Stuxnet – detailní popis

V minulém článku jsem otevřel téma Stuxnet a nyní bych rád navázal několika konkrétnějšími informacemi o chování tohoto trojanu/wormu v praxi.
Co se týče aplikací Siemensu, které Win32/Stuxnet napadá, jedná se o dvě aplikace: WinCC a PCS 7. Takto nějak může vypadat konkrétní, kastomizované rozhraní aplikace WinCC. Chválihodné je, že sám Siemens se k problému nepostavil zády a netváří se, že neexistuje, ale naopak udržuje celkem obstojnou stánku, díky které vystrašený nebo nasraný zákazník získá pocit, že se Siemens stará.

 

 

Jednoduché schema Stuxnet

Stuxnet na návštěvě

 

Obecně lze, pro lepší představu, srovnat dopady Stuxnetu s kampaní Aurora (intenzivní, koordinované kyber-útoky vedené primárně proti společnosti Google Inc., pravděpodobně z Číny – leden 2010, a také jiné komerční, americké společnosti jako Adobe Systems, Symantec, Dow Chemicals atd.). Zatímco Aurora (Win32/Vedrio) zneužívá známý zero-day vektor MS10-002, Stuxnet hraje na dvá známé zero-day vektory (MS10-046 a 061), jednu (již záplatovanou) díru MS08-067 a bohužel na jeden neznámý zero-day vektor, tedy doposud oficiálně neidentifikovanou díru ve Windows (XP/2000) – detailní popis např. u společnosti ESET.

Maskování viru (jak už bylo řečeno v minulém článku) pomohl podvržený digitální podpis (Realtek Semiconductor Corp) a falešný certifikát JMicron Technology Corporation, kterými modifikace wormu podepisovaly ovladač, který se snaží podstrčit kernelu operačního systému (oba získány pravděpodobně z ústředí obou firem, jež leží na Taiwanu (sousední budovy). Také díky těmto fíglům připadlo 52,2% veškeré distribuce na Írán, 17,4% na Indonésii a 11,3% na Indii. Na zbytek světa připadlo tedy něco málo přes 20%.

Pomůcky pro boj se Stuxnetem:

Odkazy jinam:

Další články: