Het PLC virus Stuxnet heeft geleid tot heel wat opschudding binnen de industriële wereld. Zelfs onze eigen software-archieven zijn niet veilig. Wat doet dit virus waaraan tientallen mensen gewerkt moeten hebben eigenlijk met onze PLC’s?
Stuxnet is bij toeval ontdekt door het Wit-Russische bedrijf VirusBlokada, een leverancier van antivirussoftware. Hoe men er precies achtergekomen is, is niet bekend. Maar omdat elk virus, hoe goed het zich ook verstopt, onvermijdelijk aanpassingen aan pc-bestanden of het register moet uitvoeren of via een netwerk gaat communiceren, dan zal het toch zichtbaar worden voor antivirussoftware. Die is bij zo’n leverancier intern ongetwijfeld veel geavanceerder is dan bij u thuis op de pc.
Stuxnet gaf aanvankelijk weinig ophef, omdat het virus op een pc eigenlijk helemaal niets leek te doen, anders dan zichzelf verspreiden. Maar al snel werd duidelijk dat het op zoek ging naar Siemens’ WinCC software, en via het uitgelekte hardgecodeerde wachtwoord aanpassingen aan de database van WinCC ging uitvoeren. Medio juni 2010 werd de industriële cybersecuritywereld snel wakker. Siemens bracht meteen tegenmaatregelen uit, later gevolgd door Microsoft.
Antivirusleverancier Symantec dook er ook in, en begon stap-voor-stap met het uitpluizen van Stuxnet. De resultaten hiervan zijn in een lijvig rapport “W32.Stuxnet Dossier” gepubliceerd; dit is aanbevolen leesvoer voor iedereen die wel wil weten hoe zoiets werkt. Sla eventueel de eerste helft over want die gaat enkel over het Windows-deel van Stuxnet, de Siemens-PLC-kenner zal in de tweede helft veel bekends voorbij zien komen.
Hoe verloopt een PLC infectie?
De verspreiding van Stuxnet kan op een aantal manieren plaatsvinden, onder andere via USB-sticks en netwerkprinters. Daarbij houdt het virus zelfs rekening met een antiviruspakket dat op een pc kan staan; het maakt actief gebruik van bekende zwaktes in bepaalde pakketten.
Eenmaal op de pc aanwezig, wordt door de virus vervolgens erg kieskeurig gezocht naar één bepaalde PLC-configuratie. Ook moet er nog een bepaalde functionaliteit in het PLC-programma aanwezig zijn. Wordt aan deze voorwaarden niet voldaan, dan ‘doet’ Stuxnet verder niets; uiteraard blijft het wel actief om zich verder te verspreiden.
Een opwerkingsfabriek voor verrijkt uranium in Iran schijnt zwaar geïnfecteerd te zijn door het Stuxnet. (foto: EPA)
Als wel voldaan is aan alle voorwaarden, dan modificeert Stuxnet de PLC-code op een zodanige manier dat dit voor een PLC-programmeur onzichtbaar is. Stuxnet wordt daarna actief en luistert het Profibus/DP verkeer met de frequentieomvormers af. Dit kan een lange tijd goed gaan, maar op een bepaald moment besluit Stuxnet om de toerentalinstellingen van de frequentieomvormers wild te variëren.
Het volledig artikel vindt u in de februari-uitgave van het vakblad Aandrijftechniek.