A Stuxnet Ipari Féreg több mint egy éve íródott

Egy kifinomult féreg, amely az ipari titkok ellopását tervezte, jóval hosszabb ideig tartott, mint azt korábban gondolták. "

A Stuxnet-nek nevezett féreg július közepéig ismeretlen volt. a nyomozók a VirusBlockAda nevű biztonsági miniszterrel azonosítottak Minszkben, Fehéroroszországban. A féreg nemcsak a technikai kifinomultság szempontjából, hanem az is, hogy az üzemek és erőművek üzemeltetésére tervezett ipari vezérlőrendszereket célozza.

A Symantec kutatói azt mondják, hogy a korai féreg, amelyet 2009 júniusában hoztak létre, és hogy a rosszindulatú szoftvereket sokkal korszerűbbé tette 2010 elején.

[További olvasnivalók: Hogyan távolítsunk el kártékony programokat Windows számítógépről]

A Stuxnet korábbi verziója ugyanúgy működik, mint jelenlegi inkarnációja - megpróbál kapcsolódni a Siemens SCADA (felügyeleti és adatgyűjtési) irányítási rendszerekkel és ellopja az adatokat -, de nem használja az újabb féreg figyelemre méltó technikáit az antivírus észlelésének elkerülésére telepítse magát a Windows rendszerekre. Ezeket a funkciókat valószínűleg néhány hónappal a legutóbbi féreg felfedezése előtt adták hozzá, mondta Roel Schouwenberg, a Kaspersky Lab antivírus gyártójának kutatója. "Ez kétségtelenül a kifinomult célzott támadás, amit eddig láttunk."

Miután létrehozták a Stuxnet-et, a szerzői új szoftvert vezettek be, amely lehetővé tette, hogy az USB eszközök között elterjedjen, az áldozat gyakorlatilag semmilyen beavatkozása nélkül. És valahogy sikerült kezüket kezelni a Realtek és a JMicron chipvállalatok titkosítási kulcsaihoz, és digitálisan aláírta a rosszindulatú programokat, hogy a vírusirtók nehezebben észleljék.

Realtek és JMicron mindkettő irodái vannak a Hsinchu Tudományban Park a Hsinchu-ban, Tajvanban és Schouwenberg szerint, hogy valaki ellopta a kulcsokat a számítógépek fizikai hozzáférésével a két cégnél.

A biztonsági szakértők szerint ezek a célzott támadások már évek óta zajlanak, miután a Google nyilvánosságra hozta, hogy az Aurora néven ismert támadás célzott.

Mind az Aurora, mind a Stuxnet kihasználja a Microsoft termékeinek nem zárt napi hibáit. De a Stuxnet technikailag figyelemreméltóbb, mint a Google-támadás, mondta Schouwenberg. "Aurora nulladik napja volt, de nulla volt az IE6 ellen" - mondta. "Itt van egy olyan biztonsági rés, amely a Windows 2000 óta minden verzió ellen hatékonyan működik."

Hétfőn a Microsoft korai javítást fűzött a Windows által okozott sebezhetőséghez, amelyet a Stuxnet rendszerről rendszerre terjeszt. A Microsoft kiadta a frissítést, ahogyan a Stuxnet támadási kódot egyre erőszakosabb támadásokban kezdték használni.

Bár a Stuxnet-et egy hamisító használhatta volna az ipari titkok ellopásához - gyári adatok például arról, hogyan lehet például golfklubokat készíteni - Schouwenberg szerint a nemzetállam a támadások mögött volt.

A Siemens szerint eddig négy ügyfelét fertőzött meg a féreg. De mindezen támadások befolyásolták a mérnöki rendszereket, semmint a gyári padlón.

Bár a féreg első verziója 2009 júniusában készült, nem világos, hogy a verziót valóságos támadásban használták-e meg. Schouwenberg úgy véli, hogy az első támadás már 2009 júliusában is megtörtént. Az első megerősített támadás, amelyet a Symantec tudott a 2010. januári dátumról, mondta Vincent Weafer, a Symantec biztonsági technológiai és válaszadási alelnöke.

A legtöbb fertőzött rendszer Iránban van, hozzátette, bár Indiát, Indonéziát és Pakisztánt is sújtják. Ez önmagában rendkívül szokatlan, mondta Weaver. "Ez az első alkalom, hogy 20 év alatt emlékszem, hogy Irán olyan erősen jelenik meg."

Robert McMillan az informatikai biztonságra és az általános technológiai hírekre vonatkozik az Az IDG News Service számára. Kövesse Robert a Twitteren @ bobmcmillan. Robert e-mail címe [email protected]