'Ontwikkelaars Duqu en Stuxnet maakten nog drie virussen'

Onderzoekers van Kaspersky hebben ontdekt dat Stuxnet en Duqu mogelijk onderdeel zijn van een platform dat uit ten minste vijf virussen zou bestaan. Dat zou blijken uit registersleutels waar Duqu en Stuxnet naar zoeken.

Componenten van Stuxnet en Duqu zoeken naar twee registersleutels om elkaars aanwezigheid te kunnen waarnemen. Kaspersky heeft nu nieuwe componenten ontdekt die in beide virussen aanwezig zouden zijn en die zoeken naar ten minste drie andere registersleutels, meldt Reuters. Dat zou wijzen op nog drie vergelijkbare virussen.

Eerder claimde Symantec al dat de makers van het Stuxnet-virus, dat zou zijn gebruikt bij aanvallen op Iraanse kerncentrales, ook verantwoordelijk waren voor het Duqu-virus. Volgens Kaspersky zijn beide virussen afkomstig van hetzelfde 'platform' voor het maken van dergelijke virussen, waarbij naar wens componenten kunnen worden toegevoegd en verwijderd.

Eerder gaf de Iraanse overheid aan dat het Duqu-virus is aangetroffen op Iraanse computers. Duqu zou ondanks zijn grote overeenkomsten met Stuxnet een ander doel hebben: waar Stuxnet scada-systemen probeerde te ontregelen, zou Duqu vooral zijn ingezet voor het ontfutselen van informatie. Volgens sommigen zitten de Verenigde Staten en Israël achter het virus, maar hard bewijs voor die stelling is nog niet opgedoken.

Door Joost Schellevis

Redacteur

Feedback • 29-12-2011 09:2538

29-12-2011 • 09:25

38 Linkedin

Lees meer

Netwerk en systeembeheer

30 jan 2012

97
Onderzoeker: 'Stuxnet-systemen' Siemens nog steeds onveilig Nieuws van 8 november 2012
'Wiper-virus is vermoedelijk verwant aan Stuxnet' Nieuws van 29 augustus 2012
Kaspersky vraagt hulp voor decrypten Gauss-payload Nieuws van 14 augustus 2012
Nieuwe spionagetool besmet systemen Midden-Oosten Nieuws van 18 juli 2012
Iran: poging tot cyberaanval tegen nucleaire faciliteiten ontdekt Nieuws van 22 juni 2012
FBI onderzoekt uitlekken van cyberaanvalsprogramma Nieuws van 5 juni 2012
Nieuwe geavanceerde trojan verschijnt in het Midden-Oosten Nieuws van 29 mei 2012
'Stuxnet werd door infiltrant via usb-stick verspreid' Nieuws van 13 april 2012
Nieuwe Duqu-variant duikt op in Iran Nieuws van 21 maart 2012
Mysterieuze programmeertaal Duqu blijkt 'C-dialect' Nieuws van 19 maart 2012
'Duqu-trojan deels geschreven in onbekende programmeertaal' Nieuws van 8 maart 2012
D66 stelt Kamervragen over risico's scada-systemen Nieuws van 31 januari 2012
Hackers beïnvloedden Amerikaanse treindienst Nieuws van 24 januari 2012
Shell vreest cyberaanvallen op olie- en gasinstallaties Nieuws van 12 december 2011
'Criminelen hacken waterinstallatie en vernielen waterpomp' Nieuws van 18 november 2011
'Iran bestrijdt Duqu-virus met eigen software' Nieuws van 14 november 2011
'Duqu-variant bespioneerde wellicht Iraans kernprogramma' Nieuws van 7 november 2011
SP: regering moet Microsoft ter verantwoording roepen om lekken Nieuws van 5 november 2011
Symantec ontdekt spionage via malware in Nederland en België Nieuws van 4 november 2011
Symantec: Stuxnet-makers brengen nieuwe malware in circulatie Nieuws van 19 oktober 2011
'VS overwoog cyberaanval uit te voeren op Libië' Nieuws van 18 oktober 2011
'Cyberaanval treft belangrijke fabrikant van legeronderdelen Japan' Nieuws van 19 september 2011
Onderzoeker demonstreert zwakheden in industrieel beheersysteem Nieuws van 4 augustus 2011
'Iran wordt opnieuw aangevallen door virus' Nieuws van 25 april 2011
McAfee: Stuxnet regelmatig aangetroffen bij energiebedrijven Nieuws van 19 april 2011
Iran: Siemens hielp bij Stuxnet-aanval Nieuws van 18 april 2011
Onderzoeker: kwalificatie 'cyberoorlog' wordt bewust misbruikt Nieuws van 16 februari 2011
'VS en Israël testten Stuxnet-worm samen op effectiviteit' Nieuws van 16 januari 2011
Iran meldt arrestaties in verband met Stuxnet-worm Nieuws van 3 oktober 2010
Nucleair agentschap Iran poogt Stuxnet te stoppen Nieuws van 27 september 2010
Microsoft publiceert workarounds voor Stuxnet-worm Nieuws van 19 juli 2010
Malware met Realtek-signatuur gebruikt nieuwe Windows-exploit Nieuws van 16 juli 2010
Meer producten en artikelen
Politiek en recht Privacy Antivirus Beveiliging

