Security

Cercetătorii de la Eset au descoperit oa doua variantă a viermelui Stuxnet care utilizează o vulnerabilitate recent dezvăluită pentru a ataca mașinile industriale Siemens

Cea de-a doua variantă, pe care Eset o numește "jmidebs.sys", se poate răspândi prin unități USB, exploatând un defect neprotejat în Windows care implică un fișier de scurtătură rău intenționat cu extensia ".lnk".

Ca viermele Stuxnet original, a doua variantă este de asemenea semnată cu un certificat folosit pentru a verifica integritatea unei aplicații când este instalată. Certificatul a fost cumpărat de la VeriSign de către JMicron Technology Corp., o companie din Taiwan, a scris pe blog-ul Pierre-Marc Bureau, cercetător senior la Eset.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

Primul certificat de vierme Stuxnet a venit de la Realtek Semiconductor Corp, deși VeriSign a revocat-o acum, a declarat David Harley, cercetător principal la Eset. Interesant este ca ambele companii sunt listate pentru a avea birouri in acelasi loc, Parcul Stiintific Hsinchu din Taiwan.

"Rareori vedem astfel de operatii profesionale", a scris Biroul. "Au furat certificatele de la cel puțin două companii sau le-au cumpărat de la cineva care le-a furat. În acest moment, nu este clar dacă atacatorii își schimbă certificatul, deoarece primul a fost expus sau dacă utilizează certificate diferite atacuri diferite, dar acest lucru arată că au resurse semnificative. "

Deși analiștii Eset studiază încă a doua variantă, este strâns legată de Stuxnet, a spus Harley. De asemenea, poate fi proiectat pentru a monitoriza activitatea sistemelor de control supraveghere și de achiziție de date (SCADA) Siemens WinCC, care sunt utilizate pentru gestionarea mașinilor industriale utilizate la fabricarea și centralele electrice. Codul celei de-a doua variante a fost elaborat pe 14 iulie, a declarat Harley.

În timp ce codul celei de-a doua variante pare a fi sofisticat, modul în care a fost lansat probabil nu era ideal. Eliberarea unui vierme, mai degrabă decât a unui troian, face probabilitatea ca cercetătorii din domeniul securității să vadă o probă mai devreme dacă se vor răspândi rapid, ceea ce subminează eficacitatea sa, a spus Harley.

"Asta îmi spune că poate că ceea ce căutăm este cineva din afara domeniului malware care nu a înțeles implicațiile ", a spus Harley. "Dacă intenționau să-și ascundă interesul în instalațiile SCADA, evident că nu au reușit."

Se crede că Stuxnet este prima piesă de malware vizată de Siemens SCADA. Dacă viermele găsește un sistem Siemens SCADA, utilizează o parolă implicită pentru a intra în sistem și apoi copia fișierele de proiect pe un site Web extern.

Siemens recomandă clienților săi să nu modifice parola, deoarece aceasta poate perturba sistemul. Siemens intenționează să lanseze un site web care să abordeze problema și să elimine malware-ul.

Microsoft a emis un aviz cu o soluție pentru vulnerabilitate până când un plasture este gata. Toate versiunile de Windows sunt vulnerabile

Trimiteți sfaturi pentru știri și comentarii la [email protected]