Robak przemysłowy Stuxnet został napisany ponad rok

Wyrafinowany robak, którego celem jest kradzież tajemnic przemysłowych, był o wiele dłuższy niż sądzono, według ekspertów ds. bezpieczeństwa badających złośliwe oprogramowanie.

Zwołany Stuxnet, robak był nieznany do połowy lipca, kiedy został zidentyfikowany przez śledczych za pomocą VirusBlockAda, dostawcy zabezpieczeń z siedzibą w Mińsku na Białorusi. Robak wyróżnia się nie tylko ze względu na zaawansowanie techniczne, ale także z uwagi na to, że jest przeznaczony dla przemysłowych komputerów sterujących zaprojektowanych do obsługi fabryk i elektrowni.

Obecnie naukowcy z Symantec mówią, że zidentyfikowali wczesną wersję robak utworzony w czerwcu 2009 r., a złośliwe oprogramowanie stało się znacznie bardziej wyrafinowane na początku 2010 r.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Ta wcześniejsza wersja Stuxnet działa tak samo jak jego obecne wcielenie - próbuje połączyć się z systemami zarządzającymi Siemens SCADA (kontrola nadzorcza i akwizycja danych) i kradzieży danych - ale nie wykorzystuje niektórych nowszych, bardziej niezwykłych technik, aby uniknąć wykrycia antywirusa i zainstalować się w systemach Windows. Te funkcje zostały prawdopodobnie dodane na kilka miesięcy przed wykryciem ostatniego robaka, powiedział Roel Schouwenberg, pracownik analityków Kaspersky Lab. "To bez wątpienia najbardziej wyrafinowany cel ataku, jaki widzieliśmy do tej pory", powiedział.

Po stworzeniu Stuxnet, jego autorzy dodali nowe oprogramowanie, które pozwoliło mu rozprzestrzenić się wśród urządzeń USB praktycznie bez interwencji ofiary. Udało im się również zdobyć klucze szyfrujące należące do firm chipowych Realtek i JMicron i cyfrowo podpisać szkodliwe oprogramowanie, dzięki czemu skanery antywirusowe będą go miały trudniejsze do wykrycia.

Realtek i JMicron mają biura w Hsinchu Science Park w Hsinchu na Tajwanie i Schouwenberg sądzi, że ktoś mógł ukraść klucze, fizycznie uzyskując dostęp do komputerów w obu firmach.

Eksperci ds. Bezpieczeństwa twierdzą, że te ukierunkowane ataki trwają już od lat, ale dopiero niedawno zaczęły one przyciągać uwagę głównego nurtu, po tym, jak Google ujawnił, że był celem ataku znanego jako Aurora.

Zarówno Aurora, jak i Stuxnet wykorzystują niezapakowane błędy "zero-day" w produktach Microsoftu. Ale Stuxnet jest bardziej technicznie niezwykły niż atak Google, powiedział Schouwenberg. "Aurora miała zerowy dzień, ale był to zero-dzień przeciwko IE6," powiedział. "Tutaj masz lukę, która jest skuteczna przeciwko każdej wersji systemu Windows od czasu Windows 2000."

W poniedziałek Microsoft wydał wczesną poprawkę dotyczącą luki w zabezpieczeniach systemu Windows, którą Stuxnet wykorzystuje do rozprzestrzeniania się z systemu do systemu. Microsoft wydał aktualizację, gdy kod atakujący Stuxnet zaczął być używany w bardziej zjadliwych atakach.

Chociaż Stuxnet mógł zostać wykorzystany przez fałszerza do kradzieży tajemnic przemysłowych - na przykład dane fabryczne dotyczące tworzenia kijów golfowych - Schouwenberg podejrzewa, że ​​za atakami stoi państwo narodowe.

Do tej pory Siemens twierdzi, że czterech klientów zostało zainfekowanych robakiem. Ale wszystkie te ataki miały wpływ na systemy inżynieryjne, a nie na wszystko na hali produkcyjnej.

Chociaż pierwsza wersja robaka została napisana w czerwcu 2009 roku, nie jest jasne, czy ta wersja została wykorzystana w prawdziwym ataku. Schouwenberg uważa, że ​​pierwszy atak mógł nastąpić już w lipcu 2009 r. Pierwszy potwierdzony atak, o którym wie Symantec, pochodzi z stycznia 2010 r. - powiedział Vincent Weafer, wiceprezes firmy Symantec ds. Technologii i reakcji bezpieczeństwa.

Najbardziej zainfekowane systemy znajdują się w Iranie, dodał, chociaż uderzają także Indie, Indonezja i Pakistan. To samo w sobie jest bardzo niezwykłe, powiedział Weaver. "Po raz pierwszy od 20 lat pamiętam, że Iran tak mocno się pojawił."

Robert McMillan zajmuje się bezpieczeństwem komputerowym i wiadomościami dotyczącymi przełomowych technologii dla News Service IDG. Obserwuj Roberta na Twitterze na @bobmcmillan. Adres e-mail Roberta to [email protected]