Søg

Dansk Stuxnet-trafik gik direkte til amerikansk telegigant

Nye oplysningerne viser, at Stuxnet rootkittet gennem en dansk IP-adresse kommunikerede direkte med en amerikansk tele- og internet virksomhed.

08. november 2012 kl. 16.03
Artikel top billede
Jens Holm Jens Holm

Læs også:
Gratis værktøj kan hacke kritiske danske systemer

Så nemt får du adgang til det danske forsyningsnet

Rapport: Sådan kan dansk kritisk infrastruktur hackes

Artikel rettet den 8. november 2012 klokken 22:00.

Der er nu dukket nye oplysninger op omkring det berygtede Stuxnet netværk, der i 2010 ødelagde dele af iransk infrastruktur.

Tidligere oplysninger viser, at Stuxnet kunne styres fra en IP-adresse i Danmark. Men nu viser det sig, at forbindelsen kan spores helt til en amerikansk telegigant.

Stuxnet kommunikerede direkte med tre domæner. Et af disse domæner pegede på en dansk IP-adresse, der i sidste ende leder til den amerikanske tele- og internet virksomhed Above Net.

"I 2010 identificerede vi tre Stuxnet command and control-servere. Den ene var lokaliseret i Glostrup. CSIS var meget interesserede i at undersøge udstyret i Danmark, men jeg kunne ikke få ikke adgang til det," siger Peter Kruse, der er it-sikkerhedsekspert ved CSIS.

Her fandt virksomheden ud af, at Stuxnet-rootkittet ringede hjem til udstyret bag den danske IP-adresse, når rootkittet skulle aflevere oplysninger opsamlet fra inficerede maskiner.

Den danske forbindelse
IP-adressen, som domænet pegede på, tilhører den danske virksomhed Zen Systems, der er tele- og internetudbyder.

Domænet pegede på den danske IP-adresse i perioden 29. december 2008 til 25. juli 2010.

Det viser opslag fra hjemmesiden domaintools.com, der løbende indsamler såkaldte whois opslag for domæner og gør det muligt for betalende brugere at lave historiske opslag.

Det betyder, at al kommunikation, der har været fra Stuxnet-malwaren, som kommunikerede med domænet, er blevet dirigeret til den danske IP-adresse i det nævnte tidsrum.

Sporet ender ved amerikansk telegigant

Zen Systems har overfor Computerworld videregivet informationer, der fortæller at IP-adressen blev tildelt Zen Systems kunde Interxion.

Interxion ledte herfra al trafik til og fra ip-adressen videre til Interxions egen amerikanske kunde Above Net, der havde et rackskab i Interxion danske datacenter.

Computerworld har kontaktet Above Net for at høre nærmere omkring selskabets rolle i sagen.

Men virksomheden har ikke besvaret henvendelser hverken per telefon eller e-mail.

Her ender sporet

Herfra er det ikke muligt at dykke længere ned. Sporet ender altså ved en amerikansk kunde i et dansk datacenter.

Interxion understreger overfor Computerworld, at virksomheden blot stiller fysiske forhold til rådighed for sine kunder.

Virksomheden kan ikke udtale sig omkring enkelt sager.

"Kunderne kan købe netværk direkte fra operatører, der også er repræsenteret i vores datacentre. Trafikken går altså fra teleudbyder og direkte til vores kunder i datacenteret," siger Peder Bank, der er direktør for Interxion.

Administrerende direktør Sven Møller for Zen Systems fortæller Computerworld, at virksomheden blot leverede IP-adressen og internetforbindelsen til Above Net.

Derfor havde virksomheden ikke noget at gøre med et bagvedliggende Stuxnet-system.

Ejeren af domænerne kan ikke identificeres

De tre domæner som CSIS fandt i Stuxnet koden var alle registreret til samme virksomhed.

Virksomheden, der i sommeren 2010 stod som registrant for domænerne, var Domains by Proxy.

Domains by Proxy tilbyder deres kunder, at det er Domains by Proxy selv, der figurerer som registrant på bestilte domæner. Derved holdes domænernes reelle ejere hemmelige.

Virksomheden registrerede domænerne den 24. december 2008, og stod som ejer af domænerne til den 26. august 2012.

CSIS: Derfor holdt vi information tilbage

Herefter er alle domænerne blevet køb af Moniker Privacy Services.

