Iran meldt arrestaties in verband met Stuxnet-worm

De Iraanse minister voor inlichtingendiensten Heydar Moslehi heeft bekend gemaakt dat er een onbekend aantal 'nucleaire spionnen' zijn gearresteerd. Mogelijk staan de aangehouden personen in verband met de computerworm Stuxnet.

Volgens Moslehi zouden de gearresteerde personen er op uit zijn geweest om het kernprogramma van Iran te saboteren, zo schrijft The New York Times. Het is niet duidelijk wie er gearresteerd zijn en om hoeveel mensen het zou gaan. De minister liet verder weten dat Iran een oplossing heeft gevonden om vijandige malware-aanvallen op Iraanse computersystemen onschadelijk te maken.

Iran gaf een week geleden toe dat de Stuxnet-worm zeker 30.000 computersystemen in het land had besmet, waaronder een aantal pc's die in nucleaire installaties stonden opgesteld. De door deskundigen als zeer complex omschreven malware zou zich richten op het aanvallen van industriële scada-systemen van de Duitse firma Siemens. Deze software van Siemens wordt onder andere gebruikt in de nucleaire installaties van Iran.

In een uitvoerige analyse van de malware door Symantec wordt gesteld dat Stuxnet gebouwd is door naar schatting vijf tot tien zeer deskundige hackers. Vermoedelijk zou het project gezien de omvang en complexiteit door een overheid moeten zijn gefinancierd. Iran wijst met een beschuldigende vinger naar de VS en Israël.

Bij een nadere analyse van de broncode van Stuxnet trof Symantec het woord 'myrtus' aan, Latijn voor 'maagdenpalm'. Dit woord zou een verwijzing kunnen zijn naar het Hebreeuwse woord 'hadassah' en verwijzen naar Joodse Bijbelteksten. Ook werd in de broncode het getal '19790509' aangetroffen, een datum die mogelijk verwijst naar de executie van een belangrijke Joodse zakenman in Iran op 9 mei 1979. Symantec stelt echter dat de aanwijzingen door de malwaremakers er ook bewust in kunnen zijn gestopt om zo de precieze herkomst verder te verdoezelen.

IT-banen

Reacties (63)

mphilipp 3 oktober 2010 19:04

@Elmo Misschien kijk je idd teveel films. De ophef met name door ondeskundige pers doet het verhaal geen goed. Maar lees voor de gein dit stuk eens uit Computable, waarin oa een analyse van een collega van me staat waaruit blijkt dat dit stukje software toch echt een heel ernstig stuk electronische oorlogsvoering was. Het is niet door één floeperd geschreven, maar door een team van deskundigen die nauw hebben samengewerkt. Er zit teveel inside kennis is om zomaar iets te zijn.

Of het uit Israël komt of specifiek op de Iraanse kerncentrale gericht was, is mij niet bekend. Ik weet ook niet of daar concrete aanwijzingen voor zijn. Het zou zomaar kunnen dat men die kerncentrale in het nieuws brengt, terwijl er ook installaties in Europa of de VS zijn die last hebben gehad. Dat weet je natuurlijk niet. Er is een politieke agenda om die centrale weg te krijgen.

Ik hou me niet zo bezig met complotten, maar dit ding was écht en serieus. Of een vingeroefening (poc) voor iets groters. De films halen voorlopig wel hun inspiratie uit de echte wereld.

[Reactie gewijzigd door mphilipp op 24 juli 2024 16:56]

wildhagen

Malware
Beveiliging
Politiek en recht
Privacy

3 oktober 2010 13:44

Klinkt niet eens zo onaannemelijk dat er een derde partij achter zou zitten. Gezien alle (imho onzinnige) commotie rondom de kerncentrale zou het sommige partijen misschien wel goed uitkomen als die centrale hierdoor platgelegd zou kunnen worden.

Maar wat had er in het ergste geval kunnen gebeuren, als ze het niet op tijd onder controle gekregen hadden? Hadden we dan een nucleaire meltdown kunnen krijgen, of een explosie, zoals destijds bij Tsjernobyl?

Iig mogen de daders, ongeacht wie ze zijn of voor wie ze werkten, wat mij betreft wel streng gestraft worden. Met zulke gevaren ga je dit soort dingen imho dus niet doen...

