Worm infecteert fabriek

Henk Klomp

Het is het eerste voorbeeld van cyberwarfare; wereldwijd zijn inmiddels talrijke fabrieken besmet met de worm Stuxnet, oorspronkelijk bedoeld voor nucleaire faciliteiten in Iran.

‘De impact die deze worm kan hebben, kent geen analogon in het verleden. Dit is het soort bedreiging dat we nooit meer hopen te zien’, concludeert beveiligingsdeskundige Liam O’Murchu van Symantec. Hij slaagde erin software te ontwerpen die de recent ontdekte worm Stuxnet kan verwijderen. De worm is het meest complexe en doordachte stukje malware ooit ontdekt, het jarenlange werk van een team van meer dan tien programmeurs. ‘Het is de Cadillac onder de wormen, onvergelijkbaar met wat we tot nu toe hebben gezien’, bevestigen deskundigen bij TNO. ‘Dit is geen achterkamertjeswerk van een paar hackers.’

 

De worm heeft wereldwijd talrijke fabrieken besmet. Hij kan het roer overnemen van de operator van de fabriek of industriële installatie, zonder dat die het merkt. Hij herprogrammeert zogeheten Programmable Logic Controllers (PLC) die werken met een netwerkkaart van Siemens, die iedereen die contact legt als administrator accepteert. O’Murchu demonstreerde bijvoorbeeld hoe hij met de worm luchtpompen in een fabriek uit kan zetten. Het vermoeden is dat de worm ook India’s INSA-4B satelliet buiten bedrijf heeft gesteld. ‘We roepen al tien jaar bij TNO dat de regelsystemen in de vitale infrastructuur kwetsbaar zijn. Dit is de eerste concrete aanval. Nu is iedereen echt wakker geschud.’

 

Waarschijnlijk heeft de worm zijn oorspronkelijke militaire missie al in 2009 voltooid. De wereldwijde besmetting is door de aanvallers voor lief genomen, een garantie dat de worm uiteindelijk die ene PLC bereikte. Uit het patroon van besmettingen is afgeleid dat de aanval heeft plaatsgevonden in Iran, in een opwerkingsfabriek van uranium in Natanz of een kerncentrale in Bushehr. Uit de code bleek dat de programmeurs beschikten over de ontwerpdocumenten van deze faciliteiten. De Iraanse autoriteiten erkenden deze week dat ze de worm op systemen in Natanz hebben aangetroffen, maar ontkennen dat er schade is berokkend. Ze zijn er nog steeds niet in geslaagd de worm uit haar industriële complex te verwijderen, omdat deze in de loop van de tijd ook muteert.

 

Inmiddels zijn er nu drie varianten in Iran actief. Symantec ontdekte in de code van Stuxnet een verwijzing naar de Israëlische Geheime Dienst: de worm besmet immers geen computers met registersleutel 19790509, de datum van de executie van een Joodse spion in Teheran. Maar Symantec waarschuwt dat de echte aanvallers er baat bij kunnen hebben de verdenking op anderen te laden. Degenen die de worm hebben gemaakt, brengen ermee industrieën over de hele wereld in gevaar. Na de uitvoerige publicaties over de werkwijze van de worm zullen binnenkort veiligheidsdiensten en naties, maar ook terreurorganisaties, soortgelijke wormen kunnen maken. Fabrieken, energiecentrales of waterzuiveringsinstallaties updaten hoogstens eens in de vijf jaar hun systemen. Siemens heeft een tool verspreid om Stuxnet te detecteren en verwijderen, maar Symantec waarschuwt dat incorrecte verwijdering schade kan veroorzaken.

Lees ook

Nieuws brief
* indicates required