Reacties (38)

-Moderatie-faq
38
37
19
4
0
5
Wijzig sortering
Sniffert
29 december 2011 09:37
Het idee en architectuur achter Duqu is hetzelfde als die van Stuxnet en andersom. Een driver bestand laad een module in, welke ontworpen is als een gecodeerde library. Met een losstaand configuratiebestand en een verwijzing naar kwaardaardige input in het systeemregister wordt deze module geladen en raakt het systeem geinfecteerd. Zie: Stuxnet/Duqu: The Evolution of Drivers

Maar goed, men zal altijd achter de feiten blijven aanlopen. Nu dat de architectuur van deze virussen enigzins duidelijk zijn, zal er vast wel weer een nieuwe klaar staan.
Blokker_1999
@Sniffert29 december 2011 09:42
Maar aan de andere kant vraag ik me dan af, als deze virussen een zo herkenbaar kenmerk achterlaten (registersleutel) moet het toch redelijk eenvoudig zijn om dit virus te detecteren eens je het weet?
TDeK
@Blokker_199929 december 2011 09:56
Dat niet alleen, maar de moderne cloud scanners vormen een directe bedreiging voor deze virussen. Dit soort scanners uploaden alles wat ze verdacht vinden naar een externe machine voor een uitgebreide scan. Op die manier zijn ze destijds ook achter de bron van de RSA hack gekomen. En hoe korter Stuxnet-achtige virussen onopgemerkt kunnen blijven, des te kleiner de kans wordt dat de beoogde doelstelling wordt behaald.

[Reactie gewijzigd door TDeK op 29 december 2011 09:57]

Anoniem: 327274
@Blokker_199929 december 2011 09:48
Idd en tot die tijd kan het virus gewoon zijn gang gaan.
Robbertjan94
@Sniffert29 december 2011 10:02
Dat wat je als laatste zegt is volgens mij best wel relevant.
Wat nou als deze virussen er gewoon zijn als dekmantel van een ander virus?
mhkool
@Sniffert29 december 2011 15:41
Het probleem zit hem nog steeds in de architectuur van Windows. Het is te makkelijk om een driver of DLL te laden die toegang heeft tot alle systeemresources. Op mainframes en UNIX-gebaseerde systemen is dat veeeel beter afgeschermd.

Dit probleem zal niet snel opgelost worden want op een mainfrae heb je een beheerder die weet hoe een computer beveligd moet worden en niet zo maar een programma toegang geeft tot systeemresources. Een windows gebruiker weet dat niet, daar heeft ie geen opleiding voor gehad. Er moet een nieuw mechanisme komen dat op veilige wijze bepaalt of een programma, DLL, driver etc. veilig is. Je kunt denken aan een antivirus variant die van te voren een programma test en de goedgekeurde programmas in zijn database stopt en ongekeurde programmas niet toestaat. Veel werk voor de antivirus-leverancier en makers van software maar wel veiliger.
4Reload
29 december 2011 09:36
Je zou toch zeggen dat er ondertussen genoeg tijd is geweest om deze virussen helemaal te onderzoeken. Met een aantal tooltjes van Sysinternals zou je dit zo boven water moeten krijgen...
Anoniem: 328788
@4Reload29 december 2011 10:37
Dit zijn niet gewoon virussen, en zijn niet zomaar opspoorbaar.
Lees eens wat een lange weg er is afgelegd om ook maar een beetje van Stuxnet te ontcijferen:

http://www.wired.com/thre...tives-deciphered-stuxnet/
Anoniem: 327274
29 december 2011 09:37
Op zich een logische ontwikkeling omdat informatiestromen vaak gescheiden zijn en door verschillende virussen in te zetten kan je prima een mix maken van commando's op verschillende systemen zodat je b.v. een pomp uitzet en tevens het knopje in de meldkamer die daarvoor waarschuwd in de meldkamer.

