Stuxnet este un vierme de calculator care vizează tipurile de sisteme industriale de control (ICS) care sunt utilizate în mod obișnuit în facilitățile de infrastructură (adică centrale electrice, instalații de tratare a apei, linii de gaz etc.).
Se spune că viermele a fost descoperit pentru prima dată în 2009 sau în 2010, dar a fost de fapt descoperit că a atacat programul nuclear iranian încă din 2007. În acele zile, Stuxnet a fost găsit în principal în Iran, Indonezia și India, reprezentând peste 85% din toate infecțiile.
De atunci, viermele a afectat mii de computere în multe țări, chiar distrugând complet unele mașini și ștergând o mare parte din centrifugele nucleare ale Iranului.
Ce face Stuxnet?
Stuxnet este proiectat să modifice Controlerele Logic Programabile (PLC) utilizate în aceste facilități. Într-un mediu ICS, PLC-urile automatizează sarcinile de tip industrial, cum ar fi reglarea debitului pentru a menține controlul presiunii și temperaturii.
Este construit să se răspândească doar la trei computere, dar fiecare dintre ele se poate răspândi în alte trei, ceea ce se propagă.
O altă caracteristică a acesteia este să se răspândească la dispozitivele dintr-o rețea locală care nu este conectată la internet. De exemplu, s-ar putea să se deplaseze la un computer prin USB, dar apoi să se extindă la alte mașini private din spatele routerului care nu sunt configurate pentru a ajunge la rețelele exterioare, provocând în mod eficient dispozitivele intranet să se infecteze reciproc.
Inițial, driverele dispozitivului Stuxnet au fost semnate digital, deoarece au fost furate de la certificate legitime care se aplicau dispozitivelor JMicron și Realtek, care i-au permis să se instaleze cu ușurință fără a solicita utilizatorilor informații suspecte. De atunci, însă, VeriSign a revocat certificatele.
Dacă virusul intră pe un computer care nu are instalat software-ul corect al Siemens, acesta va rămâne inutil. Aceasta este o diferență majoră între acest virus și altele, deoarece a fost construită pentru un scop extrem de specific și nu dorește să facă nimic rău pe alte mașini.
Cum funcționează PLC-urile Stuxnet?
Din motive de securitate, multe dintre dispozitivele hardware utilizate în sistemele de control industrial nu sunt conectate la internet (și adesea nici măcar nu sunt conectate la nicio rețea locală). Pentru a contracara acest lucru, viermele Stuxnet încorporează mai multe mijloace sofisticate de propagare, cu scopul de a ajunge și de a infecta fișierele de proiect STEP 7 utilizate pentru programarea dispozitivelor PLC.
În scopul propagării inițiale, viermele vizează computerele care rulează sistemele de operare Windows și, de obicei, face acest lucru printr-o unitate flash. Cu toate acestea, PLC-ul în sine nu este un sistem bazat pe Windows, ci mai degrabă un dispozitiv de limbaj propriu-zis. Prin urmare, Stuxnet traversează pur și simplu computerele Windows pentru a ajunge la sistemele care gestionează PLC-urile, pe care le face încărcătura utilă.
Pentru a reprograma PLC, viermele Stuxnet caută și infectează fișierele de proiect STEP 7, utilizate de Siemens SIMATIC WinCC, un sistem de control și de achiziție de date (SCADA) și un sistem de interfață om-mașină (HMI) pentru programarea PLC-urilor.
Stuxnet conține diferite rutine pentru a identifica modelul PLC specific. Această verificare a modelului este necesară deoarece instrucțiunile la nivel de mașină vor varia în funcție de diferite dispozitive PLC. Odată ce dispozitivul țintă a fost identificat și infectat, Stuxnet câștigă controlul pentru a intercepta toate datele care intră sau ies din PLC, inclusiv capacitatea de a manipula acele date.
Numele Stuxnet merge
Următoarele sunt câteva moduri în care programul vostru antivirus ar putea identifica viermele Stuxnet:
- F-Secure: Troian-Dropper: W32 / Stuxnet
- Kaspersky: Rootkit.Win32.Stuxnet.b sau Rootkit.Win32.Stuxnet.a
- McAfee: Stuxnet
- normand: W32 / Stuxnet.A
- Sophos: Troj / Stuxnet-A sau W32 / Stuxnet-B
- Symantec: W32.Temphid
- Trend Micro: WORM_STUXNET.A
Stuxnet ar putea avea, de asemenea, niște "rude" care merg prin nume ca Duqu sau Flame.
Cum se elimină Stuxnet
Deoarece software-ul Siemens este ceea ce este compromis când un computer este infectat cu Stuxnet, este important să îi contactați dacă este suspectată o infecție.
De asemenea, rulați o scanare completă a unui sistem cu un program antivirus, cum ar fi Avast sau AVG, sau un scanner de virusi la cerere, cum ar fi Malwarebytes.
De asemenea, este necesar să actualizați Windows, ceea ce puteți face cu Windows Update.
