Co potřebujete vědět o červu Stuxnet
Stuxnet je počítačový červ, který se zaměřuje na typy průmyslových řídících systémů (ICS), které se běžně používají v zařízeních podporujících infrastrukturu (tj. Elektrárny, zařízení na úpravu vody, plynovody atd.).
Červ se často uvádí, že byl poprvé objeven v letech 2009 nebo 2010, ale byl skutečně zjištěn, že zaútočil na iránský jaderný program již v roce 2007. V těchto dnech se Stuxnet nacházel hlavně v Íránu, Indonésii a Indii, což představuje více než 85% všech infekcí.
Od té doby červ zasáhl tisíce počítačů v mnoha zemích, a dokonce dokonce úplně zničil některé stroje a zničil velkou část íránských jaderných odstředivků.
Co dělá Stuxnet?
Stuxnet je navržen tak, aby změnil programovatelné logické řadiče (PLC), které se v těchto zařízeních používají. V prostředí ICS automaty PLC automatizují průmyslové úlohy, jako je regulace průtoku pro udržení regulace tlaku a teploty.
Je postavena tak, aby se šířila pouze na tři počítače, ale každá z nich se může rozšířit na tři další, což je způsob, jak se šíří.
Dalším z jeho vlastností je rozšíření do zařízení v místní síti, které nejsou připojeny k internetu. Například by se mohl přesunout do jednoho počítače přes USB, ale pak se rozšířit na některé jiné soukromé počítače za směrovačem, které nejsou nastaveny tak, aby se dostaly k vnějším sítím, což by vedlo k tomu, že se intranetová zařízení navzájem navzájem nakazí.
Zpočátku byly ovladače zařízení Stuxnet digitálně podepsány, protože byly odcizeny z oprávněných certifikátů, které se používaly pro zařízení JMicron a Realtek, což umožnilo snadné instalaci bez podezřelých výzev uživateli. Od té doby však společnost VeriSign zrušila certifikáty.
Pokud virus přichází na počítač, který nemá nainstalovaný správný software společnosti Siemens, zůstane zbytečné. Jedná se o jeden hlavní rozdíl mezi tímto virem a jinými, protože byl postaven pro extrémně specifický účel a "nechce" dělat něco hanebného na jiných strojích.
Jak fungují PLC Stuxnet Reach?
Z bezpečnostních důvodů mnoho hardwarových zařízení používaných v průmyslových řídicích systémech není připojeno k internetu (a často ani není připojeno k žádné místní síti). Na rozdíl od tohoto, červa Stuxnet zahrnuje několik sofistikovaných propagačních prostředků s cílem nakonec dosáhnout a infikovat soubory projektu STEP 7, které se používají pro programování PLC zařízení.
Pro úvodní účely propagace se červa zaměřuje na počítače s operačními systémy Windows a obvykle to dělá prostřednictvím jednotky flash . Samotný PLC však není systém založený na systémech Windows, ale spíše zařízení s vlastním strojem. Proto Stuxnet jednoduše prochází počítačem Windows, aby se dostal do systémů, které řídí PLC, čímž se stává jeho užitečným zatížením.
Pro přeprogramování PLC vyhledává červ Stuxnet a infikuje projektové soubory STEP 7, které používají Siemens SIMATIC WinCC, kontrolní systém pro kontrolu a sběr dat (SCADA) a rozhraní HMI (Human-Machine Interface) pro programování PLC.
Stuxnet obsahuje různé rutiny k identifikaci konkrétního PLC modelu. Tato kontrola modelu je nutná, protože pokyny na úrovni stroje se mohou lišit v různých zařízeních PLC. Jakmile je cílové zařízení identifikováno a nakaženo, Stuxnet získá kontrolu, aby zachytil veškerá data přicházející do nebo mimo PLC, včetně možnosti manipulovat s těmito daty.
Názvy Stuxnet jdou
Následuje několik způsobů, jak může váš antivirový program identifikovat červ Stuxnet:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b nebo Rootkit.Win32.Stuxnet.a
- McAfee : Stuxnet
- Norman : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-A nebo W32 / Stuxnet-B
- Symantec : W32.Temphid
- Trend Micro : WORM_STUXNET.A
Stuxnet by mohl mít také nějaké "příbuzné", které by se jmenovaly jako Duqu nebo Flame .
Jak odstranit Stuxnet
Vzhledem k tomu, že software společnosti Siemens je to, co je ohroženo, když je počítač napaden Stuxnetem, je důležité kontaktovat je v případě podezření na infekci.
Také spusťte úplné skenování systému pomocí antivirového programu, jako je Avast nebo AVG, nebo antivirový scanner na vyžádání, jako je Malwarebytes.
Je také nutné, aby byl systém Windows aktualizován , což můžete dělat pomocí služby Windows Update .
Informace o tom, jak správně skenovat počítač v případě malwaru , potřebujete-li pomoc.