Čo potrebujete vedieť o červi Stuxnet
Stuxnet je počítačový červ, ktorý sa zameriava na typy priemyselných riadiacich systémov (ICS), ktoré sa bežne používajú v zariadeniach na podporu infraštruktúry (tj elektrárne, zariadenia na úpravu vody, plynovody atď.).
Červ je často údajne prvýkrát objavený v rokoch 2009 alebo 2010, avšak v skutočnosti sa zistilo, že napadol iránsky jadrový program už v roku 2007. V týchto dňoch sa Stuxnet našiel hlavne v Iráne, Indonézii a Indii, pričom predstavoval viac ako 85% všetkých infekcií.
Odvtedy červ zasiahol tisíce počítačov v mnohých krajinách, dokonca dokonca úplne zničil niektoré stroje a zničil veľkú časť iránskych jadrových odstrediviek.
Čo robí Stuxnet?
Stuxnet je navrhnutý tak, aby menil programovateľné logické kontroléry (PLC) používané v týchto zariadeniach. V prostredí ICS PLC automatizujú priemyselné úlohy, ako je napríklad regulácia prietoku kvôli udržaniu regulácie tlaku a teploty.
Je postavený tak, aby sa šíril iba na tri počítače, ale každý z nich sa môže šíriť do troch ďalších, čo sa šíri.
Ďalšou z jej vlastností je rozšírenie na zariadenia v lokálnej sieti, ktoré nie sú pripojené k internetu. Napríklad, môže sa presunúť na jeden počítač cez USB, ale potom sa rozšíri na niektoré iné súkromné počítače za smerovačom , ktoré nie sú nastavené tak, aby sa dostali do vonkajších sietí, čím by sa účinne zapríčinili intranetové infekcie.
Spočiatku boli ovládače zariadení Stuxnet digitálne podpísané, pretože boli odcudzené z legitímnych certifikátov, ktoré platili pre zariadenia JMicron a Realtek, čo mu umožnilo jednoduchú inštaláciu bez akýchkoľvek podozrivých výziev pre používateľa. Odvtedy však spoločnosť VeriSign zrušila certifikáty.
Ak vírus prichádza na počítač, ktorý nemá nainštalovaný správny softvér spoločnosti Siemens, zostane zbytočné. To je jeden z hlavných rozdielov medzi týmto vírusom a ďalšími, pretože bol postavený na extrémne špecifický účel a "nechce" robiť nič iné na iných strojoch.
Ako fungujú PLC Stuxnet Reach?
Z bezpečnostných dôvodov mnohé hardvérové zariadenia používané v priemyselných riadiacich systémoch nie sú pripojené k internetu (a často ani nie sú pripojené k žiadnej lokálnej sieti). Na rozdiel od toho, červ Stuxnet zahŕňa niekoľko sofistikovaných prostriedkov šírenia s cieľom nakoniec dosiahnuť a infikovať súbory projektov STEP 7, ktoré sa používajú na programovanie PLC zariadení.
Na účely úvodného šírenia sa červ zameriava na počítače s operačnými systémami Windows a zvyčajne to robí prostredníctvom flash disku . Samotný PLC však nie je systém založený na systéme Windows, ale skôr patentovaný strojový jazyk. Preto Stuxnet jednoducho prechádza počítačmi so systémom Windows, aby sa dostal do systémov, ktoré spravujú PLC, čím sa stáva jeho užitočnou záťažou.
Na preprogramovanie PLC hľadá červ Stuxnet a infikuje projektové súbory STEP 7, ktoré používa Siemens SIMATIC WinCC, kontrolný systém a systém na získavanie dát (SCADA) a rozhranie ľudského stroja (HMI), ktoré sa používajú na programovanie PLC.
Stuxnet obsahuje rôzne rutiny na identifikáciu konkrétneho PLC modelu. Kontrola modelu je potrebná, pretože inštrukcie na úrovni stroja sa môžu líšiť v rôznych PLC zariadeniach. Akonáhle bolo cieľové zariadenie identifikované a infikované, Stuxnet získa kontrolu, aby zachytil všetky údaje prichádzajúce do alebo mimo PLC, vrátane možnosti manipulovať s týmito dátami.
Názvy Stuxnet idú
Nasledujú niektoré spôsoby, ako môže váš antivírusový program identifikovať červ Stuxnet:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b alebo Rootkit.Win32.Stuxnet.a
- McAfee : Stuxnet
- Norman : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-A alebo W32 / Stuxnet-B
- Symantec : W32.Temphid
- Trend Micro : WORM_STUXNET.A
Stuxnet môže mať aj niektorých "príbuzných", ktorí idú moje mená ako Duqu alebo Flame .
Ako odstrániť Stuxnet
Keďže softvér spoločnosti Siemens je kompromitovaný vtedy, keď je počítač napadnutý Stuxnetom, je dôležité kontaktovať ho v prípade podozrenia na infekciu.
Spustite tiež úplné systémové skenovanie pomocou antivírusového programu, ako je Avast alebo AVG, alebo antivírusový skener na požiadanie, ako napríklad Malwarebytes.
Je tiež potrebné aktualizovať systém Windows , čo môžete robiť so službou Windows Update .
Ak potrebujete pomoc, prečítajte si informácie o správnom skenovaní počítača kvôli škodlivému softvéru .