Dzień, w którym umarł Stuxnet

Strona głównaDzień, w którym umarł Stuxnet
26.06.2012 15:54
Dzień, w którym umarł Stuxnet
Źródło zdjęć: © Thinkstockphotos

Głęboko wewnątrz bloków konfiguracyjnych Stuxneta, szkodliwego programu, który atakował cały szereg starannie dobranych irańskich organizacji, ukryta jest pewna zmienna.

Specyficzna zmienna, która przechowuje informację o "dacie śmierci" Stuxneta, pokazana jest na poniższym obrazku (czerwona ramka) "0. c0 45 4c 9c 51 cd 01" w standardowym formacie 64-bitowych znaczników czasowych Windows oznacza dzień 24 czerwca 2012 r.

288758824532457619
Źródło zdjęć: © Fragment kodu (czerwona ramka) zawierający 'datę śmierci' Stuxneta (fot. Kaspersky Lab)

Obecnie znane są trzy warianty Stuxneta - publikowane w różnych terminach. Pierwszy znany wariant wypuszczono na wolność 2. czerwca 2009 r. o godzinie 5:40 czasu polskiego. Kolejne wersje pojawiły się 28 czerwca i 7 lipca. 24 czerwca 2012 r., czyli po trzech latach od pierwszego pojawienia się, Stuxnet zakończył swoją cyberprzestępczą działalność.

Ciekawy jest fakt, że data 2. czerwca ma także związek z inną cyberbronią - robakiem Duqu, zwanym spadkobiercą Stuxneta. W trakcie szczegółowej analizy wszystkich trzech znanych sterowników Duqu eksperci z Kaspersky Lab zauważyli, że kod jednego z nich, wykrytego 3 listopada 2011 r., zawiera ciąg "0xAE240682" (czerwona ramka na poniższym obrazku). Człon 0xAE pojawia się bardzo często w kodzie Duqu oraz Stuxneta. Jego znaczenie wciąż pozostaje tajemnicą, ale wygląda na to, że jest to ulubiony fragment kodu twórców Duqu i Stuxneta. Pozostała część wartości 0xAE240682 może zostać odczytana jako 24.06.82 i jeżeli potraktujemy ją w kategorii daty, będzie to dokładnie 30 lat przed zaplanowaną "śmiercią" Stuxneta.

288758824532654227
Źródło zdjęć: © Fragment kodu robaka Duqu zawierający datę 24 czerwca 1982 r. (fot. Kaspersky Lab)

Data 2. czerwca 1982 r. jest interesująca sama w sobie - jest powiązana z incydentem lotu British Airways 9, znanym również jako „Speedbird 9” lub „Incydent w Dżakarcie”. Tego właśnie dnia, City of Edinburgh - samolot Boeing 747-236B - wleciał w chmurę pyłu wyrzuconego przez wybuch wulkanu Galunggung i w tym momencie wszystkie cztery silniki maszyny odmówiły posłuszeństwa. Przyczyny awarii nie były jasne dla załogi, ani też dla kontroli naziemnej. W czasie szybowania samolot opuścił chmurę pyłu wulkanicznego, po czym załodze udało się przywrócić pracę silników i wylądować.

_ "Niestety, nikt poza cyberprzestępcami zaangażowanymi w projekt Stuxnet / Duqu nie może z całą pewnością odpowiedzieć na pytanie, dlaczego Stuxnet zaprzestał rozprzestrzeniania dokładnie 30 lat po tym incydencie, ani dlaczego właśnie ta data jest zakodowana w jednej z procedur Duqu. Nie wygląda to jednak na przypadek..." _ - komentuje Costin Raiu, ekspert z Kaspersky Lab.

Źródło: Kasperksy Lab

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (0)