Stuxnet

Stuxnet is een computerworm die werd gebruikt om Iraanse nucleaire installaties aan te vallen. Lees hieronder meer over deze belangrijke cyberaanval.

GRATIS ANTIVIRUS

Wat is Stuxnet?

Stuxnet is een kwaadaardige computerworm die berucht werd door het gebruik ervan om Iraanse nucleaire installaties aan te vallen. Die aanval haalde het wereldnieuws in 2010 toen hij voor het eerst werd ontdekt. Zoals Jérôme Segura, Senior Director of Threat Intelligence van Malwarebytes, zei in zijn artikel Stuxnet: nieuw licht door oud windows, "Er zijn maar weinig malwareprogramma's die wereldwijd zoveel aandacht hebben gekregen als Stuxnet".

Hoewel Stuxnet als computerworm kwaadaardige software is, is het gebruikt om elektromechanische apparatuur aan te vallen. Net als bij de grote aanval in Iran gebruikten aanvallers Stuxnet om misbruik te maken van meerdere zero-day kwetsbaarheden op Windows . Ze zochten op geïnfecteerde pc's naar een verbinding met de software die de elektromechanische apparatuur bestuurde en stuurden instructies om de apparatuur te beschadigen. Hoewel veel soorten malware een computer infecteren via het internet, is een ander uniek kenmerk van de Stuxnet-aanval in Iran dat de malware op de pc's werd geïntroduceerd via geïnfecteerde USB-sticks.  

Is Stuxnet een virus?

Veel mensen noemen de malware "Stuxnet-virus", ook al is het geen computervirus - het is een computerworm. Hoewel zowel virussen als wormen soorten malware zijn die bestanden kunnen beschadigen, kan een computerworm veel geavanceerder zijn. Om te beginnen heeft een worm, in tegenstelling tot een virus, geen menselijke interactie nodig om geactiveerd te worden. In plaats daarvan verspreidt de worm zichzelf, soms op grote schaal nadat hij een systeem is binnengedrongen. Naast het verwijderen van gegevens kan een computerworm netwerken overbelasten, bandbreedte verbruiken, een achterdeur openen, ruimte op de harde schijf innemen en andere gevaarlijke malware droppen, zoals rootkits, spyware en ransomware.

Wat was de Stuxnet-aanval in Iran?

Volgens het boek "Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon" zagen bezoekende inspecteurs van het Atoomagentschap in 2010 tot hun verbazing dat veel centrifuges van Iran het begaven. Noch de Iraniërs noch de inspecteurs konden begrijpen waarom de apparatuur van Siemens, ontworpen om uranium te verrijken en kernreactoren van energie te voorzien, zo catastrofaal defect raakte.

Het was moeilijk voor te stellen dat een stuk kwaadaardige software hiervoor verantwoordelijk was. De Iraanse nucleaire installaties waren immers luchtdicht afgesloten - wat betekent dat ze niet verbonden waren met een netwerk of het internet. Voor een malware-aanval op de luchtafgesloten uraniumverrijkingsfabriek moet iemand de malware bewust of onbewust fysiek hebben toegevoegd, misschien via een geïnfecteerde USB-stick.

Toen een beveiligingsteam uit Wit-Rusland een aantal slecht werkende computers in Iran kwam onderzoeken, vond het een zeer complexe kwaadaardige software. Deze agressieve malware zou zich later verder in het wild verspreiden en onderzoekers noemden het Stuxnet, het "eerste digitale wapen ter wereld".

Waarom was Stuxnet zo gevaarlijk?

Deskundigen noemen Stuxnet een ongelooflijk complex stuk code en 's werelds eerste cyberwapen. Het kan bijna 1000 Iraanse centrifuges fysiek hebben aangetast. Stuxnet werkte door de programmeerbare logische controllers (PLC's) die de centrifuges bestuurden te infecteren en te saboteren.  

Centrifuges draaien op buitengewoon hoge snelheden en creëren een kracht die vele malen sneller is dan de zwaartekracht om elementen in uraniumgas te scheiden. De worm manipuleerde de werkingssnelheid van de centrifuges en creëerde zo genoeg stress om ze te beschadigen. Stuxnet nam de tijd en wachtte weken om de centrifuges af te remmen na ze tijdelijk te hebben versneld, waardoor de activiteiten moeilijk te detecteren waren.

Stuxnet was ook moeilijk te detecteren omdat het volledig nieuwe malware was, een opkomende dreiging zonder bekende handtekeningen. Bovendien maakte Stuxnet gebruik van meerdere 'zero-day'-kwetsbaarheden, beveiligingslekken in software die nog niet zijn verholpen.

Stuxnet verzond ook valse sensorsignalen voor industriële procesbesturing om zijn aanwezigheid en kwaadaardige activiteit te verbergen. Daarnaast was Stuxnet ook in staat om een rootkit. Rootkits kunnen een bedreigende actor controle geven over de kern van een systeem. Met een rootkit installatie was Stuxnet beter in staat om heimelijke acties uit te voeren.

Cyberbeveiligingsbest practices voor industriële netwerken

Sterke cyberbeveiligingsmaatregelen zijn essentieel voor elk bedrijf. Berichten over cyberaanvallen zijn regelmatig in het nieuws en het is niet altijd kwaadaardige software die nuttige software aanvalt; zoals in het geval van Stuxnet kan malware worden gebruikt om uiteindelijk elektromechanische apparaten, hardware en infrastructuur aan te vallen.

Een van de meest opmerkelijke cyberbeveiligingsincidenten van 2021 was een ransomware-aanval die de grootste brandstofpijpleiding in de VS bijna een week lang platlegde. Later werd vastgesteld dat één gecompromitteerd wachtwoord de aanval mogelijk maakte. Andere doelwitten van ransomware-aanvallen in de loop van het jaar waren onder andere 's werelds grootste vleesverpakker en de grootste veerdienst in Massachusetts.

Of het nu gaat om ransomware, computerwormen, phishing, BEC (Business Email Compromitting) of een andere bedreiging die u 's nachts wakker houdt, u kan stappen ondernemen om uw te beschermen. In onze missie om iedereen cyberbescherming te bieden, biedt Malwarebytes beveiligingsoplossingen voor bedrijven van elke omvang. uw bedrijf kan ook best practices op het gebied van beveiliging overnemen, zoals:

  • Pas een strikt BYOD-beleid (Bring uw Own Device) toe dat voorkomt dat werknemers en aannemers potentiële bedreigingen introduceren.
  • Air gap alle computers die van invloed kunnen zijn op de nationale veiligheid.
  • Air gap alle legacy systemen die dienen als menselijke interfaces.
  • Gebruik een geavanceerd wachtwoordregime met tweefactorauthenticatie dat brute force-aanvallen verhindert en voorkomt dat gestolen wachtwoorden bedreigingsvectoren worden.
  • Beveilig computers en netwerken met de nieuwste patches.
  • Gebruik AI-gestuurde cyberbeveiligingssoftware met mogelijkheden voor machine learning.
  • Pas eenvoudige back-up en herstel toe op elk mogelijk niveau om verstoringen tot een minimum te beperken, vooral voor kritieke systemen.
  • Controleer processors en servers voortdurend op afwijkingen.
  • Probeer een gedemilitariseerde zone (DMZ) voor industriële netwerken.
  • Zoek naar whitelisting van toepassingen voor een betere beveiliging van software.

Gerelateerde artikelen van Malwarebytes Labs

Bent u u geïnteresseerd in meer informatie over cyberbeveiliging en infrastructuur? Bekijk dan de volgende artikelen van Malwarebytes Labs :