[Reactie gewijzigd door wildhagen op 24 juli 2024 16:56]

max3D @wildhagen • 3 oktober 2010 15:56

Het lijkt me niet dat het virus op de kerncentrale gericht was. De veiligheidsvoorzieningen bij de aanleg zijn zeer strak en de interne aansturing van centrale kent meerdere zeer strakke beveilingsniveaus. De Russen zijn niet gek en hadden al ruime ervaring met pogingen tot sabotage.

Nee, ik kijk eerder naar de centrifuges. Dat is veel meer Iran´s eigen project geweest met gekochte kennis die deels uit Nederland afkwam. centrifugehallen zijn niet zo kritisch qua straling, meltdowns zijn onmogelijk etc. Edoch als industrieel ontwerp zijn ze wel zeer kritisch. De engineering, gebruikte materialen en softwarematige tuning luisteren zeer nauw. Een minimieme fout daarin vernietigd een volledige centrifuge.

Buitenlandse overheden (we kunnen ze ook gewoon Israel en de VS noemen) hebben de bouw van centrifuges wereldwijd trachten te saboteren door o.a. engineering documenten ´te lekken´ die miniscule fouten bevatten waar door de centrales instabiel werden. Daarnaast is er strakke controle op alle grondstoffen en halffabrikaten voor de feitelijke bouw. Zie alle in beslag genomen aluminium pijpen als vrolijk voorbeeld.

De laatste stap is de software te manipuleren als het een land desondanks gelukt is om de centrifuges ondanks al die sabota werkend te krijgen en intern te upgraden naar hogere efficientie en hogere spindle speeds.

Je moet je voorstellen dat je duizenden, zo niet tienduizenden centrifuges nodig hebt als je serieus wi opwerken naar genoeg materiaal geschikt voor een kerncentrale.

Er zijn aanwijzingen in het virus gevonden dat het zichzelf beschermt tegen te grote verspreiding (max 3 pc´s geloof ik per instantie) dus het doel was zeker niet alle mogelijke pc´s te besmetten. Wat echter ook opviel is dat in de Scada payload parallele software te vinden is. Ideaal voor een hit in een centrifuge hal.

Als gezegd een minimale ontregeling van de zorgvuldig getunede centrifuge software die via Scada controllers gereguleerd worden leidt heel snel tot vernieting van de centrifuge (iets te hard draaien, niet goed reageren op temperatuur fluctuaties, ec en ze slaan zichzelf kapot (even in leken taal dan).

Een interessant nevenaspect is dat de Iraniers toch al tobben met de centrifuges omdat ze structureel materiaal aangeboden krijgt dat door veiligheidsdiensten bewust doorgelaten wordt omdat het net buiten de specificaties valt door bewuste sabotage. Iran is dus al gewend aan niet functionerende of exploderende centrifuges en zou het probleem in eerste instantie waarschijnlijk in de materialen zoeken en dus preventief de hele opwerkingsfabriek plat leggen voor lange tijd voordat ze naar een virus in hun industriele software zouden kijken.

Dus samenvattend: veel waarschijnlijker is dat de opwerkingsfabriek in Narantz het target was, want daar had je de ideale omstandigheden: parallele targets, geen Russische know how on the spot, zelf geassembleerde en by trial an error werkende systemen en een zeer lage ontregeling is voldoende voor vernietiging van de centrifuges.

High-Voltage2 @wildhagen • 3 oktober 2010 14:00

Ik ga een explosie niet uitsluiten, maar de kans is toch veel kleiner dan bij Tsjernobyl. In de reactor van Tjernobyl werd hoofdzakelijk grafiet gebruikt als moderator en water als koelmiddel, bij de huidige reactoren wordt water gebruikt als moderator en koelmiddel. Wat is het verschil: stel dat het water onvoldoende kan koelen (te weinig circulatie, whatever) dan begint het te koken, waardoor de hoeveelheid water afneemt. Hierdoor neemt het moderatievermogen van/in de reactor af waardoor de vrijgekomen neutronen te snel zijn om te binden met de overige atomen. Hierdoor vertraagt de reactie of valt ze uiteindelijk stil. Heb je grafiet als moderator, dan moet je het grafiet verwijderen om de reactie te vertragen. Begint je water te verdampen dan heb je nog minder koelvermogen en zolang het grafiet niet uit de reactor gaat blijft de reactie op volle snelheid doorwerken.
Dit wordt uitgedrukt door de dampbelcoëfficient.

Het verhaal van Tjernobyl is een complex gebeuren geweest, je kan niet één fout aanwijzen, het was een reeks van opeenvolgende fouten. Het verkeerde ontwerp was daar één van, maar staat zeker niet op zichzelf.

Ik ga er toch van uit dat Iran een PWR heeft gebouwd en geen (russische) RBMK.

Verwijderd @High-Voltage2 • 4 oktober 2010 08:00

Ik ga er toch van uit dat Iran een PWR heeft gebouwd en geen (russische) RBMK.

Klopt, de reactoren in Bushehr zijn van het VVER type, een Russische PWR.

Verwijderd @High-Voltage2 • 4 oktober 2010 18:19

Had ook iets te maken met mensen die aan het eind van hun shift de beveiliging netjes uitschakelden omdat er testen gepland waren....

En de volgende shift een stelletje rookies was....

En de Russische overheid het gewoon lekker geheim hield totdat mensen in Europa zich niet zo lekker meer voelden en vragen begonnen te stellen....

En het toen nog wekenlang in de doofpot drukten. Wat een eikels.

Aham brahmasmi @wildhagen • 3 oktober 2010 14:02

Maar wat had er in het ergste geval kunnen gebeuren, als ze het niet op tijd onder controle gekregen hadden? Hadden we dan een nucleaire meltdown kunnen krijgen, of een explosie, zoals destijds bij Tsjernobyl?

Ik denk dat iets dergelijks wel het idee was, aangezien het virus temperatuursensoren e.d. kon programmeren.

Verwijderd @wildhagen • 3 oktober 2010 14:35

Maar wat had er in het ergste geval kunnen gebeuren, als ze het niet op tijd onder controle gekregen hadden? Hadden we dan een nucleaire meltdown kunnen krijgen, of een explosie, zoals destijds bij Tsjernobyl?

De centrale in Bushehr is redelijk veilig. Het vermoedelijke doel van Stuxnet waren de verrijkingsfabrieken die dan ook enige tijd hebben stilgelegen.

plukke @wildhagen • 3 oktober 2010 19:47

Nope. Een meltdown of andersoortige ongein is volledig uitgesloten. De Windows based PC's van dit systeem van Siemens zijn operator workstations etc. Daarmee kunnen ze het proces beinvloeden net als een normale operator zou doen. Er is echter nog een systeem, het veiligheidssysteem. Dit bestaat voor dit soort installaties uit hardwired logica die aan zeer strenge eisen voldoet. maar een paar bedrijven ter wereld maken die systemen die tot SIL4 gaan.

DCS platleggen, sure. behoort tot de mogelijkheden. Een meltdown? No way...

Cybergamer @wildhagen • 3 oktober 2010 14:03

Dat is inderdaad ook iets wat ik mij afvraag. Hackers, over het algemeen, lijken mij niet to zoiets in staat. Maar hackers (zijn dat wel hackers?) die ingehuurd worden voor zo'n taak als deze wel.

Klinkt allemaal wel als een goed script voor een film

Wildfire

3 oktober 2010 13:48

Ik vind het nog steeds vreemd dat in een zo belangrijke plek als een kerncentrale er blijkbaar computers rechtstreeks aan het internet hangen. Kritieke systemen horen helemaal geen internetverbinding te hebben juist om dit soort ellende eenvoudig te kunnen voorkomen...

Blokker_1999

Politiek en recht
Malware
Privacy

@Wildfire • 3 oktober 2010 13:54

De worm verspreid zich ook via usb sticks. En dat is wel plausibel. Rapporten van computers op een intern netwerk op een stick zetten gebeurd wel meer.

[Reactie gewijzigd door Blokker_1999 op 24 juli 2024 16:56]

varkenspester @Blokker_1999 • 4 oktober 2010 11:12

En hoe ga je dan als hacker commando's sturen naar die worm om de malware effectief een opdracht te geven?

tweakerss @varkenspester • 4 oktober 2010 20:02

misschien door een update te sturen die vervolgens op de usb-stick wordt gezet en dan op het interne netwerk wordt gezet.

varkenspester @tweakerss • 6 oktober 2010 13:17

mja, maar dan heeft men dus opnieuw toegang tot het systeem nodig. Dan heeft het niet veel nut nu reeds een worm klaar te zetten.
Dan zouden ze beter de worm pas installeren op het moment dat ie ook effectief een opdracht bevat en zo de kans op detectie minimaliseren.

