Ano ang kailangan mong malaman tungkol sa Stuxnet worm
Ang Stuxnet ay isang computer worm na nagta-target sa mga uri ng pang-industriya na sistema ng kontrol (ICS) na karaniwang ginagamit sa mga pasilidad na sumusuporta sa imprastraktura (ie mga halaman ng kuryente, mga pasilidad sa paggamot ng tubig, mga linya ng gas, atbp.).
Ang worm ay kadalasang sinasabing unang natuklasan noong 2009 o 2010 ngunit talagang natagpuan na sinalakay ang programang nuklear ng Iran noong maagang 2007. Noong mga panahong iyon, ang Stuxnet ay matatagpuan sa Iran, Indonesia, at Indya, na higit sa 85% ng lahat ng mga impeksiyon.
Mula noon, naapektuhan ng uod ang libu-libong kompyuter sa maraming bansa, kahit na ganap na sinisira ang ilang mga makina at pinawi ang isang malaking bahagi ng mga nuclear centrifugal ng Iran.
Ano ba ang Stuxnet?
Ang Stuxnet ay dinisenyo upang baguhin ang Programmable Logic Controllers (PLCs) na ginagamit sa mga pasilidad na iyon. Sa kapaligiran ng ICS, ang mga PLC ay nag-i-automate ng mga gawaing uri ng industriya tulad ng pagsasaayos ng daloy ng rate upang mapanatili ang mga kontrol ng temperatura at temperatura.
Ito ay binuo upang kumalat lamang sa tatlong mga computer, ngunit ang bawat isa ay maaaring kumalat sa tatlong iba, na kung paano ito propagates.
Ang isa pang katangian nito ay ang pagkalat sa mga aparato sa isang lokal na network na hindi nakakonekta sa internet. Halimbawa, maaari itong lumipat sa isang computer sa pamamagitan ng USB ngunit pagkatapos ay kumalat sa ilang iba pang mga pribadong machine sa likod ng router na hindi naka-set up upang maabot ang mga labas ng network, epektibong nagiging sanhi ng intranet device upang mahawa ang bawat isa.
Sa una, ang mga driver ng Stuxnet ay digital na naka-sign dahil sila ay ninakaw mula sa mga lehitimong mga sertipiko na inilapat sa mga aparatong JMicron at Realtek, na pinapayagan ito upang madaling i-install ang sarili nito nang walang anumang kahina-hinalang mga senyas sa gumagamit. Simula noon, gayunpaman, binawi ni VeriSign ang mga sertipiko.
Kung ang lupang virus ay nakarating sa isang computer na walang tama ang software na Siemens na naka-install, mananatili itong walang silbi. Ito ay isang pangunahing pagkakaiba sa pagitan ng virus na ito at ng iba pa, dahil ito ay itinayo para sa isang lubos na tiyak na layunin at hindi "nais" na gumawa ng anumang bagay na kasuklam-suklam sa iba pang mga machine.
Paano Nakarating ang Stuxnet Reach PLCs?
Para sa mga kadahilanang pang-seguridad, marami sa mga aparatong hardware na ginagamit sa mga sistema ng pang-industriyang kontrol ay hindi nakakonekta sa internet (at kadalasan ay hindi nakakonekta sa anumang lokal na network). Upang kontrahin ito, ang Stuxnet worm ay nagsasama ng ilang mga sopistikadong paraan ng pagpapalaganap na may layuning makarating sa huli at makahawa sa HAKBANG 7 mga file ng proyekto na ginagamit upang magproseso ng mga PLC device.
Para sa mga unang layunin ng pagpapalaganap, ang uod ay nagtatakda ng mga computer na tumatakbo sa mga operating system ng Windows, at karaniwang ginagawa ito sa pamamagitan ng flash drive . Gayunpaman, ang PLC mismo ay hindi isang sistemang nakabatay sa Windows kundi isang proprietary machine-language device. Samakatuwid, ang Stuxnet ay naglalakbay lamang sa mga kompyuter ng Windows upang makarating sa mga sistema na namamahala sa mga PLC, kung saan ito ay nagbibigay ng kargamento.
Upang reprograma ang PLC, ang Stuxnet worm ay naglalayong at nagdudulot ng mga STEP 7 na mga file ng proyekto, na ginagamit ng Siemens SIMATIC WinCC, isang sistema ng pamamahala ng control at data acquisition (SCADA) at sistema ng human-machine interface (HMI) na ginagamit sa programa ng PLCs.
Naglalaman ang Stuxnet ng iba't ibang gawain upang matukoy ang partikular na modelo ng PLC. Kinakailangan ang tseke ng modelo na ito habang ang mga tagubilin sa antas ng machine ay mag-iiba sa iba't ibang mga aparato ng PLC. Sa sandaling nakilala at nahawaan ang target na aparato, nakuha ng Stuxnet ang kontrol upang mahadlangan ang lahat ng data na dumadaloy papasok o sa labas ng PLC, kasama ang kakayahang pakialaman ang data na iyon.
Mga Pangalan Stuxnet Pupunta Sa
Ang mga sumusunod ay ilang mga paraan na maaaring kilalanin ng iyong antivirus program ang Stuxnet worm:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b o Rootkit.Win32.Stuxnet.a
- McAfee : Stuxnet
- Norman : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-A o W32 / Stuxnet-B
- Symantec : W32.Temphid
- Trend Micro : WORM_STUXNET.A
Maaaring magkaroon din ang Stuxnet ng ilang "kamag-anak" na pumunta sa aking mga pangalan tulad ng Duqu o Flame .
Paano Mag-alis ng Stuxnet
Dahil ang Siemens software ay kung ano ang nakompromiso kapag ang isang computer ay nahawaan ng Stuxnet, mahalagang makipag-ugnay sa kanila kung ang isang impeksiyon ay pinaghihinalaang.
Patakbuhin din ang isang buong sistema ng pag-scan sa isang programa ng antivirus tulad ng Avast o AVG, o isang on-demand virus scanner tulad ng Malwarebytes.
Kinakailangan din upang mapanatili ang pag-update ng Windows , na maaari mong gawin sa Windows Update .
Tingnan ang Paano Maayos na I-scan ang Iyong Computer para sa Malware kung kailangan mo ng tulong.