Viruskrig på to fronter: Mærsk også ramt af genvejsvirus på kontrolsystemer

Udover virusangrebet i Danmark, så er flere computersystemer hos A.P. Møller-Mærsk i Fjernøsten også ramt af den Stuxnet-virus, som angriber kontrolsystemer til industrien.

It-folkene hos den danske olie- og shippinggigant A.P. Møller-Mærsk har travlt i sommerferien. Efter sidste uges virusangreb i Danmark er det nu et antal industrisystemer i afdelingerne i Fjernøsten, som er ramt af virus.

Ifølge Mærsk har udbruddet ikke skabt afbrydelser i forretningen, og selskabets egne it-folk og underleverandører arbejder på at stoppe spredningen.

»Vi arbejder sammen med vores it teams rundt omkring i verden og vores underleverandører for at holde virusen i skak og få den fjernet. Vores status her til morgen er, at vi gennem de aktiviteter, vi har foretaget, nu har kontrol over alle kendte virus på vores net, og vi foretager en løbende opgradering af vores antivirusprogrammer i takt med nye varianter dukker op globalt på internettet,« udtaler Kim Aarenstrup, der er chef for IT-sikkerhed hos Mærsk i en udtalelse fra koncernen.

Det drejer sig om et eksemplar fra malware-familien Stuxnet, som var den første til at sætte fokus på den Windows-sårbarhed, som Microsoft endnu ikke har haft mulighed for at lukke.

Stuxnet er speciel, fordi den ikke bare stjæler hvilken som helst information fra de inficerede systemer. Den går specifikt efter SCADA-systemer, som er industrielle kontrolsystemer. Det vil sige systemer, som anvendes i alt fra elforsyning til industriproduktion.

Af samme grund tøver sikkerhedsfirmaet Symantec også med blankt at afvise, at der kan være tale om en virus, hvor motivet bag minder om noget, der hører hjemme i Hollywood.

»De fleste it-sikkerhedsfolk, som ser actionfilm, hvor en dygtig hacker holder en organisation eller et helt land som gidsel, vil simpelthen afvise det som ren fantasi. Men sagen om Stuxnet kan let sammenlignes med den sidste nye blockbuster fra Hollywood. Det er den første vidt udbredte virus, som har udvist potentiale for at kunne overtage kontrollen med industrielle systemer og lægge den kontrol i de forkerte hænder,« skriver it-sikkerhedschef Patrick Fitzgerald fra Symantec på selskabets blog.

Mærsk blev i sidste uge ramt af en variant af virussen Sality, som formentligt var kommet ind på netværket via et USB-drev. I alt viste cirka 300 pc'er sig at være inficeret, og Mærsk brugte fire dage henover weekenden på at rydde op.

Læs også:Oprydningen fortsætter: USB-orm ramte 300 pc'er hos Mærsk.

Stuxnet udnytter særligt udformede genvejsfiler og spreder sig primært via USB-lagermedier. Når lagermediet åbnes med Windows Stifinder, så vil Windows forsøge at fortolke genvejen for at finde frem til, hvilket ikon der skal repræsentere den. Det er i de biblioteker, som laver fortolkningen, at sårbarheden findes.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Pedersen

Men jeg har været inde og kigge på den... Og helt ærligt? Jeg er virkelig pissed of over Microsoft ikke snart kan sende den rigtige opdatering ud for jeg har valgt at løbe risikoen og så sige jeg ikke vil have den patch..

Hvad den gør, er at den disabler ALLE ikoner på computeren, og efter min mening er det altså bare ikke til at arbejde med (især ikke når man har pinnet alt til sin win7 proceslinje)

Men hvis nogle er interesserede så er linket her: http://support.microsoft.com/kb/2286198

  • 0
  • 0
Venligst Slet Min Bruger

Det er ikke en patch, det er en work-around.

Og problemet er vel ikke større, end at man kan vente med at foretage sig noget, så længe man ikke ukritisk smider usb-sticks i sin pc.

Desværre er samtlige Windows-systemer fra XP og op til Server2008 og Win7 ramt af denne sårbarhed, så det er nok ikke så ligetil at lave en rigtig patch.

  • 0
  • 0
Hans-Michael Varbæk

Den letteste måde at udføre den "work-around" Microsoft har lavet, på samtlige maskiner ville være vha. software udrulning via serveren.