Bozozo @Wildfire • 3 oktober 2010 14:01

Stuxnet verspreidt zich dan ook via USB sticks. De USB poorten van kritieke systemen dichtmetselen kan natuurlijk ook, maar soms wil je toch toegang tot zo'n computer om bijvoorbeeld softwareupdates uit te voeren.

thegve @Bozozo • 3 oktober 2010 14:31

Dan nog is het altijd 'verwijtbaar'. Als je een dedicated netwerk oid hebt waaraan deze machines hangen en alle machines die voor de 'aanvoer' van updates zorgen worden met de grootst mogelijke zorg beschermd en zo weinig mogelijk gebruikt, kan ik me bijna niet voorstellen dat er zomaar contact komt tussen een "vreemde" usb-stick en dit dedicated netwerk.
edit: Maar dat doe je dan toch niet rechtstreeks?

[Reactie gewijzigd door thegve op 24 juli 2024 16:56]

Verwijderd @thegve • 3 oktober 2010 16:20

Tuurlijk kun je dat wel voorstellen... Wat als je iets op dat dedicated netwerk wil zetten. Alle software wat op die dedicated netwerk staat komt ergens van buitenaf. En USB sticks lijken mij de meest logische geval.

Ducktape @Wildfire • 3 oktober 2010 14:01

Het gaat waarschijnlijk om laptops oid waarmee de PLC's geprogrammeerd worden. Stuxnet richt zich vooral op de PLC. Uiteraard hanggen de aansturende PC's niet zomaar aan het internet. Meestal zit er wel iets van een datadiode tussen.
verder komt Stuxnet via een USB stick je computer op en verspreid zich via het lokale netwerk.

The-Source 3 oktober 2010 13:43

Dat laatste stukje over de hints welke richting Israël wijzen kan natuurlijk ook geplaatst zijn omdat ze makers juist belang bij hebben (financieel) als er een oorlog oid tussen Iran en Israël zou ontstaan.
Maar als het door een overheid aangestuurd zou zijn dan lijkt me 5 a 10 man weer weinig maar misschien ook wel voldoende

Blokker_1999

Politiek en recht
Malware
Privacy

@The-Source • 3 oktober 2010 13:53

Of het kan ook zijn dat het virus van Israel komt, dat ze er toch symboliek kunnen insteken en achteraf zeggen : we zouden toch niet zo dom zijn van zoiets er zelf in te steken.

Verwijderd @Blokker_1999 • 3 oktober 2010 16:12

Het zegt dus eigenlijk "niks". Het kan ook een dubbele dwaalspoor zijn zoals jij zegt. Maar het kan eigenlijk van alles zijn. Of zelfs toeval.

HoeZoWie @Verwijderd • 4 oktober 2010 13:13

Het zeg niets, het zegt dat...

Denken jullie nou echt dat die eenvoudige Iraniers zich daar iets van aantrekken?

Politiek-Iran heeft een zondebok nodig, om aan het volk te kunnen laten zien dat ze 'sterk naar de buitenwereld reageren' in geval van nood.
En dat doen ze nu!
Wedden dat ze de executie van de onschuldige zondebokken wereldwijd uitzenden, uiteindelijk...
Dat heet propaganda van extreem Islamitische landen - dat kom je veel tegen in Jemen, Iran, Irak, Libanon, etc. (Maar niet in Turkije en Marokko bv.)
En dat alleen maar om de echte Virus-Hackers te doen laten schrikken - zodat ze ophouden. Het is een soort tactiek, die zeer vaak helpt, maar wel een aantal zielen het leven kost.
Jammer dat dit anno 2010 nog steeds bestaat.

NB: ik ben per definitie, niet tegen welke geloofs uiting dan ook, Islam, Katholiek, Hindoe, maakt mij allemaal niet uit, maar moorden, om macht - kan bij mij gewoon niet.

[Reactie gewijzigd door HoeZoWie op 24 juli 2024 16:56]

Verwijderd @HoeZoWie • 4 oktober 2010 18:30

wat je zegt zou kunnen, maar het zou ook gewoon westerse propaganda kunnen zijn richting iran, waar 2 partijen vechten hebben ook 2 partijen schuld.

ook is het natuurlijk wel heel erg dom als hacker zijnde om overduidelijke hints te geven over wie je bent of voor wie je werkt, en dus moet je er rekening mee houden dat dit mogelijk opzettelijk gedaan kan zijn om een reactie van iran uit te lokken.

en zo zijn er nog vele andere scenario's die hier achter kunnen zitten, je hebt niet alleen maar met een cyberoorlog te maken maar in zeker zin ook met een informatieoorlog waarbij de waarheid even flexibel is als rubber

robvanwijk

Beveiliging
Malware
Politiek en recht
Privacy

@Blokker_1999 • 3 oktober 2010 21:30

We hebben het over "vijf tot tien zeer deskundige hackers" die "door een overheid moeten zijn gefinancierd". Conclusie: er is zeer grondig over nagedacht welke "hints" er in de source staan, hoe cryptisch die zijn en welke dader ze proberen aan te wijzen. Oftewel, dit zegt helemaal niks; als een overheid een groepje zeer deskundige hackers in kan huren dan kunnen ze ook een psycholoog vragen hoe je Iran het beste op een dwaalspoor kan zetten.

Gerardus 3 oktober 2010 13:44

het zou wat zijn. Lijkt me niet dat de makes van stuxnet NAW gegevens van zichzelf in zouden bouwen in de worm.

Vraag me af of deze "hackers" daadwerkelijk zijn opgepakt nu. Lijkt me niet dat stuxnet in Iran zelf is gemaakt.

Aganim

@Gerardus • 3 oktober 2010 13:49

Lijkt me niet dat stuxnet in Iran zelf is gemaakt.

Of juist wel, om op die manier de VS en Israël te kunnen beschuldigen. Mooie PR stunt..

Kortom, wie zal het zeggen.. Er kunnen zoveel partijen achter zitten.

Gerardus @Aganim • 3 oktober 2010 13:55

daar kan je inderdaad gelijk in hebben. Het lijkt me echter vrij onverstandig, ten aanzien van het westen.

[Reactie gewijzigd door Gerardus op 24 juli 2024 16:56]

EektheMan @Gerardus • 3 oktober 2010 14:34

Het is in ieder geval een wake-up call voor de massa dat cyber aanvallen zoals de Russen deden op Estland of de Chinezen op de Dalai Lama niet alleen voorbehouden zijn aan niet westerse machten.

Als er inderdaad bugs werden gebruikt in Windows om het virus te verspreiden, dan gaat bij mij de paranoia knop om en bekruipt mij het gevoel dat MS die bugs er op verzoek van een overheid inlaat juist voor dit doel. De VS heeft al een verleden met dit soort consumenten spionage. Of gaat mijn paranoia knop te snel om?

[Reactie gewijzigd door EektheMan op 24 juli 2024 16:56]

f2ostie @EektheMan • 3 oktober 2010 14:54

Die speciale bugs zijn niet nodig hoor, Windows is nu eenmaal relatief lek, en als bepaalde overheden dan inzage krijgen in de broncode
(nieuws: Twaalf landen krijgen inzage broncode Windows),
tja dan weet je toch genoeg

tweakerss @f2ostie • 3 oktober 2010 22:11

Daarom snap ik zelf helemaal niet waarom ze Windows voor een kerncentrale gaan gebruiken. Als ze het zo nodig vinden om een kerncentrale te bouwen, laat ze dan ook zelf een besturingssysteem ontwikkelen om dit soort dingen te voorkomen.

