Stuxnet

Stuxnet is een computerworm die is gebruikt om Iraanse nucleaire faciliteiten aan te vallen. Lees hieronder meer over deze belangrijke cyberaanval.

GRATIS ANTIVIRUS

Wat is Stuxnet?

Stuxnet is een kwaadaardige computerworm die berucht werd door het gebruik om Iraanse nucleaire faciliteiten aan te vallen. Die aanval haalde in 2010 wereldwijd de krantenkoppen toen het voor het eerst werd ontdekt. Zoals Jérôme Segura, Senior Director of Threat Intelligence van Malwarebytes, zei in zijn artikel Stuxnet: nieuw licht door oude ramen, “Zeer weinig stukken malware hebben dezelfde wereldwijde aandacht gekregen als Stuxnet.”

Hoewel Stuxnet als een computerworm kwaadaardige software is, werd het gebruikt om elektromechanische apparatuur aan te vallen. Zoals bij de grote aanval in Iran gebruikten aanvallers Stuxnet om meerdere zero-day kwetsbaarheden in Windows uit te buiten, geïnfecteerde pc’s te doorzoeken naar een verbinding met de software die de elektromechanische apparatuur bestuurde, en instructies te sturen met de bedoeling de apparatuur te beschadigen. Terwijl vele soorten malware een computer via het internet infecteren, is een ander uniek kenmerk van de Stuxnet-aanval in Iran dat de malware de pc’s werd binnengebracht via geïnfecteerde USB-schijven.  

Is Stuxnet een virus?

Veel mensen noemen de malware "Stuxnet-virus" hoewel het geen computervirus is — het is een computerworm. Hoewel zowel virussen als wormen soorten malware zijn die bestanden kunnen beschadigen, kan een computerworm veel geavanceerder zijn. Ten eerste, in tegenstelling tot een virus, heeft een worm geen menselijke interactie nodig om te activeren. In plaats daarvan verspreidt het zichzelf, soms overvloedig na het binnendringen in een systeem. Naast het verwijderen van gegevens kan een computerworm netwerken overbelasten, bandbreedte verbruiken, een achterdeur openen, harde schijfruimte verminderen, en andere gevaarlijke malware zoals rootkits, spyware en ransomware droppen.

Wat was de Stuxnet-aanval in Iran?

Volgens het boek “Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon”, werden inspecteurs van het Internationaal Atoomenergieagentschap in 2010 verrast door het feit dat veel van de centrifuges in Iran faalden. Noch de Iraniërs, noch de inspecteurs konden begrijpen waarom de door Siemens gemaakte apparatuur, ontworpen om uranium te verrijken voor kernreactoren, zo catastrofaal defect raakte.

Het was moeilijk voor te stellen dat een stuk kwaadaardige software de oorzaak was. Uiteindelijk waren de nucleaire faciliteiten van Iran air gapped — wat betekent dat ze niet waren aangesloten op een netwerk of het internet. Om een malware-aanval op de lucht gescheiden uraniumverrijkingsinstallatie te laten plaatsvinden, moet iemand bewust of onbewust de malware fysiek hebben toegevoegd, mogelijk via een geïnfecteerde USB-schijf.

Toen een beveiligingsteam uit Wit-Rusland enkele defecte computers in Iran ging onderzoeken, ontdekte het een zeer complexe kwaadaardige software. Deze agressieve malware zou zich later verder verspreiden, met onderzoekers die het Stuxnet noemden, het "eerste digitale wapen ter wereld".

Waarom was Stuxnet zo gevaarlijk?

Deskundigen noemen Stuxnet een ongelooflijk complex stuk code en het eerste cyberwapen ter wereld. Het kan bijna 1000 Iraanse centrifuges fysiek hebben aangetast. Stuxnet werkte door de programmeerbare logische controllers (PLC's) die de centrifuges beheerden te infecteren en ze te saboteren.  

Centrifuges draaien op buitengewoon hoge snelheden, waarbij er een kracht ontstaat die vele malen groter is dan zwaartekracht om elementen in uraniumgas te scheiden. De worm manipuleerde de bedrijfssnelheid van de centrifuges, waardoor er genoeg spanning ontstond om ze te beschadigen. Stuxnet nam de tijd, wachtte weken om de centrifuges te vertragen nadat deze tijdelijk versneld waren, wat zijn activiteiten moeilijk te detecteren maakte.

Stuxnet was ook moeilijk te detecteren omdat het volledig nieuwe malware was, een opkomende dreiging zonder bekende handtekeningen. Daarnaast exploiteerde Stuxnet meerdere zero-day kwetsbaarheden, wat onbeveiligde softwarebeveiligingsfouten zijn.

Stuxnet zond ook valse signalen van procesbesturingssensoren om zijn aanwezigheid en kwaadaardige activiteiten te verbergen. Bovendien kon Stuxnet ook een rootkit plaatsen. Rootkits kunnen een dreigingsactor controle geven over een systeem in zijn kern. Met een rootkit-installatie was Stuxnet beter in staat tot heimelijke acties.

Cybersecurity best practices voor industriële netwerken

Sterke cybersecurity-maatregelen zijn cruciaal voor elk bedrijf. Berichten over cyberaanvallen zijn regelmatig in het nieuws, en het is niet altijd kwaadaardige software die nuttige software aanvalt; zoals in het geval van Stuxnet, kan malware worden gebruikt om uiteindelijk elektromechanische apparaten, hardware en infrastructuur aan te vallen.

Een van de meest opmerkelijke cybersecurity-incidenten in 2021 was een ransomwareaanval die de grootste brandstofpijpleiding in de VS bijna een week stillegde. Later werd vastgesteld dat één gecompromitteerd wachtwoord de aanval mogelijk maakte. Andere doelen van ransomware-aanvallen gedurende het jaar waren onder andere de grootste vleesproducent ter wereld en de grootste veerdienst in Massachusetts.

Of het nu ransomware, computerwormen, phishing, business email compromise (BEC) of een andere dreiging is die u uit uw slaap houdt, u kunt stappen ondernemen om uw bedrijf te beschermen. In onze missie om cyberbescherming voor iedereen beschikbaar te maken, biedt Malwarebytes beveiligingsoplossingen voor bedrijven van elke omvang. Uw onderneming kan ook beveiligingsbest practices aannemen, zoals:

  • Voer een strikt Bring Your Own Device (BYOD)-beleid in dat voorkomt dat medewerkers en aannemers potentiële dreigingen introduceren.
  • Segmenteer alle computers die de nationale veiligheid kunnen beïnvloeden.
  • Isoleren van alle legacy-systemen die dienen als menselijke interfaces.
  • Adopteer een geavanceerd wachtwoordregime met tweefactorauthenticatie dat brute force-aanvallen bemoeilijkt en voorkomt dat gestolen wachtwoorden als bedreigingsvectoren worden gebruikt.
  • Beveiligt computers en netwerken met de nieuwste patches.
  • Gebruik door AI aangedreven cybersecurity-software met machine learning-mogelijkheden.
  • Pas eenvoudige backup en herstel toe op elk mogelijk niveau om verstoringen te minimaliseren, vooral voor kritieke systemen.
  • Monitor constant processors en servers op afwijkingen.
  • Probeer een gedemilitariseerde zone (DMZ) voor industriële netwerken.
  • Kijk naar applicatiewhitelisting voor verbeterde softwarebeveiliging.

Gerelateerde artikelen van Malwarebytes Labs

Bent u geïnteresseerd in het lezen van meer over cybersecurity en infrastructuur? Bekijk dan de volgende artikelen van Malwarebytes Labs: