Stuxnet was (voor symantec, maar ook voor mij) een van de meest comlexe en doelgerichte malware ooit geschreven. De uiteenzetting van het mogelijke attack scenario door symantec leest bijna als een detective.
De stuxnet worm bestond uit een grote stapel Zero Day Exploits die precies aansloten bij de infrastructuur van iraanse industriele systemen zoals gasleidingen en stroomcentrales. Later bleek dat het specfiek ging over systemen zoals ultracentrifuges voor uranium verrijking.
Het doel van de stuxnet worm was de sabotage van deze systemen: de PLC’s van machines te herprogrammeren en deze onopgemerkt onklaar konde nmaken.
De stuxnet worm heeft per 29 september 2010 ongeveer 100.000 hosts geinfecteerd. Door het virus draaide een groot aantal nucleaire centrifuges in iran zichzelf kapot.
In 2024 kwam naar buiten dat een nederlander betrokken was bij het deployen van de worm vie de installatie van een pomp in een nucleair complex. De apparatuur die was geïnfecteerd met de zeer geavanceerde software, die naar verluidt ruim een miljard dollar had gekost om te ontwikkelen. Stuxnet bleek een “door de VS en Israël aangestuurde operatie.”
highlights
- Self-replicates through removable drives exploiting a vulnerability allowing auto-execution. Microsoft Windows Shortcut ‘LNK/PIF’ Files Automatic File Execution Vulnerability (BID 41732)
- Spreads in a LAN through a vulnerability in the Windows Print Spooler. Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073)
- Spreads through SMB by exploiting the Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874).
- Copies and executes itself on remote computers through network shares.
- Copies and executes itself on remote computers running a WinCC database server.
- Copies itself into Step 7 projects in such a way that it automatically executes when the Step 7 project is loaded.
- Updates itself through a peer-to-peer mechanism within a LAN.
- Exploits a total of four unpatched Microsoft vulnerabilities, two of which are previously mentioned vulnerabilities for self-replication and the other two are escalation of privilege vulnerabilities that have yet to be disclosed.
- Contacts a command and control server that allows the hacker to download and execute code, including updated versions.
- Contains a Windows rootkit that hide its binaries.
- Attempts to bypass security products.
- Fingerprints a specific industrial control system and modifies code on the Siemens PLCs to potentially sabotage the system.
- Hides modified code on PLCs, essentially a rootkit for PLCs.