vad hände med Stuxnet? Sedan den förstörde hundratals centrifuger vid en kärnkraftsanrikningsanläggning i Iran 2010 har masken varit tyst-men inte ledig.

jämfört med många av sina skadliga kollegor har Stuxnet-masken haft mycket mer än de ordspråkiga 15 minuterna av berömmelse.

med goda skäl. Det var prejudikat-inställning. Det var en av de mest sofistikerade bitarna av skadlig kod som någonsin skapats vid den tiden. Kaspersky Lab uppskattade att det tog ett team på 10 kodare två till tre år att skapa det.

det korsade också en linje. Istället för att användas ”bara” för att hacka datorer och stjäla data på dem, användes det för att orsaka fysisk förstörelse.

Vad är Stuxnet?

När det först blev offentligt 2010 hade Stuxnet möjliggjort förstörelsen av nästan tusen, eller ungefär en femtedel, av centrifugerna vid Irans Natanz nukleära anrikningsanläggning, vilket satte tillbaka nationens kärnprogram med 18 månader eller mer. Självklart blev det internationella nyheter som varade inte bara månader utan år.

Efter att ha tippat runt attributionsproblemet ett tag bestämde sig de flesta rapporter om att det var ”allmänt accepterat” att Stuxnet var ett cybervapen skapat av israeliska och amerikanska underrättelsetjänster. Det har skrivits böcker om det, många seminarier som genomförts om det och naturligtvis anklagelser och hot bland de inblandade nationalstaterna.

Stuxnet var också signifikant eftersom angriparna fick masken i Natanz-datorerna trots att systemen var”luftgappade” -inte anslutna till internet. De fick tillgång genom att använda USB-minnen för att plantera skadlig kod på system från tredje part som hade en anslutning till det iranska kärnkraftsprogrammet.

relaterat: Luftluckor i ICS går, går … och det är också säkerhet

Stuxnet var mycket målinriktat, utformat för att endast skanna för Siemens STEP 7-programvara på datorer som styr en PLC (programmerbar logikkontroll). Om någon saknades skulle Stuxnet gå vilande inuti datorn. Men om båda var närvarande skulle det ändra koderna och ge skadliga kommandon till PLC medan de återvände feedback som fick det att se ut som om allt var normalt.

dessa kommandon orsakade centrifugerna att snurra ur kontroll och förstöra sig innan någon som övervakade systemet visste att något var fel.enligt uppgift var Stuxnet aldrig avsett att sprida sig bortom Natanz. Malware hamnade dock på internetanslutna datorer och började spridas i naturen tack vare en extremt sofistikerad och aggressiv design.

Vad har hänt sedan dess?

Efter Natanz-attacken bleknade Stuxnet från vanliga rubriker inom ett par år, men det återvände kort 2016, när en Microsoft Security Intelligence-rapport identifierade den bland exploateringsrelaterade skadliga programfamiljer som upptäcktes under andra halvåret 2015.

relaterat: 6 år senare, ’Stuxnet’ sårbarhet fortfarande utnyttjas

det bleknade igen fram till i November, när Reuters, följt av många andra försäljningsställen, rapporterade ett påstående från Irans civilförsvarschef att landets regering hade upptäckt och stoppat en israelisk ansträngning för att infektera datorsystem med vad han beskrev som en ny version av Stuxnet.

Gholamreza Jalali, chef för National Passive Defense Organization (NPDO), berättade Irans IRNA news service, ”nyligen upptäckte vi en ny generation av Stuxnet som bestod av flera delar … och försökte komma in i våra system.”

Mohammad-Javad Azari Jahromi, Irans telekommunikationsminister, anklagade Israel för att vara bakom attacken och sa att skadlig programvara var avsedd att ”skada Irans kommunikationsinfrastruktur.”Men han sa att landets” vaksamma tekniska team ” hade blockerat attacken, och att Israel hade ”återvänt tomhänt.”Times of Israel rapporterade vid den tiden att Irans tjänstemän hade erkänt att de stod inför en attack från ”ett mer våldsamt, mer avancerat och mer sofistikerat virus än tidigare, som har drabbat infrastruktur och strategiska nätverk.”

Vad är Stuxnets nuvarande status?

vad är status för Stuxnet nu? Medan det har varit i naturen i flera år betyder det inte att bara någon kan använda den för att göra samma typ av skada.Symantecs Liam O ’ Murchu, chef för Security Technology and Response group, berättade för CSO-tidningen 2017 att det var den mest komplexa koden som laget hade granskat och var ”i en helt annan liga än vad vi någonsin sett tidigare.”

han sa också att inte tro på webbplatser som påstod sig ha Stuxnet-koden tillgänglig att ladda ner, eftersom källkoden för masken inte hade släppts eller läckt ut och inte kan extraheras från binärerna som finns tillgängliga i naturen.

medan koden för en drivrutin—en mycket liten del av det övergripande paketet—hade rekonstruerats via omvänd teknik, är det inte detsamma som att ha den ursprungliga koden.ändå sa O ’ Murchu att forskare kunde förstå mycket om koden genom att undersöka binären i aktion och omvända den. Till exempel” det var ganska uppenbart från första gången vi analyserade den här appen att den letade efter lite Siemens-utrustning”, sa han.

och efter tre till sex månaders omvänd teknik, ” vi kunde bestämma, skulle jag säga, 99 procent av allt som händer i koden.”men novembermeddelandet från Iran bekräftar vad som händer med Stuxnet. Det utvecklas, som de flesta skadliga programfamiljer gör. Det är inte så mycket att det är tillbaka. Det är att det aldrig gick bort—och det kommer nästan säkert att vara i rubrikerna igen.

Läs mer om ICS-säkerhet