Stuxnet: kifinomult trükköket alkalmaz az iparos féreg

A Stuxnet féregre júliusban derült fény, amikor a kártékony program a Windows egyik sebezhetőségének kihasználásával elkezdett terjedni. A számítógépes károkozóra először a VirusBlokAda cég kutatói leltek rá, majd nem sokkal később az ismertebb biztonsági cégek is megerősítették a létezését. A féreg a nyáron nem azzal hívta fel magára a figyelmet, hogy töménytelen mennyiségben fertőzte meg a PC-ket, hanem éppen azzal, hogy nagyon célzott támadásokat indított különböző vállalatok ellen. Ezt hamar alátámasztotta az a tény, hogy a kártevő a Siemens egyes ipari rendszereiben is felbukkant.

A Siemens úgy tapasztalja, hogy a Stuxnet továbbra sem terjed széles körben, és eddig 14 olyan vállalatról van tudomása, amelyeknél az ipari rendszerekbe a féreg képes volt beférkőzni. Azonban a cég szerint a kártékony program ezekben az esetekben sem okozott károkat, nem akadályozta a termelési folyamatokat. Ennek ellenére érdemes kellő figyelmet fordítani a Stuxnet elleni védekezésre, mert mint kiderült, az jóval kifinomultabb technikákkal rendelkezik, mint azt korábban feltételezni lehetett.

A Symantec kutatói visszafejtették a Stuxnet forráskódját, és megállapították, hogy a kártevő nemcsak kémkedésre, adatok kiszivárogtatására alkalmas, hanem bizonyos körülmények között akár az ipari rendszerek átprogramozását is képes elvégezni. Az elsősorban USB-s adathordozókon keresztül terjedő Stuxnetnek mindössze arra van szüksége, hogy az eredeti, alapértelmezett Siemens jelszó használható legyen a hitelesítéshez. Amennyiben ez a feltétel adott, akkor a féreg meg tudja fertőzni a SCADA (Supervisory Control And Data Acquisition) rendszereket. Ezt követően - amennyiben talál aktív internet kapcsolatot, akkor - a támadók által előre meghatározott távoli szerverekre feltölti a legfontosabb konfigurációs adatokat. "A támadók meghatározhatják, hogy a PLC-k miként működjenek, és ennek megfelelően különféle kódokat, parancsokat küldhetnek vissza a fertőzött rendszerekre" - mondta Liam O'Murchu, a Symantec Security Response szakértője. Ezzel elérhetik, hogy a gyártásban résztvevő berendezések az igényeiknek megfelelően működjenek. A kockázatokat természetesen csökkenti, hogy sok esetben az ipari berendezések nem rendelkeznek közvetlen internet kapcsolattal.

A biztonsági cég arra is felhívta a figyelmet, hogy a Stuxnet rootkit összetevőket is tartalmaz, amelyek révén igyekszik elrejteni a jelenlétére utaló rendszermódosításokat, illetve az általa folytatott hálózati kommunikációt. További probléma, hogy a féreg Windows-os összetevőinek eltávolítása után még maradhatnak rejtett parancsok a rendszerekben. Ezért a Symantec azt tanácsolta, hogy ilyen esetekben célszerű egy auditot lefolytatni a kódokon, vagy megfelelő biztonsági mentésekből elvégezni a helyreállítást.