Artikel top billede

Dansk Stuxnet-trafik gik direkte til amerikansk telegigant

Nye oplysningerne viser, at Stuxnet rootkittet gennem en dansk IP-adresse kommunikerede direkte med en amerikansk tele- og internet virksomhed.

Læs også:
Gratis værktøj kan hacke kritiske danske systemer

Så nemt får du adgang til det danske forsyningsnet

Rapport: Sådan kan dansk kritisk infrastruktur hackes

Artikel rettet den 8. november 2012 klokken 22:00.

Der er nu dukket nye oplysninger op omkring det berygtede Stuxnet netværk, der i 2010 ødelagde dele af iransk infrastruktur.

Tidligere oplysninger viser, at Stuxnet kunne styres fra en IP-adresse i Danmark. Men nu viser det sig, at forbindelsen kan spores helt til en amerikansk telegigant.

Stuxnet kommunikerede direkte med tre domæner. Et af disse domæner pegede på en dansk IP-adresse, der i sidste ende leder til den amerikanske tele- og internet virksomhed Above Net.

"I 2010 identificerede vi tre Stuxnet command and control-servere. Den ene var lokaliseret i Glostrup. CSIS var meget interesserede i at undersøge udstyret i Danmark, men jeg kunne ikke få ikke adgang til det," siger Peter Kruse, der er it-sikkerhedsekspert ved CSIS.

Her fandt virksomheden ud af, at Stuxnet-rootkittet ringede hjem til udstyret bag den danske IP-adresse, når rootkittet skulle aflevere oplysninger opsamlet fra inficerede maskiner.

Den danske forbindelse
IP-adressen, som domænet pegede på, tilhører den danske virksomhed Zen Systems, der er tele- og internetudbyder.

Domænet pegede på den danske IP-adresse i perioden 29. december 2008 til 25. juli 2010.

Det viser opslag fra hjemmesiden domaintools.com, der løbende indsamler såkaldte whois opslag for domæner og gør det muligt for betalende brugere at lave historiske opslag.

Det betyder, at al kommunikation, der har været fra Stuxnet-malwaren, som kommunikerede med domænet, er blevet dirigeret til den danske IP-adresse i det nævnte tidsrum.

Sporet ender ved amerikansk telegigant

Zen Systems har overfor Computerworld videregivet informationer, der fortæller at IP-adressen blev tildelt Zen Systems kunde Interxion.

Interxion ledte herfra al trafik til og fra ip-adressen videre til Interxions egen amerikanske kunde Above Net, der havde et rackskab i Interxion danske datacenter.

Computerworld har kontaktet Above Net for at høre nærmere omkring selskabets rolle i sagen.

Men virksomheden har ikke besvaret henvendelser hverken per telefon eller e-mail.

Her ender sporet

Herfra er det ikke muligt at dykke længere ned. Sporet ender altså ved en amerikansk kunde i et dansk datacenter.

Interxion understreger overfor Computerworld, at virksomheden blot stiller fysiske forhold til rådighed for sine kunder.

Virksomheden kan ikke udtale sig omkring enkelt sager.

"Kunderne kan købe netværk direkte fra operatører, der også er repræsenteret i vores datacentre. Trafikken går altså fra teleudbyder og direkte til vores kunder i datacenteret," siger Peder Bank, der er direktør for Interxion.

Administrerende direktør Sven Møller for Zen Systems fortæller Computerworld, at virksomheden blot leverede IP-adressen og internetforbindelsen til Above Net.

Derfor havde virksomheden ikke noget at gøre med et bagvedliggende Stuxnet-system.

Ejeren af domænerne kan ikke identificeres

De tre domæner som CSIS fandt i Stuxnet koden var alle registreret til samme virksomhed.

Virksomheden, der i sommeren 2010 stod som registrant for domænerne, var Domains by Proxy.

Domains by Proxy tilbyder deres kunder, at det er Domains by Proxy selv, der figurerer som registrant på bestilte domæner. Derved holdes domænernes reelle ejere hemmelige.

Virksomheden registrerede domænerne den 24. december 2008, og stod som ejer af domænerne til den 26. august 2012.

CSIS: Derfor holdt vi information tilbage

Herefter er alle domænerne blevet køb af Moniker Privacy Services.

"Før den 24. december 2008 har det ikke været muligt for Stuxnet at kommunikere med command & control-serverne, det er et faktum," siger Peter Kruse.

CSIS påpeger samtidig, at alt omkring Stuxnet koden og domæneregisteringen kan kædes sammen.

"Domænerne er kodet direkte ind i Stuxnet-rootkittet, og kan ikke bare ændres. Og det faktum, at domænernes reelle ejer er skjult bag ved Domains by Proxy, er ikke nogen tilfældighed," vurderer Peter Kruse.

CSIS: Derfor holdt vi information tilbage
Der skulle gå to år, før CSIS offentliggjorde informationen omkring den danske forbindelse til Stuxnet. Men det er helt tilfældigt, fortæller Peter Kruse.

"Vi kunne godt have offentliggjort informationerne tidligere, men Dansk Industris konference om it-sikkerhed i den danske infrastruktur, var den ideelle mulighed for at kommunikere det ud," siger han.

Læs også:
Gratis værktøj kan hacke kritiske danske systemer

Så nemt får du adgang til det danske forsyningsnet

Rapport: Sådan kan dansk kritisk infrastruktur hackes




Seneste artiklerRSS
06:34
17:34
16:38
16:14
15:46
15:14
14:38
14:32
13:44
12:58
12:02

 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere