Technologie » Internet
24 czerwca 2012 r.: Dzień, w którym umarł Stuxnet
Zobacz więcej zdjęć » |
Zamów artykuły sponsorowane na serwisie CentrumPR.pl w kilka minut, poprzez platformę Link Buildingu np.:
Przeczytaj również
- Luka w portalu społecznościowym Instagram wykorzystana przez cyberprzestępców
- Badanie Kaspersky Lab: ludzie są skłonni pozbyć się swoich zdjęć i innych danych za niedużą kwotę
- Technologia kontroli aplikacji firmy Kaspersky Lab wygrywa w testach AV-TEST
- Liczba roku: Każdego dnia Kaspersky Lab wykrywa 315 000 nowych szkodliwych plików
Przechowuje ona kod, który odczytany jako data wskazuje na 24 czerwca 2012 r. Okazuje się, że jest to data zatrzymania pracy procedur rozmnażania się Stuxneta i infekowania przez niego napędów przenośnych. Eksperci z Kaspersky Lab idą o krok dalej i analizują powiązania tej daty z inną cyberbronią - robakiem Duqu.
Specyficzna zmienna, która przechowuje informację o „dacie śmierci” Stuxneta, pokazana jest na poniższym obrazku (czerwona ramka) „00 c0 45 4c 9c 51 cd 01” w standardowym formacie 64-bitowych znaczników czasowych Windows oznacza dzień 24 czerwca 2012 r.
Obecnie znane są trzy warianty Stuxneta – publikowane w różnych terminach. Pierwszy znany wariant wypuszczono na wolność 23 czerwca 2009 r. o godzinie 5:40 czasu polskiego. Kolejne wersje pojawiły się 28 czerwca i 7 lipca. 24 czerwca 2012 r., czyli po trzech latach od pierwszego pojawienia się, Stuxnet zakończył swoją cyberprzestępczą działalność.
Ciekawy jest fakt, że data 24 czerwca ma także związek z inną cyberbronią - robakiem Duqu, zwanym spadkobiercą Stuxneta. W trakcie szczegółowej analizy wszystkich trzech znanych sterowników Duqu eksperci z Kaspersky Lab zauważyli, że kod jednego z nich, wykrytego 3 listopada 2011 r., zawiera ciąg "0xAE240682" (czerwona ramka na poniższym obrazku). Człon 0xAE pojawia się bardzo często w kodzie Duqu oraz Stuxneta. Jego znaczenie wciąż pozostaje tajemnicą, ale wygląda na to, że jest to ulubiony fragment kodu twórców Duqu i Stuxneta. Pozostała część wartości 0xAE240682 może zostać odczytana jako 24.06.82 i jeżeli potraktujemy ją w kategorii daty, będzie to dokładnie 30 lat przed zaplanowaną „śmiercią” Stuxneta.
Data 24 czerwca 1982 r. jest interesująca sama w sobie - jest powiązana z incydentem lotu British Airways 9, znanym również jako „Speedbird 9” lub „Incydent w Dżakarcie”. Tego właśnie dnia, City of Edinburgh - samolot Boeing 747-236B - wleciał w chmurę pyłu wyrzuconego przez wybuch wulkanu Galunggung i w tym momencie wszystkie cztery silniki maszyny odmówiły posłuszeństwa. Przyczyny awarii nie były jasne dla załogi, ani też dla kontroli naziemnej. W czasie szybowania samolot opuścił chmurę pyłu wulkanicznego, po czym załodze udało się przywrócić pracę silników i wylądować.
„Niestety, nikt poza cyberprzestępcami zaangażowanymi w projekt Stuxnet / Duqu nie może z całą pewnością odpowiedzieć na pytanie, dlaczego Stuxnet zaprzestał rozprzestrzeniania dokładnie 30 lat po tym incydencie, ani dlaczego właśnie ta data jest zakodowana w jednej z procedur Duqu. Nie wygląda to jednak na przypadek...” - komentuje Costin Raiu, ekspert z Kaspersky Lab.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Komentarze (0)