Win32\Stuxnet

Stuxnet – комп’ютерний черв’як для Windows-систем, який уражає системи керування промисловими процесами а також програмовані логічні контролери (programmable logic controller (PLC) ).

Розповсюдження програми проходить досить швидко та не цілеспрямовано, але подальша атака є дуже специфічна, та виконується тільки у тому разі, якщо  у наявності є Siemens SCADA – програмний комплекс для керування специфічним індустріальним  обладнанням та технологічними процесами.

При проникненні черв використовує  чотири 0-day вразливості системи, що само по собі не дуже звичайно (це дуже цінна інформація, тому звичайно її не використовують просто так – а тут використано аж чотирі), а також вразливість CPLINK (вразливість яка використовує особливості обробки ярликів у Windows ) та вразливість яку використовує черв Conficker . Зараження системи проходить через USB-flash, а подальше  – використовуючи механізм peer-to-peer RPC – що дозволяє заражати системи, які не підключені до мережі Інтернет.

Зловмисна програма працює у двох режимах – user-mode та kernel-mode, а також має електронний підпис та сертифікат, що дозволяє без проблем встановити її, та обійти системи захисту. На сьогодні сертифікати вже не дійсні.

Після зараження системи,  Stuxnet заражає файли, які належать до  WinCC/PCS Siemens 7 що контролює  SCADA. Після цього відбувається підміна ключової бібліотеки s7otbxdx.dll.  Ціль цього – перехват комунікацій проміж програмним забезпеченням та  PLC, що дозволяє формувати та програмувати контролер, коли воно підключене. Таким чином зловред непомітно розміщується на контролерах, та згодом маскує його присутність від WINCC, якщо програмне забезпечення контролю намагається прочитати заражений блок пам’яті від системи PLC.  Окрім цього була використана вразливість самої системи SCADA.
Атака була спрямована тільки на ті системи, які підпадали під критерії  – це була дуже цілеспрямована атака – під неї підпадали центрифуги з чітко вивіреною частотою обертів, та тільки конкретних продавців.

Ізраїль не підтвердив що відбулася комп’ютерна атака, а також Іран намагався спростувати слухи, що деякі центрифуги для збагачення урану були пошкоджені. Але географія розповсюдження (62% заражених компьютерів за Ірану), а також дуже раптовий демонтаж 900-1000 центрифуг у ядерному центрі, у той час, коли черв був найбільш активний – свідчать за то.

Если статья была полезна вам – не забывайте поделиться ею со своими друзьями в социальных сетях. Если есть вопросы – задавайте в комментариях либо в наших социальных группах.

1 коментар до “Win32\Stuxnet

Коментувати не дозволено.