'Ontwikkelaars Duqu en Stuxnet maakten nog drie virussen'
Onderzoekers van Kaspersky hebben ontdekt dat Stuxnet en Duqu mogelijk onderdeel zijn van een platform dat uit ten minste vijf virussen zou bestaan. Dat zou blijken uit registersleutels waar Duqu en Stuxnet naar zoeken.
Componenten van Stuxnet en Duqu zoeken naar twee registersleutels om elkaars aanwezigheid te kunnen waarnemen. Kaspersky heeft nu nieuwe componenten ontdekt die in beide virussen aanwezig zouden zijn en die zoeken naar ten minste drie andere registersleutels, meldt Reuters. Dat zou wijzen op nog drie vergelijkbare virussen.
Eerder claimde Symantec al dat de makers van het Stuxnet-virus, dat zou zijn gebruikt bij aanvallen op Iraanse kerncentrales, ook verantwoordelijk waren voor het Duqu-virus. Volgens Kaspersky zijn beide virussen afkomstig van hetzelfde 'platform' voor het maken van dergelijke virussen, waarbij naar wens componenten kunnen worden toegevoegd en verwijderd.
Eerder gaf de Iraanse overheid aan dat het Duqu-virus is aangetroffen op Iraanse computers. Duqu zou ondanks zijn grote overeenkomsten met Stuxnet een ander doel hebben: waar Stuxnet scada-systemen probeerde te ontregelen, zou Duqu vooral zijn ingezet voor het ontfutselen van informatie. Volgens sommigen zitten de Verenigde Staten en Israël achter het virus, maar hard bewijs voor die stelling is nog niet opgedoken.
Reacties (38)
Nou ik zou bijna zeggen daar heb je toch geen hard bewijs voor nodig, dat is toch gewoon evident. en opzich heb ik er niet zoveel tegen als de ene schurkenstaat de andere afluistert fo zo maar het ontwikkelen van virusen die mogelijk ook gevaar voor burgers oplevert vind ik buiten proportioneel
Er wordt zo veel ontwikkeld wat gevaar op zou kunnen leveren voor de burgers.
Gelukkig weten we niet alles , Ignorance is bliss
Gelukkig weten we niet alles , Ignorance is bliss
Ondertussen wil de gemiddelde overheid wel als van zn burgers weten.
Een beetje vertrouwen over en weer kan geen kwaad, maar de partij die het geweldsmonopolie heeft moet zich dan wel netjes blijven gedragen, en zn best doen niet de schijn tegen krijgen natuurlijk.
Een beetje vertrouwen over en weer kan geen kwaad, maar de partij die het geweldsmonopolie heeft moet zich dan wel netjes blijven gedragen, en zn best doen niet de schijn tegen krijgen natuurlijk.
Als ze op deze manier hun doelstellingen kunnen behalen zonder de inzet van militair ingrijpen, dan is er in mijn ogen al veel gewonnen. Onschuldige burgers zijn maar al te vaak slachtoffer van dergelijk politiek geweld (want oorlog is niks anders dan politiek).
Wat ik zo bijzonder vind aan dit 'virus' is de (schijnbaar) lange tijd dat het onopgemerkt is gebleven. Ok, het virus heeft een heel specifiek doel, maar dan nog. Verder is het dusdanig specifiek geschreven dat vrijwel zeker is dat ze hulp hebben gekregen van (bijv) Siemens. De vraag is dan of Siemens hun SCADA machines bewust van een zwak wachtwoord hebben voorzien (iets wat in de koude oorlog wel vaker voorkwam, o.a. met telefooncentrales).
Verder vind ik het bericht een beetje voorbarig. Ok, er wordt naar nog drie sleutels gezocht, maar kunnen dat niet dezelfde virussen zijn, maar dan een oudere versie? Of wellicht zijn het virussen waarvan de penetratie is mislukt (Stuxnet is bij zijn doel binnengekomen via een USB stick, wellicht is dat bij de andere varianten mislukt). Of wellicht waren het testversies, waarvan de aanwezigheid een bepaalde locatie aanduidt (bijvoorbeeld het eigen kantoor van de ontwikkelaars; je wilt immers niet je eigen systemen infecteren).
Conslusie: we weten het gewoon niet.
Wat ik zo bijzonder vind aan dit 'virus' is de (schijnbaar) lange tijd dat het onopgemerkt is gebleven. Ok, het virus heeft een heel specifiek doel, maar dan nog. Verder is het dusdanig specifiek geschreven dat vrijwel zeker is dat ze hulp hebben gekregen van (bijv) Siemens. De vraag is dan of Siemens hun SCADA machines bewust van een zwak wachtwoord hebben voorzien (iets wat in de koude oorlog wel vaker voorkwam, o.a. met telefooncentrales).
