Когда и как был обнаружен Stuxnet?
Вирус был обнаружен в июне 2010, 500-килобайтовый червь, который поразил программное обеспечение по крайней мере 14 промышленных объектов в Иране, включая завод по обогащению урана. Хотя компьютерный червь полагается установкой на невинных пользователей, червь распространяется сам по себе, в основном через компьютерные сети.
Stuxnet может по-тихому распространяться между компьютерами, работающими на Windows – даже между теми, которые не подключены к Интернету. Наиболее активный метод распространения – когда пользователь подключает USB-носитель к зараженной машине, а вирус Stuxnet, который скрывался, активируется и находит путь в компьютер, затем распространяется с следующие устройства, которые читают этот USB.
Стадии распространения червя.
Этот вирус мастерски распространяет вредоносные части кода, которые атакуют в три этапа:
- Сначала он заражает устройства и сети Microsoft Windows, быстро дублируя себя.
- Потом он ищет программу Siemens Step7, который основан на Windows и используется для программирования промышленных систем управления, которые управляют оборудованием, таким как центрифуги.
- И, наконец, он компрометирует программируемые логические контроллеры. Таким образом авторы червя могут шпионить за промышленными системами и даже вызвать быстро вращающиеся центрифуги, чтобы порвать себя без ведома человеческих операторов на заводе. (Иран не подтвердил отчеты о том, что Stuxnet уничтожил их некоторые центрифуги).
Модус Операнди Stuxnet
Будучи внутри сети, вирус использует кучу методов для распространения на других устройствах внутри этой сети и и он получает успех, как только он заражает эти машины. Эти методы включают известные и исправленные уязвимости и четыре эксплойта нулевого дня: уязвимости, которые неизвестны и неисправлены, когда выпускается червь.
Настоящая цель Stuxnet Программируемый логический контроллер (Programmable Logic Controller - PLC), и на самом деле на зараженных компьютерах Windows вирус ничего особенного не делает. Что такое PLC? Это маленькие встроенные промышленные контрольные системы, которые запускают все виды автоматических процессов: на заводских полах, на химических заводах, на нефтеперерабатывающих заводах, в трубопроводах и, да, на атомных электростанциях. Эти PLC часто контролируются компьютерами, и Stuxnet ищет программное обеспечение для контроллера Siemens SIMATIC WinCC/Step7.
Если вирус Stuxnet ничего не находит, он проходит дальше. А после этого он заражает, используя другие неизвестные и неисправленные уязвимости в программном обеспечении контроллера. Затем вирус читает и меняет конкретные биты данных в контролируемых PLC. Трудно предвидеть его эффекты, не зная, что делает PLC и как он запрограммирован, и что программирование может быть уникальным на основе приложения. Но изменения определенные, заставляющие многих думать, что Stuxnet поражает определенные PLC или определенные группы PLC, выполняя определенную функцию в определенном месте, и что авторы Stuxnet точно знали, на что они нацеливались.
Судя по докладам, вирус уже заразил более 50000 компьютеров Windows, а Siemens доложил о 14 зараженных контрольных систем, в основном в Германии. Все антивирусные системы обнаружили и удалили вирус Stuxnet из компьютеров Windows.
Stuxnet был впервые обнаружен в конце июня 2017 года, хотя есть версия, что она была издана годом раньше. Черви уходят глубоко в зараженный компьютер и с течением времени они становятся очень сложными. Вдобавок к многочисленным уязвимостям, которые он разрабатывает, вирус устанавливает свой собственный драйвер на Windows.
Со временем злоумышленники заменили модули, которые не работали, и заменили их новыми - возможно, как Stuxnet пробился к намеченной цели. Это впервые обнаружилось в январе.
У Stuxnet две пути установки. Сначала он проверяет два сервера управления, один в Малайзии и другой в Дании, но также использует систему одноранговых обновлений. Когда два вируса Stuxnet обнаруживают друг друга, они сравнивают версии и убеждаются, что у них последнее обновление. Также у вируса есть дата убийства 24 июня 2012 года. В этот день он перестанет распростряняться и удалит себя.
Stuxnet не ведет себя как обычный червь – после наблюдений выяснилось, что он не распространяется без разбора. Вирус не крадет данные с кредитной карты или входные данные. Он не делает из компьютера ботнет. Но работая по-своему, вирус использует многочисленные уязвимости нулевого дня.
Кто подозревается в создании этого червя?
Stuxnet – довольно-таки дорогое программное обеспечение по дизайну. Он включает от 8 до 10 людей, чтобы писать и выполнять эту программу. Кто бы ни хотел выполнять Stuxnet были готовы тратить огромные деньги, чтобы быть уверенными, что вся работа выполняется идеально.
Вирус также устанавливает значение реестра 19790509, чтобы предупредить новые копии Stuxnet о том, что компьютер уже заражен. Это, скорее всего, дата, но вместо того, чтобы искать кучу вещей – маленькие и большие – которые произошли в тот день, история настаивает, что это относится к дате, когда персидский еврей Хабиб Элганэйн был казнен в Тегеране за шпионство в Израиле.
Конечно, все это может указывать на Израиль в качестве автора. С другой стороны авторы Stuxnet были необыкновенно тщательны, чтобы не оставлять подсказки в своем коде; все могло быть устроено так, что все указывает на Израиль.
Советы по предотвращению заражения вашей системы всеми вирусами и вредоносными программами:
- Включите блокировщик всплывающих окон: Всплывающие окна и реклама являются наиболее часто используемой тактикой киберпреступников и разработчиков с намерением распространить вредоносные программы. Поэтому избегайте сомнительных сайтов, программных обеспечений, всплывающих окон и т.д. Установите мощный блокировщик рекламы для Chrome, Mozilla, и Internet Explorer.
- Не забывайте обновлять ваш Windows: чтобы избегать таких заражений, мы рекомендуем обновлять систему через автоматическое обновление Windows. Так ваша система может избегать заражений вирусами. Согласно опросу, устаревшие/ старые версии операционной системы Windows легче подвержены заражениям вирусами.
- Сторонняя установка: старайтесь избегать сайтов для скачивания бесплатных программных обеспечений, так как они обычно в комплекте устанавливают программное обеспечение с другими установками и файлами заглушки.
- Регулярное резервное копирование: регулярное и периодическое резервное копирование помогает вам держать ваши данные в безопасности в случае заражения вирусом или любым другим заражением. Таким образом, регулярно сохраняйте важные файлы на облачном диске или внешнем жестком диске.
- Всегда пользуйтесь антивирусом: Меры предосторожности всегда лучше, чем лечение последствий. Рекомендуем установить антивирус ITL Total Security или Malware Removal Tool например Download Virus RemovalTool
