Какво трябва да знаете за червея Stuxnet
Stuxnet е компютърен червей, който е насочен към видовете промишлени системи за контрол (ICS), които се използват често в инфраструктурни съоръжения (например електроцентрали, съоръжения за пречистване на вода, газопроводи и т.н.).
Червеят често се смята, че е бил открит за първи път през 2009 или 2010 г., но в действителност е установено, че е атакувал ядрената програма на Иран още през 2007 г. В онези дни Stuxnet е бил открит главно в Иран, Индонезия и Индия, представляващ над 85% от всички инфекции.
Оттогава насам червеят е засегнал хиляди компютри в много страни, дори напълно унищожавал някои машини и унищожавал голяма част от ядрените центрофуги на Иран.
Какво прави Stuxnet?
Stuxnet е предназначен да променя програмируеми логически контролери (PLC), използвани в тези устройства. В среда на ICS PLC автоматизират задачи от промишлен тип, като например регулиране на дебита, за да се поддържа контрол на налягането и температурата.
Той е построен да се разпространява само на три компютъра, но всеки от тях може да се разпространи до три други, което е как се разпространява.
Друга една от характеристиките му е да се разпространява в устройства в локална мрежа, които не са свързани с интернет. Например, тя може да се премести на един компютър чрез USB, но след това да се разпространи в други частни машини зад маршрутизатора , които не са настроени да достигат до външни мрежи, което ефективно води до инфектиране на интранет устройства.
Първоначално драйверите на устройствата на Stuxnet бяха подписани дигитално, откакто бяха откраднати от легитимни сертификати, които бяха приложени към устройствата JMicron и Realtek, което му позволи лесно да се инсталира без подозрителни подкани към потребителя. Оттогава обаче VeriSign отмени сертификатите.
Ако вирусът се приземи на компютър, който не разполага с правилния софтуер на Siemens, той ще остане безполезен. Това е една основна разлика между този вирус и другите, защото е създадена за изключително специфична цел и не "иска" да прави нещо лошо на други машини.
Как действа Stuxnet Reach PLC?
От съображения за сигурност много от хардуерните устройства, използвани в индустриалните системи за управление, не са свързани с интернет (и често дори не са свързани с никакви локални мрежи). За да се противопостави на това, червеят Stuxnet включва няколко усъвършенствани средства за разпространение с цел евентуално достигане и заразяване на файлове на проекта STEP 7, използвани за програмиране на PLC устройствата.
За първоначално размножаване червеят е насочен към компютри, работещи с операционни системи Windows, и обикновено прави това чрез флаш устройство . Самият PLC обаче не е система, базирана на Windows, а по-скоро специално устройство с машина. Следователно, Stuxnet просто прекосява компютрите на Windows, за да стигне до системите, управляващи PLC, при които той прави своя полезен товар.
За да препрограмира PLC, червеят Stuxnet търси и заразява проектните файлове на STEP 7, които се използват от Siemens SIMATIC WinCC, система за надзор за контрол и събиране на данни (SCADA) и интерфейс човек-машина (HMI), използван за програмиране на PLC.
Stuxnet съдържа различни начини за идентифициране на конкретния PLC модел. Проверката на този модел е необходима, тъй като инструкциите на ниво машина ще варират в различните PLC устройства. След като целевото устройство бъде идентифицирано и заразено, Stuxnet придобива контрол, за да пресече всички данни, които текат или излизат от PLC, включително възможността да се манипулират тези данни.
Имената Stuxnet отиват до
Следват няколко начина, по които вашата антивирусна програма може да идентифицира червея Stuxnet:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b или Rootkit.Win32.Stuxnet.a
- McAfee : Stuxnet
- Norman : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-A или W32 / Stuxnet-B
- Symantec : W32.Temphid
- Trend Micro : WORM_STUXNET.A
Stuxnet също може да има някои "роднини", които да минат като Duqu или Flame .
Как да премахнете Stuxnet
Тъй като софтуера на Сименс е това, което е компрометирано, когато компютърът е заразен със Stuxnet, важно е да се свържете с него, ако има съмнение за инфекция.
Също така стартирайте пълно сканиране на системата с антивирусна програма като Avast или AVG или вирусен скенер при поискване, като Malwarebytes.
Необходимо е също да актуализирате Windows , което можете да направите с Windows Update .
Вижте как правилно да сканирате компютъра си за злонамерен софтуер, ако имате нужда от помощ.