Artikel top billede

Det næste Stuxnet-angreb er på vej

Klumme: Truslen Duqu er i familie med Stuxnet og kan være første fase i et nyt angreb, skriver Shehzad Ahmad, chef for DK-Cert, i månedens klumme.

Et stykke skadeligt software, der har inficeret ganske få computere og i øvrigt ikke virker for øjeblikket, blev forsidestof i oktober.

Årsagen er, at Duqu ligner sidste års mest omtalte trussel, ormen Stuxnet.

Stuxnet var en særdeles avanceret orm. Den udnyttede ikke mindre end fire sårbarheder, som der ikke fandtes sikkerhedsrettelser til, da den blev udsendt. Blandt andet spredte den sig via USB-nøgler.

Men interessen for Stuxnet blev især vakt, da det viste sig, at dens formål var at inficere industrikontrolsystemer, som styrer centrifuger til berigelse af uran.

Stuxnet ser ud til at være beregnet til at sabotere det iranske atomprogram, hvilket da også lykkedes. Ifølge avisen New York Times blev Stuxnet udviklet af USA og testet på et forsøgsanlæg i Israel.

Dele af Duqu ser ud til at bygge på kildekoden fra Stuxnet. Det gør naturligvis offentligheden interesseret. Spørgsmålet er, om den nye trussel er udviklet af en nationalstat, eller om den bare er endnu et stykke software fra it-kriminelle.

Duqu har klare ligheder med Stuxnet, men også store forskelle.
Aflytningsprogram
Duqu består af to moduler, der kan fungere uafhængigt af hinanden: Et hovedmodul og et aflytningsprogram.
Hovedmodulet består af tre komponenter: En driver, en DLL-fil og en konfigurationsfil.

Ingen af dem kan få programmet til at sprede sig, så der må findes en fjerde komponent, der endnu ikke er opdaget.

Driveren har til formål at indsætte DLL-modulet i en systemproces, så det kører på pc'en.

Herefter kan hovedmodulet installere andre skadelige programmer. For øjeblikket er der kun set eksempler på, at det installerer et aflytningsprogram.

Aflytningsprogrammet kan opsnappe tastaturtryk og hente diverse data om systemet.

Kombinationen af Duqu og aflytningsprogrammet gør det nærliggende at antage, at infektionen er første fase i et angreb: Først indsamles der information om offeret, herefter sættes næste angrebsbølge ind.

Adgang til kildekoden

Koden i aflytningsprogrammet har intet til fælles med kildekoden til Stuxnet.

Det har koden til Duqus hovedprogram derimod.

Nogle sikkerhedsforskere mener, at Duqu derfor må være udviklet af folk med adgang til kildekoden til Stuxnet.

Her skal man dog være forsigtig: I februar udsendte hackere en dekompileret udgave af Stuxnet, som de havde fået fat i ved at hacke sig ind på sikkerhedsfirmaet HBGary.

Det er ikke egentlig kildekode, men kan muligvis være brugt til at bygge videre på.

Her er den væsentlige forskel på Stuxnet og Duqu

En væsentlig forskel på Duqu og Stuxnet ligger i udbredelsen: Stuxnet inficerede hurtigt tusindvis af pc'er over hele verden. Duqu har kun inficeret ganske få computere.

En anden forskel er, at Duqu ikke er rettet mod industrikontrolsystemer.

Duqu kommunikerer med en central server i Indien. Den er ude af drift, så vi har altså nu at gøre med et stykke skadelig software, der ikke kan opfylde sit formål og i øvrigt er meget lidt udbredt.

Er stadig aktiv

Alligevel er det værd at følge Duqu nøje. For vi kan se, at udviklerne af Duqu stadig er aktive.

Således er der foreløbig registreret mindst fem forskellige udgaver af den driver, der indgår som et væsentligt element i hovedprogrammet.

Nogle af driverne er signeret med en digital signatur, der tilhører et firma, som imidlertid intet har med truslen at gøre.

Der er to muligheder: Enten er deres certifikat blevet stjålet, eller også har bagmændene hacket sig ind på certifikatudstederen og selv udstedt et certifikat i virksomhedens navn.

Sikkerhedsfirmaet Kaspersky har på en måned været i kontakt med tre organisationer, der var ramt af Duqu.

Ofrene findes spredt ud over kloden og har øjensynlig ingen fællestræk.

Infektionsprogram mangler

Vi mangler stadig en vigtig brik i puslespillet: Det program, der inficerer computere med Duqu.

Når vi finder det, ved vi mere om dens spredningsmetoder og måske også det endelige mål med angrebet.

Indtil da er der frit slag for gætterier. Hvis der står en nationalstat bag Duqu, er formålet sandsynligvis efterretningsvirksomhed.

Hvis bagmændene derimod er en bande it-kriminelle, er der snarere tale om målrettede angreb, der skal føre til penge.

Hvor Stuxnet skød med spredehagl for at nå frem til det atomanlæg, der var det egentlige mål, er Duqu mere målrettet.
Derfor ser vi kun få eksempler på infektioner.

Til gengæld kan vi roligt regne med, at målene er nøje udvalgt, og at angrebene er udformet, så de har en god chance for at slippe igennem forsvarsværkerne.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere