Τι πρέπει να ξέρετε για το σκουλήκι Stuxnet
Το Stuxnet είναι ένας σκουλήκι υπολογιστών που στοχεύει τους τύπους βιομηχανικών συστημάτων ελέγχου (ICS) που χρησιμοποιούνται συνήθως σε εγκαταστάσεις υποστήριξης υποδομών (π.χ. μονάδες παραγωγής ενέργειας, εγκαταστάσεις επεξεργασίας νερού, γραμμές φυσικού αερίου κ.λπ.).
Το σκουλήκι λέγεται συχνά ότι έχει ανακαλυφθεί για πρώτη φορά το 2009 ή το 2010, αλλά βρέθηκε ότι έχει επιτεθεί στο πυρηνικό πρόγραμμα του Ιράν ήδη από το 2007. Σε εκείνες τις ημέρες, το Stuxnet βρέθηκε κυρίως στο Ιράν, την Ινδονησία και την Ινδία, αντιπροσωπεύοντας πάνω από το 85% όλων των λοιμώξεων.
Από τότε, ο ιός τύπου worm έχει πλήξει χιλιάδες ηλεκτρονικούς υπολογιστές σε πολλές χώρες, καταστρέφοντας ακόμη και κάποιες μηχανές και σκουπίζοντας ένα μεγάλο μέρος των πυρηνικών φυγοκέντρων του Ιράν.
Τι κάνει το Stuxnet;
Το Stuxnet έχει σχεδιαστεί για να τροποποιεί Προγραμματιζόμενους Λογικούς Ελεγκτές (PLC) που χρησιμοποιούνται σε αυτές τις εγκαταστάσεις. Σε περιβάλλον ICS, τα PLC αυτοματοποιούν εργασίες βιομηχανικού τύπου, όπως η ρύθμιση του ρυθμού ροής για τη διατήρηση των ελέγχων πίεσης και θερμοκρασίας.
Είναι χτισμένο να απλώνεται μόνο σε τρεις υπολογιστές, αλλά το καθένα από αυτά μπορεί να εξαπλωθεί σε άλλα τρία, που είναι το πώς διαδίδεται.
Ένα άλλο από τα χαρακτηριστικά του είναι να εξαπλωθεί σε συσκευές σε ένα τοπικό δίκτυο που δεν είναι συνδεδεμένο στο Διαδίκτυο. Για παράδειγμα, μπορεί να μεταφερθεί σε έναν υπολογιστή μέσω USB, αλλά στη συνέχεια να εξαπλωθεί σε κάποια άλλα ιδιωτικά μηχανήματα πίσω από το δρομολογητή που δεν έχουν ρυθμιστεί για να φτάσουν σε εξωτερικά δίκτυα, πράγμα που θα μπορούσε να προκαλέσει τη μόλυνση των συσκευών intranet μεταξύ τους.
Αρχικά, οι οδηγοί συσκευών Stuxnet υπογράφηκαν ψηφιακά από τότε που είχαν κλαπεί από τα νόμιμα πιστοποιητικά που εφαρμόζονταν στις συσκευές JMicron και Realtek, γεγονός που επέτρεψε την εύκολη εγκατάστασή του χωρίς καμία υποψία στον χρήστη. Έκτοτε, όμως, η VeriSign ανακάλεσε τα πιστοποιητικά.
Εάν ο ιός προσγειωθεί σε έναν υπολογιστή που δεν έχει εγκατεστημένο το σωστό λογισμικό της Siemens, θα παραμείνει άχρηστο. Πρόκειται για μια μεγάλη διαφορά μεταξύ αυτού του ιού και άλλων, επειδή κατασκευάστηκε για έναν εξαιρετικά συγκεκριμένο σκοπό και δεν "θέλει" να κάνει τίποτα κακό σε άλλες μηχανές.
