Stuxnet-arvtaker sanker info

Stuxnet-arvtaker sanker info

Nyoppdagede Duqu samler data som kan hjelpe bakmennene med fremtidige målrettede angrep.

Både Symantec og F-Secure melder om at en ny trojaner er oppdaget. De konkluderer med at den etter alle solemerker er skapt av folkene bak Stuxnet, ettersom trojanerens skapere uten tvil har hatt tilgang til Stuxnet-kildekoden som ikke ligger åpent tilgjengelig.

Den nye ondsinnede programvaren har fått navnet Duqu, og formålet er rekognosering. Duqu samler konfidensiell informasjon og data fra virksomheter, som produsenter av industrielle styringssystemer, for enklere å kunne gjennomføre angrep mot tredjepart.

Angriperne leter etter informasjon som for eksempel konstruksjonsdokumenter som kan være til hjelp for å gjennomføre fremtidige angrep mot industrielle styringsanlegg. Derfor er Duqu i praksis en forløper for et fremtidig angrep av Stuxnet-type, melder Symantec. Selskapet har publisert en 46-siders analyse.

Fjerner seg selv

Likheten mellom Stuxnet og Duqu er åpenbar. Duqus kjerne er for eksempel såpass lik Stuxnet at F-Secures systemer faktisk flagget den som Stuxnet da den ble oppdaget.

Trojaneren har blitt funnet i et begrenst antall bedrifter, noen av disse er også involvert i produksjon av industrisystemer, ifølge Symantec, som tror trojaneren målretter seg mot enkelte industrier. De har også oppdatet egne versjoner fra andre berdrifter og organisasjoner i Europa, kompilert 17. oktober, altså for to dager siden. Disse har ikke blitt analysert ennå.

For å kommunisere med sin kommando- og kontroll-server bruker Duqu http og https og en egenskapt protokoll for å laste ned og opp hva som ser ut til å være jpg-filer. I tillegg til å overføre falske jpg-filer, sendes og mottas ytterligere data i kryptert form. Trojaneren er satt opp til å kjøre i 36 dager, og vil etterpå automatisk fjerne seg selv fra det infiserte systemet.

Stuxnet: Som en actionfilm

Den ondsinnede programvaren Stuxnet sjokkerte i sin tid verden fordi den var såpass sofistikert og målrettet at mange ser på ormen som historisk. De fleste sikkerhetsforskere enes om at Stuxnet er såpass avansert at den må være finansiert av en nasjon. Enkelte eksperter har funnet referanser i koden som impliserer Israel.

Stuxnet utnyttet intet mindre enn fire nulldagssårbarheter, altså ulappede og til da ukjente sikkerhetshull, for å penetrere systemer, og rettet seg spesifikt mot industrisystemer fra Siemens. Iran ble hardt rammet, og grunnet dramatikk gjennom flere ulike hendelser er de fleste sikkerhetsforskerne enige om at også nettopp Iran var målet for Stuxnet.

Hypotesen går på at Stuxnet ble skapt for å klusse med uran-anrikikingsprogrammet i landet ved å sette det tekniske utstyret brukt for dette, styrt av Siemens SCADA-programvare, ut av spill. I kjølvannet av Stuxnet har det også vært flere involvert i Irans atomprogram som har blitt drept, skutt i hjel av ukjente gjerningsmenn utrustet med automatvåpen på motorsykler. Siste drapet i rekken skjedde juli i år.

Les om: