Stuxnet industrijski crv je napisan više od godinu dana

Sofisticirani crv osmišljen kako bi ukrali industrijske tajne je za oko mnogo dulje nego što se prije mislilo, tvrde sigurnosni stručnjaci koji istražuju zlonamjerni softver.

Pozvan Stuxnet, crv je nepoznat do sredine srpnja, kada identificirali su ga istražitelji s VirusBlockAda, prodavačem sigurnosnih tvrtki sa sjedištem u Minsku, Bjelorusija. Crv je važan ne samo zbog svoje tehničke sofisticiranosti, već i zbog činjenice da se cilja na računalni sustav industrijskog upravljanja koji je namijenjen za vođenje tvornica i elektrana.

Sada istraživači u Symantecu kažu da su identificirali raniju verziju crv koji je nastao u lipnju 2009., te da je zlonamjerni softver tada bio mnogo sofisticiraniji u ranom dijelu 2010.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Ova ranija verzija programa Stuxnet djeluje na isti način kao i njegova trenutna inkarnacija - nastoji se povezati sa sustavima upravljanja Siemens SCADA (nadzornom kontrolom i prikupljanjem podataka) i kradu podatke - ali ne koristi neke od novijih crvih značajnijih tehnika za izbjegavanje otkrivanja antivirusnih i instalirajte se na Windows sustave. Te su značajke vjerojatno dodane nekoliko mjeseci prije nego što je najnoviji crv otkriven prvi put, rekao je Roel Schouwenberg, istraživač s antivirusnim dobavljačem Kaspersky Lab. "Ovo je bez sumnje najsofisticiraniji ciljani napad koji smo do sada vidjeli", rekao je.

Nakon što je Stuxnet nastao, njegovi su autori dodali novi softver koji je dopustio da se širi među USB uređajima bez ikakve intervencije žrtve. I oni su nekako uspjeli uhvatiti ruke na ključeve šifriranja tvrtki čipova Realtek i JMicron i digitalno potpisati zlonamjerni softver, tako da antivirusni skeneri više teško otkrivaju.

Realtek i JMicron imaju urede u Hsinchu Science Park u Hsinchuu u Tajvanu i Schouwenberg vjeruje da je netko možda ukrao ključeve fizičkim pristupom računalima u dvije tvrtke.

Sigurnosni stručnjaci kažu da su ti ciljani napadi već godinama, ali tek su nedavno počeli dobivati ​​glavnu pozornost, nakon što je Google otkrio da je ciljano napadom poznat kao Aurora.

I Aurora i Stuxnet iskoristili su nedopuštene "nultadnevne" nedostatke u Microsoftovim proizvodima. No, Stuxnet je tehnički izvanredan od napada Googlea, rekao je Schouwenberg. "Aurora je imala nula dana, ali to je bila nula dana protiv IE6", rekao je. "Ovdje imate ranjivost koja je učinkovita protiv svake verzije sustava Windows od sustava Windows 2000."

U ponedjeljak, Microsoft je pokrenuo raniju zakrpu za ranjivost sustava Windows koju Stuxnet koristi za širenje iz sustava u sustav. Microsoft je objavio ažuriranje baš kao što je napadni kod Stuxnet počeo upotrebljavati u zlonamjernijim napadima.

Iako je Stuxnet mogao upotrijebiti krivotvoritelj kako bi ukrao industrijske tajne - tvornički podaci o tome kako napraviti primjerice golf klubove - Schouwenberg sumnja da je država nacija bila iza napada.

Do danas, Siemens kaže da su četiri njegova klijenta zaražena crvima. No svi ti napadi su utjecali na inženjerske sustave, a ne na bilo koji drugi način na tvorničkom podu.

Iako je prva verzija crva napisana u lipnju 2009. godine, nije jasno je li ta verzija korištena u napadu u stvarnom svijetu. Schouwenberg smatra da je prvi napad mogao biti već u srpnju 2009. Prvi potvrđeni napad koji Symantec zna o datumima od siječnja 2010. rekao je Vincent Weafer, potpredsjednik Symantecove sigurnosne tehnologije i odgovor.

Većina je zaraženih sustava u Iranu, dodala je, iako su i Indija, Indonezija i Pakistan pogođeni. To je po sebi vrlo neuobičajeno, rekao je Weaver. "Ovo je prvi put u 20 godina sjećam se da se Iran tako jako pojavio." Robert McMillan pokriva informatičku sigurnost i opću tehnološku vijest za IDG News Service