Søg

Nyt om Mærsk-orm: Den er mere end et år gammel

Det første bekræftede angreb fra Stuxnet-ormen, som ramte Mærsk, fandt sted i januar 2010, fortæller it-sikkerhedsfirmaet Symantec.

06. august 2010 kl. 10.29
Artikel top billede

Foto: Steve Woods (Foto: Steve Woods)

Redaktion Redaktion
Robert McMillan Robert McMillan

Computerworld News Service: En sofistikeret orm designet til at stjæle industrielle hemmeligheder har ifølge de sikkerhedseksperter, der har undersøgt den ondsindede software, eksisteret i noget længere tid, end man hidtil har troet

Ormen er kendt som Stuxnet og var ukendt indtil midten af juli, hvor den blev identificeret af medarbejdere hos VirusBlockAda, som er et sikkerhedsfirma beliggende i Minsk i Hviderusland.

Ormen er allerede berygtet - ikke bare fordi den er teknisk sofistikeret, men også på grund af det faktum, at den går efter computere i industrielle kontrol-systemer, der er designet til at styre fabrikker og elektricitetsværker.

Et af ofrene for den ondsindede orm er danske A.P. Møller-Mærsk, som i sidste måned blev ramt af Stuxnet-ormen samt virussen Sality.

Nu fortæller forskere ved Symantec, at de har identificeret en tidlig version af ormen, som blev skabt i juli 2009, og at den ondsindede software er blevet gjort langt mere sofistikeret i starten af 2010.

Den tidlige version af Stuxnet opfører sig på samme måde som ormen i sin nuværende inkarnation - den søger forbindelse med Siemens' styresystem SCADA (supervisory control and data acquisition), hvorefter den stjæler data - men det anvender ikke nogle af den nye versions mere bemærkelsesværdige teknikker til omgåelse af virus-programmerne og installerer sig selv på Windows-systemerne.

De features blev sandsynligvis tilføjet nogle måneder inden det første angreb blev opdaget, siger Roel Schouwenberg, der er researcher ved antivirus-leverandøren Kaspersky Lab.

"Det er uden tvivl det mest sofistikerede målrettede angreb, vi endnu har set," pointerer han.

Ormen æder sig frem via USB-enheder

Efter Stuxnet var blevet skabt, valgte bagmændene at tilføje ormen ny software, som gjorde det muligt for den at sprede sig via USB-enheder praktisk talt uden offerets hjælp.

Og på en eller anden måde er det lykkes dem at få fingrene i krypteringsnøgler, der tilhører chip-virksomhederne Realtek og JMicron, hvormed malwaren kan signeres digitalt, så antivirus-programmerne får endnu sværere ved at genkende den.

Både Realtek og JMicron har kontorer i Hsinchu Science Park i Hsinchu, Taiwan, og Roel Schouwenberg mener, at nogen nok har stjålet nøglerne ved fysisk at tiltvinge sig adgang til computerne hos de to virksomheder.

Sikkerhedseksperter siger, at den slags målrettede angreb har fundet sted i nogle år efterhånden, men at de først har fået offentlighedens interesse for nyligt, efter Googles afsløring af, hvordan virksomheden blev udsat for et målrettet angreb under navnet Aurora.

Både Aurora og Stuxnet udnytter en ikke-lappet 0-dags-sårbarhed i Microsofts produkter. Men Stuxnet er mere teknisk bemærkelsesværdig end Google-angrebet, fortæller Roel Schouwenberg.

"Aurora havde en 0-dag, men det var en 0-dag mod IE6," siger han.

"Her har du til gengæld en sårbarhed, som er effektiv mod alle versioner af Windows siden Windows 2000," fortsætter han.

Microsoft lukker smuthul

Mandag var Microsoft ude med en tidlig rettelse af den Windows-sårbarhed, som Stuxnet udnytter til at sprede sig fra system til system.

Microsoft udsendte opdateringen, netop som Stuxnet begyndte at blive brugt i mere virus-lignende angreb.

Selv om Stuxnet kan have været brugt af en kopi-producent til at stjæle industrielle hemmeligheder - fabriks-data om, hvordan man laver golfkøller, for eksempel - så mener Roel Schouwenberg nærmere, at der må have stået en national-stat bag angrebene.

Siemens fortæller, at fire af virksomhedens kunder foreløbigt har været ramt af ormen. Men alle angrebene i højere grad har påvirket systemerne end noget på selve fabriksgulvet.

Selv om den første version af ormen blev skrevet i juni 2009, så er det endnu uklart, hvorvidt den version rent faktisk blev brugt til angreb ude i den virkelige verden.

Roel Schouwenberg mener, at det første angreb kan have fundet sted allerede i juli 2009. Det første bekræftede angreb, som Symantec kender til, blev gennemført i januar 2010, fortæller Vincent Weafer, som Symantecs vice president of security and response.

De fleste inficerede systemer findes i Iran, tilføjer han, selvom Indien, Indonesien og Pakistan også er blevet ramt. Det er i sig selv højst usædvanligt, siger Vincent Weafer.

"Det er første gang i 20 år, jeg kan huske, at Iran ligger så tungt på listen," tilføjer han.

Oversat af Marie Dyekjær Eriksen

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Cyber Security Festival 2026

    Event: Cyber Security Festival 2026

    Sikkerhed | København

    Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

    18 & 19 november 2026 | Gratis deltagelse

    Netcompany A/S

    Operations Engineer til drift af Infrastruktur

    Københavnsområdet

    ABENA

    IT Administrator

    Sydjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Forsvarets Cyberdivision søger SAP-medarbejder til Roller & Autorisationer

    Københavnsområdet

    Matas A/S

    Matas Group is looking for a D365 FO Functional Consultant SCM

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år, som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS

    Khaled Zamzam, er pr. 1. marts 2026 ansat hos Immeo som Consultant. Han er nyuddannet i Informationsteknologi fra DTU. Nyt job

    Khaled Zamzam

    Immeo

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S

    Renewtech ApS har pr. 15. marts 2026 ansat Jouni Salo som Account Manager for Sverige. Han skal især beskæftige sig med med at styrke Renewtechs nordiske tilstedeværelse med fokus primært på det svenske marked. Han kommer fra en stilling som Key Account Manager hos GoGift. Han har tidligere beskæftiget sig med udvikling af salgsaktiviter og kunderelationer på tværs af flere markeder. Nyt job

    Jouni Salo

    Renewtech ApS

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Brugere flygter fra Google efter den største ændring af søgemaskinen i 25 år: Konkurrerende browser oplever kæmpevækst
    2 Carsten Fensholdt stopper pludselig som Aeven-topchef efter kun otte måneder
    3 Birgitte Svejstrup færdig som topchef for DXC's danske kæmpe-forretning - denne nye duo skal afløse hende
    4 Morgen-briefing: Fremadstormende Nets-konkurrent runder 100.000 kunder / KMD fusionerer med datterselskaber / Tidligere Coop-direktør sætter sig i bestyrelsen hos Norlys
    5 It-leverandør forlanger millioner af kroner af Region Syddanmark for ulovlig software-brug
    6 AMD’s ny supercomputer er et RAM-monster i mikro-format: Er født med 192 gigabyte hukommelse
    7 Guide til dit digitale nødudstyr: Her er den tech, som du skal have, når samfundet går i sort
    8 Denne løsning skal erstatte et af verdens mest skandaleombruste it-systemer

    Se seneste uge