מה שאתה צריך לדעת על תולעת Stuxnet
Stuxnet היא תולעת מחשב המכוונת לסוגים של מערכות בקרה תעשייתיות (ICS) המשמשות בדרך כלל במתקני תמיכה בתשתית (כלומר, תחנות כוח, מתקני טיפול במים, קווי גז וכו ').
התולעת היא לעתים קרובות אמר כי התגלה לראשונה בשנת 2009 או 2010, אך נמצא למעשה כי תקפו את תוכנית הגרעין של איראן כבר בשנת 2007. באותם ימים, Stuxnet נמצאה בעיקר באיראן, אינדונזיה והודו, חשבונאות עבור מעל 85% של כל הזיהומים.
מאז השפיעה התולעת על אלפי מחשבים במדינות רבות, ואף הרסה לחלוטין כמה מכונות וניגבה חלק גדול מהצנטריפוגות הגרעיניות של איראן.
מה עושה Stuxnet האם?
Stuxnet מתוכנן לשנות בקרי לוגיקה מתוכנתים (PLC) המשמשים באותם מתקנים. בסביבת ICS, הבקרים ממכנים משימות מסוג תעשייתי כגון ויסות קצב הזרימה לשמירה על בקרות לחץ וטמפרטורה.
הוא בנוי רק לשלושה מחשבים, אבל כל אחד מהם יכול להתפשט לשלושה אחרים, וכך הוא מתפשט.
עוד אחד המאפיינים שלה היא להתפשט מכשירים ברשת המקומית שאינם מחוברים לאינטרנט. לדוגמה, הוא עשוי לעבור למחשב אחד באמצעות USB, אך לאחר מכן להפיץ אותו למכונות פרטיות אחרות שמאחורי הנתב שאינן מוגדרות כדי להגיע לרשתות חיצוניות, ובכך לגרום למכשירים אינטרא-נט להדביק אחד את השני.
בתחילה, מנהלי ההתקן של Stuxnet נחתמו דיגיטלית מאז שהם נגנבו מאישורים לגיטימיים החלים על התקני JMicron ו- Realtek, דבר שאפשר לו להתקין את עצמו בקלות ללא כל הנחיה חשודה למשתמש. מאז, עם זאת, VeriSign יש לבטל את האישורים.
אם הווירוס נוחת על מחשב שאין לו את תוכנת סימנס הנכונה, הוא יישאר חסר תועלת. זהו הבדל אחד גדול בין הנגיף הזה לבין אחרים, בכך שהוא נבנה למטרה ספציפית ביותר ואינו "רוצה" לעשות שום דבר מזיק במכונות אחרות.
איך Stuxnet להגיע בקר?
מטעמי אבטחה, רבים ממכשירי החומרה המשמשים במערכות בקרה תעשייתיות אינם מחוברים לאינטרנט (ולעתים אף אינם מחוברים לרשתות מקומיות). כדי להתמודד עם זה, תולעת Stuxnet משלבת מספר אמצעי התפשטות מתוחכמים במטרה להגיע בסופו של דבר להדביק שלב 7 קבצים הפרויקט המשמש לתכנות את התקני PLC.
למטרות התפשטות ראשונית, התולעת מכוונת למחשבים המפעילים את מערכות ההפעלה של Windows, ובדרך כלל עושה זאת באמצעות כונן הבזק . עם זאת, ה- PLC עצמו אינו מערכת מבוססת Windows, אלא מכשיר קנייני של מכונת מכונה. לפיכך, סטוקסנט פשוט חוצה את מחשבי Windows כדי להגיע למערכות שמנהלות את הבקרים, שעליה היא מעבירה את המטען.
כדי לתכנת מחדש את ה- PLC, תולעת Stuxnet מבקשת להדביק את קבצי הפרוייקט שלב 7, המשמשים את סימנס סימטיק וינצ'ק, בקרה מבוקרת ורכישת נתונים (SCADA) וממשק אדם-מכונה (HMI) המשמש לתכנות הבקרים.
Stuxnet מכיל שגרות שונות כדי לזהות את מודל PLC ספציפי. בדיקת מודל זו נחוצה מכיוון שההנחיות ברמת המכונה ישתנו בהתקני PLC שונים. לאחר שמכשיר היעד זוהה ונגוע, סטוקסנט מרוויח את השליטה על מנת ליירט את כל הנתונים הזורמים לתוך PLC או ממנו, כולל היכולת להתעסק עם הנתונים.
שמות Stuxnet עובר
להלן מספר דרכים שבהן תוכנית האנטי-וירוס שלך עשויה לזהות את תולעת Stuxnet:
- F-Secure : טרויאני-טפטפת: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b או Rootkit.Win32.Stuxnet.a
- מקאפי : סטוקסנט
- נורמן : W32 / Stuxnet.A
- סופוס : Troj / Stuxnet-A או W32 / Stuxnet-B
- סימנטק : W32.Temphid
- מגמה מיקרו : WORM_STUXNET.A
Stuxnet יכול להיות גם כמה "קרובי משפחה" כי ללכת בשמות שלי כמו Duqu או להבה .
כיצד להסיר
מאחר שתוכנת סימנס היא מה שנמצא בסיכון כאשר המחשב נגוע ב- Stuxnet, חשוב ליצור קשר אם מדובר בזיהום.
גם להפעיל מערכת סריקה מלאה עם תוכנית אנטי וירוס כמו Avast או AVG, או על פי דרישה סורק וירוס כגון Malwarebytes.
זה גם נחוץ כדי לשמור על Windows מעודכן , שבו אתה יכול לעשות עם Windows Update .
ראה כיצד לסרוק כראוי את המחשב עבור תוכנות זדוניות אם אתה זקוק לעזרה.