Stuxnet er en computerorm, der retter sig mod de typer industrielle kontrolsystemer (ICS), der almindeligvis anvendes til infrastrukturunderstøttende faciliteter (dvs. kraftværker, vandbehandlingsanlæg, gasledninger osv.).
Ormen siges ofte at være blevet opdaget første gang i 2009 eller 2010, men blev faktisk fundet at have angrebet Irans atomprogram allerede i 2007. I disse dage blev Stuxnet hovedsageligt fundet i Iran, Indonesien og Indien, og tegner sig for over 85% af alle infektioner.
Siden da har ormen ramt tusindvis af computere i mange lande, selv helt ødelægge nogle maskiner og udslette en stor del af Irans atomkerneventrifuger.
Hvad virker Stuxnet?
Stuxnet er designet til at ændre Programmerbare Logic Controllers (PLC'er), der anvendes i disse faciliteter. I et ICS-miljø automatiserer PLC'erne industrielle opgaver såsom regulering af strømningshastighed for at opretholde tryk- og temperaturregulering.
Det er bygget til kun at spredes til tre computere, men hver af dem kan spredes til tre andre, hvilket er, hvordan det formerer sig.
Et andet af dets egenskaber er at sprede sig til enheder på et lokalt netværk, der ikke er forbundet til internettet. For eksempel kan det flytte til en computer via USB, men derefter spredes til nogle andre private maskiner bag routeren, der ikke er oprettet for at nå eksterne netværk, hvilket effektivt forårsager, at intranet-enheder inficerer hinanden.
Stuxnet's enhedsdrivere blev oprindeligt digitalt underskrevet, da de blev stjålet fra legitime certifikater, der anvendtes til JMicron og Realtek-enheder, som gjorde det muligt at installere sig selv uden mistænkelige meddelelser til brugeren. Siden da har VeriSign imidlertid tilbagekaldt certifikaterne.
Hvis viruset lander på en computer, der ikke har den rigtige Siemens-software installeret, vil den forblive ubrugelig. Dette er en stor forskel mellem denne virus og andre, idet den blev bygget til et yderst specifikt formål og ikke "vil" gøre noget galt på andre maskiner.
Hvordan opnår Stuxnet Reach PLC'er?
Af sikkerhedsmæssige grunde er mange af de hardwareanordninger, der anvendes i industrielle kontrolsystemer, ikke internetforbundne (og ofte ikke engang forbundet med lokale netværk). For at imødegå dette indbygger Stuxnet-ormen adskillige sofistikerede former for formering med det formål at nå frem til og inficere STEP 7-projektfiler, der bruges til at programmere PLC-enhederne.
Til oprindelige udbredelsesformål har ormene målrettet computere, der kører Windows-operativsystemerne og gør det normalt via et flashdrev. PLC'en er imidlertid ikke et Windows-baseret system, men snarere en proprietær maskin-sprog-enhed. Derfor gennemgår Stuxnet simpelthen Windows-computere for at komme til de systemer, der styrer PLC'erne, hvormed det giver sin nyttelast.
For at omprogrammere PLC'en søger Stuxnet-ormen STEP 7-projektfiler, som bruges af Siemens SIMATIC WinCC, et overvågnings- og dataopsamlingssystem (SCADA) og human-machine interface (HMI) system til programmering af PLC'erne.
Stuxnet indeholder forskellige rutiner for at identificere den specifikke PLC model. Denne model kontrol er nødvendig, da maskinens niveau instruktioner vil variere på forskellige PLC enheder. Når målenheden er blevet identificeret og inficeret, får Stuxnet kontrollen til at opfange alle data, der strømmer ind i eller ud af PLC'en, herunder evnen til at manipulere med disse data.
Navne Stuxnet går forbi
Følgende er nogle måder, som dit antivirusprogram kan identificere Stuxnet-ormen:
- F-Secure: Trojan-Dropper: W32 / Stuxnet
- Kaspersky: Rootkit.Win32.Stuxnet.b eller Rootkit.Win32.Stuxnet.a
- McAfee: Stuxnet
- Norman: W32 / Stuxnet.A
- Sophos: Troj / Stuxnet-A eller W32 / Stuxnet-B
- Symantec: W32.Temphid
- Trend Micro: WORM_STUXNET.A
Stuxnet kan også have nogle "slægtninge", der går efter navne som Duqu eller Flame.
Sådan fjerner du Stuxnet
Da Siemens software er kompromitteret, når en computer er inficeret med Stuxnet, er det vigtigt at kontakte dem, hvis en infektion mistænkes.
Kør også en komplet systemscanning med et antivirusprogram som Avast eller AVG, eller en on-demand virus scanner som Malwarebytes.
Det er også nødvendigt at holde Windows opdateret, hvilket du kan gøre med Windows Update.
