Stjeler planer med Autocad-maler
Ormen ACAD/Medre.A stjeler titusenvis av Autocad-filer og ser ut til å sende dem til Kina med epost.
Sikkerhetsselskapet Eset har oppdaget en ny, målrettet orm som angriper Autocad, stjeler designfiler og tekniske tegninger.
Filene sendes til epost-adresser registrert hos de kinesiske internettleverandørene 163.com og qq.com, skriver Righard Zwienenberg, forskningssjef ved Eset i en bloggpost.
Selve ormen er skrevet i Autolist, skriptspråket som Autocad bruker, og det ser ut som ormen blir spredt via Autocad-maler som er lagt ut for nedlasting på nett.
Mistenker industrispionasje
Foreløpig er det ingeniører i Peru som er mest utsatt for den nye trusselen, men Esets norske partner Eurosecure mener den nye ormen representerer en alvorlig trussel også her i Norge.
- Man kan trygt si at ACAD/Medre.A representerer en alvorlig mistanke om industriell spionasje. Hvert nye design og hver nye tegning i Autocad sendes automatisk til den eller de som står bak denne trusselen, sier Christian Teien Sørensen, norgessjef i Eurosecure.
Han mener det er grunn til å tro at trussler som dette også kan ramme norsk industri.
- Med en svært stor og omfattende industrisektor, deriblant innen kritiske og viktige virksomhetsområder som eksempelvis olje og gass, kan det få katastrofale konsekvenser, sier Sørensen.
Samtidig går trusselen langt utover rene økonomiske konsekvenser.
Det kan for eksempel få alvorlige samfunnsmessige konsekvenser dersom planer for kritisk infrastruktur skulle komme på avveie, mener Sørensen.
Internasjonalt samarbeid
Etter ormen ble oppdaget har Eset gått sammen med Autodesk, som produserer Autocad, Tencent som drifter qq.com-domenet og det kinesiske sikkerhetsorganet Chinese National Computer Virus Emergency Response Center for å redusere skaden og forsøke å stoppe ormen.
Blant annet er de aktuelle epost-adressene på qq.com blokkert.
Uten dette samarbeidet ville det vært langt vanskeligere og tidkrevende å identifisere leveransekjeden ormen bruker.
- Om det er noe som er innlysende og verdifullt å ha med segh videre etter denne type, er at det ved mistanke om denne type skadevare benyttes for industriell spionasje virkelig er viktig å strekke ut en hånd til andre invilverte selskaper, sier Sørensen i Eurosecure.
Det er spesielt overraskende, og veldig positivt, at kinesiske myndigheter har vært såpass åpne og hjelpsomme med å spore ormens leveringskjede, mener Eset.
- Vi ble veldig overrasket at de hjalp oss så mye, for det er første gang vi har samarbeidet med kinesiske myndigheter, sier Zwienenberg til The Telegraph .
Beskytt filene dine
Det er Autocad versjon 14.0 - 19.2+ på Windows 2000+ som er utsatt for ormen.
Med andre ord, de fleste Autocad-installasjonene er potensielle mål.
Eset har utviklet et verktøy som kan rense maskinen for eventuell infisering, og du kan laste ned programmet fra selskapets nettsted.
Eset har også publisert en whitepaper om ACAD/Medre.A, som du kan lese her (pdf), og en bloggpost av Robert Lipovsky gir detaljerte tekniske detaljer om ormen, nyttig lesing for sikkerhetsinteresserte.
