Stuxnet og Duqu var blot de første - nye orme på vej

Ormene Stuxnet og Duqu er blot en del af en større kampagne i en igangværende cyberkrigsførelse. Meget mere er i vente.

Annonce:
Annonce:
Læs også:

Det næste Stuxnet-angreb er på vej

Computerworld News Service
: Ormen Stuxnet er bygget på samme platform, der er blevet brugt siden 2007 til at skabe en hel familie af cybervåben-agtige stykker malware.

Heriblandt er også den nyligt opdagede orm Duqu, konkluderer en kriminalteknisk analyse udført af sikkerhedsanalytikere fra Kaspersky Lab.

I en detaljeret analyse fremlægger Alexander Gotsev og Igor Soumenkov fra Kaspersky dokumentation for, at begge disse stykker malware er bygget over en kerne, de har opkaldt "Tilded" (efter dens programmørers tendens til at starte filnavne med "~d").

Der er overbevisende spor, der peger på en forbindelse mellem Stuxnet og Duqu, hvilket også tidligere er blevet antydet af sikkerhedsfirmaet.

De to stykker malware er overordnet set designet ens. De er eksempelvis identisk opdelt i programdele, der udfører lignende funktioner.

Malwarn stammer fra samme bagmænd
Men under analysen af en nyligt opdaget driver-fil fra en kinesisk pc, som indeholdt Duqu-filer, opdagede analytikerne, at filen så ud til at være en modificeret version af den driver-fil, der blev brugt af Stuxnet.

Den modificerede fil benytter samme certifikat og er underskrevet på samme dato og tidspunkt, hvilket fører analytikerne til den konklusion, at de to stykker malware har samme oprindelse.

I en gennemgang af sikkerhedsfirmaets malware-fildatabase fandt teamet syv andre drivere med lignende karakteristika heriblandt tre - rndismpc.sys, rtniczw.sys og jmidebs.sys - der endnu ikke er sat i forbindelse med kendte stykker malware.

Disse filer kan ikke interagere med kendte versioner af Stuxnet, hvilket får analytikerne til at konkludere, at de enten har forbindelse til en tidligere version af Duqu eller udgør fragmenter af endnu uidentificerede stykker malware, udviklet af samme ukendte team.

"Der var en række projekter, der involverede programmer baseret på platformen 'Tilded' i perioden fra 2007 til 2011. Stuxnet og Duqu er to af dem - der kan have været andre, som endnu er ukendte," skriver analytikerne fra Kaspersky.

Hvem kan stå bag?
Teamets dokumentation for disse konklusioner er ikke endegyldig, men indicierne for en forbindelse mellem Stuxnet og Duqu er nu mere håndfaste.

Det svækker skeptikernes vurdering om, at forbindelsen mellem de to bliver overdrevet af visse analytikere, fordi det er kommet på mode at fremsætte konspirationsteorier på softwarefronten.

I Kasperskys analyse er programmerne en del af en indsats fra det samme team, der går mindst fire år tilbage. Malwarens evolution antyder, at den stadig er under udvikling og har påvirket sine ofre på måder, som endnu ikke er blevet opdaget eller offentliggjort.

Hvad analysen ikke kan svare på, er hvem, der står bag det, der nu i brede kredse anses for at være den farligste malware, der nogensinde er opdaget, navnlig Stuxnet og sandsynligvis også Duqu. Stuxnet er endda for nylig - dog mindre overbevisende - blevet sat i forbindelse med ormen Conficker fra 2008.

Det er en udbredt opfattelse i sikkerhedsmiljøet, at det er Israel med opbakning fra USA, der står bag, hvilket dog indtil videre kun er spekulation. Irans atomprogram var det mest åbenlyse mål for Stuxnet, men Israel og USA er langt fra de eneste lande, der har interesse i at lægge sten i vejen for Iran på dette område.

"Platformen er stadig under udvikling, hvilket kun kan betyde én ting - vi kommer sandsynligvis til at se flere modifikationer fremover," konkluderer analytikerne.

Oversat af Thomas Bøndergaard.

Læs også:

Det næste Stuxnet-angreb er på vej


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Oplev Fremtidens ERP

Går du med tanker om at udskifte dit ERP-system, så giver Fremtidens ERP dig opdateret viden og inspiration til hvad den fremtidssikrede ERP-løsning anno 2016 bør indeholde. Unit4 inviterer til seminar torsdag den 26. maj i København, hvor vi skal se på hvad cloud, big data og machine learning kan tilbyde servicevirksomheder. Du vil derudover også få tips til hvordan du finder den rigtige løsning for netop din virksomhed og hvilke faldgruber du bør undgå. Læs mere

Comwell Conference Center Copenhagen (AC Hotel Bella Sky) - 2300 København S



Få bedre performance på forretningskritiske applikationer

Nutidens virksomheder drives af it og specielt software. Bliv opdateret på, hvordan brugen af APM kan hjælpe og understøtte overgangen til en softwaredefineret forretning. Læs mere

Wihlborgs Konferencecenter - 2750 Ballerup



Ingen ved hvordan fremtidens computervirus ser ud

Tirsdag d. 31. maj 2016 sætter vi fokus på it-sikkerhed med udgangspunkt i Microsofts teknologier. Her har du mulighed for at møde en række indlægsholdere, der vil inspirere dig til, hvordan du i praksis beskytter dig bedst muligt og hvorfor det er vigtigt at tage truslerne alvorligt - både i it-afdelingen og på direktionsgangen! Læs mere

Microsoft Danmark - 2800 Kongens Lyngby







Computerworld
Den næste iPhone bliver kedelig - men så sker der noget virkelig interessant
ComputerViews: Til næste år sker der noget interessant med iPhonen, og derfor kan iPhone-brugere gøre klogt i at vente med at udskifte den gamle iPhone.
CIO
Sådan fik Johnny Vad reduceret it-nedetiden fra 37.000 timer til næsten nul på et enkelt år
Ved at overvåge it-leverandørernes præstationer røg antallet af spildte arbejdstimer ned fra 37.000 til ganske få timer på et enkelt år. "Det er ganske enkelt og uhyre effektivt," fortæller it-chefen, der fik ideen.
Comon
Stortest af antivirusprogrammer: Microsofts sikkerhedsprogram havner helt i bunden
Microsoft havner helt i bunden af denne antivirustest. I den modsatte ende af skalaen klarer en russisk produceret sikkerhedspakke sig bedst. Læs en sammenlignende test af 19 antivirusprogrammer her.
Channelworld
Microsoft skruer gevaldigt op for dansk udviklingscenter: Hyrer udviklere i bundter
Microsoft ansætter op mod 50 nye udviklere i selskabets største investering på dansk jord siden opkøbet af Navision i 2002.
White paper
Sådan overvinder man de 5 største udfordringer ved application recovery.
Få svar på hvordan man løser de 5 største udfordringer ved application recovery