Iran var Prime Target of SCADA Worm

Datorer i Iran har hårdast drabbats av en farlig datormask som försöker stjäla information från industriella kontrollsystem.

Enligt data som sammanställts av Symantec finns nästan 60 procent av alla system som smittats av ormen i Iran. Indonesien och Indien har också drabbats av den skadliga mjukvaran, som kallas Stuxnet.

När man tittar på datumen för digitala signaturer som genereras av masken, kan den skadliga programvaran ha varit i omlopp sedan sedan januari, sade Elias Levy, senior teknisk direktör med Symantec Security Response.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Stuxnet upptäcktes förra månaden av VirusBlokAda, ett Vitrysslandsbaserat antivirusföretag som sa att den hittade programvaran på ett system som tillhör en iransk kund. Worm söker efter Siemens SCADA (övervakningskontroll och datainsamling) hanteringssystem, som används i stora tillverknings- och kraftverksanläggningar, och försöker ladda upp industriella hemligheter till Internet.

Symantec är inte säker på varför Iran och övriga länder rapporterar så många infektioner. "Det mest vi kan säga är den som utvecklat dessa speciella hot riktar sig mot företag i de geografiska områdena, säger Levy." USA har ett långtgående handelsembargo mot Iran. "Även om Iran förmodligen är ett av de länder som har de värsta infektionerna av detta, är de också nog en plats där de inte har mycket AV just nu", säger Levy.

Siemens skulle inte säga hur många kunder det är har i Iran, men företaget säger nu att två tyska företag har smittats av viruset. En gratis virusskanner som Siemens tidigare publicerat tidigare i veckan har laddats ner 1500 gånger, säger en företags talesman.

Siemens sade tidigare att Siemens planerade att avveckla sin iranska verksamhet - en 290-anställd som nettade 438 miljoner euro (562,9 miljoner US-dollar) 2008, enligt Wall Street Journal. Kritiker säger att företagets handel där har hjälpt till att mata Irans kärnvapenutvecklingsarbete.

Symantec sammanställde sina uppgifter genom att arbeta med industrin och omdirigera trafik riktad mot maskens kommando- och kontrollservrar till sina egna datorer. Under en tre dagarsperiod i veckan försökte datorer som är placerade på 14 000 IP-adresser att ansluta till kommando- och kontrollservrarna, vilket indikerar att ett väldigt litet antal datorer över hela världen har drabbats av masken. Det faktiska antalet infekterade maskiner ligger antagligen i området 15 000 till 20 000, eftersom många företag placerar flera system bakom en IP-adress, enligt Symantecs Levy.

Eftersom Symantec kan se IP-adressen som används av maskiner som försöker ansluta till kommando- och kontrollservrar kan det berätta vilka företag som har smittats. "Inte överraskande, smittade maskiner inkluderar en mängd olika organisationer som skulle använda SCADA programvara och system, vilket klart är målet för angriparna, säger företaget i sitt blogginlägg torsdag.

Stuxnet sprider via USB-enheter. När en infekterad USB-pinne ses på en Windows-dator, söker koden ett Siemens-system och kopierar sig till alla andra USB-enheter som den kan hitta.

En tillfällig lösning för Windows-felet som tillåter Stuxnet att sprida kan hittas här.

Robert McMillan täcker datasäkerhet och allmänt tekniskt brytande nyheter för

IDG News Service. Följ Robert på Twitter på @bobmcmillan. Roberts e-postadress är [email protected]