Læs også:
Gratis værktøj kan hacke kritiske danske systemer
Så nemt får du adgang til det danske forsyningsnet
Rapport: Sådan kan dansk kritisk infrastruktur hackes
Artikel rettet den 8. november 2012 klokken 22:00.
Der er nu dukket nye oplysninger op omkring det berygtede Stuxnet netværk, der i 2010 ødelagde dele af iransk infrastruktur.
Tidligere oplysninger viser, at Stuxnet kunne styres fra en IP-adresse i Danmark. Men nu viser det sig, at forbindelsen kan spores helt til en amerikansk telegigant.
Stuxnet kommunikerede direkte med tre domæner. Et af disse domæner pegede på en dansk IP-adresse, der i sidste ende leder til den amerikanske tele- og internet virksomhed Above Net.
"I 2010 identificerede vi tre Stuxnet command and control-servere. Den ene var lokaliseret i Glostrup. CSIS var meget interesserede i at undersøge udstyret i Danmark, men jeg kunne ikke få ikke adgang til det," siger Peter Kruse, der er it-sikkerhedsekspert ved CSIS.
Her fandt virksomheden ud af, at Stuxnet-rootkittet ringede hjem til udstyret bag den danske IP-adresse, når rootkittet skulle aflevere oplysninger opsamlet fra inficerede maskiner.
Den danske forbindelse
IP-adressen, som domænet pegede på, tilhører den danske virksomhed Zen Systems, der er tele- og internetudbyder.
Domænet pegede på den danske IP-adresse i perioden 29. december 2008 til 25. juli 2010.
Det viser opslag fra hjemmesiden domaintools.com, der løbende indsamler såkaldte whois opslag for domæner og gør det muligt for betalende brugere at lave historiske opslag.
Det betyder, at al kommunikation, der har været fra Stuxnet-malwaren, som kommunikerede med domænet, er blevet dirigeret til den danske IP-adresse i det nævnte tidsrum.
Sporet ender ved amerikansk telegigant
Zen Systems har overfor Computerworld videregivet informationer, der fortæller at IP-adressen blev tildelt Zen Systems kunde Interxion.
Interxion ledte herfra al trafik til og fra ip-adressen videre til Interxions egen amerikanske kunde Above Net, der havde et rackskab i Interxion danske datacenter.
Computerworld har kontaktet Above Net for at høre nærmere omkring selskabets rolle i sagen.
Men virksomheden har ikke besvaret henvendelser hverken per telefon eller e-mail.
Her ender sporet
Herfra er det ikke muligt at dykke længere ned. Sporet ender altså ved en amerikansk kunde i et dansk datacenter.
Interxion understreger overfor Computerworld, at virksomheden blot stiller fysiske forhold til rådighed for sine kunder.
Virksomheden kan ikke udtale sig omkring enkelt sager.
"Kunderne kan købe netværk direkte fra operatører, der også er repræsenteret i vores datacentre. Trafikken går altså fra teleudbyder og direkte til vores kunder i datacenteret," siger Peder Bank, der er direktør for Interxion.
Administrerende direktør Sven Møller for Zen Systems fortæller Computerworld, at virksomheden blot leverede IP-adressen og internetforbindelsen til Above Net.
Derfor havde virksomheden ikke noget at gøre med et bagvedliggende Stuxnet-system.
Ejeren af domænerne kan ikke identificeres
De tre domæner som CSIS fandt i Stuxnet koden var alle registreret til samme virksomhed.
Virksomheden, der i sommeren 2010 stod som registrant for domænerne, var Domains by Proxy.
Domains by Proxy tilbyder deres kunder, at det er Domains by Proxy selv, der figurerer som registrant på bestilte domæner. Derved holdes domænernes reelle ejere hemmelige.
Virksomheden registrerede domænerne den 24. december 2008, og stod som ejer af domænerne til den 26. august 2012.
CSIS: Derfor holdt vi information tilbage
Herefter er alle domænerne blevet køb af Moniker Privacy Services.
"Før den 24. december 2008 har det ikke været muligt for Stuxnet at kommunikere med command & control-serverne, det er et faktum," siger Peter Kruse.
CSIS påpeger samtidig, at alt omkring Stuxnet koden og domæneregisteringen kan kædes sammen.
"Domænerne er kodet direkte ind i Stuxnet-rootkittet, og kan ikke bare ændres. Og det faktum, at domænernes reelle ejer er skjult bag ved Domains by Proxy, er ikke nogen tilfældighed," vurderer Peter Kruse.
CSIS: Derfor holdt vi information tilbage
Der skulle gå to år, før CSIS offentliggjorde informationen omkring den danske forbindelse til Stuxnet. Men det er helt tilfældigt, fortæller Peter Kruse.
"Vi kunne godt have offentliggjort informationerne tidligere, men Dansk Industris konference om it-sikkerhed i den danske infrastruktur, var den ideelle mulighed for at kommunikere det ud," siger han.
Læs også:
Gratis værktøj kan hacke kritiske danske systemer
