CentrumPR.pl

Technologie » Internet

24 czerwca 2012 r.: Dzień, w którym umarł Stuxnet

Zobacz więcej zdjęć »

Głęboko wewnątrz bloków konfiguracyjnych Stuxneta, szkodliwego programu, który atakował cały szereg starannie dobranych irańskich organizacji, ukryta jest pewna zmienna.

Zamów artykuły sponsorowane na serwisie CentrumPR.pl w kilka minut, poprzez platformę Link Buildingu np.:

Przeczytaj również

• Luka w portalu społecznościowym Instagram wykorzystana przez cyberprzestępców
• Badanie Kaspersky Lab: ludzie są skłonni pozbyć się swoich zdjęć i innych danych za niedużą kwotę
• Technologia kontroli aplikacji firmy Kaspersky Lab wygrywa w testach AV-TEST
• Liczba roku: Każdego dnia Kaspersky Lab wykrywa 315 000 nowych szkodliwych plików

• Podstawowe informacje o CentrumPR.pl

Przechowuje ona kod, który odczytany jako data wskazuje na 24 czerwca 2012 r. Okazuje się, że jest to data zatrzymania pracy procedur rozmnażania się Stuxneta i infekowania przez niego napędów przenośnych. Eksperci z Kaspersky Lab idą o krok dalej i analizują powiązania tej daty z inną cyberbronią - robakiem Duqu.

Specyficzna zmienna, która przechowuje informację o „dacie śmierci” Stuxneta, pokazana jest na poniższym obrazku (czerwona ramka) „00 c0 45 4c 9c 51 cd 01” w standardowym formacie 64-bitowych znaczników czasowych Windows oznacza dzień 24 czerwca 2012 r.

Obecnie znane są trzy warianty Stuxneta – publikowane w różnych terminach. Pierwszy znany wariant wypuszczono na wolność 23 czerwca 2009 r. o godzinie 5:40 czasu polskiego. Kolejne wersje pojawiły się 28 czerwca i 7 lipca. 24 czerwca 2012 r., czyli po trzech latach od pierwszego pojawienia się, Stuxnet zakończył swoją cyberprzestępczą działalność.

Ciekawy jest fakt, że data 24 czerwca ma także związek z inną cyberbronią - robakiem Duqu, zwanym spadkobiercą Stuxneta. W trakcie szczegółowej analizy wszystkich trzech znanych sterowników Duqu eksperci z Kaspersky Lab zauważyli, że kod jednego z nich, wykrytego 3 listopada 2011 r., zawiera ciąg "0xAE240682" (czerwona ramka na poniższym obrazku). Człon 0xAE pojawia się bardzo często w kodzie Duqu oraz Stuxneta. Jego znaczenie wciąż pozostaje tajemnicą, ale wygląda na to, że jest to ulubiony fragment kodu twórców Duqu i Stuxneta. Pozostała część wartości 0xAE240682 może zostać odczytana jako 24.06.82 i jeżeli potraktujemy ją w kategorii daty, będzie to dokładnie 30 lat przed zaplanowaną „śmiercią” Stuxneta.

Data 24 czerwca 1982 r. jest interesująca sama w sobie - jest powiązana z incydentem lotu British Airways 9, znanym również jako „Speedbird 9” lub „Incydent w Dżakarcie”. Tego właśnie dnia, City of Edinburgh - samolot Boeing 747-236B - wleciał w chmurę pyłu wyrzuconego przez wybuch wulkanu Galunggung i w tym momencie wszystkie cztery silniki maszyny odmówiły posłuszeństwa. Przyczyny awarii nie były jasne dla załogi, ani też dla kontroli naziemnej. W czasie szybowania samolot opuścił chmurę pyłu wulkanicznego, po czym załodze udało się przywrócić pracę silników i wylądować.

„Niestety, nikt poza cyberprzestępcami zaangażowanymi w projekt Stuxnet / Duqu nie może z całą pewnością odpowiedzieć na pytanie, dlaczego Stuxnet zaprzestał rozprzestrzeniania dokładnie 30 lat po tym incydencie, ani dlaczego właśnie ta data jest zakodowana w jednej z procedur Duqu. Nie wygląda to jednak na przypadek...” - komentuje Costin Raiu, ekspert z Kaspersky Lab.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Nadesłał: Kaspersky Lab Polska Sp. z o.o. http://kaspersky.pl