Stuxnet er en datamaskinorm som retter seg mot typer industrielle kontrollsystemer (ICS) som ofte brukes i infrastrukturstøtteanlegg (dvs. kraftverk, vannbehandlingsanlegg, gassledninger, etc.).
Ormen er ofte sagt å ha blitt først oppdaget i 2009 eller 2010, men ble faktisk funnet å ha angrepet det iranske kjernefysiske programmet så tidlig som i 2007. I disse dager ble Stuxnet funnet hovedsakelig i Iran, Indonesia og India, og sto for over 85% av alle infeksjoner.
Siden da har ormen påvirket tusenvis av datamaskiner i mange land, selv helt ødelegger noen maskiner og tørker ut en stor del av Irans kjernefysiske sentrifuger.
Hva gjør Stuxnet?
Stuxnet er designet for å endre programmerbare logikkontrollere (PLC) som brukes i disse anleggene. I et ICS-miljø automatiserer PLCene industrielle oppgaver, for eksempel regulering av strømningshastighet for å opprettholde trykk- og temperaturregulering.
Den er bygget for å bare spres til tre datamaskiner, men hver av disse kan spre seg til tre andre, som er hvordan den forplanter seg.
En annen egenskap er å spre seg til enheter på et lokalt nettverk som ikke er koblet til internett. For eksempel kan det flytte til en datamaskin via USB, men spre seg til andre private maskiner bak ruteren som ikke er konfigurert for å nå eksterne nettverk, noe som effektivt forårsaker at intranett-enheter smitter hverandre.
I utgangspunktet ble Stuxnets enhetsdrivere digitalt signert siden de ble stjålet fra legitime sertifikater som søkte på JMicron og Realtek-enheter, som tillot det å installere seg enkelt uten noen mistenkelige meldinger til brukeren. Siden da har VeriSign tilbakekalt sertifikatene.
Hvis viruset lander på en datamaskin som ikke har riktig Siemens-programvare installert, vil den forbli ubrukelig. Dette er en stor forskjell mellom dette viruset og andre, ved at det ble bygget for en ekstremt spesifikk formål, og "ønsker" ikke å gjøre noe galt på andre maskiner.
Hvordan oppnår Stuxnet Reach PLCs?
Av sikkerhetsmessige årsaker er ikke mange av maskinvareenhetene som brukes i industrielle kontrollsystemer, internettforbundne (og ofte ikke engang koblet til lokale nettverk). For å motvirke dette, inneholder Stuxnet-ormen flere sofistikerte former for forplantning med sikte på å nå og infisere STEP 7-prosjektfiler som brukes til å programmere PLC-enhetene.
For førstegangsformål har ormmålene datamaskiner som kjører Windows-operativsystemene, og gjør vanligvis dette via en flash-stasjon. Imidlertid er selve PLC ikke et Windows-basert system, men heller en proprietær maskin-språk-enhet. Derfor går Stuxnet rett og slett gjennom Windows-datamaskiner for å komme seg til systemene som styrer PLCene, der det gjør nyttelasten.
For å omprogrammere PLC, søker Stuxnet ormen ut og infiserer STEP 7-prosjektfiler, som brukes av Siemens SIMATIC WinCC, et overvåkings- og datainnsamlingssystem (SCADA) og human machine interface (HMI) som brukes til å programmere PLC.
Stuxnet inneholder ulike rutiner for å identifisere den spesifikke PLC-modellen. Denne modellkontrollen er nødvendig da maskinnivåinnstillinger vil variere på forskjellige PLC-enheter. Når målenheten er blitt identifisert og smittet, får Stuxnet kontrollen til å avskjære all data som strømmer inn i eller ut av PLC, inkludert evnen til å manipulere med dataene.
Navn Stuxnet går forbi
Følgende er noen måter antivirusprogrammet ditt kan identifisere Stuxnet-ormen:
- F-Secure: Trojan-Dropper: W32 / Stuxnet
- Kaspersky: Rootkit.Win32.Stuxnet.b eller Rootkit.Win32.Stuxnet.a
- McAfee: Stuxnet
- Norman: W32 / Stuxnet.A
- Sophos: Troj / Stuxnet-A eller W32 / Stuxnet-B
- Symantec: W32.Temphid
- Trend Micro: WORM_STUXNET.A
Stuxnet kan også ha noen "slektninger" som går etter navn som Duqu eller Flame.
Slik fjerner du Stuxnet
Siden Siemens-programvaren er kompromittert når en datamaskin er infisert med Stuxnet, er det viktig å kontakte dem hvis en infeksjon er mistenkt.
Kjør også en fullstendig systemskanning med et antivirusprogram som Avast eller AVG, eller en on-demand virusskanner som Malwarebytes.
Det er også nødvendig å holde Windows oppdatert, som du kan gjøre med Windows Update.
