Ασφάλεια

Οι ερευνητές στο Eset έχουν ανακαλύψει μια δεύτερη παραλλαγή του σκουλήκι Stuxnet που χρησιμοποιεί μια πρόσφατα αποκαλυπτόμενη ευπάθεια των Windows για να επιτεθεί στις βιομηχανικές μηχανές της Siemens.

Η δεύτερη παραλλαγή, την οποία ο Eset αποκαλεί "jmidebs.sys" εκμεταλλευόμενοι ένα ανεπανόρθωτο σφάλμα στα Windows που περιλαμβάνει ένα κακόβουλο αρχείο συντόμευσης με την επέκταση ".lnk".

Όπως και ο αρχικός σκουλήκι Stuxnet, η δεύτερη παραλλαγή υπογράφεται επίσης με ένα πιστοποιητικό που χρησιμοποιείται για την επαλήθευση της ακεραιότητας μιας εφαρμογής όταν εγκαθίσταται. Το πιστοποιητικό αγοράστηκε από τη VeriSign από την εταιρεία JMicron Technology Corp., μια εταιρεία με έδρα την Ταϊβάν, έγραψε στο Pierre-Marc Bureau, ανώτερο ερευνητή στο Eset, σε ένα blog.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας των Windows]

Το πρώτο πιστοποιητικό σκουλήκι Stuxnet προήλθε από την Realtek Semiconductor Corp., αν και η VeriSign την ανακάλεσε, δήλωσε ο David Harley, ανώτερος ερευνητής της Eset. Είναι ενδιαφέρον ότι και οι δύο εταιρείες είναι εισηγμένες να έχουν γραφεία στον ίδιο τόπο, το Επιστημονικό Πάρκο Hsinchu στην Ταϊβάν.

«Σπάνια βλέπουμε τέτοιες επαγγελματικές δραστηριότητες», γράφει το Γραφείο. "Ή έκλεψαν τα πιστοποιητικά από τουλάχιστον δύο εταιρείες ή τα αγόρασαν από κάποιον που τους έκλεψε. Σε αυτό το σημείο, δεν είναι σαφές εάν οι εισβολείς αλλάζουν το πιστοποιητικό επειδή ο πρώτος ήταν εκτεθειμένος ή αν χρησιμοποιούν διαφορετικά πιστοποιητικά διαφορετικές επιθέσεις, αλλά αυτό δείχνει ότι έχουν σημαντικούς πόρους. "

Αν και οι αναλυτές της Eset εξακολουθούν να μελετούν τη δεύτερη παραλλαγή, είναι στενά συνδεδεμένοι με τον Stuxnet, δήλωσε ο Harley. Μπορεί επίσης να σχεδιαστεί για να παρακολουθεί τη δραστηριότητα στα συστήματα ελέγχου εποπτείας και συλλογής δεδομένων (SCADA) της Siemens WinCC, τα οποία χρησιμοποιούνται για τη διαχείριση βιομηχανικών μηχανημάτων που χρησιμοποιούνται για την κατασκευή και τις μονάδες παραγωγής ηλεκτρικής ενέργειας. Ο κώδικας για τη δεύτερη παραλλαγή καταρτίστηκε στις 14 Ιουλίου, δήλωσε ο Harley.

Ενώ ο κώδικας για τη δεύτερη παραλλαγή φαίνεται να είναι εξελιγμένος, ο τρόπος με τον οποίο κυκλοφόρησε πιθανότατα δεν ήταν ιδανικός. Η απελευθέρωση ενός σκουληκιού παρά ενός Trojan καθιστά πιο πιθανό οι ερευνητές της ασφάλειας να δουν ένα δείγμα από αυτό νωρίτερα εάν εξαπλωθεί γρήγορα, πράγμα που υπονομεύει την αποτελεσματικότητά του, δήλωσε ο Harley.

«Αυτό μου ισχυρίζεται ότι ίσως ό, τι κοιτάμε είναι κάποιος έξω από το πεδίο κακόβουλου λογισμικού που δεν κατανόησε τις συνέπειες ", δήλωσε ο Harley. "Αν είχαν την πρόθεση να αποκρύψουν το ενδιαφέρον τους για τις εγκαταστάσεις SCADA, προφανώς δεν το κατάφεραν."

Το Stuxnet πιστεύεται ότι είναι το πρώτο κομμάτι malware που στοχεύει στη Siemens SCADA. Εάν ο ιός τύπου worm εντοπίζει ένα σύστημα SCADA Siemens, χρησιμοποιεί έναν προεπιλεγμένο κωδικό πρόσβασης για να εισέλθει στο σύστημα και στη συνέχεια να αντιγράψει τα αρχεία του έργου σε μια εξωτερική τοποθεσία Web.

Η Siemens συμβουλεύει ότι οι πελάτες της δεν αλλάζουν τον κωδικό πρόσβασης, επειδή αυτό μπορεί να διαταράξει το σύστημα. Η Siemens σχεδιάζει να ξεκινήσει μια τοποθεσία Web που θα εξετάζει το πρόβλημα και πώς να αφαιρέσει το κακόβουλο λογισμικό.

Η Microsoft έχει εκδώσει συμβουλές με μια λύση για την ευπάθεια μέχρι να είναι έτοιμη μια ενημερωμένη έκδοση κώδικα. Όλες οι εκδόσεις των Windows είναι ευάλωτες.

Στείλτε συμβουλές ειδήσεων και σχόλια στο [email protected]