Co to jest wirus komputerowy robaka Stuxnet?

Stuxnet - jak działa najgroźniejszy wirus świata (Czerwiec 2026)

Stuxnet - jak działa najgroźniejszy wirus świata (Czerwiec 2026)
Anonim

Stuxnet to robak komputerowy, który jest ukierunkowany na typy przemysłowych systemów kontroli (ICS), które są powszechnie stosowane w infrastrukturze urządzeń wspomagających (tj. Elektrownie, urządzenia do uzdatniania wody, przewody gazowe itp.).

Robak często mówi się, że został odkryty po raz pierwszy w 2009 lub 2010 roku, ale w rzeczywistości został zaatakowany program nuklearny Iranu już w 2007 roku. W tamtych czasach Stuxnet znajdował się głównie w Iranie, Indonezji i Indiach, co stanowiło ponad 85% wszystkich infekcji.

Od tego czasu robak dotknął tysiące komputerów w wielu krajach, a nawet całkowicie zniszczył niektóre maszyny i zniszczył dużą część irańskich wirówek nuklearnych.

Co robi Stuxnet?

Stuxnet został zaprojektowany do zmiany programowalnych sterowników logicznych (PLC) używanych w tych obiektach. W środowisku ICS sterowniki PLC automatyzują zadania typu przemysłowego, takie jak regulacja natężenia przepływu w celu utrzymania kontroli ciśnienia i temperatury.

Jest zbudowany tak, aby rozprzestrzeniać się tylko na trzy komputery, ale każdy z nich może rozprzestrzeniać się na trzy inne, w ten sposób propaguje.

Kolejną z jego cech charakterystycznych jest rozpowszechnianie na urządzeniach w sieci lokalnej, która nie jest połączona z Internetem. Na przykład może zostać przeniesiony na jeden komputer przez USB, ale następnie rozprzestrzeniony na inne prywatne maszyny za routerem, które nie są skonfigurowane tak, aby docierały do ​​zewnętrznych sieci, skutecznie powodując wzajemne infekcje urządzeń intranetowych.

Początkowo sterowniki urządzeń Stuxnet były podpisane cyfrowo, ponieważ zostały skradzione z legalnych certyfikatów, które dotyczyły urządzeń JMicron i Realtek, co pozwoliło na łatwe zainstalowanie się bez podejrzanych monitów dla użytkownika. Od tego czasu VeriSign unieważnił certyfikaty.

Jeśli wirus trafi na komputer, na którym nie zainstalowano odpowiedniego oprogramowania firmy Siemens, pozostanie on bezużyteczny. Jest to jedna z głównych różnic między tym wirusem a innymi, ponieważ została stworzona dla wyjątkowo określonego celu i nie "chce" robić nic złego na innych komputerach.

W jaki sposób Stuxnet osiąga sterowniki PLC?

Ze względów bezpieczeństwa wiele urządzeń sprzętowych wykorzystywanych w systemach sterowania przemysłowego nie jest podłączonych do Internetu (a często nawet nie jest podłączone do żadnych sieci lokalnych). Aby temu przeciwdziałać, robak Stuxnet zawiera kilka wyrafinowanych metod propagacji, których celem jest ostatecznie docieranie i przetwarzanie plików projektu STEP 7 używanych do programowania urządzeń PLC.

W początkowej fazie rozprzestrzeniania się robak atakuje komputery z systemem operacyjnym Windows i zwykle robi to za pomocą napędu flash. Jednak sam sterownik nie jest systemem opartym na systemie Windows, ale raczej zastrzeżonym urządzeniem języka maszyny. Stuxnet po prostu przemierza komputery Windows, aby dostać się do systemów zarządzających sterownikami PLC, na których renderuje swoją ładowność.

Aby przeprogramować PLC, robak Stuxnet wyszukuje i infekuje pliki projektu STEP 7, które są używane przez Siemens SIMATIC WinCC, kontrolę nadzorczą i akwizycję danych (SCADA) oraz system interfejsu człowiek-maszyna (HMI) używany do programowania sterowników PLC.

Stuxnet zawiera różne procedury do identyfikacji konkretnego modelu PLC. Sprawdzenie tego modelu jest konieczne, ponieważ instrukcje na poziomie maszyny będą się różnić w zależności od różnych urządzeń PLC. Po zidentyfikowaniu i zainfekowaniu urządzenia docelowego Stuxnet uzyskuje kontrolę w celu przechwycenia wszystkich danych przesyłanych do lub z PLC, w tym możliwość ingerowania w te dane.

Nazwy Stuxnet Goes By

Oto kilka sposobów, w jakie program antywirusowy może zidentyfikować robaka Stuxnet:

  • F-Secure: Trojan-Dropper: W32 / Stuxnet
  • Kaspersky: Rootkit.Win32.Stuxnet.b lub Rootkit.Win32.Stuxnet.a
  • McAfee: Stuxnet
  • Norman: W32 / Stuxnet.A
  • Sophos: Troj / Stuxnet-A lub W32 / Stuxnet-B
  • Symantec: W32.Themphid
  • Trend Micro: WORM_STUXNET.A

Stuxnet może również mieć niektórych "krewnych", które mają nazwy takie jak Duqu lub Flame.

Jak usunąć Stuxnet

Ponieważ oprogramowanie firmy Siemens jest zagrożone, gdy komputer jest zainfekowany Stuxnet, ważne jest, aby skontaktować się z nim w przypadku podejrzenia infekcji.

Uruchom także pełne skanowanie systemu za pomocą programu antywirusowego, takiego jak Avast lub AVG, lub skanera antywirusowego na żądanie, takiego jak Malwarebytes.

Konieczne jest również aktualizowanie systemu Windows, co można zrobić za pomocą usługi Windows Update.

Co to jest plik komputerowy?

Co to jest plik komputerowy?

Plik jest samodzielną informacją dostępną dla systemu operacyjnego i jego programów. Oto więcej informacji o plikach komputerowych i ich działaniu.

Co to jest monitor? (Monitor komputerowy, Monitory CRT / LCD)

Co to jest monitor? (Monitor komputerowy, Monitory CRT / LCD)

Monitor komputerowy to urządzenie wyświetlające informacje wygenerowane przez kartę graficzną. Monitor może być w formacie OLED, LCD lub CRT.

Czym jest komputerowy "protokół"?

Czym jest komputerowy "protokół"?

Widzisz "http: //" i "ftp: //" w adresach stron internetowych. Czym są te "protokoły"? Jak wpływają na mnie? Znajdź odpowiedzi na te pytania tutaj.

Wybór Redakcji