Verder vind ik het bericht een beetje voorbarig. Ok, er wordt naar nog drie sleutels gezocht, maar kunnen dat niet dezelfde virussen zijn, maar dan een oudere versie? Of wellicht zijn het virussen waarvan de penetratie is mislukt (Stuxnet is bij zijn doel binnengekomen via een USB stick, wellicht is dat bij de andere varianten mislukt). Of wellicht waren het testversies, waarvan de aanwezigheid een bepaalde locatie aanduidt (bijvoorbeeld het eigen kantoor van de ontwikkelaars; je wilt immers niet je eigen systemen infecteren).
Conslusie: we weten het gewoon niet.
Ik ben het met je eens dat we niets weten. We weten dat er naar vijf sleutels gezocht wordt maar aangezien een sleutel 4 miljard waarden kan hebben, kunnen de vijf steutels in theorie 4MJ * 4MJ * 4MJ * 4MJ * 4MJ virussen beslaan. We weten het gewoon niet.
Waar de antivirusleveranciers gewoonlijk heel open in zijn is het vermelden hoe een virus informatie naar de maker terugsluist, maar daar horen we niets over. vreemd... nee, verdacht... Ik ben er zeker van dat we nog niet eens de 10% weten over deze virussen.
Waar de antivirusleveranciers gewoonlijk heel open in zijn is het vermelden hoe een virus informatie naar de maker terugsluist, maar daar horen we niets over. vreemd... nee, verdacht... Ik ben er zeker van dat we nog niet eens de 10% weten over deze virussen.
Windows registersleutels hebben altijd/meestal de vorm van een 128bit GUID. Ofwel 3,4×10^38 combinaties ... (wat ongeveer gelijk is aan 'het aantal atomen in het zichtbare universum'^0.5een sleutel 4 miljard waarden kan hebben
).Divide et impera.
Als je de gemiddelde volksvertegenwoordiger vraagt wat hij er van vind zal hij het grondig afkeuren.
Probleem is dat er rond Den Haag en Brussel onderhand voor elke vertegenwoordiger tien lobbyisten rondhuppelen. Zie jou stem als burger daar maar eens doorheen te komen. Er moet een een ongeluk van formaat gebeuren of het moet implicaties hebben op zoveel burgers dat ze in opstand komen. De kans op het eerste als het tweede is in een land als Nederland miniem.
Als je de gemiddelde volksvertegenwoordiger vraagt wat hij er van vind zal hij het grondig afkeuren.
Probleem is dat er rond Den Haag en Brussel onderhand voor elke vertegenwoordiger tien lobbyisten rondhuppelen. Zie jou stem als burger daar maar eens doorheen te komen. Er moet een een ongeluk van formaat gebeuren of het moet implicaties hebben op zoveel burgers dat ze in opstand komen. De kans op het eerste als het tweede is in een land als Nederland miniem.
Dat komt door een chronisch gebrek aan technorealisme en het toestaan dat wetenschappers alles maar onderzoeken. Onze samenleving doet alsof wetenschap buiten de samenleving staat, amoreel is en mag zijn, dat alle onderzoek maar moet kunnen. Maar kijk om je heen, de wetenschap is overal om je heen.
Er zou een raad van toezicht moeten komen die bepaald welk onderzoek nuttig is voor de aarde en haar inwoners zodat we de ontwikkeling van mensenrechten schendende zaken kunnen verbieden. Daarbij dient rekening te houden te worden met milieu, natuur, klimaat oftewel er zouden ecologische grenzen moeten worden bepaald die een technologie niet schaadt
Er zou een raad van toezicht moeten komen die bepaald welk onderzoek nuttig is voor de aarde en haar inwoners zodat we de ontwikkeling van mensenrechten schendende zaken kunnen verbieden. Daarbij dient rekening te houden te worden met milieu, natuur, klimaat oftewel er zouden ecologische grenzen moeten worden bepaald die een technologie niet schaadt
Als landelijke geheime diensten achter een reeks van virussen zitten, dan zijn wij nog niet jarig.
De bronnen, kennis en macht die zij hebben zullen genoeg zijn om elk systeem te besmetten. Ookal zal dit meestal niet op de individuele gebruiker gericht zijn, krijgen wij hier als consument ook mee te maken. Word je straks besmet van je eigen belasting geld...
De bronnen, kennis en macht die zij hebben zullen genoeg zijn om elk systeem te besmetten. Ookal zal dit meestal niet op de individuele gebruiker gericht zijn, krijgen wij hier als consument ook mee te maken. Word je straks besmet van je eigen belasting geld...
