Содержание
Stuxnet — это компьютерный червь, предназначенный для типов промышленных систем управления (ICS), которые обычно используются в инфраструктурных объектах (например, электростанции, водоочистные сооружения, газопроводы и т. Д.).
Часто говорят, что червь был впервые обнаружен в 2009 или 2010 году, но на самом деле было обнаружено, что он атаковал ядерную программу Ирана еще в 2007 году. В те дни Stuxnet был обнаружен в основном в Иране, Индонезии и Индии, на его долю приходилось более 85% всех инфекций.
С тех пор червь поразил тысячи компьютеров во многих странах, даже полностью разрушив некоторые машины и уничтожив значительную часть иранских ядерных центрифуг.
Что делает Stuxnet?
Stuxnet предназначен для изменения программируемых логических контроллеров (ПЛК), используемых на этих объектах. В среде ICS ПЛК автоматизируют задачи промышленного типа, такие как регулирование скорости потока для поддержания контроля давления и температуры.
Он создан для распространения только на три компьютера, но каждый из них может распространяться на три других, как он распространяется.
Еще одной из его характеристик является распространение на устройства в локальной сети, которые не подключены к Интернету. Например, он может перемещаться на один компьютер через USB, но затем распространяться на некоторые другие частные машины за маршрутизатором, которые не настроены для доступа к внешним сетям, что фактически приводит к заражению устройств внутренней сети друг другом.
Первоначально драйверы устройств Stuxnet были подписаны цифровой подписью, поскольку они были украдены из законных сертификатов, которые применялись к устройствам JMicron и Realtek, что позволяло ему легко устанавливать себя без каких-либо подозрительных запросов для пользователя. Однако с тех пор VeriSign отозвал сертификаты.
Если вирус попадет на компьютер, на котором не установлено правильное программное обеспечение Siemens, он останется бесполезным. Это одно из главных отличий этого вируса от других, заключающееся в том, что он был сконструирован исключительно для конкретных целей и не «хочет» делать что-то гнусное на других машинах.
Как Stuxnet достигает ПЛК?
По соображениям безопасности многие из аппаратных устройств, используемых в промышленных системах управления, не подключены к Интернету (и часто даже не подключены к каким-либо локальным сетям). Чтобы противостоять этому, червь Stuxnet включает в себя несколько сложных средств распространения с целью в конечном итоге достичь и заразить файлы проекта STEP 7, используемые для программирования устройств PLC.
В целях первоначального распространения червь предназначен для компьютеров, работающих под управлением операционных систем Windows, и обычно делает это через флэш-диск. Однако сам ПЛК — это не система на базе Windows, а проприетарное устройство на машинном языке. Следовательно, Stuxnet просто обходит компьютеры Windows, чтобы добраться до систем, управляющих ПЛК, на которых он отображает свою полезную нагрузку.
Для перепрограммирования ПЛК червь Stuxnet ищет и заражает файлы проекта STEP 7, которые используются Siemens SIMATIC WinCC, системой диспетчерского управления и сбора данных (SCADA) и человеко-машинного интерфейса (HMI), используемой для программирования ПЛК.
Stuxnet содержит различные процедуры для определения конкретной модели ПЛК. Эта проверка модели необходима, поскольку инструкции на уровне машины могут отличаться на разных устройствах ПЛК. Как только целевое устройство идентифицировано и заражено, Stuxnet получает контроль для перехвата всех данных, поступающих в ПЛК или из него, включая возможность подделки этих данных.
Имена Stuxnet проходит
Вот несколько способов, которыми ваша антивирусная программа может идентифицировать червя Stuxnet:
- F-Secure: Trojan-Dropper: W32 / Stuxnet
- Kaspersky: Rootkit.Win32.Stuxnet.b или Rootkit.Win32.Stuxnet.a
- McAfee: Stuxnet
- Норман: W32 / Stuxnet.A
- Sophos: Troj / Stuxnet-A или W32 / Stuxnet-B
- Symantec: W32.Temphid
- Trend Micro: WORM_STUXNET.A
У Stuxnet также могут быть «родственники», которые носят такие имена, как Duqu или Flame.
Как удалить Stuxnet
Поскольку программное обеспечение Siemens подвергается риску, когда компьютер заражен Stuxnet, важно связаться с ними, если есть подозрение на заражение.
Также запустите полное сканирование системы с помощью антивирусной программы, такой как Avast или AVG, или антивирусного сканера по требованию, такого как Malwarebytes.
Также необходимо постоянно обновлять Windows, что можно сделать с помощью Центра обновления Windows.
