O que necesitas saber sobre o verme Stuxnet
Stuxnet é un worm de computadora que ten como obxectivo os tipos de sistemas de control industrial (ICS) que se utilizan habitualmente nas infraestruturas de apoio (por exemplo, centrais eléctricas, instalacións de tratamento de auga, liñas de gas, etc.).
O worm adoita ser descuberto por primeira vez en 2009 ou 2010, pero en realidade atopouse con atacar o programa nuclear iraniano desde o 2007. Naqueles días, Stuxnet atopábase principalmente en Irán, Indonesia e India, que representaban máis do 85% de todas as infeccións.
Desde entón, o gusano afectou miles de computadores en moitos países, incluso arruinando completamente algunhas máquinas e eliminando unha gran parte das centrífugas nucleares de Irán.
Que fai Stuxnet?
Stuxnet está deseñado para alterar os controladores lóxicos programables (PLC) utilizados nesas instalacións. Nun ambiente de ICS, os PLC automatizan tarefas de tipo industrial como a regulación do caudal para manter a presión e os controis de temperatura.
Está construído só para estenderse a tres ordenadores, pero cada un destes pode estenderse a outros tres, que é como se propaga.
Outra das súas características é a difusión de dispositivos nunha rede local que non está conectada a internet. Por exemplo, pode pasar a unha computadora a través de USB, pero despois se estender a outras máquinas privadas detrás do enrutador que non están configuradas para chegar a redes externas, o que provoca que os dispositivos de intranet se infecten.
Inicialmente, os controladores de dispositivos de Stuxnet foron asinados dixitalmente desde que foron roubados por certificados lexítimos que se aplicaron aos dispositivos JMicron e Realtek, o que lle permitiu instalarse fácilmente sen ningún aviso sospeitoso para o usuario. Desde entón, con todo, VeriSign revogou os certificados.
Se o virus pertence a unha computadora que non ten o software correcto de Siemens instalado, seguirá sendo inútil. Esta é unha gran diferenza entre este virus e outros, xa que foi construído para un propósito extremadamente específico e non "quere" facer nada nefarious noutras máquinas.
Como é que Stuxnet alcanza os PLC?
Por razóns de seguridade, moitos dos dispositivos de hardware utilizados nos sistemas de control industrial non están conectados a internet (e moitas veces nin se conectan a redes locais). Para contrarrestar isto, o verme Stuxnet incorpora varios medios de propagación sofisticados co obxectivo de chegar e infectar finalmente os ficheiros de proxecto STEP 7 utilizados para programar os dispositivos PLC.
Para propósitos de propagación inicial, o worm dirixe ordenadores que executan os sistemas operativos de Windows e, normalmente, fai isto a través dunha unidade flash . Non obstante, o PLC en si non é un sistema baseado en Windows senón un dispositivo propietario de linguaxe de máquina. De aí Stuxnet simplemente atravesa as computadoras de Windows para chegar aos sistemas que administran os PLC, sobre os cales presta a súa carga útil.
Para reprogramar o PLC, o gusano Stuxnet busca e infecta os ficheiros do proxecto STEP 7, que son utilizados por Siemens SIMATIC WinCC, un control de supervisión e adquisición de datos (SCADA) e un sistema de interface humano-máquina (HMI) utilizado para programar os PLCs.
Stuxnet contén varias rutinas para identificar o modelo PLC específico. Esta comprobación do modelo é necesaria, xa que as instrucións do nivel da máquina variarán en diferentes dispositivos PLC. Unha vez que o dispositivo obxectivo foi identificado e infectado, Stuxnet gañou o control para interceptar todos os datos que circulan dentro ou fóra do PLC, incluíndo a capacidade de alterar esa información.
Os nomes de Stuxnet Goes By
A continuación amósanse algunhas formas en que o seu programa antivirus pode identificar o worm Stuxnet:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b ou Rootkit.Win32.Stuxnet.a
- McAfee : Stuxnet
- Norman : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-A ou W32 / Stuxnet-B
- Symantec : W32.Temphid
- Trend Micro : WORM_STUXNET.A
Stuxnet tamén pode ter algúns "parentes" que van meus nomes como Duqu ou Flame .
Como eliminar Stuxnet
Dado que o software de Siemens está comprometido cando unha computadora está infectada con Stuxnet, é importante contactarlles se se sospeita unha infección.
Tamén execute unha verificación completa do sistema cun programa antivirus como Avast ou AVG ou un escáner de virus baixo demanda, como Malwarebytes.
Tamén é necesario manter Windows actualizado , o que podes facer con Windows Update .
Vexa Como escanear correctamente o computador para o malware se precisa axuda.