Problemet er dog imidlertid at der kan være konsekvenser angående denne procedure og jeg går ud fra at IT-folkene allerede har eller er igang med at teste denne "work-around" på deres IT-systemer for at være sikre på der ikke opstår komplikationer.

Alternativt hvis USB-nøgler er "forbudte" kan de jo lige så godt gøre det "umuligt" for brugerne at indlæse USB-nøgler ved at fjerne rettighederne fra brugerne så de kun må bruge registreret udstyr.. Jeg går dog ud fra, at de nok også har brug for USB-nøgler internt fra tid til anden for at overføre data, konfigurations filer og lignende, og så er det ikke ligefrem let at finde en brugbar løsning.

Men før eller siden skal de nok få løst problemet med de 2 vira der er i omløb internt i deres systemer.

Jeg kan dog ikke lade være med at undre mig, om det er en afledning mod noget størrere?

  • 0
  • 0
Jesper Mørch

Ja, det undrer mig faktisk lidt, at man ikke bare laver en GPO som disabler alle eksterne drev der ikke ligger på netværk, eller som minimum disabler autorun permanent. Det vil ikke fjerne problemet, men begrænse det en del. Så er det bare ærgerligt for de medarbejdere som f.eks. tilslutter mp3-afspillere som USB-drev.

  • 0
  • 0
Jesper Mørch

Mon ikke den GPO står højt på deres todo liste til udførelse så snart de har fået ryddet op på netværket?

Man kan jo kun undre sig over at den GPO ikke allerede eksisterer, men deres sikkerhedsfolk kan måske ikke huske hvordan vira spredte sig i 90'erne... ;o)

  • 0
  • 0
Marc Munk

Enhver der har siddet som sikkerhedsansvarlig ved hvor svært det kan være at få selv de mindste nødvendige ændringer igennem. Det er bestemt ikke sikkert sikkerhedsfolkene ikke har slået på tromme for at få lavet den gpo men det kræver nu engang at de 'almindelige' it folk får det lavet.

  • 0
  • 0
Jesper Mørch

Det er bestemt ikke sikkert sikkerhedsfolkene ikke har slået på tromme for at få lavet den gpo men det kræver nu engang at de 'almindelige' it folk får det lavet.

Så vidt jeg husker er det nu ikke specielt vanskeligt at gøre. Jeg tror nærmere at IT-drift/-admin har besluttet at eksterne drev (USB, optiske etc.) er nødvendige at have adgang til, f.eks. når man ghoster maskiner, skal overføre dokumenter hurtigt fra en maskine til en anden etc. og at man så i øvrigt ikke har spekuleret i at blokere for dem, selvom det teoretisk ville højne sikkerheden. Det er i al fald min opfattelse fra forskellige drift, admin og sikkerheds-afdelinger

  • 0
  • 0
Jesper Mørch

Jeg ville så hellere lukke af for USBportene og så bruge netværket til at deploye nye images til mine klient maskiner.

Jeg er helt enig med dig

husk at .lnk kan pege på UNC stier.

Nu er de realistiske muligheder ret begrænsede for at omskrive operativsystemet så der tages højde for at alle features og systemkald vil blive forsøgt misbrugt. Det skulle producenten af omtalte software have tænkt på tilbage i 90'erne. Derfor er jeg bange for der kun vil blive tale om at sminke det patchwork af lapper som de fleste typer kommerciel software efterhånden består af.

  • 0
  • 0
Marc Munk

husk at .lnk kan pege på UNC stier.

Det åbner for andre spredningsmåder end blot USB og flytbare medier. Et eksempel kunne være en ekstern fil server.

Den infektionsvej er før set. Og det kunne da være en spændende øvelse at se på hvordan man kunne lukke af for den infektionsvej.

  • 0
  • 0
Marc Munk

Nu er de realistiske muligheder ret begrænsede for at omskrive operativsystemet så der tages højde for at alle features og systemkald vil blive forsøgt misbrugt. Det skulle producenten af omtalte software have tænkt på tilbage i 90'erne. Derfor er jeg bange for der kun vil blive tale om at sminke det patchwork af lapper som de fleste typer kommerciel software efterhånden består af.

Jeg tror at det at MS nu er begyndt at tilbyde en virtuel XP der er integreret i win7 er første skridt imod at starte helt fra bunden for at droppe lap på lap løsningen.

  • 0
  • 0
Log ind eller Opret konto for at kommentere