Eset otkriva drugu varijaciju Stuxnet crva

Istraživači iz Eseta otkrili su drugu varijantu Stuxnetovog crva koji koristi nedavno otkrivenu ranjivost sustava Windows za napad na Siemensove industrijske strojeve.

Druga varijanta, koju Eset naziva "jmidebs.sys", može se širiti putem USB pogona, iskorištavanje nedopuštenih nedostataka u sustavu Windows koji uključuju zlonamjerne prečace s nastavkom ".lnk".

Kao i izvorni Stuxnetov crv, druga varijanta je također potpisana certifikatom koji se koristi za provjeru integriteta aplikacije kada se instalira. Certifikat je kupljen od strane tvrtke VeriSign od strane JMicron Technology Corp., tvrtke sa sjedištem u Tajvanu, piše Pierre-Marc Bureau, viši istraživač na Esetu na blogu.

[Dodatna čitanja: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Potvrda prvog Stuxnet crva potekla je od tvrtke Realtek Semiconductor Corp., iako ga je VeriSign sada opozvao, rekao je David Harley, znanstveni savjetnik iz Eseta. Zanimljivo je da obje tvrtke kotiraju na uredima na istom mjestu, Hsinchu Science Parku u Tajvanu.

"Rijetko vidimo takve profesionalne operacije", napisao je ured. "Oni su ukrali certifikate od najmanje dvije tvrtke ili su ih kupili od nekoga tko ih je ukrao. U ovom trenutku nije jasno jesu li napadači mijenjali svoju potvrdu jer je prvi bio izložen ili koriste li različite certifikate ali to pokazuje da imaju značajne resurse. "

Iako su analitičari Eset još uvijek proučavali drugu varijantu, to je usko povezano sa Stuxnetom, rekao je Harley. Također se može dizajnirati za nadzor nad aktivnostima nadzornog nadzora i prikupljanja podataka tvrtke WinCC (SCADA), koji se koriste za upravljanje industrijskim strojevima koji se koriste za proizvodnju i elektrane. Kôd za drugu varijantu sastavljen je 14. srpnja, rekao je Harley.

Dok je kod za drugu varijantu izgledao sofisticiran, način na koji je pušten vjerojatno nije bio idealan. Oslobađanje crva, a ne trojica, vjerojatnije je da će istraživači sigurnosti vidjeti uzorak prije ako se brzo širi, što narušava njegovu učinkovitost, rekao je Harley.

"To mi se tvrdilo da možda ono što gledamo je netko izvan polja zlonamjernih programa koji nisu razumjeli implikacije ", rekao je Harley. "Ako su namjeravali sakriti svoj interes za SCADA instalacije, očito nisu uspjeli."

Smatra se da je Stuxnet prvi komadi zlonamjernog softvera koji cilja Siemens SCADA. Ako crv pronađe Siemens SCADA sustav, koristi zadanu lozinku za ulazak u sustav, a zatim kopira projektne datoteke na vanjsku web stranicu.

Siemens savjetuje da njegovi korisnici ne mijenjaju zaporku jer to može poremetiti sustav. Siemens planira pokrenuti web stranicu koja se bavi problemom i kako ukloniti zlonamjerni softver.

Microsoft je izdao savjetovanje s rješenjem za ranjivost sve dok nije zakrpa spremna. Sve verzije sustava Windows su ranjive.

Pošaljite vijesti i komentare za [email protected]