Mitä sinun tarvitsee tietää Stuxnet-matoista
Stuxnet on tietokoneen mato, joka kohdistuu sellaisiin teollisuuden valvontajärjestelmiin (ICS), joita käytetään yleisesti infrastruktuurin tukipalveluissa (esim. Voimalaitokset, vedenkäsittelylaitokset, kaasulinjojen jne.).
Matoa sanotaan usein löydetyksi ensimmäisen kerran vuonna 2009 tai 2010, mutta todettiin, että se hyökkäsi Iranin ydinohjelmaan jo vuoden 2007 alussa. Näinä päivinä Stuxnet löytyi pääasiassa Iranista, Indonesiasta ja Intiasta, jonka osuus oli yli 85% kaikista infektioista.
Siitä lähtien mato on vaikuttanut monissa maissa tuhansia tietokoneita, jopa tuhoamalla joitain koneita ja pyyhkimällä suuren osan Iranin ydincentrifugeista.
Mitä Stuxnet tekee?
Stuxnet on suunniteltu muuttamaan kyseisissä tiloissa käytettäviä ohjelmoitavia logiikkaohjaimia (PLC). ICS-ympäristössä PLC: t automatisoivat teollisia tyyppisiä tehtäviä, kuten virtausnopeuden säätämistä paineen ja lämpötilan säätöjen ylläpitämiseksi.
Se on rakennettu vain levitettäväksi kolmeen tietokoneeseen, mutta kukin niistä voi levitä kolmeen muuhun, joten se leviää.
Toinen sen ominaisuuksista on levittää paikallisverkkoon kuuluville laitteille, jotka eivät ole yhteydessä internetiin. Esimerkiksi se voi siirtyä toiseen tietokoneeseen USB: n välityksellä, mutta sitten levittää joitakin muita yksityisiä koneita reitittimen takaa, joita ei ole asetettu tavoittamaan ulkopuolisia verkkoja, aiheuttaen tehokkaasti intranet-laitteiden tarttumista toisiinsa.
Aluksi Stuxnetin laiteajurit allekirjoitettiin digitaalisesti, koska ne oli varastettu JMicron- ja Realtek-laitteisiin sovelletuista oikeutetuista varmenteista, joiden ansiosta se pystyi helposti asentamaan ilman epäilyttäviä kehotteita käyttäjälle. Sittemmin VeriSign on kuitenkin peruuttanut sertifikaatit.
Jos virus laskeutuu tietokoneeseen, jolla ei ole oikeaa Siemens-ohjelmistoa, se pysyy hyödytön. Tämä on eräs merkittävä ero tämän viruksen ja muiden välillä, koska se on rakennettu erittäin erikoistarkoitukseen eikä "halua" tehdä mitään haitallista muille koneille.
Miten Stuxnet tavoittaa PLC: t?
Turvallisuussyistä useat teollisuusohjausjärjestelmissä käytettävät laitteistot eivät ole internetyhtey- dessä (ja ne eivät useinkaan ole yhteydessä mihinkään paikallisiin verkkoihin). Tämän vastaiseksi Stuxnet-mato sisältää useita hienostuneita etenemiskeinoja tavoitteenaan lopettaa ja infektoida STEP 7 -projektitiedostoja, joita käytetään PLC-laitteiden ohjelmointiin.
Matalalla tarkoitetaan aluksi lisäystarkoituksia varten Windows-käyttöjärjestelmissä toimivia tietokoneita ja tavallisesti tätä flash-aseman kautta . Itse PLC ei kuitenkaan ole Windows-pohjainen järjestelmä vaan pikemminkin oma koneenkäyttölaite. Tästä syystä Stuxnet yksinkertaisesti kulkee Windows-tietokoneiden kautta päästäkseen järjestelmille, jotka hallitsevat PLC: itä, jolloin se tekee sen hyötykuorman.
PLC: n uudelleenohjelmoimiseksi Stuxnet-mato etsii ja tartuttaa STEP 7 -projektitiedostot, joita käytetään Siemens SIMATIC WinCC: n, valvonta- ja tiedonhankinnan (SCADA) sekä koneiden ohjelmointiin käytettävän ihmisen ja koneen käyttöliittymän (HMI) kanssa.
Stuxnet sisältää erilaisia rutiineja erityisen PLC-mallin tunnistamiseksi. Tämä mallivalvonta on tarpeen, koska koneen tason ohjeet vaihtelevat eri PLC-laitteissa. Kun kohdelaite on tunnistettu ja saanut tartunnan, Stuxnet saa valvonnan siepata kaikki PLC: hen tulevat tiedot tai niistä ulos tulevat tiedot, mukaan lukien kyky tuhota nämä tiedot.
Nimet Stuxnet Goes By
Seuraavassa on muutamia tapoja, joilla virustentorjuntaohjelma voi tunnistaa Stuxnet-mato:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b tai Rootkit.Win32.Stuxnet.a
- McAfee : Stuxnet
- Norman : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-A tai W32 / Stuxnet-B
- Symantec : W32.Temphid
- Trend Micro : WORM_STUXNET.A
Stuxnetilla saattaa olla myös joitain "sukulaisia", jotka menevät nimeni, kuten Duqu tai Flame .
Stuxnetin poistaminen
Koska Siemens-ohjelmisto on vaarantunut, kun tietokone on saanut Stuxnet-tartunnan, on tärkeää ottaa yhteyttä, jos tartunta epäillään.
Suorita myös koko järjestelmän skannaus virustentorjuntaohjelmalla, kuten Avastilla tai AVG: llä, tai virustentorjuntaohjelmalla, kuten Malwarebytes.
On myös tärkeää pitää Windows päivitetty , mitä voit tehdä Windows Updaten kanssa .
Katso ohjeet tietokoneen haittaohjelmien tarkistamiseen, jos tarvitset apua.