"Før den 24. december 2008 har det ikke været muligt for Stuxnet at kommunikere med command & control-serverne, det er et faktum," siger Peter Kruse.

CSIS påpeger samtidig, at alt omkring Stuxnet koden og domæneregisteringen kan kædes sammen.

"Domænerne er kodet direkte ind i Stuxnet-rootkittet, og kan ikke bare ændres. Og det faktum, at domænernes reelle ejer er skjult bag ved Domains by Proxy, er ikke nogen tilfældighed," vurderer Peter Kruse.

CSIS: Derfor holdt vi information tilbage
Der skulle gå to år, før CSIS offentliggjorde informationen omkring den danske forbindelse til Stuxnet. Men det er helt tilfældigt, fortæller Peter Kruse.

"Vi kunne godt have offentliggjort informationerne tidligere, men Dansk Industris konference om it-sikkerhed i den danske infrastruktur, var den ideelle mulighed for at kommunikere det ud," siger han.

Læs også:
Gratis værktøj kan hacke kritiske danske systemer

Så nemt får du adgang til det danske forsyningsnet

Rapport: Sådan kan dansk kritisk infrastruktur hackes

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Virksomheder overser kontrol med privilegerede konti – det kan være en dyr fejl

    Annonceindlæg fra itm8

    Virksomheder overser kontrol med privilegerede konti – det kan være en dyr fejl

    Mange små og mellemstore virksomheder har ikke overblik over deres administrative konti. Det er en dyr blind vinkel, da adgangen nemt kan misbruges.

    Softværket

    Erfaren DevOps søges til Service & Operations

    Sydjylland

    KMD A/S

    Udvikler

    Københavnsområdet

    TV2

    Kompetenceleder – Advertisement & Partner Management

    Københavnsområdet

    SOS International

    Ambitiøse Java udviklere til agilt team der har fokus på kundeintegrationer

    Midtjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Mikkel Hjortlund-Fernández, Service Manager hos Terma Group, har pr. 26. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Aarhus Universitet via It-vest. Foto: Per Bille. Færdiggjort uddannelse

    Mikkel Hjortlund-Fernández

    Terma Group

    Netip A/S har pr. 1. februar 2026 ansat Henrik Mejnhardt Nielsen som ny kollega til Product Sales Teamet i Herlev. Han kommer fra en stilling som Business Development Manager hos Arrow. Nyt job

    Henrik Mejnhardt Nielsen

    Netip A/S

    Lector ApS har pr. 2. februar 2026 ansat Jacob Pontoppidan som Sales Executive i Lectors TeamShare gruppe. Jacob skal især beskæftige sig med vækst af TeamShare med fokus på kommerciel skalering, mersalg og en stærk go to market eksekvering. Jacob har tidligere beskæftiget sig med salg og forretningsudvikling i internationale SaaS virksomheder. Nyt job

    Jacob Pontoppidan

    Lector ApS

    Renewtech ApS har pr. 1. marts 2026 ansat Emil Holme Fisker som Customer Service Specialist. Han skal især beskæftige sig med at levere høj kvalitets kundeservice og hjælpe Renewtechs kunder med at få de rette løsninger til deres behov. Han kommer fra en stilling som Key Account Manager hos Camro A/S. Han er uddannet som salgselev hos Camro A/S. Han har tidligere beskæftiget sig med at udvikle gode kunderelationer, opsøgende salg og udvikling af salgsaktiviteter. Nyt job

    Emil Holme Fisker

    Renewtech ApS

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Visma-selskab har fjernet 1,5 millioner linjer kode på et år - indtjeningen skyder i vejret
    2 I dag åbner Microsoft for sit danske milliard-projekt efter fem års forberedelser: "Det er nærmest lidt surrealistisk, at vi nu er klar"
    3 Rusland har ramt danske virksomheder midt i valgkampen: Danmarks kommende statsminister bør reagere
    4 Prisen på dit internet kan eksplodere: Norlys lægger op til 85 procent stigning på fibernet
    5 AWS-datacentre igen ramt af voldsomme drone-angreb: Vil have kunder til at flytte
    6 Test: Lydbar i luksusklassen leverer ren elegance
    7 Dansk it-professor: Du misforstår noget, hvis du tror, at AI vil gøre behovet for it-folk mindre
    8 Et af verdens største bilfirmaer hacket: Disse data er eksponeret

    Se seneste uge