Het zou in ieder geval aangeven hoe ze het met de burger voor hebben op het gebied van privacy en veiligheid.
Het is van een overheid niet geloofwaardig als ze de hele tijd doen alsof dat de hoogste prioriteit heeft en ondertussen zichzelf in die wereld mengen, kwaadaardige software verspreiden of achterdeuren in bestaande programma's (laten) aanleggen. Op die manier werkt het averechts. Die leugenachtige houding komt over als een oorlogsverklaring tegen het volk. Burgers zullen zich daar telkens meer tegen keren en de computerexperts daaronder zullen zich telkens harder vastbijten in het aan banden leggen van overheidscontrole.
Het is van een overheid niet geloofwaardig als ze de hele tijd doen alsof dat de hoogste prioriteit heeft en ondertussen zichzelf in die wereld mengen, kwaadaardige software verspreiden of achterdeuren in bestaande programma's (laten) aanleggen. Op die manier werkt het averechts. Die leugenachtige houding komt over als een oorlogsverklaring tegen het volk. Burgers zullen zich daar telkens meer tegen keren en de computerexperts daaronder zullen zich telkens harder vastbijten in het aan banden leggen van overheidscontrole.
Helemaal mee eens. Ik heb ook het idee dat al onze systemen al lang besmet zijn met slapende virussen. Het is alleen een gevoel want ik kan het natuurlijk niet bewijzen. Maar als je ziet wat hackergroepen al kunnen bereiken, dan moeten de geheime diensten van zeg de vs en china nog veel meer kunnen. Alleen die schreeuwen het niet van de daken. Je leest wel eens dat de VS meer geld in DARPA stoppen om het land te verdedigen tegen cyber aanvallen. Maar ik denk dat er ook een grote pot geld klaar staat om zo`n aanval zelf uit te voeren. Als je het internet in een land stil kan leggen. dan heb je al een eerste grote stap gezet. Zie maar de macht van het internet bij de Arabische lente.
Ik denk dat de overheden niet bang zijn voor de reactie van het publiek bij een mogelijke ontdekking. Bij het Stuxnet virus is nu ook niet te bewijzen waar het vandaan komt. Dat zal bij andere virussen ook zo zijn.
Nogmaals, dit is allemaal een mening, geen bewijzen.
Ik denk dat de overheden niet bang zijn voor de reactie van het publiek bij een mogelijke ontdekking. Bij het Stuxnet virus is nu ook niet te bewijzen waar het vandaan komt. Dat zal bij andere virussen ook zo zijn.
Nogmaals, dit is allemaal een mening, geen bewijzen.
Je zou toch zeggen dat er ondertussen genoeg tijd is geweest om deze virussen helemaal te onderzoeken. Met een aantal tooltjes van Sysinternals zou je dit zo boven water moeten krijgen...
Dit zijn niet gewoon virussen, en zijn niet zomaar opspoorbaar.
Lees eens wat een lange weg er is afgelegd om ook maar een beetje van Stuxnet te ontcijferen:
http://www.wired.com/thre...tives-deciphered-stuxnet/
Lees eens wat een lange weg er is afgelegd om ook maar een beetje van Stuxnet te ontcijferen:
http://www.wired.com/thre...tives-deciphered-stuxnet/
Het idee en architectuur achter Duqu is hetzelfde als die van Stuxnet en andersom. Een driver bestand laad een module in, welke ontworpen is als een gecodeerde library. Met een losstaand configuratiebestand en een verwijzing naar kwaardaardige input in het systeemregister wordt deze module geladen en raakt het systeem geinfecteerd. Zie: Stuxnet/Duqu: The Evolution of Drivers
Maar goed, men zal altijd achter de feiten blijven aanlopen. Nu dat de architectuur van deze virussen enigzins duidelijk zijn, zal er vast wel weer een nieuwe klaar staan.
Maar goed, men zal altijd achter de feiten blijven aanlopen. Nu dat de architectuur van deze virussen enigzins duidelijk zijn, zal er vast wel weer een nieuwe klaar staan.
Maar aan de andere kant vraag ik me dan af, als deze virussen een zo herkenbaar kenmerk achterlaten (registersleutel) moet het toch redelijk eenvoudig zijn om dit virus te detecteren eens je het weet?
Idd en tot die tijd kan het virus gewoon zijn gang gaan.
