Nieuwe malware brengt Cyberwar een stap dichterbij

Een nieuw ontdekt stukje kwaadaardige code genaamd Duqu is nauw verwant aan de beruchte Stuxnet-worm die vorig jaar Irans nucleaire verrijkingscentrifuges beschadigde. Hoewel het geen bekend doelwit of auteur heeft, vormt het de weg voor meer industriële en cyberoorlogsaanvallen, zeggen experts.





Wie is de volgende?: Het Iraanse nucleaire complex in Natanz, hier te zien op een satellietbeeld, werd beschadigd door een computerworm genaamd Stuxnet.

Dit is absoluut een verontrustende ontwikkeling op een aantal niveaus, zegt Ronald Deibert , regisseur van Burgerlab , een internetdenktank aan de Universiteit van Toronto die onderzoek leidt naar cyberoorlogvoering, censuur en spionage. In de context van de militarisering van cyberspace zouden beleidsmakers over de hele wereld zich zorgen moeten maken.

De verspreiding van een dergelijke code zou inderdaad destabiliserend kunnen zijn. De cyberoorlogstrategie van het Pentagon maakt bijvoorbeeld duidelijk dat computeraanvallen op industriële en civiele infrastructuur zoals chemische fabrieken of elektriciteitsnetten, evenals militaire netwerken kunnen worden beschouwd als gelijkwaardig aan een conventionele bombardement of andere aanval, als burgers in gevaar zouden komen.



Duqu was beschreven dinsdag door het beveiligingsbedrijf Symantec, dat zegt dat het doel van de malware het verzamelen van informatie van geautomatiseerde industriële controlesystemen lijkt te zijn. Het richt geen schade aan, maar bespioneert hen eerder om informatie te verzamelen die relevant is voor toekomstige aanvallen.

Symantec-onderzoekers schreven dat Duqu al 10 maanden in omloop is en in wezen de voorloper is van een toekomstige Stuxnet-achtige aanval, maar waarvan het doelwit onbekend is. De code kan berichten en processen monitoren en informatie zoeken, waaronder het ontwerp van zogenaamde SCADA-systemen (voor toezichtcontrole en data-acquisitie). Dit zijn computersystemen die in industriële fabrieken en energiecentrales worden gebruikt om zaken als pompen, kleppen en andere machines aan te sturen.

De code werd oorspronkelijk ontdekt op een handvol niet nader genoemde sites in Europa door een niet bekendgemaakt onderzoeksteam en op 14 oktober aan Symantec gegeven voor analyse, zegt het bedrijf.



De Stuxnet-worm was zeer specifiek voor de Iraanse fabriek in Natanz, waar uraniumverrijking wordt uitgevoerd in verharde ondergrondse bunkers. Iran houdt vol dat Natanz een volledig vreedzame poging is om brandstof te maken voor kerncentrales, maar sommige waarnemers vrezen dat het ook kan dienen als programma voor het maken van bommen.

Stuxnet ging veel verder dan het stilleggen of verstoren van de activiteiten. Na het infecteren van door Seimens gemaakte controlesystemen, stuurde het instructies die kwetsbare centrifuges zouden beschadigen, waarin uranium van bommen- of reactorkwaliteit wordt gescheiden van natuurlijk voorkomend uranium. In een Hollywood-tintje vertoonde de worm ook normale informatie op computerschermen, zodat menselijke operators de aanvallen niet zouden opmerken.

Stuxnet wordt algemeen beschouwd als het meest geavanceerde stukje kwaadaardige software dat ooit is gemaakt. Eerder dit jaar heeft de New York Times gemeld dat Stuxnet werd getest door Israëlische agenten op centrifuges op een Israëlische locatie, en wees op deze en andere aanwijzingen dat Stuxnet mogelijk is ontworpen als een Amerikaans-Israëlisch project om het Iraanse programma te saboteren.



Maar veel is niet bekend. We weten niet waar het voor is. De eerste speculatie is dat het een voorloper was van het volgende Stuxnet, maar we weten niets, zegt Bruce Schneier , een cryptoloog en beveiligingsexpert. Het is wat het is. We weten het niet.

Duqu creëert een soort achterdeur die commando's kan ontvangen van en informatie kan leveren aan een zogenaamde command-and-control server ergens in India. (Het is niet bekend dat die server instructies heeft verzonden, zegt Symantec.) Het bedrijf zegt dat de achterdeur slechts 36 dagen open blijft, waarna de malware zichzelf verwijdert.

Symantec zegt dat zijn onderzoekers Duqu hebben gevonden op industriële computers over de hele wereld, nadat ze een detectietool hadden gestuurd na de ontdekking van de code in Europa. Net als Stuxnet, dat vorig jaar duizenden computers in 155 landen infecteerde, kwam Duqu aan boord van slachtoffercomputers door middel van een gestolen digitaal certificaat - een cryptografische code die een stukje software op een doelcomputer authenticeert. Over het geheel genomen onderstreept dit het cruciale belang van cyberspace-beveiligingsbeleid en -praktijken, nationaal, regionaal en internationaal, zegt Deibert.



zich verstoppen