systemen te doen, die via het netwerk werden ge´nfecteerd. De besmetting van het netwerk vond via een ge´nfecteerde USB-stick plaats. Naast de vijf exploits, waarvan vier zero-days, gebruikte Stuxnet ook twee legitieme certificaten van Realtek en JMicron.

Indrukwekkend
"De organisatie en complexiteit om het gehele pakket uit te voeren zijn zeer indrukwekkend", aldus Schouwenberg. "Wie erachter zit had een missie om bij de bedrijven binnen te komen die ze als doelwit hadden." Volgens O Murchu is het duidelijk dat de worm door een team van mensen met verschillende achtergronden is gemaakt. Stuxnet is ongeveer een halve megabyte groot en in meerdere talen geschreven, waaronder C, C++ en andere object-georiŰnteerde talen.

"Wat de SCADA-kant betreft, wat een zeer gespecialiseerd onderwerp is, zouden ze fysieke hardware nodig hebben gehad om te testen, en de kennis van de specifieke werkvloer", laat O Muchu weten. "Het was een groot, groot project." Om niet al teveel op te vallen, werd er een teller op de ge´nfecteerde USB-stick aangebracht, zodat die niet meer dan drie pc's kon infecteren. "Ze wilden de verspreiding van deze dreiging beperken, zodat het binnen de aan te vallen fabriek bleef."

Conficker
Dat verklaart ook het gebruik van de MS08-067 exploit, waardoor ook Conficker zich verspreidde. "In de meeste SCADA-netwerken wordt niet gelogd en is er zeer beperkte beveiliging en erg langzame patchcycli aanwezig", verklaart Schouwenberg. Daardoor was de MS08-067 exploit ideaal. O Murchu denkt niet dat het om een private groep gaat. "Het ging ze niet alleen om de informatie, dus een concurrent is uitgesloten. Ze wilden de PLCs herprogrammeren en de machines op een manier besturen die niet door de oorspronkelijke beheerders bedoeld was. Dat wijst op meer dan alleen industriŰle spionage."

Siemens liet eerder weten dat veertien van de fabrieken door de worm waren besmet, maar dat er geen schade was aangericht. De beide virusbestrijders zijn daar niet zeker van. Zowel Schouwenberg als O Murchu gaan ervan uit dat de operatie van de aanvallers succesvol was, aangezien de command & control infrastructuur zeer primitief was. "Ze waren ervan overtuigd dat ze konden doen wat ze wilden voordat ze werden ontdekt."