Computerworld News Service: Stuxnet-ormen er et "banebrydende" stykke malware, der er så lusket i sin udnyttelse af sårbarheder og så sofistikeret i sin flersporede tilgang, at de sikkerhedseksperter, der har analyseret den, vurderer, at det er meget muligt, at den er resultatet af professionelles arbejde støttet af en nationalstat.
"Det er helt utroligt, hvor mange ressourcer, der er gået til at skabe denne orm," siger Liam O Murchu, der er driftschef for Symantecs security response team.
"Jeg vil kalde den banebrydende," siger Roel Schouwenberg, der er ledende antivirusanalytiker hos Kaspersky Lab. Andre bemærkelsesværdige angreb såsom Aurora-angrebet, der hackede Googles og mange andre store virksomheders netværk, blegner i sammenligning.
Og det er der ikke mange, der er bedre til at vurdere end O Murchu og Schouwenberg: De arbejder for de to sikkerhedsfirmaer, der opdagede, at Stuxnet udnyttede ikke blot en enkelt 0-dagssårbarhed i Windows men hele fire, hvilket er uden fortilfælde for et enkelt stykke malware.
Stuxnet, som først blev opdaget midt i juni af det ret ukendte sikkerhedsfirma VirusBlokAda i Hviderusland, fik stor mediedækning en måned senere, da Microsoft bekræftede, at ormen aktivt gik efter Windows-pc'er, der håndterer store industrielle kontrolsystemer i produktionsvirksomheder og forsyningsværker.
Disse kontrolsystemer kaldes for SCADA-systemer, hvilket står for "supervisory control and data acquisition," og administrerer alt fra kraftværker og fabriksmaskiner til olierørledninger og militære installationer.
På daværende tidspunkt regnede analytikerne med, at Stuxnet - hvis rødder senere er blevet sporet helt tilbage til juni 2009 - blot udnyttede en enkelt åben eller "0-dags"-sårbarhed i Windows og spredte sig via inficerede USB-nøgler.
Iran blev hårdest ramt af Stuxnet, vurderer Symantec, som oplyste i juli, at næsten 60 procent af alle inficerede pc'er befandt sig i Iran.
Microsoft lukkede den fejl i Windows' håndtering af genveje, som Stuxnet udnyttede, med en hasteopdatering 2. august.
Hvad Microsoft ikke vidste, var, at det kun var en ud af fire 0-dagssårbarheder, som Stuxnet udnyttede til at få adgang til virksomheders netværk for derefter at inficere de specifikke maskiner, der håndterede SCADA-systemer kontrolleret af software fra den tyske elektronikgigant Siemens.
"Det er virkelig, virkelig vildt"
Med et eksemplar af Stuxnet-ormen i hånden gik eksperter fra både Kaspersky og Symantec i gang med at kæmme dens kode i gennem for at lære, præcist hvordan den fungerer.
De to virksomheder fandt uafhængigt af hinanden en angrebskode, der var designet til at gå efter tre yderligere åbne sårbarheder i Windows.
"Inden for en uge eller halvanden fandt vi print spooler-fejlen," fortæller Schouwenberg. "Så fandt vi en af EoP-fejlene (elevation of privilege, red.)." Microsoft fandt selv en anden EoP-fejl, forklarer han.
Eksperter fra Symantec fandt uafhængigt print spooler-fejlen og de to EoP-sårbarheder i august.
Begge virksomheder rapporterede deres fund til Microsoft, som lukkede print spooler-sårbarheden i tirsdags og sagde, at de mindre farlige EoP-fejl, vil blive rettet i en senere sikkerhedsopdatering.
"Det er virkelig, virkelig vildt at udnytte fire 0-dagssårbarheder," siger Liam O Murchu. "Det har vi aldrig før set."
Det har Kaspersky heller ikke, medgiver Schouwenberg.
Men Stuxnet bliver ved med at forbløffe. Ormen udnytter også en fejl i Windows, der blev rettet i 2008 med Microsofts opdatering MS08-067. Det var også denne fejl, der blev så grundigt udnyttet af den notoriske Conficker-orm sent i 2008 og tidligt i 2009 til at inficerede millioner af maskiner.
Når Stuxnet først er kommet ind på et netværk - i første omgang via et inficeret USB-drev - så udnytter den EoP-sårbarhederne til at få administrator-rettigheder til andre pc'er, mens den søger efter systemer, der kører SCADA-administrationsprogrammerne WinCC og PCS 7, som den tager kontrol over ved at udnytte enten print spooler-fejlen eller MS08-067-fejlen, hvorefter den ved at prøve Siemens standardkodeord forsøger at overtage SCADA-softwaren.
De inficerede systemer er herefter blotlagte overfor, at angriberne kan give SCADA-installationerne nye instruktioner ved at omprogrammere den såkaldte PLC-software (programmable logic control).
Angrebskoden ser desuden legitim nok ud, da folkene bag Stuxnet har stjålet mindst to signerede digitale certifikater.
"Det er ekstremt imponerende, så organiseret og sofistikeret det hele er udført," siger Schouwenberg. "Hvem end, der står bag, havde en klar mission om at få adgang til den eller de virksomheder, der var målet."
De var snu
Det synspunkt bakker Liam O Murchu op om.
"Der er så mange forskellige krav til denne udførelse, at det står klart, at det her er udført af et helt hold af folk med forskellige kompetencer lige fra rootkit til database til at udvikle exploits," påpeger han.
Malwaren, som fylder næsten en halv megabyte - hvilket ifølge Schouwenberg er en overvældende størrelse - er skrevet i adskillige programmeringssprog heriblandt C, C++ og andre objektorienterede sprog, tilføjer O Murchu.
"Og fra SCADA-siden af sagen, hvilket er et meget specialiseret område, har de haft brug for adgang til et eksemplar af den faktiske, fysiske hardware for at teste samt solid viden om, hvordan de specifikke fabrikker og forsyningsværker fungerer," vurderer O Murchu.
"Nogen har skullet sætte sig ned og sige: 'Jeg ønsker at blive i stand at kontrollere noget på denne fabrik, jeg vil have, det skal sprede sig i det skjulte, og jeg har brug for at udnytte adskillige 0-dagssårbarheder'," fortsætter O Murchu. "Og derefter samle alle disse ressourcer. Det var et stort, stort projekt."
En af de metoder, som angriberne brugte til at minimere risikoen for at blive opdaget, var, at sætte en tæller på det inficerede USB-drev, således at ormen ikke spredte sig til mere end tre pc'er. "De har forsøgt at begrænse spredningen af denne trussel, så den forblev inden for den facilitet, den var rettet mod," forklarer O Murchu.
Og de var snu, siger Schouwenberg.
Når Stuxnet først var inden for, udnyttede den kun MS08-067, hvis den vidste, at målet var en del af et SCADA-netværk. "Det foretages ingen logning i de fleste SCADA-netværk, og de har begrænset sikkerhed og meget, meget langsomme opdateringscyklusser," forklarer Schouwenberg, hvilket gør MS08-067-exploiten perfekt til jobbet.
Læg alt det sammen, og man får et "skræmmende" billede, siger O Murchu.
Forberedelsen var så grundig, udfordringen var så kompleks og angrebet så snedigt udført, at både O Murchu og Schouwenberg mener, at det ikke simpelthen ikke kan være gennemført af selv en avanceret cyberkriminel organisation.
"Denne trussel var specifikt målrettet Iran"
"Jeg tror ikke, det var en privat gruppe," siger O Murchu. "De var ikke bare ude efter information, så det var ikke en konkurrent. De ønskede at omprogrammere PLC'erne og drive maskinerne på en anden måde, end hvad der var de rigtige operatørers hensigt. Det peger på andet og mere end normal industrispionage."
De påkrævede ressourcer og pengene til at finansiere angrebet placerer det uden for rækkevidde af et privat hackerteam, siger O Murchu.
"Denne trussel var specifikt målrettet Iran," fortsætter han. "Det er unikt, at angrebet var i stand til at opnå kontrol over fysiske maskiner."
"I betragtning af alle de forskellige omstændigheder fra adskillige 0-dagssårbarheder til stjålne certifikater og dets distribution, så er det mest plausible scenarium, at angrebet er støttet af en nationalstat," siger Schouwenberg, som erkender, at man måske vil tro, at han med et sådant synspunkt også er iført en hat af aluminiumsfolie for at afværge, at rumvæsner eller regeringen læser hans tanker. Men det faktum, at Iran var hovedmålet, er afslørende.
"Det lyder som noget fra en film," siger Schouwenberg. "Men jeg vil argumentere for, at det bestemt er plausibelt, at det var støttet af en nationalstat."
"Dette var et meget vigtigt projekt for hvem end, der stod bag," siger O Murchu. "Men når olierørledninger eller kraftværker er involveret, så er indsatsen meget høj."
Og selvom Siemens fastholder, at de 14 steder, hvor virksomheden har fundet inficerede SCADA-systemer, hverken er blevet påvirket eller skadet af Stuxnet, så er O Murchu og Schouwenberg knap så sikre på, at det er tilfældet.
Der er uenighed blandt eksperterne om, hvornår Stuxnet-angrebet først begyndte - Kaspersky mener, at det skete helt tilbage i juli 2009, mens Symantec har sporet angrebet tilbage til januar 2010 - men de er enige om, at ormen i månedsvis fungerede uopdaget.
"Vi ved ikke, om angrebet lykkedes eller ej, men jeg forestiller mig, at bagmændene opnåede deres mål," siger O Murchu og henviser til, hvor sofistikeret og skjult ormen var.
"Stuxnets command-and-control-infrastruktur er meget, meget primitiv, meget basal," fortæller Schouwenberg. "Jeg tror, at de var overbeviste om, at de ville være i stand til at gøre, hvad de ville, før de blev opdaget."
O Murchu vil præsentere en rapport over Symantecs arbejde i forbindelse med Stuxnet ved sikkerhedskonferencen Virus Bulletin, der efter planen vil gå i gang 29. september i Vancouver i Canada. Også folk fra Microsoft og Kaspersky vil holde en præsentation om sagen ved konferencen.
Oversat af Thomas Bøndergaard
