Frykter de har funnet «Stuxnet 2»

- Nær identisk kode, men med et helt annet formål, advarer Symantec.

19. okt. 2011 - 10:42

Stuxnet ble oppdaget i fjor sommer og regnes av mange som den hittil mest avanserte dataormen. Dessuten er den det første kjente eksempelet på et vellykket digitalt våpen, brukt som erstatning for konvensjonell krigføring.

Skadevaren infiserte flere titalls tusen Windows-maskiner, og skapte sensasjon verden over da eksperter rettet mistanken mot det som skal ha vært et hemmelig felles amerikansk-israelsk prosjekt, skreddersydd for å ødelegge Irans sentrifuger for anriking av uran.

Nå kan de samme utviklerne ha slått til igjen, ifølge sikkerhetseksperter. Symantec kunngjorde tirsdag at de har funnet en ny skadevare som skal være nesten identisk med Stuxnet.

Det dreier seg om en trojaner døpt «Duqu», som så langt skal ha infisert et begrenset antall virksomheter i Europa, inkludert produsenter av industrielle kontrollsystemer, ifølge kunngjøringen.

IT-sikkerhetsselskapet føler seg sikre på at trusselen er skapt av de samme utviklerne som har hatt tilgang til Stuxnets kildekode, og ikke bare binærfilene.

- Deler av Duqu er nesten identisk med Stuxnet, men har et helt annet formål, skriver de.

Oppdagelsen bekreftes av den anerkjente sikkerhetseksperten Mikko Hypponen, sjefsforsker i IT-sikkerhetsselskapet F-Secure. Han omtaler trusselen som Stuxnet 2.

- Store nyheter i dag. En ny bakdør er skapt av noen som har tilgang til kildekoden til Stuxnet. Denne kildekoden finnes ikke i sirkulasjon. Kun de opprinnelige forfatterne har den. Duqu er skapt av de samme personene som utviklet Stuxnet, skriver han.

I motsetning til Stuxnet sprer ikke Duqu seg ikke videre, og er følgelig ikke en dataorm. Den skal heller ikke inneholde en komponent som saboterer kontrollsystemer. Derimot skal den tappe opplysninger fra infiserte systemer.

- Duqu er en forløper til et fremtidig Stuxnet-lignende anslag. Formålet er å samle inn etterretningsdata om industrisystemer, for senere å kunne gjennomføre angrep mot tredjepart, fastslår Symantec.

Selskapet skal så langt ha avdekket minst tre varianter, den siste med en kompileringdato så ny som 17. oktober, altså mandag denne uken.

Det oppgis at Duqu benytter både åpen HTTP-kommunikasjon samt kryptert HTTPS-forbindelse mot en kommandoserver som angivelig fremdeles er i drift.

- Angriperne kan installere ytterligere kjørbare programmer gjennom kommandoserveren gjennom en skreddersydd protokoll. Opplasting og nedlasting skjer primært via data skjult sammen med det som fremstår som JPG-bildefiler, skriver Symantec.

Forsvinner etter 36 dager

Skadevaren er konfigurert til å kjøre i 36 dager, deretter vil den automatisk avinstallere seg fra det infiserte systemet, heter det i kunngjøringen fra Symantec.

De har publisert en 60-sider rapport (pdf) om funnene sine, og opplyser samtidig at de regner med å kunne publisere ytterligere detaljer de kommende dagene.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.