Stuxnet Industrial Worm skrevs över ett år sedan

En sofistikerad mask utformad för att stjäla industrins hemligheter har funnits mycket längre än vad som tidigare trodde, enligt säkerhetsexperter som undersöker den skadliga mjukvaran.

Kallat Stuxnet var ormen okänd fram till mitten av juli när Det identifierades av utredare med VirusBlockAda, en säkerhetsleverantör baserad i Minsk, Vitryssland. Ormen är anmärkningsvärd, inte bara för sin tekniska förfining, utan också för att den riktar sig mot de industriella styrsystemen som är konstruerade för att köra fabriker och kraftverk.

Nu säger forskare på Symantec att de har identifierat en tidig version av mask som skapades i juni 2009 och att den skadliga mjukvaran sedan blev mycket mer sofistikerad i början av 2010.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Denna tidigare version av Stuxnet agerar på samma sätt som den nuvarande inkarnationen - det försöker ansluta till Siemens SCADA (styrning och datainsamling) hanteringssystem och stjäla data - men det använder inte några av de nyare maskens mer anmärkningsvärda tekniker för att undvika antivirusdetektering och installera sig på Windows-system. Dessa funktioner tillsattes förmodligen några månader innan den senaste masken upptäcktes, sa Roel Schouwenberg, en forskare med antivirusleverantör Kaspersky Lab. "Det här är utan tvekan den mest sofistikerade riktade attacken vi hittills har sett", säger han.

Efter att Stuxnet skapades, lade författarna till en ny programvara som gjorde det möjligt att sprida sig bland USB-enheter med praktiskt taget ingen intervention av offret. Och de lyckades också att klara sig på krypteringsnycklarna som tillhör chipbolagen Realtek och JMicron och signera digitalt skadlig programvara, så att antivirusskannrar skulle ha svårare att upptäcka det.

Realtek och JMicron har båda kontor i Hsinchu Science Park i Hsinchu, Taiwan och Schouwenberg anser att någon kan ha stulit nycklarna genom att fysiskt få tillgång till datorer hos de två företagen.

Säkerhetsexperter säger att dessa riktade attacker har pågått i flera år, men de började först nyligen få allmänhetens uppmärksamhet, efter Google avslöjade att det hade riktats mot en attack som kallades Aurora.

Både Aurora och Stuxnet hävdar omatchade "nolldagars" brister i Microsoft-produkter. Men Stuxnet är mer tekniskt anmärkningsvärt än Googles attack, sa Schouwenberg. "Aurora hade en nolldag, men det var en nolldag mot IE6," sa han. "Här har du en sårbarhet som är effektiv mot alla versioner av Windows sedan Windows 2000."

Microsoft tog på måndagen en tidig patch för Windows-sårbarheten som Stuxnet använder för att sprida från system till system. Microsoft släppte uppdateringen precis som Stuxnet-attackerkoden började användas i mer virulenta attacker.

Även om Stuxnet kunde ha använts av en förfalskare för att stjäla industrins hemligheter - fabriksdata om hur man till exempel gör golfklubbar - Schouwenberg misstänker att en nationstat var bakom attackerna.

Hittills säger Siemens att fyra av sina kunder har smittats med ormen. Men alla dessa attacker har påverkat tekniska system, snarare än vad som helst på fabriksgolvet.

Även om den första versionen av ormen skrevs i juni 2009 är det oklart om den versionen användes i en verklig attack. Schouwenberg tror att den första attacken kunde ha varit så tidigt som i juli 2009. Den första bekräftade attacken som Symantec vet om från januari 2010, säger Vincent Weafer, Symantecs vice vd för säkerhetsteknik och svar.

De flesta infekterade systemen finns i Iran, han tillade, även om Indien, Indonesien och Pakistan också drabbas. Detta är i sig mycket ovanligt, sa Weaver. "Det är första gången på 20 år jag kan komma ihåg Iran som visar sig så tungt."

Robert McMillan täcker datasäkerhet och allmänt tekniskt brytande nyheter för IDG News Service. Följ Robert på Twitter på @bobmcmillan. Roberts e-postadress är [email protected]