Iran Was Prime Target ng SCADA Worm

Mga Computer sa Iran ay mahirap na maabot ng isang mapanganib na worm ng computer na nagsisikap na magnakaw ng impormasyon mula sa mga sistema ng pang-industriyang kontrol.

Ayon sa data na naipon ni Symantec, halos 60 porsiyento ng lahat ng mga system na nahawa sa worm ay matatagpuan sa Iran. Ang Indonesia at India ay nahihirapan rin sa pamamagitan ng malisyosong software, na kilala bilang Stuxnet.

Sa pagtingin sa mga petsa sa mga digital na lagda na nalikha ng worm, ang nakakahamak na software ay maaaring nasa sirkulasyon mula noong matagal na ang nakalipas noong Enero, sinabi Elias Ang Levy, ang nangungunang teknikal na direktor sa Symantec Security Response.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Natuklasan ang Stuxnet noong nakaraang buwan ng VirusBlokAda, isang antivirus na nakabase sa Belarus na nagsabing natagpuan nito ang software sa isang sistema na pagmamay-ari ng isang Iranian customer. Ang worm ay naghahanap ng Siemens SCADA (pangangasiwa ng kontrol at pagkuha ng data) na mga sistema ng pamamahala, na ginagamit sa mga malalaking manufacturing at utility na mga halaman, at sumusubok na mag-upload ng mga pang-industriya na lihim sa Internet.

Symantec ay hindi sigurado kung bakit nag-uulat ang Iran at iba pang mga bansa napakaraming mga impeksiyon. "Ang pinakamamahal nating masasabi ay kung sinuman ang nakagawa ng mga partikular na banta na ito ay nagta-target sa mga kumpanya sa mga heyograpikong lugar," ayon kay Levy.

Ang U.S. ay may isang long-running trade embargo laban sa Iran. "Kahit na ang Iran ay malamang na isa sa mga bansa na may pinakamalalang mga impeksyon sa mga ito, ang mga ito ay marahil ay isang lugar kung saan wala silang maraming AV sa ngayon," ayon kay Levy.

Siemens ay hindi sasabihin kung gaano karaming mga customer ito ay nasa Iran, ngunit sinasabi ng kumpanya ngayon na ang dalawang Aleman na kumpanya ay nahawaan ng virus. Ang isang libreng virus scanner na nai-post ng Siemens nang mas maaga sa linggong ito ay na-download nang 1,500 ulit, sinabi ng isang tagapagsalita ng kumpanya.

Mas maaga sa taong ito, sinabi ni Siemens na ito ay pinlano na pababain ang Iranian business nito - isang 290-empleyado na yunit na nakakuha ng € 438 milyon (US $ 562.9 milyon) noong 2008, ayon sa Wall Street Journal. Sinasabi ng mga kritiko na ang kalakalan ng kumpanya ay nakatulong sa pagpapakain ng pagsisikap ng Iran sa pagpapaunlad ng nuclear.

Pinagsama ni Symantec ang data nito sa pamamagitan ng pagtatrabaho sa industriya at pag-redirect ng trapiko na naglalayong command at control server ng worm sa sarili nitong mga computer. Sa loob ng tatlong-araw na panahon sa linggong ito, ang mga computer na matatagpuan sa 14,000 na mga IP address ay sinubukan na kumonekta sa mga server ng command at control, na nagpapahiwatig na ang isang napakaliit na bilang ng mga PC sa buong mundo ay na-hit ng worm. Ang aktwal na bilang ng mga nahawaang machine ay marahil sa hanay ng 15,000 hanggang 20,000, dahil maraming mga kumpanya ang naglalagay ng ilang mga sistema sa likod ng isang IP address, ayon sa Symantec's Levy.

Dahil ang Symantec ay maaaring makita ang IP address na ginagamit ng mga machine na subukan upang kumonekta sa command at control server, maaari itong sabihin kung aling mga kumpanya ang nahawahan. "Hindi kataka-taka, kabilang ang mga nahawaang makina ang iba't ibang mga organisasyon na gumagamit ng SCADA software at system, na malinaw na ang target ng mga attackers," sinabi ng kumpanya sa kanyang blog post Huwebes.

Stuxnet kumakalat sa pamamagitan ng USB device. Kapag nakita ang isang nahawaang USB stick sa isang makina ng Windows, ang code ay naghahanap ng isang Siemens system at mga kopya mismo sa anumang iba pang mga aparatong USB na maaari nitong makita.

Ang isang pansamantalang workaround para sa Windows bug na nagpapahintulot sa Stuxnet na kumalat ay matatagpuan dito.

Robert McMillan ay sumasaklaw sa seguridad sa computer at pangkalahatang teknolohiya ng breaking balita para sa Ang IDG News Service. Sundin si Robert sa Twitter sa @bobmcmillan. Ang e-mail address ni Robert ay [email protected]