(kan het niet duidelijker uitleggen iemand anders maybe ter aanvulling?)
blorf
@Anoniem: 32727429 december 2011 10:20
Ik snap wat je bedoelt. Het is alleen wel een beetje heel erg dom om dat knopje in die meldkamer aan de pomp te verbinden via internet en het aan- en uitgaan laten regelen door een systeem dat onder 'algemene standaard' valt.
Zo'n expert hoef je niet te zijn om te concluderen dat dat enorme risico's zijn, en dat is wat ik nooit heb gesnapt bij dat Stuxnet-verhaal. Als je een kerncentrale in Iran op Windows laat draaien weet je toch waar je aan begint? Dan kun je mooi achteraf blaten dat Stuxnet zo briljant is, maar imo ben je zelf de oorzaak van je ellende.

[Reactie gewijzigd door blorf op 29 december 2011 10:25]

Dreeke fixed
@blorf29 december 2011 10:57
Zo werkt het niet in PLC/Scada wereld.

Wat er gebeurt is dat een pomp via I/O en een besturing wordt bediend door een programma of door de operator. Dit is vaak custom software die niet te hacken is op de manier dat de Stuxnet werkt.

De Stuxnet bedient een profibus device, deze devices hebben vaste I/O op deze bus. Als je een scan doet van alle profibus deelnemers (ja, dat kan, die Siemens software is veel te goed) en je detecteerd je device, kan je je eigen software ertussen zetten. Op deze manier kan je dus precies bepalen wat er wordt uitgestuurd naar het device en wat er wordt getoond op het scherm/programma.

Dit werkt dus alleen voor devices waarvan bekend is hoe de I/O mapping is, en kan bij elke profibus deelmemer. Een variant hierop is het bedienen van dit soort devices via OPC, zelfde manier alleen nu via het OPC protocol.
TangledUniverse
@blorf29 december 2011 10:34
Intranet bedoel je toch hoop ik? Zoals bekend is Stuxnet via USB het complex binnengekomen. Het complex is niet met het internet verbonden, noch machines daarbinnen.
Anoniem: 327274
@blorf29 december 2011 11:08
Het zijn dan ook dat soort zwakheden die uitgebuit worden, ik denk dat dat centrifuge verhaal dat bevestigd.
Pixeltje
29 december 2011 11:21
Ligt het aan mij of is het een beetje 'knullig' dat het ene virus op zoek gaat naar de registersleutels van vier andere..? Je kan als virusmaker toch wel verwachten dat je software ontleed wordt en dat daarmee meteen ook bekend is dat je niet één maar vijf virussen hebt geschreven?
CivLord
@Pixeltje29 december 2011 11:41
Het ligt er maar net aan hou lang je ze wilt gebruiken.
Wanneer de vijf virussen deel uit maken van dezelfde 'campagne' die eindigt op het moment dat één van die virussen wordt ontdekt maakt het je niet uit wat er daarna gebeurt met de andere virussen.
Je moet alleen zorgen dat je de opvolger, gebaseerd op een totaal ander 'platform' al klaar staat.
tweaker2010
29 december 2011 12:04
Volgens sommigen zitten de Verenigde Staten en Israël achter het virus, maar hard bewijs voor die stelling is nog niet opgedoken.
Wie zijn die sommigen? Experts van Kaspersky of de Iraanse overheid? Dat platform (Tilded) zou overigens al sinds 2007 bestaan, dus het verbaast me dat die virussen nu pas gevonden zijn.
jacobvdm
@tweaker201029 december 2011 22:32
Dat is echt niet een fantasie van Iran hoor;

http://arstechnica.com/te...ng-malware-in-history.ars

http://www.wired.com/thre.../01/inl-and-stuxnet/all/1

www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html

En ook niet alleen Kaspersky, ook Symantec en anderen onderzoeken die mogelijkheid en hebben al meerdere aanwijzingen daarvoor;

http://www.wired.com/thre...10/stuxnet-deconstructed/

http://www.wired.com/imag...0/w32_stuxnet_dossier.pdf
trogdor
29 december 2011 10:10
vs EN Israel? Zou een zo'n land het niet alleen afkunnen dan?

