Viruset påminner starkt om Stuxnet, ett malware som USA och Israel byggt och som användes för att sabotera Irans kärnvapenprogram genom att förstöra tekniskt utrustning via kontrollsystemet.
Precis som föregångaren angriper Irongate scada-system, den sorts styrsystem som används inom industrin. Om en hackare lyckas ta kontroll över sådan mjukvaran kan denne orsaka stor fysisk förödelse.
Irongate upptäcktes av säkerhetsforskare från Fireeye i slutet av förra året. Dock inte i någon form av cyberattack, den skadliga koden fanns i Googles databas Virustotal dit användare kan skicka in underliga filer för att få dem undersökta av antivirusprogram.
Läs också: Har du 750 000 kronor över? Då kan du köpa ett säkerhetshål i Windows
Viruset laddades upp till databasen redan 2014, men flaggades aldrig som farligt. Inget av antivirusprogrammen klassade det då som skadlig kod.
Viruset som laddats upp är väldigt specifikt i sitt tillvägagångssätt. Det är byggt för att hitta och ersätta en viss fil som används ihop med ett enskilt industrisystem från Siemens.
Irongate utför en slags mannen i mitten-attack. När viruset ersatt rätt fil lurar det den del av systemets som kontrollerar att allt står rätt till med maskinerna. Den spelar in fem sekunder av "normalt läge" och loopar sedan dessa – det går att jämföra med rånare som skickar samma femsekundersloop till en övervakningskamera. Det betyder att systemet inte upptäcker om någon manipulerar maskinerna.
Det virus som laddas upp hos Google verkar lyckligtvis vara rätt harmlöst. Siemens säkerhetsavdelning säger till Fireeye att det inte utnyttjar några sårbarheter i deras system, och att attacken inte skulle fungera mot de kontrollsystem de säljer utan att de modifierats.
Läs också: Lenovo varnar för osäker mjukvara – uppmanar kunder att rensa datorn
Fireeye kan inte heller knyta Irongate till någon känd cyberattack. Det är möjligt att det rör sig om ett forskningsprojekt, eller om någon som velat pröva att bygga en Stuxnet-kopia.
Faran ligger snarare i vad utvecklarna gjort med Irongate sedan 2014. På två års tid kan det mycket väl ha blivit ett fullt fungerande malware i samma anda som Stuxnet – och frågan är om branschen är redo för det.
"Angriparna har lärt sig av och implementerat Stuxnets-teknik, men de som försvarar industrisystem har egentligen inte blivit bättre på att upptäcka malware som angriper systemen. Vår förmåga att upptäcka attacker mot industrisystem måste förbättras avsevärt", skriver Dale Peterson, vd för Digital Bond som jobbar med industrisäkerhet, i ett blogginlägg.
