Iran oli ensisijainen SCADA-mato

Symantecin laatimien tietojen mukaan lähes 60 prosenttia kaikista matoihin tartunnan saaneista järjestelmistä sijaitsee Iranissa. Myös Stuxnet-niminen haittaohjelmisto on kärsinyt Indonesiasta ja Intiasta.

Matoon liittyvien digitaalisten allekirjoitusten päivämäärät huomioon ottaen haittaohjelmat saattavat olla liikkeessä jo tammikuusta lähtien, sanoi Elias

Stuxnet löydettiin viime kuussa VirusBlokAda, Valkovenäjä-pohjainen virustentorjuntayhtiö, joka totesi löytävänsä ohjelmiston Iranin asiakkaalle kuuluva järjestelmä. Mato etsii Siemens SCADA: n (supervisory control and data acquisition) johtamisjärjestelmiä, joita käytetään suurissa tuotanto- ja voimalaitoksissa ja yrittää lähettää teollisia salaisuuksia Internetiin.

Symantec ei ole varma, miksi Iran ja muut maat raportoivat niin paljon tartuntoja. "Eniten voimme sanoa, että kukaan, joka kehitti näitä erityisiä uhkia, kohdisti yrityksiä kyseisillä maantieteellisillä alueilla", Levy sanoi.

Yhdysvalloissa on pitkäaikainen kauppasaarto Irania vastaan. "Vaikka Iran on luultavasti yksi niistä maista, joilla on kaikkein pahimmat infektiot, ne ovat luultavasti myös paikka, jossa niillä ei ole paljon AV: ää juuri nyt", Levy sanoi.

Siemens ei sanonut, kuinka monta asiakasta se on Iranissa, mutta yritys sanoo nyt, että kaksi saksalaista yritystä on saanut viruksen. Siemensin lähettämä ilmainen virustarkistus on aiemmin tällä viikolla ladattu 1,500 kertaa.

Aiemmin tänä vuonna Siemens ilmoitti aikovansa purkaa iranilaisen liiketoiminnan - 290 työntekijää, jotka nettivat 438 miljoonaa euroa (562,9 miljoonaa Yhdysvaltain dollaria) vuonna 2008 Wall Street Journalin mukaan. Kriitikot ovat sanoneet, että yhtiön kaupankäynti on auttanut Iranin ydinvoimahankkeita.

Symantec keräsi tietonsa toimimalla alan kanssa ja suunnittelemalla liikennettä, joka kohdistui matoja käsitteleviin ja valvontapalvelimiin omille tietokoneilleen. Yli kolmen päivän ajan tällä viikolla 14 000 IP-osoitteen tietokoneet yrittivät muodostaa yhteyden komento- ja ohjauspalvelimiin, mikä viittaa siihen, että madolla on ollut hyvin pieni määrä tietokoneita maailmanlaajuisesti. Tartunnan saaneiden koneiden todellinen määrä on luultavasti 15 000: n ja 20 000: n välillä, koska monet yritykset asettavat useita järjestelmiä yhdelle IP-osoitteelle Symantecin levyn mukaan.

Koska Symantec voi nähdä IP-osoitteen, jota käyttävät laitteet, jotka yrittävät muodostaa yhteyttä komento- ja ohjauspalvelimia, se voi kertoa, mitkä yritykset ovat saaneet tartunnan. "Ei ole yllättävää, että tartunnan saaneilla koneilla on erilaisia ​​organisaatioita, jotka käyttäisivät SCADA-ohjelmistoja ja -järjestelmiä, mikä on selvästikin hyökkääjien tavoite", sanoi blogi torstaina.

Stuxnet leviää USB-laitteiden kautta. Kun tartunnan saanut USB-tikku on Windows-koneessa, koodi etsii Siemens-järjestelmää ja kopioi itsensä mihin tahansa muuhun USB-laitteeseen.

Tilapäinen kiertotapa Windowsin bugille, joka sallii Stuxnetin leviämisen, löytyy tästä.

Robert McMillan kattaa tietoturvan ja yleisen teknologian uutiset

IDG News Service

. Seuraa Robertin Twitterissä osoitteessa @bobmcmillan. Robertin sähköpostiosoite on [email protected]