Artikel top billede

Foto: Steve Woods (Foto: Steve Woods)

Nyt om Mærsk-orm: Den er mere end et år gammel

Det første bekræftede angreb fra Stuxnet-ormen, som ramte Mærsk, fandt sted i januar 2010, fortæller it-sikkerhedsfirmaet Symantec.

Computerworld News Service: En sofistikeret orm designet til at stjæle industrielle hemmeligheder har ifølge de sikkerhedseksperter, der har undersøgt den ondsindede software, eksisteret i noget længere tid, end man hidtil har troet

Ormen er kendt som Stuxnet og var ukendt indtil midten af juli, hvor den blev identificeret af medarbejdere hos VirusBlockAda, som er et sikkerhedsfirma beliggende i Minsk i Hviderusland.

Ormen er allerede berygtet - ikke bare fordi den er teknisk sofistikeret, men også på grund af det faktum, at den går efter computere i industrielle kontrol-systemer, der er designet til at styre fabrikker og elektricitetsværker.

Et af ofrene for den ondsindede orm er danske A.P. Møller-Mærsk, som i sidste måned blev ramt af Stuxnet-ormen samt virussen Sality.

Nu fortæller forskere ved Symantec, at de har identificeret en tidlig version af ormen, som blev skabt i juli 2009, og at den ondsindede software er blevet gjort langt mere sofistikeret i starten af 2010.

Den tidlige version af Stuxnet opfører sig på samme måde som ormen i sin nuværende inkarnation - den søger forbindelse med Siemens' styresystem SCADA (supervisory control and data acquisition), hvorefter den stjæler data - men det anvender ikke nogle af den nye versions mere bemærkelsesværdige teknikker til omgåelse af virus-programmerne og installerer sig selv på Windows-systemerne.

De features blev sandsynligvis tilføjet nogle måneder inden det første angreb blev opdaget, siger Roel Schouwenberg, der er researcher ved antivirus-leverandøren Kaspersky Lab.

"Det er uden tvivl det mest sofistikerede målrettede angreb, vi endnu har set," pointerer han.

Ormen æder sig frem via USB-enheder

Efter Stuxnet var blevet skabt, valgte bagmændene at tilføje ormen ny software, som gjorde det muligt for den at sprede sig via USB-enheder praktisk talt uden offerets hjælp.

Og på en eller anden måde er det lykkes dem at få fingrene i krypteringsnøgler, der tilhører chip-virksomhederne Realtek og JMicron, hvormed malwaren kan signeres digitalt, så antivirus-programmerne får endnu sværere ved at genkende den.

Både Realtek og JMicron har kontorer i Hsinchu Science Park i Hsinchu, Taiwan, og Roel Schouwenberg mener, at nogen nok har stjålet nøglerne ved fysisk at tiltvinge sig adgang til computerne hos de to virksomheder.

Sikkerhedseksperter siger, at den slags målrettede angreb har fundet sted i nogle år efterhånden, men at de først har fået offentlighedens interesse for nyligt, efter Googles afsløring af, hvordan virksomheden blev udsat for et målrettet angreb under navnet Aurora.

Både Aurora og Stuxnet udnytter en ikke-lappet 0-dags-sårbarhed i Microsofts produkter. Men Stuxnet er mere teknisk bemærkelsesværdig end Google-angrebet, fortæller Roel Schouwenberg.

"Aurora havde en 0-dag, men det var en 0-dag mod IE6," siger han.

"Her har du til gengæld en sårbarhed, som er effektiv mod alle versioner af Windows siden Windows 2000," fortsætter han.

Microsoft lukker smuthul

Mandag var Microsoft ude med en tidlig rettelse af den Windows-sårbarhed, som Stuxnet udnytter til at sprede sig fra system til system.

Microsoft udsendte opdateringen, netop som Stuxnet begyndte at blive brugt i mere virus-lignende angreb.

Selv om Stuxnet kan have været brugt af en kopi-producent til at stjæle industrielle hemmeligheder - fabriks-data om, hvordan man laver golfkøller, for eksempel - så mener Roel Schouwenberg nærmere, at der må have stået en national-stat bag angrebene.

Siemens fortæller, at fire af virksomhedens kunder foreløbigt har været ramt af ormen. Men alle angrebene i højere grad har påvirket systemerne end noget på selve fabriksgulvet.

Selv om den første version af ormen blev skrevet i juni 2009, så er det endnu uklart, hvorvidt den version rent faktisk blev brugt til angreb ude i den virkelige verden.

Roel Schouwenberg mener, at det første angreb kan have fundet sted allerede i juli 2009. Det første bekræftede angreb, som Symantec kender til, blev gennemført i januar 2010, fortæller Vincent Weafer, som Symantecs vice president of security and response.

De fleste inficerede systemer findes i Iran, tilføjer han, selvom Indien, Indonesien og Pakistan også er blevet ramt. Det er i sig selv højst usædvanligt, siger Vincent Weafer.

"Det er første gang i 20 år, jeg kan huske, at Iran ligger så tungt på listen," tilføjer han.

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere