Car-tech

Eset oppdager andre variasjoner av Stuxnet Worm

The secret history of the Stuxnet | Recode Media | Alex Gibney

The secret history of the Stuxnet | Recode Media | Alex Gibney
Anonim

Forskere ved Eset har oppdaget en andre variant av Stuxnet-ormen som bruker en nylig avslørt Windows-sårbarhet for å angripe Siemens industrimaskiner.

Den andre varianten, som Eset kaller "jmidebs.sys", kan spres via USB-stasjoner, utnytte en upakket feil i Windows som involverer en skadelig snarveifil med utvidelsen ".lnk".

Som den originale Stuxnet-ormen, er den andre varianten også signert med et sertifikat som brukes til å verifisere integriteten til et program når det er installert. Sertifikatet ble kjøpt fra VeriSign av JMicron Technology Corp., et selskap med hjemsted i Taiwan, skrev Pierre-Marc Bureau, seniorforsker ved Eset, på en blogg.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Den første Stuxnet ormens sertifikat kom fra Realtek Semiconductor Corp., men VeriSign har nå tilbakekalt det, sa David Harley, Eset seniorforsker. Interessant nok er begge selskapene oppført for å ha kontorer på samme sted, Hsinchu Science Park i Taiwan.

"Vi ser sjelden slike profesjonelle operasjoner," skrev Bureau. "De stjal enten sertifikatene fra minst to selskaper eller kjøpte dem fra noen som stjal dem. På dette tidspunktet er det ikke klart om angriperne endrer sertifikatet fordi den første ble utsatt, eller hvis de bruker forskjellige sertifikater i forskjellige angrep, men dette viser at de har betydelige ressurser. "

Selv om Eset-analytikere fortsatt studerer den andre varianten, er det nært knyttet til Stuxnet, sa Harley. Det kan også være utformet for å overvåke aktivitet på Siemens WinCC overvåknings- og datainnsamling (SCADA) -systemer, som brukes til å styre industrimaskiner som brukes til produksjon og kraftverk. Koden for den andre varianten ble utarbeidet 14. juli, sa Harley.

Mens koden for den andre varianten ser ut til å være sofistikert, er måten den ble utgitt, sannsynligvis ikke ideell. Å frigjøre en orm i stedet for en trojan gjør det mer sannsynlig at sikkerhetsforskere vil se et eksempel på det før, hvis det sprer seg raskt, noe som undergraver effektiviteten, sa Harley.

"Det hevder at det kanskje det vi ser på er noen utenfor malware-feltet som ikke forstod implikasjonene, sier Harley. "Hvis de hadde tenkt å skjule sin interesse for SCADA-installasjoner, har de selvsagt ikke lyktes."

Stuxnet antas å være den første delen av malware-målrettet Siemens SCADA. Hvis ormen finner et Siemens SCADA-system, bruker det et standardpassord for å komme inn i systemet og deretter kopiere prosjektfiler til et eksternt nettsted.

Siemens anbefaler at kundene ikke endrer passordet fordi det kan forstyrre systemet. Siemens planlegger å lansere et nettsted som løser problemet og hvordan man fjerner skadelig programvare.

Microsoft har utstedt en veiledning med en løsning på sikkerhetsproblemet til en oppdatering er klar. Alle versjoner av Windows er sårbare.

Send nyhetstips og kommentarer til [email protected]