Stuxnet Industrial Worm kirjoitettiin yli vuosi

Tietokoneiden salaisuuksien varastamiseen suunniteltu hienostunut mato on ollut paljon pidempään kuin aiemmin ajateltiin, tietoturva-asiantuntijoiden mukaan. [

] Called Stuxnet, mato oli tuntematon vasta heinäkuun puolivälissä, jolloin se tunnistettiin tutkijoiden kanssa Minskissä Valkovenäjällä toimivan VirusBlockAdan kanssa. Mato ei ole tunnettu teknisen hienostuneisuuden lisäksi myös siitä, että se kohdistaa teollisuusohjausjärjestelmät tietokoneisiin, jotka on suunniteltu toimimaan tehtailla ja voimaloilla.

Symantecin tutkijat sanovat nyt, että he ovat tunnistaneet aikaisemmat versiot joka on luotu kesäkuussa 2009, ja että haittaohjelmat tehostettiin sitten entistä kehittyneemmiksi vuoden 2010 alkupuolella.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Tämä Stuxnetin aiempi versio toimii samalla tavalla kuin sen nykyinen inkarnaatio - se yrittää muodostaa yhteyden Siemens SCADA (valvonta- ja tiedonhankintajärjestelmien) hallintajärjestelmiin ja varastaa tietoja - mutta ei käytä joitain uudempia matoja merkittävimpiä tekniikoita virustentorjunnan havaitsemisen ja asenna itsensä Windows-järjestelmiin. Näitä ominaisuuksia luultavasti lisättiin muutama kuukausi ennen kuin viimeisin mato todettiin ensimmäisen kerran, sanoi tutkija, joka toimii virustentorjunta-alan toimittajan Kaspersky Labin tutkijana Roel Schouwenbergin kanssa. "Tämä on epäilemättä kaikkein hienoin kohdennettu hyökkäys, jonka olemme nähneet tähän mennessä", hän sanoi.

Kun Stuxnet luotiin, sen kirjoittajat lisäsivät uusia ohjelmistoja, joiden ansiosta se leviää USB-laitteiden välityksellä käytännössä ilman uhrin toimia. Ja he onnistuivat myös saamaan käsiinsä siruyrityksiin Realtek ja JMicronin salausavainta ja allekirjoittamaan digitaalisesti haittaohjelman, jotta virustentorjuntalaitteilla olisi vaikeampi havaita se.

Realtek ja JMicron molemmat toimivat Hsinchun tiedossa Park, Hsinchu, Taiwan ja Schouwenberg uskovat, että joku olisi voinut varastaa avaimet fyysisesti käyttää tietokoneita näissä kahdessa yrityksessä.

Tietoturva-asiantuntijat sanovat, että kohdennetut hyökkäykset ovat olleet jo vuosia, mutta vasta hiljattain alkoivat saada valtavirtaista huomiota, kun Google ilmoitti, että se oli kohdistunut Aurora-nimisen hyökkäyksen kohteeksi.

Sekä Aurora että Stuxnet hyödyntävät Microsoftin tuotteiden nollapäivän virheitä. Mutta Stuxnet on teknisesti merkittävämpi kuin Google-hyökkäys, Schouwenberg sanoi. "Auroralla oli nolla päivä, mutta se oli nolla-päivä IE6: tä vastaan", hän sanoi. "Tässä on haavoittuvuus, joka on tehokas kaikissa Windows-versioissa Windows 2000: sta lähtien."

Maanantaina Microsoft ryntäsi varhaisen korjaustiedoston Windowsin haavoittuvuuteen, jota Stuxnet käyttää levittämään järjestelmästä järjestelmään. Microsoft julkaisi päivityksen juuri kun Stuxnet-hyökkäyskoodi alkoi käyttää viruksellisissa hyökkäyksissä.

Vaikka Stuxnet olisi voinut käyttää väärennöstä varastaakseen teolliset salaisuudet - tehdasvalmisteiset tiedot esimerkiksi golfmailojen tekemisestä - Schouwenberg epäilee, että kansallisvaltio oli hyökkäysten takana.

Tähän mennessä Siemens sanoo, että neljästä asiakkaastaan ​​on tarttuva mato. Kaikki nämä hyökkäykset ovat kuitenkin vaikuttaneet konejärjestelmien toimintaan, eikä mitään tehtaalla.

Vaikka mato ensimmäisen version kirjoitettiin kesäkuussa 2009, on epäselvää, että kyseistä versiota käytettiin reaalimaailmassa. Schouwenberg uskoo, että ensimmäinen hyökkäys olisi voinut olla jo heinäkuussa 2009. Ensimmäinen vahvistettu hyökkäys, jonka Symantec tietää päivämääristä tammikuusta 2010, sanoo Symantecin tietoturvatekniikan ja vasteen varapuheenjohtaja Vincent Weafer.

Eniten tartunnan saaneet järjestelmät ovat Iranissa, hän lisäsi, vaikka Intiassa, Indonesiassa ja Pakistanissa on myös osuma. Tämä itsessään on erittäin epätavallinen, Weaver sanoi. "Tämä on ensimmäinen kerta 20 vuoden aikana, kun muistan Iranin osoittavan niin voimakkaasti."

Robert McMillan kattaa tietoturvan ja yleisen teknologian uutiset IDG News Service. Seuraa Robertin Twitterissä osoitteessa @bobmcmillan. Robertin sähköpostiosoite on [email protected]