Oppklarende om Stuxnet-ormen

En oppsummering fra F-Secure gir ny innsikt i denne utrolig avanserte trusselen.

I august ble en ny type avansert sikkerhetstrussel avslørt, i form av en orm, Stuxnet, som spredte seg fra USB-pinner og gjennom lukkede nettverk, og var utstyrt med funksjoner for å sabotere industrielle kontrollsystemer fra Siemens.

En serie artikler fra digi.no har presentert tilgjengelig kunnskap om Stuxnet etter hvert som ormen er analysert av ulike sikkerhetsmiljøer. Artiklene har pekt på hvorfor ormen kan tolkes som et kyberangrep mot anlegg for urananriking i Iran, og hvorfor man kan anta at det er en etterretningsorganisasjon som står bak.

    Les også:

IT-sikkerhetsselskapet F-Secure har laget en ny oppsummering av tilgjengelig kunnskap om Stuxnet, hentet gjennom egne undersøkelser og gjennom samtaler med eksperter fra en mengde andre organisasjoner, blant dem Microsoft, Kaspersky og Symantec: Stuxnet Redux: Questions and Answers. Spørsmålene og svarene er supplert med en video der Stuxnet-ormen demonstreres.

Oppsummeringen tilfører en del ny kunnskap samtidig som det den bekrefter det digi.no har skrevet om emnet hittil. Det presiseres blant annet at analysene ikke har avdekket skadevirkninger på andre systemer enn det aktuelle «Scada»-systemet til Siemens, Simatic.

En interessant observasjon, som ble referert i Wired mandag denne uken, er at Stuxnet ikke bare kan tolkes som et angrep mot Iran, men også mot Nord-Korea, som har tilsvarende Siemens-systemer i sine anlegg for anriking av uran.

Ellers gir F-Secure flere tilleggsopplysninger.

Stuxnet er større enn 1,5 megabyte. Strukturen og funksjonaliteten er så kompleks, at utviklingen antas å ha krevd over ti årsverk. Ormen har ingen mekanismer som kan brukes til å tjene penger. Følgelig er den laget av enten en terrororganisasjon eller en stat. Stuxnet er for krevende til at man kan tro at en terrororganisasjon står bak.

Tekst nedfelt i Stuxnet har vært tolket som en referanse til Esthers bok i Det gamle testamentet, fordi den inneholder strengen «myrtus». Esthers bok handler om en jødisk dronning som fikk kongen til å tillate at jødene forberedte seg til et angrep fra Persia, med den følgen at perserne ble slått tilbake.

F-Secure har en alternativ tolkning av «myrtus»: Det kan vise til «my RTUs», der RTU står for «Remote Terminal Units» i et industrielt IT-system.

Stuxnet kjenner igjen en Windows-pc den allerede har rukket å infisere, gjennom Registry nøkkel 19790509. Dette tallet kan tolkes som datoen 9. mai 1979. Det er den dagen Habib Elghanian ble henrettet i Iran, etter å ha blitt kjent skyldig i spionasje til fordel for Israel.

F-Secure peker på at det er flere likhetspunkter mellom ormene Stuxnet og Conficker: Begge utnytter Windows-sårbarheten MS08-067, begge utnytter USB-pinner som spredningsmekanisme, begge utnytter svake passord, og begge er usedvanlig komplekse.

En opptelling viser at Stuxnet har infisert mange hundre tusen pc-er, hvorav de fleste ikke er tilknyttet fabrikksystemer fra Siemens. Tallet på infiserte fabrikksystemer er 15.

Stuxnet stanser av seg selv 24. juni 2012.

    Les også:

Til toppen