Een vroege versie van de Stuxnet aanvalsmalware zou al in 2005 zijn ontwikkeld, aldus een studie van securityspecialist Symantec.
De ontdekking van de Stuxnet malware in 2010 veroorzaakte heel wat opschudding, omdat voor het eerst malware opdook die uiterst gericht een aanval uitvoerde met fysieke schade tot gevolg. Met Stuxnet werden immers de sturingscomponenten van de Iraanse gascentrifuges voor de verrijking van Uranium ontregeld, waardoor deze schade opliepen en de productie terugviel. Al snel werd gesuggereerd dat Stuxnet zelf was ontwikkeld door en met financiering van staatsoverheden, waarbij om verschillende redenen met de vinger naar de VS en Israel werd gewezen. Als malware maakte Stuxnet gebruik van verschillende zwakheden, en rekende voor zijn verspreiding zowel op ‘social engineering’ technieken als zelfstandige mechanismen.
Stuxnet, en latere aanvalsmalware als DuQu, Flame en Gauss, gaven aanleiding tot heel wat speculaties inzake cyberoorlog en cyberterrorisme, en zetten de overheden ook aan tot meer aandacht voor de bescherming van nationale kritieke infrastructuren.
Vroege versie ‘0.5’
Op de RSA Conferentie in San Francisco heeft Symantec nu een studie vrijgegeven, waaruit blijkt dat Stuxnet al veel vroeger dan gedacht in ontwikkeling was en werd getest. Symantec vond en bestudeerde een versie ‘0.5’ van Stuxnet, waaruit blijkt dat de ontwikkeling al in 2005 aan de gang was. Uit de studie blijkt dat Stuxnet oorspronkelijk met behulp van een ander framework (Flamer in plaats van Tilde) en wellicht door een ander team werd ontwikkeld. Tevens verliep de besmetting enkel via Siemens Step 7 projectbestanden.
Het grootste verschil was allicht de aanvalswijze zelf. In plaats van de snelheid van de centrifuges aan te passen, voorzag Stuxnet 0.5 in de sluiting van de kleppen in een centrifuge, op de inlaatklep na. Hierdoor zou de druk in de centrifuge sterk oplopen, wat op zichzelf al voldoende is om de productie te verstoren. Maar ook zou dit mogelijkerwijze tot ontploffingen kunnen leiden. Het is niet duidelijk of dit laatste zich heeft voorgedaan, maar er zijn wel aanwijzingen dat Stuxnet 0.5 rond november 2007 al in omloop was. Stuxnet 0.5 stopte met zijn infecties in juli 2009, kort nadat Stuxnet 1.001 werd gecompileerd.
Duidelijk is wel dat Stuxnet een voorbeeld is van een lang en uiterst doelgericht ontwikkelingsproject, met stevige investeringen op het gebied van expertise en middelen – aspecten die duidelijk het snelle winstbejag van gewone cybercriminelen overstijgen. De ontdekking van een versie 0.5 en de evolutie die Stuxnet heeftt doorgemaakt, onderstreept dit eens te meer. De oorspronkelijke studie van Symantec over Stuxnet vindt u hier.
