Iran był głównym celem robaka SCADA

Komputery w Iranie najciężej uderzył niebezpieczny robak komputerowy, który próbuje wykraść informacje z systemów kontroli przemysłowej.

Według danych zebranych przez firmę Symantec prawie 60% wszystkich zainfekowanych przez robaka systemów znajduje się w Iranie. Indonezyjskie i indyjskie zostały również mocno dotknięte przez złośliwe oprogramowanie, znane jako Stuxnet.

Patrząc na daty podpisów cyfrowych generowanych przez robaka, złośliwe oprogramowanie mogło być w obiegu już od stycznia, powiedział Elias Levy, starszy dyrektor techniczny w firmie Symantec Security Response.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Stuxnet został odkryty w ubiegłym miesiącu przez VirusBlokAda, białoruską firmę antywirusową, która stwierdziła, że ​​znalazła oprogramowanie system należący do irańskiego klienta. Robak wyszukuje systemy zarządzania SCADA (kontrola nadzoru i gromadzenia danych) stosowane w dużych zakładach produkcyjnych i zakładach użyteczności publicznej, a także próbuje przesłać tajemnice przemysłowe do Internetu.

Firma Symantec nie jest pewna, dlaczego Iran i inne kraje zgłaszają tyle infekcji. "Najbardziej możemy powiedzieć, że ktokolwiek opracował te konkretne zagrożenia, był skierowany do firm z tych obszarów geograficznych", powiedział Levy.

USA ma długotrwałe embargo na handel z Iranem. "Chociaż Iran jest prawdopodobnie jednym z krajów, w których występują najgorsze infekcje, to prawdopodobnie są one również miejscem, w którym nie mają zbyt dużego AV" - powiedział Levy.

Siemens nie powiedziałby, ilu klientów to robi w Iranie, ale firma twierdzi, że dwie niemieckie firmy zostały zainfekowane wirusem. Darmowy skaner antywirusowy wysłany przez firmę Siemens na początku tego tygodnia został pobrany 1500 razy, powiedział rzecznik prasowy firmy.

Wcześniej w tym roku Siemens zapowiedział, że planuje zakończyć irańską działalność - 290-osobowa jednostka, która zarobiła 438 milionów euro (562,9 miliona USD) w 2008 roku, według Wall Street Journal. Krytycy twierdzą, że tamtejsza wymiana handlowa pomogła w zasileniu irańskiego przemysłu jądrowego.

Firma Symantec opracowała swoje dane, współpracując z przemysłem i przekierowując ruch skierowany na serwery dowodzenia i kontroli robaka na własne komputery. Przez trzy dni w tym tygodniu komputery zlokalizowane na 14 000 adresów IP próbowały połączyć się z serwerami dowodzenia i kontroli, co wskazuje, że robak trafił na bardzo małą liczbę komputerów na całym świecie. Rzeczywista liczba zainfekowanych komputerów jest prawdopodobnie w przedziale od 15 000 do 20 000, ponieważ wiele firm umieszcza kilka systemów za jednym adresem IP, zgodnie z zaleceniami firmy Symantec.

Ponieważ firma Symantec może zobaczyć adres IP używany przez komputery, które próbują się połączyć z serwery kontroli i kontroli, może stwierdzić, które firmy zostały zainfekowane. "Nic dziwnego, że zainfekowane maszyny obejmują wiele organizacji, które używają oprogramowania i systemów SCADA, co jest oczywiście celem atakujących" - powiedział w czwartek w swoim blogu.

Stuxnet rozprzestrzenia się za pośrednictwem urządzeń USB. Kiedy zainfekowana pamięć USB jest wyświetlana na komputerze z systemem Windows, kod wyszukuje system Siemens i kopiuje się na dowolne inne urządzenie USB, które może znaleźć.

Tymczasowe obejście problemu z błędem Windows, który pozwala na rozprzestrzenianie się Stuxnet można znaleźć tutaj.

Robert McMillan zajmuje się bezpieczeństwem komputerowym i wiadomościami dotyczącymi przełomowych technologii dla News Service IDG. Obserwuj Roberta na Twitterze na @bobmcmillan. Adres e-mail Roberta to [email protected]