Stuxnet Industrial Worm ble skrevet over et år siden

En sofistikert orm utviklet for å stjele industrielle hemmeligheter har eksistert mye lengre tid enn tidligere antatt, ifølge sikkerhetseksperter som undersøker skadelig programvare.

Kalt Stuxnet, ormen var ukjent til midten av juli, da Det ble identifisert av etterforskere med VirusBlockAda, en sikkerhetsleverandør basert i Minsk, Hviterussland. Ormen er bemerkelsesverdig, ikke bare for sin tekniske raffinement, men også for det faktum at den er rettet mot industrielle kontrollsystemdatorer som er designet for å drive fabrikker og kraftverk.

Nå sier forskere ved Symantec at de har identifisert en tidlig versjon av orm som ble opprettet i juni 2009, og at den ondsinnede programvaren ble gjort mye mer sofistikert tidlig i 2010.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Denne tidligere versjonen av Stuxnet fungerer på samme måte som sin nåværende inkarnasjon - det forsøker å koble til Siemens SCADA (overvåkings- og datainnsamling) styringssystemer og stjele data - men det bruker ikke noen av de nyere ormens mer bemerkelsesverdige teknikker for å unngå antivirus deteksjon og installer seg på Windows-systemer. Disse funksjonene ble sannsynligvis lagt til noen måneder før den siste ormen ble oppdaget, sa Roel Schouwenberg, en forsker med antivirusleverandør Kaspersky Lab. "Dette er uten tvil det mest sofistikerte målrettede angrepet vi har sett så langt," sa han.

Etter at Stuxnet ble opprettet, la sine forfattere til ny programvare som tillot det å spre seg mellom USB-enheter med nesten ingen inngrep av offeret. Og de klarte også å få hånden på krypteringsnøkler som tilhører chipfirmaene Realtek og JMicron, og signere malware på en digital måte, slik at antivirusskannere ville ha en vanskeligere tid å oppdage det.

Realtek og JMicron har begge kontorer i Hsinchu Science Park i Hsinchu, Taiwan og Schouwenberg mener at noen kan ha stjålet nøklene ved å fysisk få tilgang til datamaskiner hos de to selskapene.

Sikkerhetseksperter sier at disse målrettede angrepene har vært igangværende i mange år, men de begynte bare å begynne å få til felles oppmerksomhet, etter at Google hadde beskrevet at det hadde blitt målrettet mot et angrep kjent som Aurora.

Både Aurora og Stuxnet utnytte upakket "nulldag" feil i Microsoft-produkter. Men Stuxnet er mer teknisk bemerkelsesverdig enn Googles angrep, sa Schouwenberg. "Aurora hadde en null-dag, men det var en nulldag mot IE6," sa han. "Her har du et sikkerhetsproblem som virker effektivt mot hver versjon av Windows siden Windows 2000."

Microsoft løp på en tidlig oppdatering for Windows-sikkerhetsproblemet som Stuxnet bruker for å spre seg fra system til system. Microsoft lanserte oppdateringen akkurat som Stuxnet-angrepskoden begynte å bli brukt i mer virulente angrep.

Selv om Stuxnet kunne vært brukt av en forfalsker til å stjele industrielle hemmeligheter - fabrikkdata om hvordan man for eksempel skal lage golfklubber - Schouwenberg mistenker at en nasjonalstat var bak angrepene.

Til nå sier Siemens at fire av sine kunder har blitt smittet med ormen. Men alle disse angrepene har påvirket ingeniøranlegg, i stedet for noe på fabrikkgulvet.

Selv om den første versjonen av ormen ble skrevet i juni 2009, er det uklart om den versjonen ble brukt i et virkelige angrep. Schouwenberg mener at det første angrepet kunne ha vært så tidlig som i juli 2009. Det første bekreftede angrepet som Symantec vet om datoer fra januar 2010, sier Vincent Weafer, Symantecs visepresident for sikkerhetsteknologi og respons.

De fleste infiserte systemer er i Iran, Han la til, selv om India, Indonesia og Pakistan også blir rammet. Dette er i seg selv svært uvanlig, sa Weaver. "Det er første gang på 20 år jeg kan huske Iran som viser seg så tungt."

Robert McMillan dekker datasikkerhet og generell teknologi bryte nyheter for IDG News Service. Følg Robert på Twitter på @bobmcmillan. Roberts e-postadresse er [email protected]