Firma antywirusowa Eset opublikowała raport "Stuxnet Under the Microscop". Zebrano w nim parametry techniczne i opisano sposób działania robaka Win32/Stuxnet.
Robak ten został odkryty w początku lipca 2010 roku. W przeciwieństwie do większości szkodliwych programów, które są przeznaczone do masowego infekowania, ten atakuje wąski zakres komputerów z zakresu systemów przedsiębiorstw. Jego celem jest wprowadzenie złośliwych funkcjonalności do systemów informatycznych klasy SCADA. "Atak przy użyciu tak zaawansowanego oprogramowania jest przygotowany na prowadzenie jego przez długi czas. Bez wątpienia, Win32/Stuxnet ma orientację docelową", komentuje Eset.
Win32/Stuxnet został z pewnością opracowany przez zespół wysoko wykwalifikowanych specjalistów, którzy znają drogę przez słabości w nowoczesnych systemach bezpieczeństwa. Robak został tak zaprojektowany, aby pozostać jak najdłużej niewykrytym, a do rozprzestrzeniania się wykorzystuje szereg poważnych luk bezpieczeństwa umożliwiających zdalne wykonywanie kodu. Część z tych luk istnieje nadal. Koszt takiej luki to 10 tys. euro za każdą. Mowa oczywiście o czarnym rynku. Cena za lukę znalezioną w plikach LNK (MS10-046) bywa nawet wyższa.
Ciekawie wygląda geograficzna mapa zakażeń. Okazało się bowiem, że we wrześniu najwyższy odsetek zakażeń był w Iranie i to na poziomie 52.2%. Padło więc podejrzenie, że jego celem są instalacje jądrowe tego kraju. Następne miejsca zajęły Indonezja 17,4% oraz Indie 11.3%.
"Pomimo dużej liczby zakażeń w Iranie, nie możemy jednoznacznie stwierdzić, że celem intruzów była elektrownia jądrowa w Bushehr w Iranie. Z technicznego punktu widzenia możemy tylko stwierdzić, że koszt tego ataku jest bardzo wysoki, ale dla zwykłych przestępców nie widać motywów jego realizacji. Można też stwierdzić, że celem jest dowolna inna potężna organizacja", mówi Eset.
Co ciekawe Win32/Stuxnet posiada podpisy prawne certyfikatów cyfrowych takich firm jak KMicron czy Realtek. W rezultacie, szkodliwe oprogramowanie było w stanie ominąć wiele z technologii ochrony zainstalowanych na atakowanych systemach.
Jedną z głównych trudności w analizie szkodnika jest jego ogromna ilość kodu. Trzeba zbadać wszystkie jego warianty, aby w pełni zrozumieć jego możliwości, dodaje Eset.
cybersecurity
