Kas jums jāzina par Stuxnet tārpu?
Stuxnet ir datora tārps, kas vērsts uz tādām rūpniecības kontroles sistēmām (ICS), kuras parasti tiek izmantotas infrastruktūras atbalsta iekārtās (ti, elektrostacijās, ūdens attīrīšanas iekārtās, gāzes vados utt.).
Tārps tiek uzskatīts, ka tas vispirms tika atklāts 2009. vai 2010. gadā, bet faktiski tika konstatēts, ka tas jau ir uzbrukojis Irānas kodolprogrammai jau 2007. gadā. Tajā laikā Stuxnet tika atrasts galvenokārt Irānā, Indonēzijā un Indijā, un tas aizņem vairāk nekā 85% no visām infekcijām.
Kopš tā laika tārps daudzās valstīs ir ietekmējis tūkstošiem datoru, pat pilnībā iznīcinot dažas mašīnas un iznīcinot lielu daļu no Irānas kodolcentrifuga.
Ko dara Stuxnet?
Stuxnet ir paredzēts, lai mainītu šajās iekārtās izmantotos programmējamos loģiskos kontrollerus (PLC). ICS vidē PLC automatizē rūpnieciskā tipa uzdevumus, piemēram, regulē plūsmas ātrumu, lai uzturētu spiediena un temperatūras kontroli.
Tā ir veidota tā, lai tā izplatītos tikai uz trim datoriem, taču katra no tām var izplatīties līdz trim citiem, tādēļ tā izplatās.
Vēl viena no tās iezīmēm ir izplatīties vietējā tīkla ierīcēs, kas nav savienotas ar internetu. Piemēram, tas var pāriet uz vienu datoru, izmantojot USB savienojumu, bet pēc tam izplatīties uz dažām citām privātām mašīnām aiz maršrutētāja, kas nav iestatīti, lai sasniegtu ārējos tīklus, tādējādi efektīvi izraisa iekšējo tīklu ierīču inficēšanos.
Sākotnēji Stuxnet ierīces draiveri tika digitāli parakstīti, jo tie tika nozagti no likumīgiem sertifikātiem, kas piemēroti JMicron un Realtek ierīcēm, kas ļāva tai viegli instalēt pats bez aizdomīgiem uzvednēm lietotājam. Kopš tā laika VeriSign ir atsaukusi sertifikātus.
Ja vīruss nonāk datorā, kuram nav pareizi instalēta programmatūra Siemens, tas paliks bezjēdzīgs. Šī ir viena no būtiskākajām atšķirībām starp šo vīrusu un citiem, jo tā tika veidota ārkārtīgi specifiskam mērķim un nevēlas kaut ko padarīt nelabvēlīgu citās mašīnās.
Kā darbojas Stuxnet Reach PLC?
Drošības apsvērumu dēļ daudzas aparatūras ierīces, ko izmanto rūpnieciskās vadības sistēmās, nav savienotas ar internetu (un bieži vien tās nav savienotas ar vietējiem tīkliem). Lai to novērstu, Stuxnet tārps apvieno vairākus sarežģītus izplatīšanas līdzekļus ar mērķi galu galā sasniegt un inficēt STEP 7 projektu failus, ko izmanto, lai programmētu PLC ierīces.
Sākotnējās pavairošanas nolūkos tārps tiek novirzīts uz datoriem, kuros darbojas Windows operētājsistēmas, un tas parasti notiek ar zibatmiņas palīdzību . Tomēr PLC pati par sevi nav Windows sistēma, bet gan patentēta mašīna valodas ierīce. Tādējādi Stuxnet vienkārši pārraida Windows datorus, lai nokļūtu sistēmās, kas pārvalda PLC, pēc kuras tā padara tās lietderīgo slodzi.
Lai pārprogrammētu PLC, Stuxnet tārps meklē un nobloķē STEP 7 projektu failus, kurus izmanto Siemens SIMATIC WinCC, uzraudzības kontrole un datu iegūšana (SCADA) un cilvēka un mašīnas saskarnes (HMI) sistēma, ko izmanto, lai programmētu PLC.
Stuxnet satur dažādas rutīnas, lai noteiktu konkrēto PLC modeli. Šī modeļa pārbaude ir nepieciešama, jo mašīnas līmeņa instrukcijas atšķiras dažādās PLC ierīcēs. Tiklīdz mērķa ierīce ir identificēta un inficēta, Stuxnet iegūst kontroli, lai pārtvertu visus datus, kas nonāk PLC vai izkļūst no tā, ieskaitot spēju ietekmēt šos datus.
Vārdi Stuxnet iet pa
Tālāk ir sniegti daži veidi, kā jūsu pretvīrusu programma varētu identificēt Stuxnet tārps:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b vai Rootkit.Win32.Stuxnet.a
- McAfee : Stuxnet
- Norman : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-A vai W32 / Stuxnet-B
- Symantec : W32.Temphid
- Trend Micro : WORM_STUXNET.A
Stuxnet var būt arī daži "radinieki", kas iet uz maniem vārdiem, piemēram, Duqu vai Flame .
Kā noņemt Stuxnet
Tā kā Siemens programmatūra ir kompromitēta, ja dators ir inficēts ar Stuxnet, ir svarīgi sazināties ar tiem, ja ir aizdomas par infekciju.
Arī palaidiet pilnu sistēmas skenēšanu ar pretvīrusu programmu, piemēram, Avast vai AVG, vai pēc pieprasījuma vīrusu skeneri, piemēram, Malwarebytes.
Ir arī nepieciešams, lai Windows atjauninātu , ko jūs varat darīt ar Windows atjaunināšanu .
Skatiet sadaļu Kā pareizi skenēt datoru par ļaunprogrammatūru, ja jums nepieciešama palīdzība.