Mit kell tudni a Stuxnet féregről?
A Stuxnet olyan számítógépes féreg, amely az infrastruktúra-támogató létesítményekben (pl. Erőművek, vízkezelő létesítmények, gázvezetékek stb.) Általánosan használt ipari vezérlő rendszerek (ICS) típusát célozza meg.
A féregről azt mondják, hogy 2009-ben vagy 2010-ben először fedezték fel, de 2007-ben ténylegesen megtámadták az iráni nukleáris programot. Akkoriban a Stuxnet főként Iránban, Indonéziában és Indiában találta magát, amely több mint 85% az összes fertőzést.
Azóta a féreg számos országban több ezer számítógépet érintett, még akkor is, amikor teljesen megtörte egyes gépeket és megsemmisítette Irán nukleáris centrifugáinak nagy részét.
Mit csinál a Stuxnet?
A Stuxnet-et úgy tervezték, hogy megváltoztassa az ilyen létesítményekben használt programozható logikai vezérlőket (PLC-ket). Az ICS környezetben a PLC automatizálja az ipari típusú feladatokat, például az áramlási sebességet a nyomás- és hőmérsékletszabályozás fenntartása érdekében.
Ez csak három számítógéppel terjesztett, de ezek mindegyike három másikra terjeszthető, így terjed.
Egy másik jellemzője az, hogy olyan helyi hálózaton lévő eszközökre terjedjen ki, amelyek nem kapcsolódnak az internethez. Például egy számítógépre USB- n keresztül mozoghat, de átterjedhet az útválasztó mögötti más magángépekre is, amelyek nincsenek beállítva a külső hálózatok eléréséhez, ami hatására az intranetes eszközök megfertőzik egymást.
Kezdetben a Stuxnet eszközvezérlőit digitálisan aláírták, mivel ellopták a JMicron és a Realtek eszközökkel kapcsolatos jogos bizonylatoktól, amelyek lehetővé tették számára, hogy egyszerűen telepítse magát gyanús promptok nélkül a felhasználó számára. Azóta azonban a VeriSign visszavonta a tanúsítványokat.
Ha a vírus olyan számítógépre telepszik, amely nem rendelkezik a megfelelő Siemens szoftverrel, akkor haszontalan lesz. Ez az egyik fő különbség a vírus és mások között, mivel rendkívül különleges célra készült, és nem "akar" semmi mást tenni más gépen.
Hogyan érhető el a Stuxnet PLC-k?
Biztonsági okokból az ipari vezérlőrendszerekben használt hardvereszközök közül sok nem internetkapcsolat (és gyakran nem is kapcsolódik semmilyen helyi hálózathoz). Ennek ellensúlyozására a Stuxnet féreg számos kifinomult szaporítási módot tartalmaz, azzal a céllal, hogy végül elérje és megfertőzi a PLC eszközök programozásához használt STEP 7 projektfájlokat.
A kezdeti terjedési célok érdekében a féreg a Windows operációs rendszereket futtató számítógépekre irányul, és általában ez egy flash meghajtón keresztül történik. Azonban a PLC maga nem Windows alapú rendszer, hanem tulajdonosi gépi nyelvű eszköz. Ezért a Stuxnet egyszerűen átkeredi a Windows számítógépeket annak érdekében, hogy elérje azokat a rendszereket, amelyek kezelik a PLC-ket, amelyeken a hasznos terhet viseli.
A PLC újraprogramozásához a Stuxnet féreg a Siemens SIMATIC WinCC, a felügyeleti vezérlés és adatgyűjtés (SCADA), valamint a PLC-k programozásához használt humán-gép interfész (HMI) rendszerben keres és fertőz meg a STEP 7 projektfájlokat.
A Stuxnet különböző rutinokat tartalmaz az egyedi PLC modell azonosításához. Ez a modellellenőrzés szükséges, mivel a gépi szintű utasítások különböző PLC eszközökön változhatnak. Miután a célkészüléket azonosította és fertőzte meg, a Stuxnet megkapja a vezérlőt, hogy elfogja a PLC-be be- vagy kilépő összes adat, beleértve az ilyen adatok manipulálását.
A Stuxnet nevek megyek
Az alábbiakban felsorolunk néhány olyan módszert, amellyel a víruskereső program felismeri a Stuxnet féreg:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b vagy Rootkit.Win32.Stuxnet.a
- McAfee : Stuxnet
- Norman : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-A vagy W32 / Stuxnet-B
- Symantec : W32.Temphid
- Trend Micro : WORM_STUXNET.A
A Stuxnet-nek is lehetnek olyan "rokonai", amelyek a nevem, mint a Duqu vagy a Flame nevet viselik.
A Stuxnet eltávolítása
Mivel a Siemens szoftver az, ami veszélybe került, amikor a számítógépet a Stuxnet fertőzte meg, fontos, hogy kapcsolatba lépjen velük, ha fertőzés gyanúja merül fel.
Futtasson egy teljes rendszerellenőrzést olyan vírusirtó programokkal, mint az Avast vagy az AVG, vagy egy igény szerinti víruskereső, például a Malwarebytes.
Szükséges továbbá a Windows frissítése , amelyet a Windows Update szolgáltatással meg lehet csinálni.
Ha segítségre van szüksége , tekintse át a számítógép rosszindulatú programozásának megfelelő vizsgálatát .