Kaj morate vedeti o črvu Stuxnet
Stuxnet je računalniški črv, ki cilja na vrste industrijskih kontrolnih sistemov (ICS), ki se pogosto uporabljajo v infrastrukturnih objektih (npr. Elektrarnah, napravah za čiščenje vode, plinovodih itd.).
Črv je pogosto dejal, da je bil prvič odkrit v letu 2009 ali 2010, vendar je bil dejansko ugotovljeno, da je napadel iranski jedrski program že leta 2007. V teh dneh je bil Stuxnet ugotovljen predvsem v Iranu, Indoneziji in Indiji, kar predstavlja več kot 85% vseh okužb.
Od takrat je črv prizadel tisoče računalnikov v mnogih državah, celo popolnoma uničil nekatere stroje in izbrisal velik del iranskih jedrskih centrifug.
Kaj naredi Stuxnet?
Stuxnet je zasnovan za spreminjanje programabilnih logičnih krmilnikov (PLC), ki se uporabljajo v teh napravah. V okolju ICS PLC PLC-ji avtomatizirajo naloge industrijskega tipa, kot je regulacija pretoka za vzdrževanje nadzora tlaka in temperature.
Zasnovan je tako, da se širi le na tri računalnike, vendar se lahko vsak od njih razširi na tri druge, ki se tako razširjajo.
Še ena izmed njegovih značilnosti je razširiti na naprave v lokalnem omrežju, ki niso povezani z internetom. Na primer, se lahko premakne na en računalnik prek USB - ja, nato pa se razširi na druge zasebne naprave za usmerjevalnikom, ki niso nastavljeni tako, da pridejo do zunanjih omrežij, kar dejansko povzroča medsebojno okužbo z intranetnimi napravami.
Sprva so bili gonilniki naprav Stuxnet digitalno podpisani, ker so bili ukradeni iz zakonitih potrdil, ki so veljala za naprave JMicron in Realtek, kar ji je omogočilo enostavno namestitev brez kakršnih koli sumljivih pozivov za uporabnika. Od takrat pa je VeriSign preklical certifikate.
Če virus naleti na računalnik, ki nima pravilno nameščene programske opreme Siemens, bo ostal neuporaben. To je ena glavnih razlik med tem virusom in drugimi, saj je bila zgrajena za izredno specifičen namen in ne "želi" narediti kaj škode na drugih napravah.
Kako Stuxnet Reach PLCs?
Zaradi varnostnih razlogov številne strojne naprave, ki se uporabljajo v industrijskih nadzornih sistemih, niso povezane z internetom (in pogosto niso niti povezane z nobeno lokalno omrežje). V nasprotju s tem črv Stuxnet vključuje več prefinjenih sredstev za razmnoževanje s ciljem, da sčasoma dosežejo in okužijo projektne datoteke STEP 7, ki se uporabljajo za programiranje PLC-naprav.
Za začetne namene razširjanja črv usmerja računalnike, ki uporabljajo operacijske sisteme Windows, in običajno to naredi s pomočjo bliskovnega pogona . Vendar PLC sam ni sistem, ki temelji na sistemu Windows, temveč bolj zaščitena strojna jezikovna naprava. Zato Stuxnet preprosto prehaja računalnike z operacijskim sistemom Windows, da bi prišli do sistemov, ki upravljajo PLC-je, na podlagi katerih opravlja svojo korist.
Za reprogramiranje PLC-ja, črv Stuxnet išče in okuži STEP 7 projektne datoteke, ki jih uporablja Siemens SIMATIC WinCC, nadzorni nadzor in pridobivanje podatkov (SCADA) ter sistem človek-stroj (HMI), ki se uporablja za programiranje PLC-jev.
Stuxnet vsebuje različne rutine za določitev specifičnega PLC modela. Ta preverjanje modela je potrebno, ker se navodila za strojno različico razlikujejo na različnih napravah PLC. Ko je ciljna naprava prepoznana in okužena, Stuxnet pridobi nadzor, da prestreže vse podatke, ki tečejo v ali iz PLC-ja, vključno z možnostjo, da se s temi podatki vmešajo.
Imena Stuxnet Goes By
V nadaljevanju so našteti nekateri načini vašega protivirusnega programa, ki bi lahko identificirali črv Stuxnet:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b ali Rootkit.Win32.Stuxnet.a
- McAfee : Stuxnet
- Norman : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-A ali W32 / Stuxnet-B
- Symantec : W32.Temphid
- Trend Micro : WORM_STUXNET.A
Stuxnet ima lahko tudi nekaj "sorodnikov", ki gredo z imeni, kot sta Duqu or Flame .
Kako odstraniti Stuxnet
Ker je programska oprema Siemens ogrožena, ko je računalnik okužen s Stuxnetom, je pomembno, da se obrnete na nas, če sumite na okužbo.
Izvedite tudi celoten pregled sistema s protivirusnim programom, kot sta Avast ali AVG ali virusni skener na zahtevo, kot je program Malwarebytes.
Prav tako je treba posodobiti Windows , kar lahko storite s programom Windows Update .
Če potrebujete pomoč, glejte Kako pravilno pregledati računalnik za zlonamerno programsko opremo .