Rambler's Top100
Все новости Новости отрасли

Компания Symantec выпустила комплексный бюллетень с описанием вируса W32.Stuxnet, атаковавшего АЭС в Бушере

04 октября 2010

Бюллетень составлен на основании различных отдельных исследований, проводимых экспертами компании  в течение последних трёх месяцев. На основе проведённого комплексного анализа, эксперты компании Symantec заключили, что Stuxnet - необычайно опасная и сложная угроза безопасности компьютерных систем.

Основной задачей вируса было заражение систем контроля промышленным оборудованием, которые, в частности,  используются на трубопроводах и электростанциях. Путём изменения кода логических контроллеров (programmable logic controllers - PLC) вирус  пытался перепрограммировать системы контроля промышленных систем (industrial control systems – ICS), чтобы, незаметно от операторов систем, захватить над ними контроль. Для достижения этой цели, создатели задействовали необычайно широкий спектр вирусных механизмов в одном черве. Среди них - «уязвимости нулевого дня» руткит под Windows, первый известный руткит для PLC, алгоритм отключения антивирусных программ, заражение сложных системных процессов, заражение кода исполняемых файлов и хукинг,  механизмы распространения через сетевые соединения и децентрализованного обновления кода червя,  поддержка единого интерфейса удалённого управления. В отчёте детально разобраны все механизмы функционирования червя,  а также рассмотрены возможные цели, преследуемые создателями Stuxnet.

 

Основные выводы по итогам комплексного анализа вируса Stuxnet следующие:

 

         Stuxnet  был создан для атаки на промышленные компьютерные системы Ирана, отвечающие за контроль работы газопроводов и электростанций. Целью червя было вывести эти системы из строя, путём перепрограммирования PLC и нарушения стандартных технологических процессов.

 

         Хотя Stuxnet был выявлен в июле 2010 года, есть подтверждения существования этого вируса за год до его обнаружения и даже ранее.  Основная часть инфицированных компьютеров расположена в Иране. Stuxnet содержит немало интересных вирусных свойств, а именно:

 

o        Саморепликация через USB-носители, за счёт эксплуатации уязвимости Microsoft Windows Shortcut ‘LNK/PIF’ Files Automatic File Execution Vulnerability (BID 41732)

 

o        Активное распространение по сети за счёт исползование уязвимости в «Диспетчере печати» Windows -   Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073)

 

o        Распространяется через протокол сообщений сервера (SMB) используя  Microsoft Windows Server Service RPC Handling Remote Code Execu­tion Vulnerability (BID 31874)

 

o        Самореплицируется и запускается на выполнение с общих сетевых дисков

 

o        Удалённо самореплицируется и запускается на выполнение на компьютерах, с запущенным сервером баз данных WinCC

 

o        Копирует себя в проекты промышленного ПО Step 7 (Siemens), автоматически запускается на выполнение при загрузке этих проектных файлов в клиентскую систему

 

o        Поддерживает механизм обновлений peer-to-peer по локальной сети

 

o        Использует четыре уязвимости MS Windows, для которых заранее не было выпущено патчей, две из которых (механизмы саморепликации) были известны на момент появления Stuxnet, а две другие были ранее неизвестны

 

o        Контактирует с сервером, контролирующим червь, который позволяет хакеру скачивать и выполнять код с заражённых машин, в том числе и удалённо обновлять код червя

 

o        Содержит Windows руткит, скривыющий от системы файлы с кодом вируса

 

o        Пытается отключить установленное ПО для безопасности компьютера

 

o        Оставляет следы в ICS и модифицирует код Siemens PLC для потенциального выведения системы из строя

 

o        Скрывает модификацию кода PLC за счёт руткита для PLC

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.