Stuxnet infectés par sa première cible seulement 12 heures après que les pirates fini le ver, une indication que le logiciel malveillant a marqué un bulls presque instantanée-eye, a déclaré aujourd'hui un chercheur.
Les fabricants de Stuxnet a lancé le ver "dès qu'ils avaient ready", Liam O Murchu, responsable des opérations de l'équipe de Symantec security response, a déclaré dans une interview de lundi.
« Ils savaient où ils voulaient pour les livrer et à qui, et parce que ce domaine a été ciblé plusieurs fois différentes, il montre qu'ils voulaient vraiment entrer dans [cette cible], "O Murchu ajouté.
Le vendredi, Symantec a publié des informations nouvelles sur Stuxnet, le ver que la plupart suspect vise à du programme nucléaire iranien, y compris les centrifugeuses d'enrichissement d'uranium dans son usine de Natanz underground.
Dans son analyse de la Stuxnet plus récent, Symantec dit que 10 infections originales en trois vagues sur une période de 11 mois avaient ciblés des cinq domaines liés aux organisations au sein de l'Iran. Symantec a refusé de nommer les organisations, disant simplement que tous les cinq ont participé à la transformation industrielle.
Comme le ver se propagent, ces 10 ordinateurs infectés détournent plus tard environ 12 000 ordinateurs iraniens.
Symantec a également comparé à compilation et date-horodater du chaque variante ver--lorsque les attaquants terminé les travaux sur le code malveillant--avec première infection de chaque version pour suivre la vitesse avec laquelle Stuxnet a fait ses dommages.
Il a fallu la première variante, compilé le 22 juin 2009, seulement 12 heures à infecter son premier PC, a déclaré O Murchu, l'un des trois experts de Symantec, qui ont passé des mois à creuser dans code du ver. La bref intervalle signifie que les attaquants prévues avec soin, il dit et avait identifié leurs cibles bien avant qu'ils avaient enveloppé de leur travail.
Autres cibles dans la première vague ont été infectées pendant six jours, 14 jours et 26 jours après que le code de ver a été compilé.
Auparavant, Symantec a dit que l'une cible de Stuxnet était l' usine de Natanz, où l'Iran abrite des milliers de centrifugeuses à grande vitesse qui peuvent servir à enrichir de l'uranium dans le matériel de la bombe de qualité. Au sein de le Stuxnet est le code conçu pour saisir le contrôle des moteurs électriques à haute vitesse qui centrifugeuses de spin. Selon Symantec, Stuxnet sabote les centrifugeuses par accélérer et ralentir leurs moteurs.
Responsables iraniens ont confirmé que le ver infectés par des dizaines de milliers de PC du pays et ont admis que Stuxnet affectés à l'exploitation de certains les centrifugeuses utilisées pour enrichir l'uranium. Le pays a également critiqué Israël et aux États-Unis pour les attaques.
Le mois dernier le New York Times, citant des sources confidentielles, dit que le ver était un projet conjoint de American-israélien et a été testé sur iranien-style centrifugeuses à installation nucléaire secret son à Dimona.
Le délai moyen entre la compilation et l'infection pour tous les 10 premières attaques était 19 jours, et la médiane était de 26 jours, dit Symantec.
Une autre cible dans la première vague est également le plus important, a déclaré O Murchu, qui a fait remarquer que l'organisation a été touchée non seulement à la mi-2009, mais aussi de deux vagues plus tard en mars et en avril 2010. Cette organisation a été le seul des cinq infectés par tous les trois attaques.
Les trois vagues d'attaques Stuxnet--juin 2009, 2010 de mars et avril 2010--le second était le plus de succès, selon O Murchu.
La variante de mars 2010 a été le premier à inclure un exploiter une vulnérabilité dans comment Windows analysée raccourci les fichiers, les petits fichiers affichés par des icônes sur le Bureau, la barre d'outils et dans le menu Démarrer que lancer des applications et des documents lorsque vous cliquez dessus. Par l'élaboration des raccourcis malveillants, les hackers automatiquement exécuter malware chaque fois qu'un utilisateur considéré le raccourci ou le contenu d'un dossier contenant le raccourci malveillant.
« Cet exploit était beaucoup plus efficace que l'attaque de AutoRun original, a déclaré O Murchu, se référant à dépendance de la Stuxnet de juin 2009 malformées fichiers contenus sur un lecteur USB. « [À l'aide de la vulnérabilité de raccourci Windows] accueilli [le mars 2010] Stuxnet à se répandre plus tellement vite. »
Stuxnet a pu exploiter le bogue de raccourci pendant des mois avant que la vulnérabilité s'est rendu publique en juin 2010. Microsoft s'est précipité un patch d'urgence à des clients au début d'août.
Bien qu'il n'y a que des différences mineures entre les variantes 2010 de mars et avril 2010, l'ancien infecté plus de machines et avait une meilleure chance d'atteindre la cible visée, dit O Murchu. À perte pour expliquer la différence, il est supposé que le premier PC infecté par la vague de mars peut ont été mieux connecté à d'autres réseaux informatiques iranien.
La plupart des analystes ont supposé que les attaques initiales ont été livrés sur les lecteurs USB infectés, puisqu'il est peu probable que Natanz est directement connecté à l'Internet. O Murchu dit qu'il est impossible de dire à partir du code Stuxnet, si c'était le cas, cependant.
« Il pourrait avoir été livrée sur un lecteur USB, mais si elle a été, ou comme une pièce jointe, nous ne pouvons dire, "il a dit.
Rapport révisé de Symantec sur Stuxnet peut être téléchargé du site de l'entreprise (Télécharger le PDF).
Gregg Keizer couvre Microsoft, problèmes de sécurité, Apple, les navigateurs Web et la technologie générale dernières nouvelles pour les Computerworld. Suivez Gregg sur Twitter à @ gkeizer ou abonnez-vous au flux RSS de Gregg . Son adresse e-mail est gkeizer@computerworld.com.
En savoir plus sur la sécurité en centre de sujet de sécurité de Computerworld.
Pour plus d'entreprise informatique news, visitez Computerworld. Histoire du droit d'auteur © 2010 Computerworld Inc. Tous droits réservés.
View the original article here
No comments:
Post a Comment