En ik bendenk me net, als het de Vs is, zijn deze publicaties van Symantec dan niet 'staats gevaarlijk'? Meer dan die van wikileaks lijkt me.

[Reactie gewijzigd door trogdor op 29 december 2011 10:17]

TDeK
@trogdor29 december 2011 10:34
Als ze publicaties tegenhouden geven ze indirect toe dat ze inderdaad de opdrachtgever zijn. Door zich op de vlakte te houden zal Iran nooit 100% zeker kunnen zijn wie er achter zit (het kunnen immers net zo goed criminelen zijn geweest, of een compleet ander land).
Je geeft als land nooit zaken toe die worden uitgevoerd door je geheime dienst; die zijn immers voor een reden geheim.
Edit: om deze reden zijn 'übergeheime' locaties op Google Maps ook nooit geblokt. Die blokjes geven immers al weg dat er iets aanwezig is op die locatie. Zo is Area 51 gewoon zichtbaar, idem voor het Yodok concentratiekamp en menig SIGINT grondstation.

[Reactie gewijzigd door TDeK op 29 december 2011 10:37]

Ge Someone
@trogdor29 december 2011 13:04
Omdat Iran Israel en de VS als vijanden ziet (en omgekeerd) is het logisch dat zij de schuld krijgen. Al was het alleen maar om ze zwart te maken. Maar ik acht ze er wel toe in staat.
Traumasystems
29 december 2011 09:29
Nou ik zou bijna zeggen daar heb je toch geen hard bewijs voor nodig, dat is toch gewoon evident. en opzich heb ik er niet zoveel tegen als de ene schurkenstaat de andere afluistert fo zo maar het ontwikkelen van virusen die mogelijk ook gevaar voor burgers oplevert vind ik buiten proportioneel
Anoniem: 322607
@Traumasystems29 december 2011 09:33
Er wordt zo veel ontwikkeld wat gevaar op zou kunnen leveren voor de burgers.
Gelukkig weten we niet alles , Ignorance is bliss :)
killercow
@Anoniem: 32260729 december 2011 09:35
Ondertussen wil de gemiddelde overheid wel als van zn burgers weten.

Een beetje vertrouwen over en weer kan geen kwaad, maar de partij die het geweldsmonopolie heeft moet zich dan wel netjes blijven gedragen, en zn best doen niet de schijn tegen krijgen natuurlijk.
TDeK
@killercow29 december 2011 09:51
Als ze op deze manier hun doelstellingen kunnen behalen zonder de inzet van militair ingrijpen, dan is er in mijn ogen al veel gewonnen. Onschuldige burgers zijn maar al te vaak slachtoffer van dergelijk politiek geweld (want oorlog is niks anders dan politiek).
Wat ik zo bijzonder vind aan dit 'virus' is de (schijnbaar) lange tijd dat het onopgemerkt is gebleven. Ok, het virus heeft een heel specifiek doel, maar dan nog. Verder is het dusdanig specifiek geschreven dat vrijwel zeker is dat ze hulp hebben gekregen van (bijv) Siemens. De vraag is dan of Siemens hun SCADA machines bewust van een zwak wachtwoord hebben voorzien (iets wat in de koude oorlog wel vaker voorkwam, o.a. met telefooncentrales).
Verder vind ik het bericht een beetje voorbarig. Ok, er wordt naar nog drie sleutels gezocht, maar kunnen dat niet dezelfde virussen zijn, maar dan een oudere versie? Of wellicht zijn het virussen waarvan de penetratie is mislukt (Stuxnet is bij zijn doel binnengekomen via een USB stick, wellicht is dat bij de andere varianten mislukt). Of wellicht waren het testversies, waarvan de aanwezigheid een bepaalde locatie aanduidt (bijvoorbeeld het eigen kantoor van de ontwikkelaars; je wilt immers niet je eigen systemen infecteren).
Conslusie: we weten het gewoon niet.
mhkool
@TDeK29 december 2011 15:29
Ik ben het met je eens dat we niets weten. We weten dat er naar vijf sleutels gezocht wordt maar aangezien een sleutel 4 miljard waarden kan hebben, kunnen de vijf steutels in theorie 4MJ * 4MJ * 4MJ * 4MJ * 4MJ virussen beslaan. We weten het gewoon niet.