Dat niet alleen, maar de moderne cloud scanners vormen een directe bedreiging voor deze virussen. Dit soort scanners uploaden alles wat ze verdacht vinden naar een externe machine voor een uitgebreide scan. Op die manier zijn ze destijds ook achter de bron van de RSA hack gekomen. En hoe korter Stuxnet-achtige virussen onopgemerkt kunnen blijven, des te kleiner de kans wordt dat de beoogde doelstelling wordt behaald.
[Reactie gewijzigd door Rick2910 op donderdag 29 december 2011 09:57]
Dat wat je als laatste zegt is volgens mij best wel relevant.
Wat nou als deze virussen er gewoon zijn als dekmantel van een ander virus?
Wat nou als deze virussen er gewoon zijn als dekmantel van een ander virus?
Het probleem zit hem nog steeds in de architectuur van Windows. Het is te makkelijk om een driver of DLL te laden die toegang heeft tot alle systeemresources. Op mainframes en UNIX-gebaseerde systemen is dat veeeel beter afgeschermd.
Dit probleem zal niet snel opgelost worden want op een mainfrae heb je een beheerder die weet hoe een computer beveligd moet worden en niet zo maar een programma toegang geeft tot systeemresources. Een windows gebruiker weet dat niet, daar heeft ie geen opleiding voor gehad. Er moet een nieuw mechanisme komen dat op veilige wijze bepaalt of een programma, DLL, driver etc. veilig is. Je kunt denken aan een antivirus variant die van te voren een programma test en de goedgekeurde programmas in zijn database stopt en ongekeurde programmas niet toestaat. Veel werk voor de antivirus-leverancier en makers van software maar wel veiliger.
Dit probleem zal niet snel opgelost worden want op een mainfrae heb je een beheerder die weet hoe een computer beveligd moet worden en niet zo maar een programma toegang geeft tot systeemresources. Een windows gebruiker weet dat niet, daar heeft ie geen opleiding voor gehad. Er moet een nieuw mechanisme komen dat op veilige wijze bepaalt of een programma, DLL, driver etc. veilig is. Je kunt denken aan een antivirus variant die van te voren een programma test en de goedgekeurde programmas in zijn database stopt en ongekeurde programmas niet toestaat. Veel werk voor de antivirus-leverancier en makers van software maar wel veiliger.
Op zich een logische ontwikkeling omdat informatiestromen vaak gescheiden zijn en door verschillende virussen in te zetten kan je prima een mix maken van commando's op verschillende systemen zodat je b.v. een pomp uitzet en tevens het knopje in de meldkamer die daarvoor waarschuwd in de meldkamer.
(kan het niet duidelijker uitleggen iemand anders maybe ter aanvulling?)
(kan het niet duidelijker uitleggen iemand anders maybe ter aanvulling?)
Ik snap wat je bedoelt. Het is alleen wel een beetje heel erg dom om dat knopje in die meldkamer aan de pomp te verbinden via internet en het aan- en uitgaan laten regelen door een systeem dat onder 'algemene standaard' valt.
Zo'n expert hoef je niet te zijn om te concluderen dat dat enorme risico's zijn, en dat is wat ik nooit heb gesnapt bij dat Stuxnet-verhaal. Als je een kerncentrale in Iran op Windows laat draaien weet je toch waar je aan begint? Dan kun je mooi achteraf blaten dat Stuxnet zo briljant is, maar imo ben je zelf de oorzaak van je ellende.
Zo'n expert hoef je niet te zijn om te concluderen dat dat enorme risico's zijn, en dat is wat ik nooit heb gesnapt bij dat Stuxnet-verhaal. Als je een kerncentrale in Iran op Windows laat draaien weet je toch waar je aan begint? Dan kun je mooi achteraf blaten dat Stuxnet zo briljant is, maar imo ben je zelf de oorzaak van je ellende.
[Reactie gewijzigd door blorf op donderdag 29 december 2011 10:25]
Intranet bedoel je toch hoop ik? Zoals bekend is Stuxnet via USB het complex binnengekomen. Het complex is niet met het internet verbonden, noch machines daarbinnen.
Zo werkt het niet in PLC/Scada wereld.
Wat er gebeurt is dat een pomp via I/O en een besturing wordt bediend door een programma of door de operator. Dit is vaak custom software die niet te hacken is op de manier dat de Stuxnet werkt.
De Stuxnet bedient een profibus device, deze devices hebben vaste I/O op deze bus. Als je een scan doet van alle profibus deelnemers (ja, dat kan, die Siemens software is veel te goed) en je detecteerd je device, kan je je eigen software ertussen zetten. Op deze manier kan je dus precies bepalen wat er wordt uitgestuurd naar het device en wat er wordt getoond op het scherm/programma.
