Stuxnet Industrial Worm blev skrevet over et år siden

En sofistikeret orm designet til at stjæle industrielle hemmeligheder har eksisteret i meget længere tid end tidligere troet, ifølge sikkerhedseksperter, der undersøger den ondsindede software.

Kaldt Stuxnet, ormen var ukendt indtil midten af ​​juli, da Det blev identificeret af efterforskere med VirusBlockAda, en sikkerhedsleverandør baseret i Minsk, Hviderusland. Ormen er bemærkelsesværdig, ikke kun for dens tekniske sofistikation, men også for det faktum, at den er rettet mod de industrielle styresystem computere designet til at køre fabrikker og kraftværker.

Nu siger forskere på Symantec, at de har identificeret en tidlig version af orm, der blev oprettet i juni 2009, og at den ondsindede software blev gjort meget mere sofistikeret i begyndelsen af ​​2010.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Denne tidligere version af Stuxnet handler på samme måde som den nuværende inkarnation - det forsøger at forbinde Siemens SCADA (overvågnings- og dataoptagelsessystemer) og stjæle data - men det bruger ikke nogle af de nyere ormers mere bemærkelsesværdige teknikker til at undgå antivirusdetektering og installere sig selv på windows systemer. Disse funktioner blev sandsynligvis tilføjet et par måneder før den seneste orm blev registreret første gang, sagde Roel Schouwenberg, en forsker med antivirusleverandør Kaspersky Lab. "Dette er uden tvivl det mest sofistikerede målrettede angreb, vi har set hidtil," sagde han.

Efter at Stuxnet blev oprettet, tilføjede forfatterne sin nye software, der gjorde det muligt at sprede sig blandt USB-enheder med næsten ingen intervention fra offeret. Og de lykkedes også på en eller anden måde at få fat i krypteringsnøglerne tilhørende chipfirmaerne Realtek og JMicron og signere malware på en digital måde, så antivirus scannere ville få en sværere tid på at detektere det.

Realtek og JMicron har begge kontorer i Hsinchu Science Park i Hsinchu, Taiwan og Schouwenberg mener, at nogen måske har stjålet nøglerne ved fysisk adgang til computere hos de to virksomheder.

Sikkerhedseksperter siger, at disse målrettede angreb har været igangværende i årevis, men de begyndte først for nylig at få almindelig opmærksomhed, efter at Google havde oplyst, at det var blevet målrettet mod et angreb, der hedder Aurora.

Både Aurora og Stuxnet udnytter uhensigtsmæssige "nuldag" fejl i Microsoft-produkter. Men Stuxnet er mere teknisk bemærkelsesværdigt end Google-angrebet, sagde Schouwenberg. "Aurora havde en nul-dag, men det var en nul-dag mod IE6," sagde han. "Her har du en sårbarhed, der virker effektivt mod hver version af Windows siden Windows 2000."

Microsoft løb på en hurtig opdatering af Windows-sårbarheden, som Stuxnet bruger til at sprede fra system til system. Microsoft udgav opdateringen, ligesom Stuxnet-angrebskoden begyndte at blive brugt i mere virulente angreb.

Selv om Stuxnet kunne have været brugt af en forfalder til at stjæle industrielle hemmeligheder - fabriksdata om, hvordan man for eksempel skal lave golfklubber - Schouwenberg mistanke om, at en nationalstat var bag angrebene.

Til dato siger Siemens, at fire af sine kunder er blevet smittet med ormen. Men alle disse angreb har påvirket ingeniørsystemer snarere end noget på fabriksgulvet.

Selvom den første version af ormen blev skrevet i juni 2009, er det uklart, om den version blev brugt i et virkelighedsangreb. Schouwenberg mener, at det første angreb kunne have været så tidligt som i juli 2009. Det første bekræftede angreb, som Symantec ved, er fra januar 2010, siger Vincent Weafer, Symantecs vicepræsident for sikkerhedsteknologi og -respons.

De fleste inficerede systemer er i Iran, tilføjede han, selvom også Indien, Indonesien og Pakistan rammes. Dette er i sig selv meget usædvanligt, sagde Weaver. "Det er første gang om 20 år jeg kan huske Iran, der viser sig så tungt."

Robert McMillan dækker computer sikkerhed og generel teknologi breaking news for IDG News Service. Følg Robert på Twitter på @bobmcmillan. Roberts e-mail-adresse er [email protected]