Hvad er der sket? Siden det ødelagde hundredvis af centrifuger på et nukleart berigelsesanlæg i Iran i 2010, har ormen været stille—men ikke inaktiv.

sammenlignet med mange af sine ondsindede kolleger har Stuknetormen haft meget mere end de ordsprogede 15 minutters berømmelse.

Med god grund. Det var præcedens. Det var en af de mest sofistikerede stykker af ondskab, der nogensinde blev skabt på det tidspunkt. Kaspersky Lab anslog, at det tog et team på 10 kodere to til tre år at oprette det.

det krydsede også en linje. I stedet for at blive brugt “blot” til at hacke computere og stjæle dataene på dem, blev det brugt til at forårsage fysisk ødelæggelse.

hvad er det? h2

da det først blev offentligt i 2010, havde Stuknet muliggjort ødelæggelsen af næsten tusind eller omkring en femtedel af centrifugerne ved Irans atomberigelsesanlæg, hvilket satte landets nukleare program tilbage med 18 måneder eller mere. Det blev naturligvis internationale nyheder, der varede ikke kun måneder, men år.efter at have tippet rundt om tilskrivningsproblemet i et stykke tid, besluttede de fleste rapporter sig for at sige, at det var “bredt accepteret”, at Stupnet var et cybervåben skabt af israelske og amerikanske efterretningsbureauer. Der er skrevet bøger om det, adskillige seminarer om det, og, selvfølgelig, beskyldninger og trusler blandt de involverede nationalstater.det var også vigtigt, fordi angriberne fik ormen ind i Natans computere, selvom systemerne var “air-gapped”—ikke forbundet til internettet. De fik adgang ved at bruge USB-drev til at plante ondsindede programmer på systemer fra tredjepartsvirksomheder, der havde forbindelse til det iranske atomprogram.

relateret: Luftgab i IC ‘ er går, går … og det samme er sikkerhed, designet til kun at scanne efter Siemens trin 7-programmer på computere, der styrer en PLC (programmerbar logic controller). Hvis en af dem manglede, ville Stuknet gå i dvale inde i computeren. Men hvis begge var til stede, ville det ændre koderne og give ondsindede kommandoer til PLC ‘ en, mens de returnerede feedback, der fik det til at se ud som om alt var normalt.

disse kommandoer fik centrifugerne til at spinde ud af kontrol og ødelægge sig selv, før nogen overvågede systemet vidste, at der var noget galt.

efter sigende var det aldrig meningen, at Stuknet skulle sprede sig ud over Natans. Imidlertid endte ondskaben på internetforbundne computere og begyndte at sprede sig i naturen takket være et ekstremt sofistikeret og aggressivt design.

Hvad er der sket siden da? h2

efter angrebet forsvandt Stuknet fra almindelige overskrifter inden for et par år, men det vendte kort tilbage i 2016, da en Microsoft Security Intelligence-rapport identificerede det blandt udnyttelsesrelaterede ondskabsfamilier, der blev opdaget i anden halvdel af 2015.

relateret: 6 år senere er sårbarheden fortsat udnyttet

den forsvandt igen indtil i November, da Reuters, efterfulgt af adskillige andre forretninger, rapporterede en påstand fra Irans civilforsvarschef om, at nationens regering havde opdaget og stoppet en israelsk indsats for at inficere computersystemer med det, han beskrev som en ny version af Stupnet.Jalali, chef for den nationale Passive forsvarsorganisation (NPDO), fortalte Irans IRNA-nyhedstjeneste: “for nylig opdagede vi en ny generation af Stuknet, der bestod af flere dele … og forsøgte at komme ind i vores systemer.”Mohammad-Javad Jahromi, Irans telekommunikationsminister, beskyldte Israel for at stå bag angrebet og sagde, at ondskaben var beregnet til at “skade Irans kommunikationsinfrastrukturer.”Men han sagde, at landets” årvågne tekniske hold “havde blokeret angrebet, og at Israel var” vendt tomhændet tilbage.Times of Israel rapporterede på det tidspunkt, at iranske embedsmænd havde indrømmet, at de stod over for et angreb fra “en mere voldelig, mere avanceret og mere sofistikeret virus end før, der har ramt infrastruktur og strategiske netværk.”

hvad er den aktuelle status?

Hvad er status for nu? Mens det har været i naturen i årevis, betyder det ikke, at bare nogen kan bruge det til at gøre den samme slags skade.Symantecs Liam O ‘ Murchu, direktør for Security Technology and Response group, fortalte CSO-magasinet i 2017, at det var den mest komplekse kode, holdet havde gennemgået og var “i en helt anden liga end noget, vi nogensinde havde set før.”

Han sagde også ikke at tro på hjemmesider, der hævdede at have Stuknet-koden tilgængelig for at hente, da kildekoden til ormen ikke var blevet frigivet eller lækket og ikke kan udvindes fra de binære filer, der er tilgængelige i naturen.

mens koden for en chauffør—en meget lille del af den samlede pakke—var blevet rekonstrueret via reverse engineering, er det ikke det samme som at have den oprindelige kode.

alligevel sagde O ‘ Murchu, at forskere kunne forstå meget om koden ved at undersøge det binære i aktion og reverse engineering det. For eksempel” det var ret indlysende fra første gang, vi analyserede denne app, at den ledte efter noget Siemens-udstyr, ” sagde han.

og efter tre til seks måneders reverse engineering, “vi var i stand til at bestemme, Vil jeg sige, 99 procent af alt, hvad der sker i koden.”

men meddelelsen fra Iran i November bekræfter, hvad der sker med Stuknet. Det udvikler sig, som de fleste ondskabsfulde familier gør. Det er ikke så meget, at det er tilbage. Det er, at det aldrig gik væk—og det vil næsten helt sikkert være i overskrifterne igen.

Læs mere om ICS sikkerhed