Ny skadlig programvara för Cyberwar ett steg närmare

En nyupptäckt del av skadlig kod kallad Duqu är nära besläktad med den ökända Stuxnet-masken som skadade Irans kärnkraftsanrikningscentrifuger förra året. Även om det inte har något känt mål eller någon författare, skapar det scenen för fler industri- och cyberkrigsattacker, säger experter.





Vem är näst på tur?: Irans kärnkraftskomplex i Natanz, som ses här på en satellitbild, skadades av en datormask som heter Stuxnet.

Det här är definitivt en bekymmersam utveckling på ett antal nivåer, säger Ronald Deibert , ansvarig för Citizen Lab , en tankesmedja på internet vid University of Toronto som leder forskning om cyberkrigföring, censur och spionage. I samband med militariseringen av cyberrymden bör beslutsfattare runt om i världen vara oroliga.

I själva verket kan spridningen av sådan kod vara destabiliserande. Pentagons cyberkrigsstrategi, till exempel, gör klart att dataangrepp på industriell och civil infrastruktur som kemiska fabriker eller elnät samt militära nätverk kan betraktas som likvärdiga med en konventionell bombning eller annan attack, om civila var i fara.



Duqu var beskrev tisdag av säkerhetsföretaget Symantec, som säger att syftet med skadlig programvara verkar vara att samla in intelligens från datoriserade industriella kontrollsystem. Det skadar inte, utan spionerar på dem för att samla information som är relevant för framtida attacker.

Symantec-forskare skrev att Duqu har cirkulerat i 10 månader och är i huvudsak föregångaren till en framtida Stuxnet-liknande attack, men med målet okänt. Koden kan övervaka meddelanden och processer och leta efter information inklusive design av så kallade SCADA-system (för övervakningskontroll och datainsamling). Dessa är datorsystem som används vid industrianläggningar och kraftverk för att styra saker som pumpar, ventiler och andra maskiner.

Koden upptäcktes ursprungligen på en handfull icke namngivna platser i Europa av en okänd forskargrupp och gavs till Symantec för analys den 14 oktober, säger företaget.



Stuxnet-masken var mycket specifik för Irans Natanz-anläggning, där urananrikning utförs i härdade underjordiska bunkrar. Iran hävdar att Natanz är ett helt fredligt försök att tillverka bränsle till kärnkraftverk, men vissa observatörer fruktar att det också kan fungera som ett bombtillverkningsprogram.

Stuxnet gick långt utöver att stänga ner eller störa verksamheten. Efter att ha infekterat Seimens-tillverkade kontrollsystem skickade den ut instruktioner som skulle skada känsliga centrifuger, där uran av bomb- eller reaktorkvalitet separeras från naturligt förekommande uran. I en Hollywood touch visade masken också normal information på datorskärmar så att mänskliga operatörer inte skulle märka attackerna.

Stuxnet anses allmänt vara den mest sofistikerade skadliga programvaran som någonsin skapats. Tidigare i år har New York Times rapporterad att Stuxnet testades av israeliska agenter på centrifuger på en israelisk plats, och pekade på detta och andra ledtrådar om att Stuxnet kan ha utformats som ett amerikansk-israeliskt projekt för att sabotera det iranska programmet.



Men mycket är inte känt. Vi vet inte vad det är till för. De första spekulationerna är att det var en föregångare till nästa Stuxnet, men vi vet ingenting, säger Bruce Schneier , en kryptolog och säkerhetsexpert. Det är vad det är. Vi vet inte.

Duqu skapar en sorts bakdörr som kan ta emot kommandon från, och leverera information till, en så kallad kommando-och-kontroll-server någonstans i Indien. (Det är inte känt att servern har skickat ut instruktioner, säger Symantec.) Företaget säger att bakdörren förblir öppen i bara 36 dagar, och sedan raderar skadlig programvara sig själv.

Symantec säger att dess forskare – efter att ha skickat ut ett detekteringsverktyg efter upptäckten av koden i Europa – har hittat Duqu på industriella datorer runt om i världen. Liksom Stuxnet, som infekterade tusentals datorer i 155 länder förra året, kom Duqu ombord på offerdatorer med hjälp av ett stulet digitalt certifikat – en kryptografisk kod som autentiserar en mjukvara på en målmaskin. På det hela taget understryker detta den avgörande betydelsen av säkerhetspolitik och praxis för cyberrymden, nationellt, regionalt och internationellt, säger Deibert.



Dölj