Червь Win32/Stuxnet был обнаружен специалистами ESET в начале июля
2010 года. В отличие от большинства вредоносных программ, которые
ежедневно появляются в сети Интернет и нацелены на широкий спектр
компьютеров, Win32/Stuxnet рассчитан на узкий круг корпоративных
систем. Задача данного червя состоит во внедрении вредоносного
функционала в промышленные информационные системы класса SCADA.
«Мы впервые столкнулись со столь хорошо спроектированной и
продуманной до мелочей вредоносной программой, – говорит Александр
Матросов, руководитель Центра вирусных исследований и аналитики
российского представительства ESET. – Каждый нюанс работы Win32/Stuxnet
преследует определенную цель. Червь располагает механизмами контроля
количества заражений и самоликвидации. Атаки с использованием столь
сложного ПО готовятся очень длительное время. Без всякого сомнения,
Win32/Stuxnet имеет целевую направленность».
Win32/Stuxnet разработан группой высококвалифицированных
специалистов, которые хорошо ориентируются в слабых местах современных
средств информационной безопасности. Червь сделан таким образом, чтобы
оставаться незамеченным как можно дольше. В качестве механизмов
распространения вредоносная программа использует несколько серьезных
уязвимостей с возможностью удаленного выполнения кода, некоторые из
которых остаются незакрытыми и сегодня. Стоимость таких уязвимостей на
черным рынке может достигать 10 тысяч евро за каждую. А цена уязвимости
в обработке LNK/PIF-файлов (MS10-046), позволяющей червю
распространяться через внешние носители, еще выше.
Некоторые компоненты Win32/Stuxnet были подписаны легальными
цифровыми сертификатами компаний JMicron и Realtek. В результате,
вплоть до отзыва сертификатов вредоносное ПО было способно обходить
большое количество реализаций технологии защиты от внешних воздействий
HIPS (Host Intrusion Prevention System).
«Одной из главных трудностей в процессе анализа стал большой объем
кода, – говорит Евгений Родионов, старший специалист по анализу сложных
угроз российского представительства ESET. – Только изучив устройство
каждого из многочисленных компонентов червя, складывается целостная
картина и понимание его возможностей. Наиболее интересной частью работы
стало обнаружение незакрытых Microsoft уязвимостей, которые
использовались червем в процессе заражения для локального повышения
привилегий».
Отчет «Stuxnet Under the Microscope»
подготовлен совместными усилиями специалистов ESET из штаб-квартиры в
Сан-Диего, вирусной лаборатории в Братиславе и Центра вирусных
исследований и аналитики российского представительства ESET.
Русскоязычная версия отчета будет опубликована в октябре.
Информация предоставлена компанией ESET ![](http://www.andromeda.at.ua/_pu/0/26497883.jpg)
|