Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties

De Stuxnet-malware, die vermoedelijk door de VS is ontwikkeld en bedoeld was om het Iraanse programma voor het verrijken van uranium te ontregelen, zou ook het controlenetwerk van een Russische nucleaire installatie hebben besmet.

Dat heeft Eugene Kaspersky gezegd tijdens een gesprek met de Australische pers. Volgens Kaspersky, oprichter en ceo van beveiligingsfirma Kaspersky Labs, is de Stuxnet-malware aangetroffen in een niet nader genoemde Russische kerncentrale. Een werknemer van de Russische nucleaire installatie zou aan Kaspersky hebben laten weten dat het controlenetwerk besmet raakte door Stuxnet, hoewel dit netwerk niet met internet was verbonden, meldt ZDnet.

Onduidelijk is of Stuxnet schade heeft veroorzaakt aan de Russische kerncentrale. De worm is zo ontwikkeld dat hij alleen in bepaalde omgevingen apparatuur saboteert. Daarbij richt Stuxnet zich vooral op het ontregelen van Siemens-apparatuur. De malware had tot doel om de plc-stuursystemen van Iraanse ultracentrifuges te saboteren. Iran, maar ook andere landen, gebruikt dergelijke centrifuges om uranium te verrijken.

De besmetting van systemen van een Russische kerncentrale was nog niet bekend. Wel duidelijk is dat Russische kerngeleerden meedraaien in het Iraanse nucleaire programma en dat Stuxnet vermoedelijk via usb-sticks de Iraanse installaties is binnengekomen.

Kaspersky liet tijdens zijn gesprek met de pers ook weten dat de blootgelegde spionageprogramma's ernstige gevolgen kunnen hebben voor internet, omdat overheden elkaar niet langer vertrouwen. Hierdoor komt de openheid van internet in het geding. Kaspersky pleitte voor internationale afspraken waarin cyberspionage wordt ingeperkt en kritieke infrastructuur beter wordt beveiligd.

Gerelateerde content

Alle gerelateerde content (25)
Moderatie-faq Wijzig weergave

Reacties (33)

Ik kan me nog herinneren dat ik films keek waarbij ik dacht.. "Sjeeettje.. stel je voor dat dat zou kunnen.. dat zou echt heeeeel eng zijn"..

10 jaar later:

Werkelijkheid.
Het is niet zo gek. Scada systemen en dergelijke zijn helemaal niet gemaakt op "veiligheid". Dat is enkel nu de laatste tijd aan de orde. Daarom zie je in de automatisering ook een golf van nieuwe producten.

Als je bijvoorbeeld kijkt in het Siemens gebied. Als je eenmaal op het netwerk zit kan je echt alles doen waar je maar zin aan hebt. Data Blocks die volledig open zijn van PLC's waar je random waarden in kan schieten om de boel plat te gooien en ga zo maar door.

Heel veel kritieke systemen zijn relatief zwak. Echter valt er geen geld mee te verdienen om ze plat te leggen wat meestal de motivatie is achter een hacker.

Pas bij de nieuwe Siemens PLC's kun je bijvoorbeeld niet zomaar wat data in een PLC schieten. Na de hack in Iran kwam Siemens met een hele nieuwe lijn aan automatiserings producten op de markt. Met als hoofdpunt "security". Veel zaken zijn nu encrypted en een volledig nieuwe programmeer ontwikkel omgeving Tia Portal.
Echter valt er geen geld mee te verdienen om ze plat te leggen wat meestal de motivatie is achter een hacker.
Ransomware op de PC laat zien dat je helemaal niet veel moeite hoeft te doen om een scenario te verzinnen met winst voor een hacker.
Als je randsomware gaat ontwikkelen voor een bedrijf krijg je een enorm kleine doelgroep. En daarbij zodra daarmee bedreigt wordt bellen ze de fabrikant op, die graag willen weten wat ze van de hacker kunnen verwachten. En anders is er altijd nog een slimme ICT'er te vinden die alle systemen terug naar fabrieks instellingen terugzet.

Ransomware werkt bij consumenten omdat zij te weinig verstand hebben van computers en niemand kennen om het te laten repareren, wat soms duurderde is dan wat ze eisen. Daarbij hebben ze een enorme doelgroep, waarmee die kleine bedragen die ze eisen iets opleverd.
Nou ja met de eis komen een miljoen op rekening X te storten of zo is niet zo heel moeilijk. Als tegen prestatie van het niet na komen van de eis leg je alles plat. Je natie loopt zo heel erg veel schaden op en voor een miljoen had je deze hacker gelukkig gemaakt en was je er financieel veel beter afgekomen.

Er valt altijd en overal wel wat te verdienen. Het is maar net hoe je het aanpakt.
Uit eigen ervaring zie ik vaak dat in deze sector alles traag gaat, alles verouderd is en nergens geld voor is zolang het werkt. Men neemt pas actie als er iets is gebeurt.

