Iran var Prime Target of SCADA Worm

Datamaskiner i Iran har blitt hardest rammet av en farlig datormask som forsøker å stjele informasjon fra industrielle kontrollsystemer.

Ifølge data utarbeidet av Symantec, er nesten 60 prosent av alle systemene som er smittet av ormen, lokalisert i Iran. Indonesia og India har også blitt hardt rammet av den ondsinnede programvaren, kjent som Stuxnet.

Når man ser på datoene for digitale signaturer som genereres av ormen, kan den ondsinnede programvaren ha vært i omløp siden så lenge siden i januar, sa Elias Levy, senior teknisk direktør med Symantec Security Response.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Stuxnet ble oppdaget i forrige måned av VirusBlokAda, et hviterussiskbasert antivirus selskap som sa at den fant programvaren på et system som tilhører en iransk kunde. Ormen søker Siemens SCADA (overvåkings- og datainnsamling) styringssystemer som brukes i store produksjons- og bruksanlegg, og forsøker å laste opp industrielle hemmeligheter til Internett.

Symantec er ikke sikker på hvorfor Iran og de andre landene rapporterer så mange infeksjoner. "Det mest vi kan si er den som utviklet disse spesielle truslene, rettet mot selskaper i de geografiske områdene, sier Levy.

USA har en langsiktig handelsembargo mot Iran. "Selv om Iran sannsynligvis er et av landene som har de verste infeksjonene av dette, er de også sannsynligvis et sted hvor de ikke har mye AV akkurat nå, sier Levy.

Siemens vil ikke si hvor mange kunder det er har i Iran, men selskapet sier nå at to tyske selskaper har blitt smittet av viruset. En gratis virusskanner lagt ut av Siemens tidligere denne uken er nedlastet 1500 ganger, sier en talsmann for selskapet.

Siemens sa tidligere at i år at det var planlagt å avvikle sin iranske virksomhet - en 290-ansatte-enhet som hadde netto 438 millioner kroner (USD 562,9 millioner) i 2008, ifølge Wall Street Journal. Kritikere sier at selskapets handel der har bidratt til å mate Irans kjernefysiske utviklingsarbeid.

Symantec samlet sine data ved å jobbe med industrien og omdirigere trafikk rettet mot ormenes kommando- og kontrollservere til sine egne datamaskiner. I løpet av en tre-dagers periode denne uken forsøkte datamaskiner som befinner seg på 14 000 IP-adresser å koble seg til kommando- og kontrollservere, noe som indikerer at et svært lite antall PCer over hele verden har blitt rammet av ormen. Det faktiske antallet infiserte maskiner er trolig i området 15.000 til 20.000, fordi mange selskaper plasserer flere systemer bak en IP-adresse, ifølge Symantecs Levy.

Fordi Symantec kan se IP-adressen som brukes av maskiner som prøver å koble til kommando- og kontrollservere, kan det fortelle hvilke selskaper som har blitt smittet. "Ikke overraskende, infiserte maskiner inkluderer en rekke organisasjoner som ville bruke SCADA-programvare og systemer, som klart er målet for angriperne," sa selskapet i blogginnlegget torsdag.

Stuxnet sprer seg via USB-enheter. Når en infisert USB-pinne vises på en Windows-maskin, ser koden på et Siemens-system og kopierer seg til andre USB-enheter den kan finne.

En midlertidig løsning for Windows-feilen som gjør at Stuxnet kan spre seg, finner du her.

Robert McMillan dekker datasikkerhet og generell teknologi bryte nyheter for IDG News Service. Følg Robert på Twitter på @bobmcmillan. Roberts e-postadresse er [email protected]