FreezeXJ @Gerardus • 3 oktober 2010 14:38

Tja, maar er worden wel meer onverstandige dingen gedaan

Het zou overigens van alle kanten mooi uitkomen als die worm uit Iran kwam, aangezien a. ze er meer technologische kennis mee binnenhalen (die worm mikte niet alleen op die kerncentrale, en de publieke fall-out hierover doet me denken aan de flauwe mop dat Wilders alle moslims en 1 kapper het land uit wil zetten... ), b. ze zichzelf er hopelijk wat sympathie mee kopen (kijk nou, ze vallen ons aan... Help!), en c. ze er een stel staatsgevaarlijke elementen mee kunnen oppakken die ze dan als 'hacker' veroordelen. </aluminiumhoedje>
Het kunnen natuurlijk ook echte Iraanse dissidenten zijn die zo de regering in diskrediet proberen te brengen, al dan niet gesponsord vanuit het buitenland. Of gewoon Russen, die proberen de kerncentrale te gijzelen voor losgeld... of... of... Zo lang wij niet weten wat de geheime diensten weten, kunnen we lang of kort speculeren, maar interessant is het

Zunflappie 3 oktober 2010 16:17

Bij een nadere analyse van de broncode van Stuxnet trof Symantec het woord 'myrtus' aan, Latijn voor 'maagdenpalm'. Dit woord zou een verwijzing kunnen zijn naar het Hebreeuwse woord 'hadassah' en verwijzen naar Joodse Bijbelteksten.

Maagdenpalm en Hadassah....
Dus myrtus verwijst naar maagdenpalm, dat verwijst door naar hadassah en dat zou kunnen verwijzen naar joodse (zijn er ook andere dan?) Bijbelteksten. Welke dan? Misschien wel 4:14 wat zou kunnen betekenen dat 4 landen tegenover 14 andere landen staan.

Hoezo moeilijk denken. Er staat gewoon 'mytrus'...

Baserk @Zunflappie • 3 oktober 2010 17:27

'Hadassah' is in NL/christelijke bijbel bekend onder de naam Esther.
Het bijbelverhaal Esther gaat kort samengevat over het verhinderen van een complot van een paar foute Perzen (Perzie= huidig Iran) om Joden te doden.

Overigens hebben in Natanz al een tijdje terug wat gasten wellicht een uranium-hexafluoride gas douche over zich heen gekregen; link.
Stuxnet is misschien al wat ouder dan vermoed.

Verwijderd @Baserk • 4 oktober 2010 15:04

Bedankt,
Ik snapte al niet hoe ze van myrtus bij de Israeliers uitkwamen.
Maar het zouden ook nog de Belgen kunnen zijn: Zie http://www.myrtus.be , of gewoon een Iraanse tuinman.

Ooit, jaren geleden, hadden we bij mijn vorige werkgever een keer een virus. We hebben toen geprobeerd om de bron te achterhalen. Helaas is dat niet mogelijk.
Je kan zien dat het er is, je kan zien welke P.C.'s er besmet zijn, maar niet wanneer de besmetting heeft plaatsgevonden en niet welke P.C. er het eerst besmet was.
Dus ik denk niet dat de Iraniers ooit de daders kunnen achterhalen. Een beetje slimme worm- of virus-schrijver zal geen verwijzingen naar zichzelf in de code zetten.

Verder vraag ik mij af waar deze kwetsbare Siemens apparaten nog meer gebruikt zijn.
Hopelijk niet in de Nederlandse Infrastructuur.

2bb 3 oktober 2010 20:29

Het zou mij niet verbezen als dit complot veel eenvoudiger is te koppelen aan Iran.
Tegenslagen in de ontwikkeling van een of ander prestigieus project aan je vijand is vrij normaal bij politieke fanatici.
Men heeft ook daar ruim voldoende kennis in huis om een dergelijk stukje software in elkaar te knutselen.

Overigens lijkt Siemens dit verhaal strafbaar bezig te zijn geweest, software die geschikt is om kerncentrales aan te sturen is restricted, zwaar restricted.

Export Control raakt niet alleen de fabrieken binnen de
defensie- en luchtvaartindustrie; het raakt de volledige
bedrijfsketen van kapitaal, kennis, machines en mensen over
verschillende sectoren, bijvoorbeeld de logistieke, telecommunicatie
en chemische sector. Dit houdt in dat bijvoorbeeld
een zogenoemd ‘track & trace’-systeem, voor het vervoer
van de ene partij naar de andere partij, gebruikt kan worden.
Daarnaast wordt het uitwisselen van gegevens (onder
andere door mondelinge communicatie, e-mails, marketingbrochures
en exposities op beurzen) gezien als een export

De straffen in geval van overtreding van de Export Control Regulations zijn niet mals.