Tidlig version af cybervåben opdaget: Stuxnet er mindst 8 år gammel

Den berygtede malware Stuxnet har formentlig været aktiv langt tidligere end hidtil antaget.

Det viser fundet af en hidtil ukendt version 0.5 af Stuxnet, som ifølge Symantec var i fuld vigør fra 2007-2009. Ifølge Symantecs oplysninger kan arbejdet med malwaren dog være påbegyndt allerede i 2005 eller tidligere.

Dermed skal historien om ormens samlede livsforløb tilsyneladende skrives om, da den hidtil tidligst kendte version stammer fra 2009.

»I 2010 blev Stuxnet kendt som den første software, der blev brugt som cybervåben. Der blev fundet spor i koden, som tydede på, at der kunne være andre versioner af Stuxnet med andre funktionaliteter. En af disse versioner, Stuxnet 0.5, er nu fundet, og giver os helt ny viden om udviklingen af Stuxnet,« udtaler it-sikkerhedsekspert Peter Schjøtt, Symantec.

Den tidlige version havde ifølge sikkerhedsfirmaet en anden angrebsmekanisme end de efterfølgere - version 1.x - som blandt andet Version2 har omtalt fra 2010 og frem.

Stuxnet-malwaren blev verdensberømt i 2010 for at være designet til at afbryde berigelsen af uran i de iranske uranberigelses-faciliteter i Naranz. Også danske Maersk blev dengang ramt af malwaren, der specifikt gik efter at påvirke driften af kontrolsystemer til industrien, de såkaldte Scada-systemer.

It-sikkerhedsfirmaets undersøgelser peger på, at Stuxnet 0.5 var designet til at lukke for de ventiler, som ledte hexaflouorid-gas ind i de uranberigende centrifuger i Naranz, Iran. Angrebet ville kunne gøre alvorlig skade på de ramte centrifuger og derned sætte arbejdet med at berige uran tilbage.

Stuxnet i version 1.x formodes at have påvirket operationerne i Natanz-faciliteterne i Iran, men det er endnu ikke klart, om Stuxnet 0.5 på noget tidspunkt nåede sit mål.

Peter Schjøtt, Symantec, nu ved vi så, at Stuxnet formentlig har været aktiv i længere tid end først antaget. Det er vel igen en understregning af, at produkter fra it-sikkerhedsfirmaer som jer reelt er uden effekt, hvis bare malwaren er kompliceret nok?

»Det kan du sige. Der er ingen grund til at tro, at eksempelvis iranerne ikke har haft paraderne oppe (mht. sikringen af landets atomprogram, red.). Hvis modstanderens ressourcer bare er store nok, så er det svært at have et bolværk. Det viser, at det kan være en meget kompleks sag at sikre sig. Til gengæld må vi så også sige, at de fleste modstandere ikke har den slags ressourcer til rådighed,« siger Peter Schjøtt til Version2.

For almindelige danske virksomheder, der ikke har deres eget atomprogram at beskytte, er opdagelsen endnu en påmindelse om, at installation antivirus-software og firewalls ikke må blive en sovepude.

Det handler også om at være knivskarp på, hvad der sker hen over virksomhedens netværk, siger Peter Schjøtt.

»Man plejer at sige, at dine logs aldrig lyver, hvis du samler den information og bruger den intelligent og målrettet, kan man blive mere bevidst om, hvad der rør sig i en organisationens it-installation over tid. Det er ret vigtigt og kan være medvirkende til, at man opdager, hvis der sker noget unormalt på nogle servere, eller der er data på vej ud af organisationen,« siger Peter Schjøtt.

Ifølge Symantecs analyser er Stuxnet 0.5 fremstillet ved brug af den såkaldte Flamer-platform. Den adskiller sig fra de senere versioner ved ikke at udnytte sårbarheder i Microsoft-programmer.

Stuxnet 0.5 har derimod gået efter at inficere projektfiler til Siemens-programmet Step 7, der bruges til at programmere PLC'er i Scada-systemer. Ifølge Symantec har den tidlige version haft et fungerende payload til Siemens 417-PLC'er, som ikke var fuldt funktionelt i version 1.x.

Stuxnet 0.5 stoppede ifølge Symantecs oplysninger med at sprede sig 4. juli 2009. Symantecs globale sensornetværk har dog detekteret en lille gruppe inaktive infektioner på verdensplan det seneste års tid.

Opdateret klokken 10.41 med uddybende kommentar fra Symantec Danmark.