Specyficzna zmienna, która przechowuje informację o „dacie śmierci” Stuxneta, pokazana jest na poniższym obrazku (czerwona ramka) “00 c0 45 4c 9c 51 cd 01” w standardowym formacie 64-bitowych znaczników czasowych Windows oznacza dzień 24 czerwca 2012 r.
Fragment kodu (czerwona ramka) zawierający “datę śmierci” Stuxneta
Obecnie znane są trzy warianty Stuxneta – publikowane w różnych terminach. Pierwszy znany wariant wypuszczono na wolność 23 czerwca 2009 r. o godzinie 5:40 czasu polskiego. Kolejne wersje pojawiły się 28 czerwca i 7 lipca. 24 czerwca 2012 r., czyli po trzech latach od pierwszego pojawienia się, Stuxnet zakończył swoją cyberprzestępczą działalność.
Ciekawy jest fakt, że data 24 czerwca ma także związek z inną cyberbronią – robakiem Duqu, zwanym spadkobiercą Stuxneta. W trakcie szczegółowej analizy wszystkich trzech znanych sterowników Duqu eksperci z Kaspersky Lab zauważyli, że kod jednego z nich, wykrytego 3 listopada 2011 r., zawiera ciąg “0xAE240682” (czerwona ramka na poniższym obrazku). Człon 0xAE pojawia się bardzo często w kodzie Duqu oraz Stuxneta. Jego znaczenie wciąż pozostaje tajemnicą, ale wygląda na to, że jest to ulubiony fragment kodu twórców Duqu i Stuxneta. Pozostała część wartości 0xAE240682 może zostać odczytana jako 24.06.82 i jeżeli potraktujemy ją w kategorii daty, będzie to dokładnie 30 lat przed zaplanowaną “śmiercią” Stuxneta.
Fragment kodu robaka Duqu zawierający datę 24 czerwca 1982 r.
Data 24 czerwca 1982 r. jest interesująca sama w sobie – jest powiązana z incydentem lotu British Airways 9, znanym również jako “Speedbird 9” lub “Incydent w Dżakarcie”. Tego właśnie dnia, City of Edinburgh – samolot Boeing 747-236B – wleciał w chmurę pyłu wyrzuconego przez wybuch wulkanu Galunggung i w tym momencie wszystkie cztery silniki maszyny odmówiły posłuszeństwa. Przyczyny awarii nie były jasne dla załogi, ani też dla kontroli naziemnej. W czasie szybowania samolot opuścił chmurę pyłu wulkanicznego, po czym załodze udało się przywrócić pracę silników i wylądować.
“Niestety, nikt poza cyberprzestępcami zaangażowanymi w projekt Stuxnet / Duqu nie może z całą pewnością odpowiedzieć na pytanie, dlaczego Stuxnet zaprzestał rozprzestrzeniania dokładnie 30 lat po tym incydencie, ani dlaczego właśnie ta data jest zakodowana w jednej z procedur Duqu. Nie wygląda to jednak na przypadek…” – komentuje Costin Raiu, ekspert z Kaspersky Lab.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Dodaj komentarz