Πώς λειτουργούν τα PLCs Stuxnet Reach;
Για λόγους ασφαλείας, πολλές από τις συσκευές υλικού που χρησιμοποιούνται σε βιομηχανικά συστήματα ελέγχου δεν συνδέονται με το διαδίκτυο (και συχνά δεν συνδέονται με κανένα τοπικό δίκτυο). Για να αντιμετωπιστεί αυτό, το σκουλήκι Stuxnet ενσωματώνει αρκετά εξελιγμένα μέσα διάδοσης με στόχο την τελική προσέγγιση και μόλυνση των αρχείων έργου STEP 7 που χρησιμοποιούνται για τον προγραμματισμό των συσκευών PLC.
Για σκοπούς αρχικής διάδοσης, ο ιός τύπου worm στοχεύει υπολογιστές που εκτελούν τα λειτουργικά συστήματα των Windows και συνήθως το κάνει μέσω μιας μονάδας flash . Ωστόσο, το ίδιο το PLC δεν είναι ένα σύστημα που βασίζεται στα Windows, αλλά μάλλον μια ιδιόκτητη συσκευή γλώσσας μηχανής. Ως εκ τούτου, το Stuxnet απλά μετακινεί υπολογιστές Windows για να φτάσει στα συστήματα που διαχειρίζονται τα PLCs, από τα οποία καθιστά το ωφέλιμο φορτίο του.
Για να επαναπρογραμματιστεί το PLC, ο σκουλήκι Stuxnet αναζητά και μολύνει τα αρχεία έργου STEP 7, τα οποία χρησιμοποιούνται από τη Siemens SIMATIC WinCC, ένα σύστημα ελέγχου ελέγχου και απόκτησης δεδομένων (SCADA) και το σύστημα διεπαφής ανθρώπου-μηχανής (HMI) που χρησιμοποιείται για τον προγραμματισμό των PLC.
Το Stuxnet περιέχει διάφορες ρουτίνες για την αναγνώριση του συγκεκριμένου μοντέλου PLC. Αυτός ο έλεγχος μοντέλου είναι απαραίτητος καθώς οι οδηγίες για το επίπεδο μηχανής θα διαφέρουν σε διαφορετικές συσκευές PLC. Μόλις εντοπιστεί και μολυνθεί η συσκευή στόχευσης, η Stuxnet αποκτά τον έλεγχο για να υποκλέψει όλα τα δεδομένα που εισέρχονται ή εξέρχονται από το PLC, συμπεριλαμβανομένης της δυνατότητας να παραβιάζονται αυτά τα δεδομένα.
Τα ονόματα Stuxnet πηγαίνουν από
Ακολουθούν ορισμένοι τρόποι με τους οποίους το πρόγραμμα αντιμετώπισης ιών μπορεί να εντοπίσει τον σκουλήκι Stuxnet:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b ή Rootkit.Win32.Stuxnet.a
- McAfee : Stuxnet
- Norman : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-Α ή W32 / Stuxnet-Β
- Symantec : W32.Temphid
- Trend Micro : WORM_STUXNET.A
Το Stuxnet μπορεί επίσης να έχει κάποιους "συγγενείς" που πηγαίνουν στα ονόματά μου όπως Duqu ή Flame .
Πώς να αφαιρέσετε το Stuxnet
Δεδομένου ότι το λογισμικό της Siemens είναι αυτό που διακυβεύεται όταν ένας υπολογιστής είναι μολυσμένος με Stuxnet, είναι σημαντικό να επικοινωνήσετε μαζί του σε περίπτωση υποψίας μόλυνσης.
Επίσης, εκτελέστε μια πλήρη σάρωση του συστήματος με ένα πρόγραμμα προστασίας από ιούς, όπως το Avast ή το AVG, ή ένα σαρωτή ιών κατά παραγγελία, όπως το Malwarebytes.
Είναι επίσης απαραίτητο να ενημερώσετε τα Windows , τα οποία μπορείτε να κάνετε με το Windows Update .
Ανατρέξτε στην ενότητα Πώς να σαρώσετε σωστά τον υπολογιστή σας για κακόβουλο λογισμικό αν χρειάζεστε βοήθεια.