Dit werkt dus alleen voor devices waarvan bekend is hoe de I/O mapping is, en kan bij elke profibus deelmemer. Een variant hierop is het bedienen van dit soort devices via OPC, zelfde manier alleen nu via het OPC protocol.
Wat er gebeurt is dat een pomp via I/O en een besturing wordt bediend door een programma of door de operator. Dit is vaak custom software die niet te hacken is op de manier dat de Stuxnet werkt.
De Stuxnet bedient een profibus device, deze devices hebben vaste I/O op deze bus. Als je een scan doet van alle profibus deelnemers (ja, dat kan, die Siemens software is veel te goed) en je detecteerd je device, kan je je eigen software ertussen zetten. Op deze manier kan je dus precies bepalen wat er wordt uitgestuurd naar het device en wat er wordt getoond op het scherm/programma.
Dit werkt dus alleen voor devices waarvan bekend is hoe de I/O mapping is, en kan bij elke profibus deelmemer. Een variant hierop is het bedienen van dit soort devices via OPC, zelfde manier alleen nu via het OPC protocol.
Het zijn dan ook dat soort zwakheden die uitgebuit worden, ik denk dat dat centrifuge verhaal dat bevestigd.
vs EN Israel? Zou een zo'n land het niet alleen afkunnen dan?
En ik bendenk me net, als het de Vs is, zijn deze publicaties van Symantec dan niet 'staats gevaarlijk'? Meer dan die van wikileaks lijkt me.
En ik bendenk me net, als het de Vs is, zijn deze publicaties van Symantec dan niet 'staats gevaarlijk'? Meer dan die van wikileaks lijkt me.
[Reactie gewijzigd door trogdor op donderdag 29 december 2011 10:17]
Als ze publicaties tegenhouden geven ze indirect toe dat ze inderdaad de opdrachtgever zijn. Door zich op de vlakte te houden zal Iran nooit 100% zeker kunnen zijn wie er achter zit (het kunnen immers net zo goed criminelen zijn geweest, of een compleet ander land).
Je geeft als land nooit zaken toe die worden uitgevoerd door je geheime dienst; die zijn immers voor een reden geheim.
Edit: om deze reden zijn 'übergeheime' locaties op Google Maps ook nooit geblokt. Die blokjes geven immers al weg dat er iets aanwezig is op die locatie. Zo is Area 51 gewoon zichtbaar, idem voor het Yodok concentratiekamp en menig SIGINT grondstation.
Je geeft als land nooit zaken toe die worden uitgevoerd door je geheime dienst; die zijn immers voor een reden geheim.
Edit: om deze reden zijn 'übergeheime' locaties op Google Maps ook nooit geblokt. Die blokjes geven immers al weg dat er iets aanwezig is op die locatie. Zo is Area 51 gewoon zichtbaar, idem voor het Yodok concentratiekamp en menig SIGINT grondstation.
[Reactie gewijzigd door Rick2910 op donderdag 29 december 2011 10:37]
Omdat Iran Israel en de VS als vijanden ziet (en omgekeerd) is het logisch dat zij de schuld krijgen. Al was het alleen maar om ze zwart te maken. Maar ik acht ze er wel toe in staat.
De grootste nadelige gevolgen van de digitale revolutie moeten er nog aankomen vrees ik, en dan is het hek van de dam.
ik las ergens dat ze Tilded een soort virus factory is..
nou geweldig dan
even modules aanpassen en obama kan een nieuwe virus verspreiden...:S
nou geweldig dan
even modules aanpassen en obama kan een nieuwe virus verspreiden...:S
Ligt het aan mij of is het een beetje 'knullig' dat het ene virus op zoek gaat naar de registersleutels van vier andere..? Je kan als virusmaker toch wel verwachten dat je software ontleed wordt en dat daarmee meteen ook bekend is dat je niet één maar vijf virussen hebt geschreven?
Het ligt er maar net aan hou lang je ze wilt gebruiken.
Wanneer de vijf virussen deel uit maken van dezelfde 'campagne' die eindigt op het moment dat één van die virussen wordt ontdekt maakt het je niet uit wat er daarna gebeurt met de andere virussen.
Je moet alleen zorgen dat je de opvolger, gebaseerd op een totaal ander 'platform' al klaar staat.
Wanneer de vijf virussen deel uit maken van dezelfde 'campagne' die eindigt op het moment dat één van die virussen wordt ontdekt maakt het je niet uit wat er daarna gebeurt met de andere virussen.
Je moet alleen zorgen dat je de opvolger, gebaseerd op een totaal ander 'platform' al klaar staat.
Uhm, virus die register sleutels gebruikt? Hebben ze geen gemeenschappelijke uninstaller gevonden :-)
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
