Những điều bạn cần biết về sâu Stuxnet
Stuxnet là một con sâu máy tính nhắm vào các loại hệ thống điều khiển công nghiệp (ICS) thường được sử dụng trong các cơ sở hạ tầng hỗ trợ (tức là nhà máy điện, thiết bị xử lý nước, đường ống dẫn khí, vv).
Con sâu này thường được phát hiện lần đầu tiên trong năm 2009 hoặc 2010 nhưng thực sự đã phát hiện ra đã tấn công chương trình hạt nhân của Iran vào đầu năm 2007. Trong những ngày đó, Stuxnet được tìm thấy chủ yếu ở Iran, Indonesia và Ấn Độ, chiếm hơn 85% của tất cả các bệnh nhiễm trùng.
Kể từ đó, con sâu đã ảnh hưởng đến hàng ngàn máy tính ở nhiều quốc gia, thậm chí phá hủy hoàn toàn một số máy móc và quét sạch một phần lớn máy ly tâm hạt nhân của Iran.
Stuxnet làm gì?
Stuxnet được thiết kế để thay đổi bộ điều khiển logic lập trình (PLC) được sử dụng trong các cơ sở đó. Trong môi trường ICS, các PLC tự động hóa các tác vụ kiểu công nghiệp như điều chỉnh tốc độ dòng chảy để duy trì các điều khiển áp suất và nhiệt độ.
Nó được xây dựng để chỉ lây lan sang ba máy tính, nhưng mỗi cái có thể lan truyền đến ba máy tính khác, đó là cách nó truyền bá.
Một đặc điểm khác của nó là truyền đến các thiết bị trên mạng cục bộ không được kết nối với internet. Ví dụ, nó có thể di chuyển đến một máy tính thông qua USB nhưng sau đó lan sang một số máy riêng khác đằng sau bộ định tuyến không được thiết lập để tiếp cận các mạng bên ngoài, làm cho các thiết bị mạng nội bộ có thể lây nhiễm lẫn nhau một cách hiệu quả.
Ban đầu, các trình điều khiển thiết bị của Stuxnet được ký điện tử vì chúng đã bị lấy cắp từ các chứng chỉ hợp pháp được áp dụng cho các thiết bị JMicron và Realtek, cho phép nó dễ dàng cài đặt mà không có bất kỳ lời nhắc đáng ngờ nào cho người dùng. Kể từ đó, tuy nhiên, VeriSign đã thu hồi chứng chỉ.
Nếu virus xâm nhập vào một máy tính không cài đặt đúng phần mềm Siemens, nó sẽ vẫn vô ích. Đây là một sự khác biệt lớn giữa loại virus này và các virus khác, trong đó nó được xây dựng cho một mục đích cực kỳ cụ thể và không "muốn" làm bất cứ điều gì bất chính trên các máy khác.
Làm thế nào để Stuxnet tiếp cận PLC?
Vì lý do bảo mật, nhiều thiết bị phần cứng được sử dụng trong các hệ thống điều khiển công nghiệp không được kết nối internet (và thường không kết nối với bất kỳ mạng cục bộ nào). Để chống lại điều này, sâu Stuxnet kết hợp một số phương tiện truyền thống tinh vi với mục tiêu cuối cùng đạt và lây nhiễm các tệp dự án STEP 7 được sử dụng để lập trình các thiết bị PLC.
Đối với mục đích tuyên truyền ban đầu, sâu nhắm vào các máy tính chạy hệ điều hành Windows, và thường thực hiện điều này thông qua một ổ đĩa flash . Tuy nhiên, bản thân PLC không phải là một hệ thống dựa trên Windows mà là một thiết bị ngôn ngữ máy tính độc quyền. Do đó Stuxnet chỉ đơn giản là đi qua các máy tính Windows để có được các hệ thống quản lý các PLC, sau đó nó trả về tải trọng của nó.
Để lập trình lại PLC, sâu Stuxnet tìm kiếm và lây nhiễm các tệp dự án STEP 7, được sử dụng bởi Siemens SIMATIC WinCC, một hệ thống điều khiển giám sát và thu thập dữ liệu (SCADA) và giao diện người-máy (HMI) được sử dụng để lập trình PLC.
Stuxnet chứa các thói quen khác nhau để xác định mô hình PLC cụ thể. Việc kiểm tra mô hình này là cần thiết vì hướng dẫn mức máy sẽ thay đổi trên các thiết bị PLC khác nhau. Khi thiết bị đích đã được xác định và bị nhiễm, Stuxnet giành quyền kiểm soát để chặn tất cả dữ liệu chảy vào hoặc ra khỏi PLC, bao gồm khả năng giả mạo dữ liệu đó.
Tên Stuxnet đi theo
Sau đây là một số cách chương trình chống vi-rút của bạn có thể xác định sâu Stuxnet:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b hoặc Rootkit.Win32.Stuxnet.a
- McAfee : Stuxnet
- Norman : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-A hoặc W32 / Stuxnet-B
- Symantec : W32.Temphid
- Trend Micro : WORM_STUXNET.A
Stuxnet cũng có thể có một số "người thân" mà đi tên của tôi như Duqu hoặc Flame .
Làm thế nào để loại bỏ Stuxnet
Kể từ khi phần mềm Siemens là những gì bị tổn hại khi một máy tính bị nhiễm Stuxnet, điều quan trọng là liên hệ với họ nếu một nghi ngờ nhiễm trùng.
Cũng chạy quét toàn bộ hệ thống bằng chương trình chống vi-rút như Avast hoặc AVG hoặc trình quét vi rút theo yêu cầu như Malwarebytes.
Nó cũng cần thiết để giữ cho Windows cập nhật , mà bạn có thể làm với Windows Update .
Xem cách quét đúng máy tính của bạn để tìm phần mềm độc hại nếu bạn cần trợ giúp.