Dansk Stuxnet-trafik gik direkte til amerikansk telegigant

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Læs også:
Gratis værktøj kan hacke kritiske danske systemer

Så nemt får du adgang til det danske forsyningsnet

Rapport: Sådan kan dansk kritisk infrastruktur hackes

Artikel rettet den 8. november 2012 klokken 22:00.

Der er nu dukket nye oplysninger op omkring det berygtede Stuxnet netværk, der i 2010 ødelagde dele af iransk infrastruktur.

Tidligere oplysninger viser, at Stuxnet kunne styres fra en IP-adresse i Danmark. Men nu viser det sig, at forbindelsen kan spores helt til en amerikansk telegigant.

Stuxnet kommunikerede direkte med tre domæner. Et af disse domæner pegede på en dansk IP-adresse, der i sidste ende leder til den amerikanske tele- og internet virksomhed Above Net.

"I 2010 identificerede vi tre Stuxnet command and control-servere. Den ene var lokaliseret i Glostrup. CSIS var meget interesserede i at undersøge udstyret i Danmark, men jeg kunne ikke få ikke adgang til det," siger Peter Kruse, der er it-sikkerhedsekspert ved CSIS.

Her fandt virksomheden ud af, at Stuxnet-rootkittet ringede hjem til udstyret bag den danske IP-adresse, når rootkittet skulle aflevere oplysninger opsamlet fra inficerede maskiner.

Den danske forbindelse
IP-adressen, som domænet pegede på, tilhører den danske virksomhed Zen Systems, der er tele- og internetudbyder.

Domænet pegede på den danske IP-adresse i perioden 29. december 2008 til 25. juli 2010.

Det viser opslag fra hjemmesiden domaintools.com, der løbende indsamler såkaldte whois opslag for domæner og gør det muligt for betalende brugere at lave historiske opslag.

Det betyder, at al kommunikation, der har været fra Stuxnet-malwaren, som kommunikerede med domænet, er blevet dirigeret til den danske IP-adresse i det nævnte tidsrum.

Sporet ender ved amerikansk telegigant

Zen Systems har overfor Computerworld videregivet informationer, der fortæller at IP-adressen blev tildelt Zen Systems kunde Interxion.

Interxion ledte herfra al trafik til og fra ip-adressen videre til Interxions egen amerikanske kunde Above Net, der havde et rackskab i Interxion danske datacenter.

Computerworld har kontaktet Above Net for at høre nærmere omkring selskabets rolle i sagen.

Men virksomheden har ikke besvaret henvendelser hverken per telefon eller e-mail.

Her ender sporet

Herfra er det ikke muligt at dykke længere ned. Sporet ender altså ved en amerikansk kunde i et dansk datacenter.

Interxion understreger overfor Computerworld, at virksomheden blot stiller fysiske forhold til rådighed for sine kunder.

Virksomheden kan ikke udtale sig omkring enkelt sager.

"Kunderne kan købe netværk direkte fra operatører, der også er repræsenteret i vores datacentre. Trafikken går altså fra teleudbyder og direkte til vores kunder i datacenteret," siger Peder Bank, der er direktør for Interxion.

Administrerende direktør Sven Møller for Zen Systems fortæller Computerworld, at virksomheden blot leverede IP-adressen og internetforbindelsen til Above Net.

Derfor havde virksomheden ikke noget at gøre med et bagvedliggende Stuxnet-system.

Ejeren af domænerne kan ikke identificeres