Symantec har netop udsendt en længere rapport om den mystiske internet-orm Stuxnet, som måske er skrevet for at ramme industrianlæg i Iran. Langt de fleste inficeringer er sket i Iran, men i de seneste dage har Kina angiveligt også været ramt hårdt.
I sin rapport fortæller Symantec, at man har fundet flere spor, der peger mod Israel som den mulige bagmand. Det er ikke den store overraskelse. Det er kendt, at Israel har oprettet en hemmelighedsfuld cyberkrigs-enhed under sin efterretningstjeneste.
Symantec har fundet to filnavne i Stuxnet-ormens kode – myrtus og guava – som måske henviser til en fortælling i det Gamle Testament.
Dét kom frem allerede i sidste uge, men Symantec har også fundet en bestemt værdi i koden, 19790509, som måske henviser til en bestemt dato – den 9. maj 1979 – hvor en persisk jøde blev henrettet i Iran.
Sporene kan dog også være et forsøg på at sløre de sande bagmænd, og det vil næppe være muligt at bevise hvem der står bag.
Men Symantec-rapporten indeholder flere andre interessante oplysninger. Stuxnet forsøger at inficere kontrolsoftware til industrianlæg fra Siemens, WinCC/Step 7, men ormen er designet, så den kun inficerer én bestemt konfiguration af dette system.
Symantec leder nu efter hjælp for at få identificeret, hvor denne specifikke konfiguration bliver brugt. Ifølge sikkerhedsfirmaet fungerer ormens command-and-control server ikke længere, men det er stadig muligt at styre den med peer-to-peer teknologi.
Desuden tyder meget på, at internet-ormen slet ikke er designet til at kommunikere over nettet – den spredes primært på usb-hukommelsesnøgler og formålet er måske at udøve sabotage på systemerne.
Den første version af Stuxnet dukkede op helt tilbage i juni 2009, og det ser ud til at programmørerne løbende har udskiftet nye moduler og tilføjet flere funktioner for at gøre ormen mere effektiv i dens ukendte mission.
