Eset odkrywa drugą odmianę robaka Stuxnet

Naukowcy z Eset odkryli drugi wariant robaka Stuxnet, który wykorzystuje niedawno ujawnioną podatność systemu Windows na ataki maszyn przemysłowych Siemensa.

Drugi wariant, który Eset nazywa "jmidebs.sys", może rozprzestrzeniać się przez napędy USB, wykorzystanie luki w systemie Windows zawierającej złośliwy plik skrótu z rozszerzeniem ".lnk".

Podobnie jak oryginalny robak Stuxnet, drugi wariant jest również podpisywany za pomocą certyfikatu, który służy do weryfikacji integralności aplikacji po zainstalowaniu. Certyfikat został kupiony od VeriSign przez JMicron Technology Corp., firmę z siedzibą na Tajwanie, napisał Pierre-Marc Bureau, starszy pracownik naukowy w Eset na blogu.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Pierwszy certyfikat robaka Stuxnet pochodzi od Realtek Semiconductor Corp., chociaż VeriSign już go odwołał, powiedział David Harley, starszy pracownik naukowy Eset. Co ciekawe, obie firmy mają swoje biura w tym samym miejscu, w Parku Nauki Hsinchu na Tajwanie.

"Rzadko widzimy takie profesjonalne operacje" - napisano w Bureau. "Ukradli certyfikaty przynajmniej dwóch firm lub kupili je od kogoś, kto ich ukradł. W tym momencie nie jest jasne, czy atakujący zmieniają swój certyfikat, ponieważ ten pierwszy został ujawniony, czy też używają innych certyfikatów. różne ataki, ale to pokazuje, że mają znaczące zasoby. "

Chociaż analitycy Eset wciąż badają drugi wariant, jest on ściśle związany ze Stuxnetem, powiedział Harley. Może być również zaprojektowany do monitorowania aktywności systemów kontroli i gromadzenia danych firmy Siemens WinCC (SCADA), które służą do zarządzania maszynami przemysłowymi wykorzystywanymi w produkcji i elektrowniach. Kod dla drugiego wariantu został skompilowany 14 lipca, Harley powiedział.

Podczas gdy kod drugiego wariantu wydaje się być wyrafinowany, sposób, w jaki został wydany, prawdopodobnie nie był idealny. Wydanie robaka, a nie trojana, zwiększa prawdopodobieństwo, że analitycy bezpieczeństwa zobaczą jego próbkę wcześniej, jeśli szybko się rozprzestrzeni, co podważa jego skuteczność, powiedział Harley.

"To przekonuje mnie, że być może to, na co patrzymy to ktoś spoza dziedziny szkodliwego oprogramowania, który nie rozumiał konsekwencji "- powiedział Harley. "Jeśli zamierzają ukryć swoje zainteresowanie instalacjami SCADA, to oczywiście im się to nie udało."

Uważa się, że Stuxnet jest pierwszym szkodliwym oprogramowaniem atakującym Siemens SCADA. Jeśli robak znajdzie system SCADA firmy Siemens, używa domyślnego hasła, aby uzyskać dostęp do systemu, a następnie skopiować pliki projektu do zewnętrznej witryny sieci Web.

Siemens doradza, aby klienci nie zmieniali hasła, ponieważ może to zakłócić działanie systemu. Siemens planuje uruchomić stronę internetową poświęconą problemowi i sposobowi usunięcia tego szkodliwego oprogramowania.

Firma Microsoft wydała zalecenie dotyczące obejścia luki do czasu, aż łatka będzie gotowa. Wszystkie wersje systemu Windows są podatne na atak.

Prześlij porady i komentarze na adres [email protected]