Iran var Prime Target for SCADA Worm

Computere i Iran har været hårdest ramt af en farlig computerorm, der forsøger at stjæle information fra industrielle kontrolsystemer.

Ifølge data udarbejdet af Symantec er næsten 60 procent af alle systemer, der er inficeret af ormen, placeret i Iran. Indonesien og Indien er også hårdt ramt af den ondsindede software, kendt som Stuxnet.

Når man ser på datoer på digitale signaturer, der genereres af ormen, kan den ondsindede software have været i omløb siden for længe siden i januar, sagde Elias Levy, senior teknisk direktør med Symantec Security Response.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Stuxnet blev opdaget i sidste måned af VirusBlokAda, et Hvideruslandbaseret antivirusfirma, der sagde, at den fandt softwaren på et system tilhørende en iransk kunde. Ormen søger Siemens SCADA (overvågnings- og dataopsamlings) styringssystemer, der anvendes i store produktions- og anlægsværker og forsøger at uploade industrielle hemmeligheder til internettet.

Symantec er ikke sikker på, hvorfor Iran og de andre lande rapporterer så mange infektioner. "Det mest vi kan sige er, at den, der udviklede disse særlige trusler, målrettede virksomheder i disse geografiske områder," siger Levy.

USA har en langsigtet handelsembargo mod Iran. "Selv om Iran sandsynligvis er et af de lande, der har de værste infektioner af dette, er de også nok et sted, hvor de ikke har meget AV lige nu," sagde Levy.

Siemens ville ikke sige, hvor mange kunder det var har i Iran, men firmaet siger nu, at to tyske virksomheder er blevet smittet af virussen. En gratis virusscanner, der blev indsendt af Siemens tidligere i ugen, er blevet downloadet 1.500 gange, siger en talsmand for virksomheden.

Siemens sagde tidligere, at det var planlagt at afvikle sin iranske forretning - en enhed på 290 ansatte, der nettede 438 mio. (USD 562,9 mio.) I 2008, ifølge Wall Street Journal. Kritikere siger, at virksomhedens handel der har bidraget til at fodre Irans udviklingsproces.

Symantec udarbejdede sine data ved at arbejde sammen med branchen og omdirigere trafik rettet mod ormenes kommando- og kontrolservere til sine egne computere. I løbet af en tre dages periode i denne uge forsøgte computere på 14.000 IP-adresser at forbinde med kommando- og kontrolservere, hvilket tyder på, at et meget lille antal pc'er verden over er ramt af ormen. Det faktiske antal inficerede maskiner ligger sandsynligvis i området 15.000 til 20.000, fordi mange virksomheder placerer flere systemer bag en IP-adresse, ifølge Symantecs Levy.

Fordi Symantec kan se IP-adressen, der bruges af maskiner, der forsøger at forbinde med kommando- og kontrolservere, det kan fortælle, hvilke virksomheder der er blevet smittet. "Ikke overraskende omfatter inficerede maskiner en række organisationer, der vil bruge SCADA-software og -systemer, hvilket klart er målet for angriberne," siger firmaet i sit blogindlæg torsdag.

Stuxnet spredes via USB-enheder. Når en inficeret USB-stick ses på en Windows-maskine, kigger koden efter et Siemens-system og kopierer sig selv til andre USB-enheder, den kan finde.

En midlertidig løsning til Windows-fejlen, der gør det muligt for Stuxnet at sprede sig, kan findes her.

Robert McMillan dækker computersikkerhed og generel teknologi breaking news for IDG News Service. Følg Robert på Twitter på @bobmcmillan. Roberts e-mail-adresse er [email protected]