Zo heeft Siemens ook pas hun hele lijn vernieuwd aan PLC hardware puur vanwege het Stuxnet verhaal in Iran. Echter dat vertellen ze je natuurlijk niet... ;)
Ik kan me nog herinneren dat ik films keek waarbij ik dacht.. "Sjeeettje.. stel je voor dat dat zou kunnen.. dat zou echt heeeeel eng zijn"..

10 jaar later:

Werkelijkheid.
Het originele bericht op ZDNet meldt alleen dat Stuxnet is aangetroffen in een niet nader te noemen Russische nucleaire installatie. Dat lijkt me niet eens zo verwonderlijk, sinds Stuxnet behoorlijk wat machines met Windows aan het infecteren was. Dat er een laptop of PC in ťťn of andere nucleaire installatie besmet is, is nu niet iets om over naar huis te schrijven. Het kan ook goed een PC zijn voor de boekhouding, een laptop van ťťn van de medewerkers of desnoods de HTPC waarop de technici af en toe een filmpje kijken.

Of Stuxnet ook werkelijk actief is in die installatie staat nergens vermeld. Het zou me knap lijken, tenzij het een uraniumverrijkingsfabriek is waar ook PLC's en frequentieregelaars van Siemens in zitten.
Maar nu is de vraag...

Hebben de russen de iraanse kern centrales besmet met stuxnet of andersom?
Ik denk niet dat de Russen daar achter zitten, welk belang hebben die daarbij? Ze hebben er eerder belang bij om het *niet* te doen, daar Iran praktisch in de Russische achtertuin ligt, en de gevolgen bij een eventuele (ok, relatief onwaarschijnlijke) dramatische ontknoping dus ook deels richting hen zal komen (fall-out enzo).

Gezien de spanningen in die regio, en dan met name dus met Iran specifiek, lijkt het me waarschijnlijker dat het de VS of IsraŽl is geweest die erachter gezet hebben, of een organisatie/land dat namens ťťn van beiden (of beiden) opereert.
Ik denk niet dat de Russen daar achter zitten, welk belang hebben die daarbij? Ze hebben er eerder belang bij om het *niet* te doen, daar Iran praktisch in de Russische achtertuin ligt, en de gevolgen bij een eventuele (ok, relatief onwaarschijnlijke) dramatische ontknoping dus ook deels richting hen zal komen (fall-out enzo).
Als je denkt dat een computervirus (ook eentje die PLC's kan saboteren) ooit zal leiden tot een "dramatische ontknoping" dan heb je het waarschijnlijk mis.

Tenminste, als je het over een melt-down van een centrale hebt of elk ander 'defect' wat voor de verspreiding van nucleair materiaal zorgt. Daarvoor zitten er nog genoeg beveiligingen, genaamd mensen, in de loop. Een kernreactor zal niet draaien zonder de tussenkomst van mensen die sabotage van een veiligheidssysteem zullen zien en daardoor de (handmatige) back-ups inschakelen. En zelfs een installatie zoals Natanz, waar centrifuges staan, zal ook een noodstopsysteem hebben waar een technicus ongetwijfeld op zal drukken als ie merkt dat een centrifuge door te hoge snelheid op springen staat.

De enige 'dramatische ontknoping' waardoor er fall-out zou kunnen ontstaan is als er een partij militair ingrijpt en een installatie heel onsubtiel met de grond gelijk maakt. Maar dat is voorlopig nog niet aan de orde.

Stuxnet was bedoeld om een installatie stil te leggen of op zijn minst vleugellam te maken, niet om een kerncentrale om te toveren tot provisorische atoombom.
Ik vermoeid dat rvdm88 niet doelde op een opzettelijke besmettingen. Het artikel vermeld dat rusland samenwerkt met iran voor het kern programma, daardoor dus de oprechte vraag van rvdm88 of rusland bijvoorbeeld geinfecteerd is en dit door de samenwerking door gaf aan iran en daardoor zo iran besmet raakte, wat indirect dus zou betekenen dat rusland doelbewust besmet is geraakt.
Gezien de spanningen in die regio, en dan met name dus met Iran specifiek, lijkt het me waarschijnlijker dat het de VS of IsraŽl is geweest die erachter gezet hebben, of een organisatie/land dat namens ťťn van beiden (of beiden) opereert.
Was het niet het idee dat het stuxnet zich via USB-sticks verspreid net zo lang, totdat het de doelbewuste Siemens-apparatuur bereikt heeft. In tussen wordt het van andere USB-sticks verwijderd.
Eťn of meerdere (waarschijnlijk meerdere mensen) hebben de USB-sticks van Rusland waarschijnlijk besmet (aangezien Rusland nog goede diplomatiek banden heeft met de rest van de wereld). Waarna vervolgens het via Rusland de worm naar Iran heeft bereikt.
of ging het perongelijk omdat ze samenwerken.
De russen zullen wel samenwerken met Iran.
USA + Israel hebben het virus geschreven om Iran te infecteren.
Onduidelijk is of Stuxnet schade heeft veroorzaakt aan de Russische kerncentrale. De worm is zo ontwikkeld dat hij alleen in bepaalde omgevingen apparatuur saboteert. Daarbij richt Stuxnet zich vooral op het ontregelen van Siemens-apparatuur.

Siemens apparatuur?!
Word er gewoon apparatuur die nodig is om nucleaire wapens/centrales te maken verkocht aan risico landen?
Of slaat Siemens hier niet op het bedrijf Siemens?
Stuxnet richt zich vooral op het ontregelen van Siemens PLC's die gebruikt worden in de aansturing van nucleaire installaties. Het is verder gewoon "general purpose" apparatuur, niet specifiek voor kerncentrales.
Toch zijn er ook voor dergelijke apperatuur wel degenlijk regels ivm export, bij de firma waar ik werk gebruiken we beckhof (zgn. Softplc) en naar bepaalde landen mogen we de gemaakte machines alleen exporteren met een "export" licentie op de beckhof apperatuur, de funktionaliteit is dan beperkt omdat het anders misbruikt zou kunnen worden voor o.a. Raket technologie dezelfde regels gelden ook voor siemens.
softplc's :/

ik wist niet dat er bij bepaalde landen express minder logica wordt toe gelaten.

[Reactie gewijzigd door Luukje01 op 10 november 2013 18:24]

Nee, het regelt zich op het ontregelen van siemens apparatuur die de iraanse uraniumverrijkers aandrijven. Het ging om een heel specifieke netwerkconfiguratie die getarget werd, niet alle siemens PLCs.
Een PLC is een Programmeerbare Logische Controller en wordt ingezet om industriŽle taken te automatiseren. Waaronder dus ook kerncentrales. Siemens is een van grotere spelers die PLC's ontwikkelen en leveren. Programmatie kan door iedere software ontwikkelaar gedaan worden die de handleiding leest en de programmeertaal beheerst. Naast Siemens zijn er talloze andere bedrijven die PLC's maken. Zie het als een uiterst stabiele industriŽle 'computer' die (tientalen?) jaren meegaat en jaren leverbaar is..
Ik weet niet of het echt is of een hoax, maar er is een beveiligins onderzoeker met de naam Dragos Ruiu die beweert dat hij malware heeft ontdekt waarbij vergeleken Stuxnet klein bier is.
badBIOS noemt hij het, en zijn uitspraken zijn super straf. :)
More on my ongoing chase of #badBIOS malware. It's been difficult to confirm this as I'm down to a precious few reference systems that are clean. I lost another one yesterday confirming that's simply plugging in a USB device from an infected system into a clean one is sufficient to infect. This was on a BSD system, so this is definitely not a Windows issue.- and it's a low level issue, I didn't even mount the volume and it was infected. Could this be an overflow in the way bios ids the drive?

Infected systems seem to reprogram the flash controllers on USB sticks (and cd drives, more on that later) to attack the system (bios?). There are only like ten different kinds of flash controllers used in all the different brands of memory sticks and all of them are reprogrammable, so writing a generic attack is totally feasible. Coincidentally the only sites I've found with flash controller reset software, are .ru sites, and seem to 404 on infected systems.

The tell is still that #badBIOS systems refuse to boot CDs (this is across all oses, including my Macs) there are other more esoteric problems with partition tables and devices on infected systems. Also USB cd drives are affected, I've bricked a few plugging and unplugging them too fast (presumably as they were being reflashed) on infected systems. Unsafely ejecting USB memory sticks has also bricked them a few times on #badBIOS systems for clean systems, though mysteriously they are "fixed" and reset by just simply replugging them into an infected system. Extracting data from infected systems is VERY tricky. Yesterday I watched as the malware modified some files on a cd I was burning to extract data from an infected system, don't know what it was yet, I have to set up a system to analyze that stuff.

On windows my current suspicion is that they use font files to get up to some nastiness, I found 246 extra ttf and 150 fon files on a cleanly installed windows 8 system, and three stand out, meiryo, meiryob, and malgunnb, that are 8mb, instead of the 7 and 4mb sizes one would expect. Unfortunately ttf files are executable and windows "previews" them... These same files are locked by trusted installer and inaccessible to users and administrators on infected systems, and here comes the wierd part, they mysteriously disappeared from the cd I tried to burn on a completely new system (a laptop that hadn't been used in a few years) that my friend brought over which had just been freshly installed with win 8.1 from msdn, with the install media checksum verified on another system.