Waar de antivirusleveranciers gewoonlijk heel open in zijn is het vermelden hoe een virus informatie naar de maker terugsluist, maar daar horen we niets over. vreemd... nee, verdacht... Ik ben er zeker van dat we nog niet eens de 10% weten over deze virussen.
HerrPino
@mhkool1 januari 2012 20:29
een sleutel 4 miljard waarden kan hebben
Windows registersleutels hebben altijd/meestal de vorm van een 128bit GUID. Ofwel 3,4×10^38 combinaties ... (wat ongeveer gelijk is aan 'het aantal atomen in het zichtbare universum'^0.5 ;)).
Iblies
@killercow29 december 2011 11:04
Divide et impera.
Als je de gemiddelde volksvertegenwoordiger vraagt wat hij er van vind zal hij het grondig afkeuren.
Probleem is dat er rond Den Haag en Brussel onderhand voor elke vertegenwoordiger tien lobbyisten rondhuppelen. Zie jou stem als burger daar maar eens doorheen te komen. Er moet een een ongeluk van formaat gebeuren of het moet implicaties hebben op zoveel burgers dat ze in opstand komen. De kans op het eerste als het tweede is in een land als Nederland miniem.
Anoniem: 399807
@Anoniem: 32260730 december 2011 10:11
Dat komt door een chronisch gebrek aan technorealisme en het toestaan dat wetenschappers alles maar onderzoeken. Onze samenleving doet alsof wetenschap buiten de samenleving staat, amoreel is en mag zijn, dat alle onderzoek maar moet kunnen. Maar kijk om je heen, de wetenschap is overal om je heen.
Er zou een raad van toezicht moeten komen die bepaald welk onderzoek nuttig is voor de aarde en haar inwoners zodat we de ontwikkeling van mensenrechten schendende zaken kunnen verbieden. Daarbij dient rekening te houden te worden met milieu, natuur, klimaat oftewel er zouden ecologische grenzen moeten worden bepaald die een technologie niet schaadt
noudm
29 december 2011 09:33
Als landelijke geheime diensten achter een reeks van virussen zitten, dan zijn wij nog niet jarig.
De bronnen, kennis en macht die zij hebben zullen genoeg zijn om elk systeem te besmetten. Ookal zal dit meestal niet op de individuele gebruiker gericht zijn, krijgen wij hier als consument ook mee te maken. Word je straks besmet van je eigen belasting geld... |:(
blorf
@noudm29 december 2011 10:06
Het zou in ieder geval aangeven hoe ze het met de burger voor hebben op het gebied van privacy en veiligheid.
Het is van een overheid niet geloofwaardig als ze de hele tijd doen alsof dat de hoogste prioriteit heeft en ondertussen zichzelf in die wereld mengen, kwaadaardige software verspreiden of achterdeuren in bestaande programma's (laten) aanleggen. Op die manier werkt het averechts. Die leugenachtige houding komt over als een oorlogsverklaring tegen het volk. Burgers zullen zich daar telkens meer tegen keren en de computerexperts daaronder zullen zich telkens harder vastbijten in het aan banden leggen van overheidscontrole.
Mars4i
@noudm29 december 2011 11:04
Helemaal mee eens. Ik heb ook het idee dat al onze systemen al lang besmet zijn met slapende virussen. Het is alleen een gevoel want ik kan het natuurlijk niet bewijzen. Maar als je ziet wat hackergroepen al kunnen bereiken, dan moeten de geheime diensten van zeg de vs en china nog veel meer kunnen. Alleen die schreeuwen het niet van de daken. Je leest wel eens dat de VS meer geld in DARPA stoppen om het land te verdedigen tegen cyber aanvallen. Maar ik denk dat er ook een grote pot geld klaar staat om zo`n aanval zelf uit te voeren. Als je het internet in een land stil kan leggen. dan heb je al een eerste grote stap gezet. Zie maar de macht van het internet bij de Arabische lente.

Ik denk dat de overheden niet bang zijn voor de reactie van het publiek bij een mogelijke ontdekking. Bij het Stuxnet virus is nu ook niet te bewijzen waar het vandaan komt. Dat zal bij andere virussen ook zo zijn.

Nogmaals, dit is allemaal een mening, geen bewijzen.
Anoniem: 356920
29 december 2011 10:10
De grootste nadelige gevolgen van de digitale revolutie moeten er nog aankomen vrees ik, en dan is het hek van de dam.
sonicred
29 december 2011 10:33
ik las ergens dat ze Tilded een soort virus factory is..
nou geweldig dan :S
even modules aanpassen en obama kan een nieuwe virus verspreiden...:S
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee