Computerworld News Service: En sofistikeret orm designet til at stjæle industrielle hemmeligheder har ifølge de sikkerhedseksperter, der har undersøgt den ondsindede software, eksisteret i noget længere tid, end man hidtil har troet
Ormen er kendt som Stuxnet og var ukendt indtil midten af juli, hvor den blev identificeret af medarbejdere hos VirusBlockAda, som er et sikkerhedsfirma beliggende i Minsk i Hviderusland.
Ormen er allerede berygtet - ikke bare fordi den er teknisk sofistikeret, men også på grund af det faktum, at den går efter computere i industrielle kontrol-systemer, der er designet til at styre fabrikker og elektricitetsværker.
Et af ofrene for den ondsindede orm er danske A.P. Møller-Mærsk, som i sidste måned blev ramt af Stuxnet-ormen samt virussen Sality.
Nu fortæller forskere ved Symantec, at de har identificeret en tidlig version af ormen, som blev skabt i juli 2009, og at den ondsindede software er blevet gjort langt mere sofistikeret i starten af 2010.
Den tidlige version af Stuxnet opfører sig på samme måde som ormen i sin nuværende inkarnation - den søger forbindelse med Siemens' styresystem SCADA (supervisory control and data acquisition), hvorefter den stjæler data - men det anvender ikke nogle af den nye versions mere bemærkelsesværdige teknikker til omgåelse af virus-programmerne og installerer sig selv på Windows-systemerne.
De features blev sandsynligvis tilføjet nogle måneder inden det første angreb blev opdaget, siger Roel Schouwenberg, der er researcher ved antivirus-leverandøren Kaspersky Lab.
"Det er uden tvivl det mest sofistikerede målrettede angreb, vi endnu har set," pointerer han.
Ormen æder sig frem via USB-enheder
Efter Stuxnet var blevet skabt, valgte bagmændene at tilføje ormen ny software, som gjorde det muligt for den at sprede sig via USB-enheder praktisk talt uden offerets hjælp.
Og på en eller anden måde er det lykkes dem at få fingrene i krypteringsnøgler, der tilhører chip-virksomhederne Realtek og JMicron, hvormed malwaren kan signeres digitalt, så antivirus-programmerne får endnu sværere ved at genkende den.
Både Realtek og JMicron har kontorer i Hsinchu Science Park i Hsinchu, Taiwan, og Roel Schouwenberg mener, at nogen nok har stjålet nøglerne ved fysisk at tiltvinge sig adgang til computerne hos de to virksomheder.
Sikkerhedseksperter siger, at den slags målrettede angreb har fundet sted i nogle år efterhånden, men at de først har fået offentlighedens interesse for nyligt, efter Googles afsløring af, hvordan virksomheden blev udsat for et målrettet angreb under navnet Aurora.
Både Aurora og Stuxnet udnytter en ikke-lappet 0-dags-sårbarhed i Microsofts produkter. Men Stuxnet er mere teknisk bemærkelsesværdig end Google-angrebet, fortæller Roel Schouwenberg.
"Aurora havde en 0-dag, men det var en 0-dag mod IE6," siger han.
"Her har du til gengæld en sårbarhed, som er effektiv mod alle versioner af Windows siden Windows 2000," fortsætter han.
Microsoft lukker smuthul
Mandag var Microsoft ude med en tidlig rettelse af den Windows-sårbarhed, som Stuxnet udnytter til at sprede sig fra system til system.
Microsoft udsendte opdateringen, netop som Stuxnet begyndte at blive brugt i mere virus-lignende angreb.
Selv om Stuxnet kan have været brugt af en kopi-producent til at stjæle industrielle hemmeligheder - fabriks-data om, hvordan man laver golfkøller, for eksempel - så mener Roel Schouwenberg nærmere, at der må have stået en national-stat bag angrebene.
Siemens fortæller, at fire af virksomhedens kunder foreløbigt har været ramt af ormen. Men alle angrebene i højere grad har påvirket systemerne end noget på selve fabriksgulvet.
Selv om den første version af ormen blev skrevet i juni 2009, så er det endnu uklart, hvorvidt den version rent faktisk blev brugt til angreb ude i den virkelige verden.
Roel Schouwenberg mener, at det første angreb kan have fundet sted allerede i juli 2009. Det første bekræftede angreb, som Symantec kender til, blev gennemført i januar 2010, fortæller Vincent Weafer, som Symantecs vice president of security and response.
De fleste inficerede systemer findes i Iran, tilføjer han, selvom Indien, Indonesien og Pakistan også er blevet ramt. Det er i sig selv højst usædvanligt, siger Vincent Weafer.
"Det er første gang i 20 år, jeg kan huske, at Iran ligger så tungt på listen," tilføjer han.
Oversat af Marie Dyekjær Eriksen