I'm still analyzing, but I'm certain we'll ALL have a large problem here. I have more data and info I can share with folks that are interested.
Meer informatie vind je in dit topic op Got
Naar mijn mening ťťn grote hoax, een log bstand van de BIOS kan je vrijwel alles zien wat er in staat. ook het hele microfoon +speaker verhaal is uit de duim gezogen (Data transfer via geluid is mogelijk maar niet op de onhoorbare manier met een laptop zoals beschreven.

Dit is ťťn of ander bangmaak verhaaltje wat het heel erg goed doet op allerlei sites.
Ik las dat iemand anders die het geprobeerd had die met basic laptop hardware data kon overdragen tot 24 kHz. Dan heb je tussen 16 en 24 kHz genoeg bandbreedte om een flink aantal bauds te pushen, zeker genoeg voor een command en control channel over een airgap heen.
Tuurlijk maar ik kan van alles horen tussen 16 en 24KHz dus echt onhoorbaar is het niet.. Het is natuurlijk niet alleen dat stukje,maar meerdere dingen kloppen gewoon niet in zijn verhaal, daarom mijn meing dat het een hoax is. Bangmakerij.
Op security.nl zijn er intussen ook meerdere artikelen hieraan gewijd.
In de laatste valt te lezen dat meerdere experts aan zijn verhaal twijfelen.

"Zo analyseerde Tavis Ormandy, beveiligingsonderzoeker bij Google, de BIOS-dump van Ruiu en ontdekte geen bijzonderheden"

en

"De meest uitgebreide analyse komt echter van Phillip Jaenke, die meer dan 20 jaar ervaring met de ontwikkeling van BIOS-software zegt te hebben. Hij stelt dat alles wat er over badBIOS is geschreven niet klopt. Zo kan BIOS-malware geen "air gaps" overbruggen om niet op het internet aangesloten computers te infecteren. Daarnaast is BIOS-code ook niet zo "mobiel" dat het verschillende moederborden kan infecteren."

https://www.security.nl/p...+mysterieuze+BIOS-malware
Hoax, en hier trouwens ook grandioos offtopic...

[Reactie gewijzigd door Stoney3K op 9 november 2013 23:35]

Aleen dit al : " omdat overheden elkaar niet langer vertrouwen. Hierdoor komt de openheid van internet in het geding."
Eufemisme voor: slot er op, totall controle...

beter idee: geef het huidige internet aan de mensen, en zet net als in den beginne een heel vers, beter internet op alleen voor universiteiten, bedrijven, eigen overheid e.d.

Helaas zie ik dit niet gebeuren. 1984, animal farm, big brother, ook internet zal beknot worden.

NL had al minstens 15 jaar een 'digitale partij' in minimaal de 2e kamer moeten hebben.

Techniek loopt voor op de mensen, enkelen buiten dat veelvuldig en groots, negatief helaas ook, uit.
Hoe zie je dat voor je? Overheden en bedrijven op een apart netwerk... Internet voor het publiek.
Dus weer terug naar de persoonlijke homepages en alleen file-sharing? Twee internetabonnementen?
Dat de kerncentrale niet in verbinding staat met het internet is totaal irrelevant. Stuxnet verspreid zich via een lek in de laag die USB drivers installeert en infecteert nieuwe USB sticks. Alleen als Stuxnet een bepaalde hardware configuratie waarneemt komt het in actie.

Of deze hardware configuratie ook bij de Russen aanwezig is, wordt niet vermeld. Het kan dus best zijn dat Stuxnet daar enkel zit te wachten op de volgende onwetende werknemer die zijn USB stick in een besmette machine steekt.

Dat zo'n inmiddels welbekende malware nog steeds op nieuwe plaatsen binnenkomt vind ik opmerkelijk. Je zou veiligheidsmaatregelen verwachten omtrent USB sticks e.d. nadat het hele Stuxnet verhaal naar buiten kwam..
De link met een kerncentrale klinkt eng, maar het gaat maar om een of andere centrifuge voor het verrijken van uranium. Ik hoop en neem aan dat de besturing van de controle staven in die reactor lekker analoog en zonder netwerk systemen aangestuurd worden.

En sinds wanneer heeft de CEO van een anti virus schrijver, iets te zeggen over internationale afspraken tussen overheden? Klinkt in mijn oren alsof ze een beetje buiten hun schoenen lopen.
De bedoeling van Stuxnet is inderdaad geen nucleaire rampen veroorzaken maar de apparatuur beschadigen.

Alhoewel ik niet denk de controle systemen analoog werken. Ik ben geen expert, maar ik vermoed dat het driedubbel uitgevoerde digitale systemen zijn. Dat is namelijk een stuk makkelijker in onderhoud en niet eens duurder. En dat kan heel veilig zijn als de systemen niet aan elkaar gekoppeld zijn (en geen USB malware binnenkrijgen)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True