24 czerwca 2012 r.: Dzień, w którym umarł Stuxnet

Głęboko wewnątrz bloków konfiguracyjnych Stuxneta, szkodliwego programu, który atakował cały szereg starannie dobranych irańskich organizacji, ukryta jest pewna zmienna. Przechowuje ona kod, który odczytany jako data wskazuje na 24 czerwca 2012 r. Okazuje się, że jest to data zatrzymania pracy procedur rozmnażania się Stuxneta i infekowania przez niego napędów przenośnych. Eksperci z Kaspersky Lab idą o krok dalej i analizują powiązania tej daty z inną cyberbronią – robakiem Duqu.

Specyficzna zmienna, która przechowuje informację o „dacie śmierci” Stuxneta, pokazana jest na poniższym obrazku (czerwona ramka) “00 c0 45 4c 9c 51 cd 01” w standardowym formacie 64-bitowych znaczników czasowych Windows oznacza dzień 24 czerwca 2012 r.


Fragment kodu (czerwona ramka) zawierający “datę śmierci” Stuxneta

Obecnie znane są trzy warianty Stuxneta – publikowane w różnych terminach. Pierwszy znany wariant wypuszczono na wolność 23 czerwca 2009 r. o godzinie 5:40 czasu polskiego. Kolejne wersje pojawiły się 28 czerwca i 7 lipca. 24 czerwca 2012 r., czyli po trzech latach od pierwszego pojawienia się, Stuxnet zakończył swoją cyberprzestępczą działalność.

Ciekawy jest fakt, że data 24 czerwca ma także związek z inną cyberbronią – robakiem Duqu, zwanym spadkobiercą Stuxneta. W trakcie szczegółowej analizy wszystkich trzech znanych sterowników Duqu eksperci z Kaspersky Lab zauważyli, że kod jednego z nich, wykrytego 3 listopada 2011 r., zawiera ciąg “0xAE240682” (czerwona ramka na poniższym obrazku). Człon 0xAE pojawia się bardzo często w kodzie Duqu oraz Stuxneta. Jego znaczenie wciąż pozostaje tajemnicą, ale wygląda na to, że jest to ulubiony fragment kodu twórców Duqu i Stuxneta. Pozostała część wartości 0xAE240682 może zostać odczytana jako 24.06.82 i jeżeli potraktujemy ją w kategorii daty, będzie to dokładnie 30 lat przed zaplanowaną “śmiercią” Stuxneta.


Fragment kodu robaka Duqu zawierający datę 24 czerwca 1982 r.

Data 24 czerwca 1982 r. jest interesująca sama w sobie – jest powiązana z incydentem lotu British Airways 9, znanym również jako “Speedbird 9” lub “Incydent w Dżakarcie”. Tego właśnie dnia, City of Edinburgh – samolot Boeing 747-236B – wleciał w chmurę pyłu wyrzuconego przez wybuch wulkanu Galunggung i w tym momencie wszystkie cztery silniki maszyny odmówiły posłuszeństwa. Przyczyny awarii nie były jasne dla załogi, ani też dla kontroli naziemnej. W czasie szybowania samolot opuścił chmurę pyłu wulkanicznego, po czym załodze udało się przywrócić pracę silników i wylądować.

“Niestety, nikt poza cyberprzestępcami zaangażowanymi w projekt Stuxnet / Duqu nie może z całą pewnością odpowiedzieć na pytanie, dlaczego Stuxnet zaprzestał rozprzestrzeniania dokładnie 30 lat po tym incydencie, ani dlaczego właśnie ta data jest zakodowana w jednej z procedur Duqu. Nie wygląda to jednak na przypadek…” – komentuje Costin Raiu, ekspert z Kaspersky Lab.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *