Stuxnet är en datormask som riktar sig mot typerna av industriella kontrollsystem (ICS) som vanligen används vid infrastrukturunderstödjande anläggningar (dvs kraftverk, vattenreningsanläggningar, gasledningar etc.).
Ormen sägs ofta ha blivit upptäckt första gången 2009 eller 2010 men befanns faktiskt ha angripit Irans kärntekniska program redan 2007. Stuxnet hittades främst i Iran, Indonesien och Indien och står för över 85% av alla infektioner.
Sedan dess har ormen påverkat tusentals datorer i många länder, till och med helt förstörande vissa maskiner och utplånar en stor del av Irans kärnvapenscentrifuger.
Vad gör Stuxnet?
Stuxnet är utformat för att ändra programmerbara logiska kontroller (PLC) som används i dessa anläggningar. I en ICS-miljö automatiserar PLC automatiska typer av arbetsuppgifter, såsom reglering av flödeshastighet för att upprätthålla tryck- och temperaturreglering.
Det är byggt för att bara spridas till tre datorer, men var och en av dem kan spridas till tre andra, vilket är hur det sprids.
En annan egenskap är att sprida sig till enheter på ett lokalt nätverk som inte är anslutet till internet. Det kan till exempel flytta till en dator via USB, men sedan sprida sig till några andra privata maskiner bakom routern som inte är inställda för att nå externa nätverk, vilket effektivt orsakar att intranätenheter smittar varandra.
Inledningsvis var Stuxnets drivrutiner digitalt signerade, eftersom de stulits från legitima certifikat som tillämpades på JMicron och Realtek-enheter, vilket gjorde det möjligt att enkelt installera sig utan några misstänkta uppmaningar till användaren. Sedan dess har VeriSign återkallat certifikaten.
Om viruset landar på en dator som inte har rätt Siemens-programvara installerad, kommer den att förbli värdelös. Detta är en stor skillnad mellan det här viruset och andra, eftersom det byggdes för en extremt specifik syfte och inte "vill" göra någonting galen på andra maskiner.
Hur uppnår Stuxnet Reach PLC?
Av säkerhetsskäl är många av de hårdvaruenheter som används i industriella styrsystem inte internetanslutna (och ofta inte ens anslutna till lokala nätverk). För att motverka detta innehåller Stuxnet-masken flera sofistikerade former för förökning med målet att så småningom nå och infektera STEP 7-projektfiler som används för att programmera PLC-enheterna.
För inledande förökningsändamål driver ormdatorn datorer som kör Windows-operativsystemen och gör det vanligtvis via en flash-enhet. PLC-enheten är emellertid inte ett Windows-baserat system utan snarare en proprietär maskinspråkig enhet. Därför går Stuxnet helt enkelt över Windows-datorer för att komma till systemen som hanterar PLC: erna, därigenom det gör nyttolast.
För att omprogrammera PLC, söker Stuxnet-masken och smittar STEP 7-projektfiler, som används av Siemens SIMATIC WinCC, ett system för övervakningskontroll och datainsamling (SCADA) och human machine interface (HMI) som används för att programmera PLC.
Stuxnet innehåller olika rutiner för att identifiera den specifika PLC-modellen. Denna modellkontroll är nödvändig eftersom instruktionerna på maskinnivå varierar på olika PLC-enheter. När målanordningen har identifierats och smittats, får Stuxnet kontrollen att avlyssna all data som flyter in i eller ut ur PLC, inklusive förmågan att manipulera med den data.
Namn Stuxnet går genom
Följande är några sätt som ditt antivirusprogram kan identifiera Stuxnet-masken:
- F-Secure: Trojan-Dropper: W32 / Stuxnet
- Kaspersky: Rootkit.Win32.Stuxnet.b eller Rootkit.Win32.Stuxnet.a
- McAfee: Stuxnet
- normand: W32 / Stuxnet.A
- Sophos: Troj / Stuxnet-A eller W32 / Stuxnet-B
- Symantec: W32.Temphid
- Trend Micro: WORM_STUXNET.A
Stuxnet kan också ha några "släktingar" som går under namn som Duqu eller Flame.
Hur man tar bort Stuxnet
Eftersom Siemens-programvara är vad som äventyras när en dator är infekterad med Stuxnet, är det viktigt att kontakta dem om en infektion misstänks.
Kör också en fullständig systemsökning med ett antivirusprogram som Avast eller AVG, eller en on-demand virusskanner som Malwarebytes.
Det är också nödvändigt att hålla Windows uppdaterad, vilket du kan göra med Windows Update.
