Søg

Nyt om Mærsk-orm: Den er mere end et år gammel

Det første bekræftede angreb fra Stuxnet-ormen, som ramte Mærsk, fandt sted i januar 2010, fortæller it-sikkerhedsfirmaet Symantec.

6. august 2010 kl. 10.29
Artikel top billede

Foto: Steve Woods (Foto: Steve Woods)

Redaktion Redaktion
Robert McMillan Robert McMillan

Computerworld News Service: En sofistikeret orm designet til at stjæle industrielle hemmeligheder har ifølge de sikkerhedseksperter, der har undersøgt den ondsindede software, eksisteret i noget længere tid, end man hidtil har troet

Ormen er kendt som Stuxnet og var ukendt indtil midten af juli, hvor den blev identificeret af medarbejdere hos VirusBlockAda, som er et sikkerhedsfirma beliggende i Minsk i Hviderusland.

Ormen er allerede berygtet - ikke bare fordi den er teknisk sofistikeret, men også på grund af det faktum, at den går efter computere i industrielle kontrol-systemer, der er designet til at styre fabrikker og elektricitetsværker.

Et af ofrene for den ondsindede orm er danske A.P. Møller-Mærsk, som i sidste måned blev ramt af Stuxnet-ormen samt virussen Sality.

Nu fortæller forskere ved Symantec, at de har identificeret en tidlig version af ormen, som blev skabt i juli 2009, og at den ondsindede software er blevet gjort langt mere sofistikeret i starten af 2010.

Den tidlige version af Stuxnet opfører sig på samme måde som ormen i sin nuværende inkarnation - den søger forbindelse med Siemens' styresystem SCADA (supervisory control and data acquisition), hvorefter den stjæler data - men det anvender ikke nogle af den nye versions mere bemærkelsesværdige teknikker til omgåelse af virus-programmerne og installerer sig selv på Windows-systemerne.

De features blev sandsynligvis tilføjet nogle måneder inden det første angreb blev opdaget, siger Roel Schouwenberg, der er researcher ved antivirus-leverandøren Kaspersky Lab.

"Det er uden tvivl det mest sofistikerede målrettede angreb, vi endnu har set," pointerer han.

Ormen æder sig frem via USB-enheder

Efter Stuxnet var blevet skabt, valgte bagmændene at tilføje ormen ny software, som gjorde det muligt for den at sprede sig via USB-enheder praktisk talt uden offerets hjælp.

Og på en eller anden måde er det lykkes dem at få fingrene i krypteringsnøgler, der tilhører chip-virksomhederne Realtek og JMicron, hvormed malwaren kan signeres digitalt, så antivirus-programmerne får endnu sværere ved at genkende den.

Både Realtek og JMicron har kontorer i Hsinchu Science Park i Hsinchu, Taiwan, og Roel Schouwenberg mener, at nogen nok har stjålet nøglerne ved fysisk at tiltvinge sig adgang til computerne hos de to virksomheder.

Sikkerhedseksperter siger, at den slags målrettede angreb har fundet sted i nogle år efterhånden, men at de først har fået offentlighedens interesse for nyligt, efter Googles afsløring af, hvordan virksomheden blev udsat for et målrettet angreb under navnet Aurora.

Både Aurora og Stuxnet udnytter en ikke-lappet 0-dags-sårbarhed i Microsofts produkter. Men Stuxnet er mere teknisk bemærkelsesværdig end Google-angrebet, fortæller Roel Schouwenberg.

"Aurora havde en 0-dag, men det var en 0-dag mod IE6," siger han.

"Her har du til gengæld en sårbarhed, som er effektiv mod alle versioner af Windows siden Windows 2000," fortsætter han.

Microsoft lukker smuthul

Mandag var Microsoft ude med en tidlig rettelse af den Windows-sårbarhed, som Stuxnet udnytter til at sprede sig fra system til system.

Microsoft udsendte opdateringen, netop som Stuxnet begyndte at blive brugt i mere virus-lignende angreb.

Selv om Stuxnet kan have været brugt af en kopi-producent til at stjæle industrielle hemmeligheder - fabriks-data om, hvordan man laver golfkøller, for eksempel - så mener Roel Schouwenberg nærmere, at der må have stået en national-stat bag angrebene.

Siemens fortæller, at fire af virksomhedens kunder foreløbigt har været ramt af ormen. Men alle angrebene i højere grad har påvirket systemerne end noget på selve fabriksgulvet.

Selv om den første version af ormen blev skrevet i juni 2009, så er det endnu uklart, hvorvidt den version rent faktisk blev brugt til angreb ude i den virkelige verden.

Roel Schouwenberg mener, at det første angreb kan have fundet sted allerede i juli 2009. Det første bekræftede angreb, som Symantec kender til, blev gennemført i januar 2010, fortæller Vincent Weafer, som Symantecs vice president of security and response.

De fleste inficerede systemer findes i Iran, tilføjer han, selvom Indien, Indonesien og Pakistan også er blevet ramt. Det er i sig selv højst usædvanligt, siger Vincent Weafer.

"Det er første gang i 20 år, jeg kan huske, at Iran ligger så tungt på listen," tilføjer han.

Oversat af Marie Dyekjær Eriksen

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Glem hypen: Her er tre steder hvor AI allerede leverer

    Annonceindlæg fra SoftwareOne

    Glem hypen: Her er tre steder hvor AI allerede leverer

    Ifølge SoftwareOne ligger de reelle AI-gevinster gemt i områder af central betydning for forretningen.

    Politiets Efterretningstjeneste

    Sektionsleder til DevOps i PET

    Københavnsområdet

    Statens IT

    Databaseadministrator med fokus på MS-SQL

    Københavnsområdet

    Supporters A/S

    It-driftskonsulent i Jylland

    Midtjylland

    Styrelsen for Danmarks Fængsler

    Incident og problem manager

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Circle Of Bytes ApS har pr. 1. maj 2025 ansat Jeanette Kristiansen som Account Manager. Hun skal især beskæftige sig med at opbygge og styrke relationer til kunder og samarbejdspartnere, samt sikre det rette match mellem kunder og konsulenter. Nyt job

    Jeanette Kristiansen

    Circle Of Bytes ApS

    Norriq Danmark A/S har pr. 1. september 2025 ansat Alexander Bendix som Consultant. Han skal især beskæftige sig med tilføre nye, friske perspektiver og værdifuld viden til NORRIQS Data & AI-afdeling. Nyt job

    Alexander Bendix

    Norriq Danmark A/S

    Tanja Schmidt Larsen, Director, Legal & Compliance hos Sentia A/S, er pr. 1. december 2025 forfremmet til Chief Operations Officer (COO). Hun skal fremover især beskæftige sig med synergi mellem kommercielle og tekniske processer samt sikre en sammenhængende kunderejse og fortsat driftsstabilitet. Forfremmelse

    Tanja Schmidt Larsen

    Sentia A/S

    IT Confidence A/S har pr. 1. oktober 2025 ansat Johan Léfelius som it-konsulent. Han skal især beskæftige sig med med support, drift og vedligeholdelse af kunders it-miljøer samt udvikling af sikre og stabile løsninger. Han kommer fra en stilling som kundeservicemedarbejder hos Telia Company Danmark A/S. Han er uddannet (under uddannelse) som datatekniker med speciale i infrastruktur. Han har tidligere beskæftiget sig med kundeservice, salg og teknisk support. Nyt job

    Johan Léfelius

    IT Confidence A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Mangeårig IBM-topchef er død: Stod bag en af de vigtigste beslutninger i selskabets historie
    2 Akut mangel på energi får datacenter-giganter til at gå i en helt ny retning
    3 Google på vej med ny funktion: Snart kan du ændre din Gmail-adresse uden at miste data
    4 It-sikkerhedsselskab med vild forudsigelse for 2026: Erklærer den klassiske CISO-rolle død
    5 Nørgaard: Jeg har sparet MANGE penge for jer
    6 AI er blevet forretningskritisk: Her er de fem skift, der definerer 2026
    7 Hackerangreb rammer dansk a-kasse med 86.000 medlemmer: Cpr-numre og personlige oplysninger i fare for misbrug
    8 "Det helt store spørgsmål er dog, hvad der sker, hvis vi opnår AGI. Det kan ændre spillet fuldstændig"

    Se seneste uge