Stuxnet - это компьютерный червь, который ориентирован на типы промышленных систем управления (ICS), которые обычно используются в инфраструктурных средствах поддержки (т. Е. Электростанциях, очистных сооружениях, газопроводах и т. Д.).
Червь часто говорят, что он был впервые обнаружен в 2009 или 2010 году, но на самом деле был обнаружен, что он атаковал ядерную программу Ирана еще в 2007 году. В те дни Stuxnet был обнаружен в основном в Иране, Индонезии и Индии, на которые приходится более 85% всех инфекций.
С тех пор червь затронул тысячи компьютеров во многих странах, даже полностью разрушив некоторые машины и уничтожив большую часть ядерных центрифуг Ирана.
Что делает Stuxnet?
Stuxnet предназначен для изменения программируемых логических контроллеров (ПЛК), используемых в этих объектах. В среде ICS ПЛК автоматизируют задачи промышленного типа, такие как регулирование расхода для поддержания контроля давления и температуры.
Он построен только для трех компьютеров, но каждый из них может распространяться на три других, что и распространяется.
Еще одна из его характеристик - распространение на устройства в локальной сети, которые не подключены к Интернету. Например, он может перейти на один компьютер через USB, а затем распространиться на другие частные машины за маршрутизатором, которые не настроены для доступа к внешним сетям, что фактически приводит к тому, что интранет-устройства заражают друг друга.
Первоначально драйверы устройств Stuxnet были подписаны цифровой подписью, так как они были украдены из законных сертификатов, применявшихся к устройствам JMicron и Realtek, что позволило ему легко установить себя без каких-либо подозрительных запросов пользователю. С тех пор, однако, VeriSign отозвал сертификаты.
Если вирус попадает на компьютер, на котором не установлено программное обеспечение Siemens, оно останется бесполезным. Это одно существенное различие между этим вирусом и другими, поскольку оно было построено для чрезвычайно конкретной цели и не «хочет» делать что-либо, что может быть опасно для других машин.
Как Stuxnet достигает ПЛК?
По соображениям безопасности многие аппаратные устройства, используемые в промышленных системах управления, не подключены к Интернету (и часто даже не подключены к каким-либо локальным сетям). Чтобы противостоять этому, червь Stuxnet включает в себя несколько сложных средств распространения с целью в конечном итоге достичь и заразить файлы проекта STEP 7, используемые для программирования устройств ПЛК.
Для целей первичного распространения червь предназначен для компьютеров, работающих под управлением операционных систем Windows, и обычно делает это с помощью флеш-накопителя. Однако сам ПЛК не является системой на базе Windows, а скорее патентованным устройством машинного языка. Следовательно, Stuxnet просто перемещается по компьютерам Windows, чтобы добраться до систем, которые управляют ПЛК, на которых он передает свою полезную нагрузку.
Чтобы перепрограммировать ПЛК, червь Stuxnet ищет и заражает файлы проекта STEP 7, которые используются Siemens SIMATIC WinCC, системой диспетчерского управления и сбора данных (SCADA) и человеко-машинного интерфейса (HMI), используемой для программирования ПЛК.
Stuxnet содержит различные процедуры для идентификации конкретной модели ПЛК. Эта проверка модели необходима, поскольку инструкции на уровне машины будут различаться на разных устройствах ПЛК. После того, как целевое устройство идентифицировано и заражено, Stuxnet получает управление для перехвата всех данных, поступающих в ПЛК или из него, включая возможность изменять данные.
Имена Stuxnet идут по
Ниже приведены некоторые способы, которыми ваша антивирусная программа может идентифицировать червь Stuxnet:
- F-Secure: Trojan-Dropper: W32 / Stuxnet
- Kaspersky: Rootkit.Win32.Stuxnet.b или Rootkit.Win32.Stuxnet.a
- McAfee: Stuxnet
- Норман: W32 / Stuxnet.A
- Sophos: Troj / Stuxnet-A или W32 / Stuxnet-B
- Symantec: W32.Temphid
- Trend Micro: WORM_STUXNET.A
У Stuxnet также могут быть некоторые «родственники», которые идут по именам, таким как Duqu или Flame.
Как удалить Stuxnet
Поскольку программное обеспечение Siemens - это то, что скомпрометировано, когда компьютер заражен Stuxnet, важно связаться с ним, если подозревается инфекция.
Также выполните полное сканирование системы с помощью антивирусной программы, такой как Avast или AVG, или антивирусного сканера по требованию, такого как Malwarebytes.
Также необходимо обновить Windows, что вы можете сделать с помощью Центра обновления Windows.
