Skip navigation

  O aplicaţie software foarte sofisticată care a infectat mai multe centrale electrice şi fabrici în ultimul an, reprezintă primul program informatic proiectat să provoace daune în lumea materială, avertizează experţi în securitatea informaţională, citaţi de Financial Times.

computer-malware

Viermele informatic Stuxnet reuşeşte să se infiltreze în sistemele de operare Microsoft Windows şi caută apoi o aplicaţie dezvoltată de Siemens, folosită la controlarea componentelor industriale, inclusiv valve şi frâne.

Stuxnet se poate ascunde în sistem până apar condiţiile necesare pentru declanşare, moment când emite noi comenzi pentru componente în sensul invers a ceea ce fac ele de obicei. Comenzile sunt atât de precise încât par să ţintească sectorul industrial, însă experţii nu au determinat încă ce componente sunt vizate sau cum vor reacţiona ele după ce sunt infectate.

La o conferinţă susţinută cu uşile închise săptămâna aceasta în SUA, Ralph Langer, un expert german în securitate industrială, a afirmat că Stuxnet ar ptea fi proiectat nu pentru a ataca un anumit sector ci mai probabil o singură centrală, speculând că ar putea fi vorba de o controversată unitată din Iran.

“Nu există loc de speculaţie că acesta este intr-adevăr primul atac cu o armă ciberneticădirecţionat către un proiect real”, spune şi Joe Weiss, , un expert american citat deseori ca autoritate în audierile Congresului pe teme de profil. “Singurta necunoscută este ţinta şi autorul atacului”, spune el.

Experţii afirmă că familiaritatea viruslui cu sistemele Windows şi Siemens şi schemele tehnice ale industriei ţintă fac din Styxnet produsul unei organizaţii bine finanţată şi organizată.

Troianul Stuxnet, care se răspândeşte prin intermediul dispozitivelor de stocare USB şi poartă o semnătură digitală a companiei Realtek Semiconductor, unul dintre cei mai mari producători de circuite integrate şi componente PC. Pentru o soluţie antivirus, un program software semnat digital este automat clasificat ca fiind „curat”, şi chiar adăugat în lista programelor „de încredere” (whitelist).

Problema a fost semnalată specialiştilor Kaspersky Lab de către analiştii companiei de securitate IT VirusBlokAda (VBA) din Belarus. De remarcat sunt cele două caracteristici ale acestui nou troian: foloseşte fişiere de tip LNK pentru a lansa comenzi de pe un stick USB infectat – şi nu tradiţionalul Autorun.inf -, metodă nemaiîntâlnită până la momentul de faţă, şi este semnat digital de Realtek.

„Malware-ul semnat digital este un coşmar pentru dezvoltatorii de programe antivirus”, spune Aleks Gostev, Chief Security Expert, Global Research and Analysis Team Kaspersky Lab. „Semnăturile digitale atestă faptul că un program este legitim, ele reprezentând un concept de bază în securitatea informatică. Infractorii cibernetici folosesc astfel de semnături digitale alese la întâmplare pentru a da legitimitate programelor pe care le creează, dar în cazul Stuxnet situaţia este diferită. Nu mai vorbim despre o semnătură oarecare, ci avem în faţă chiar garanţia oferită de Realtek, unul dintre cei mai importanţi producători de echipamente IT”, completează Gostev.

Fişierele semnate digital (Rootkit.Win32.Stuxnet) au funcţionalitate de rootkit – ascund malware-ul în sistem şi pe stick-urile USB pe care le infectează. Pentru a se asigura că certificatul eliberat de Realtek este unul legitim, experţii Kaspersky Lab l-au verificat prin intermediul VeriSign, care a confirmat acest fapt.

Fişierele au fost semnate în data de 25 ianuarie 2010, dar certificatul a expirat pe 12 iunie 2010, dată care coincide cu perioada în care Stuxnet a fost identificat pentru prima dată de VBA. Experţii Kaspersky Lab au mai multe ipoteze referitoare la modul în care acest fişier malware a fost semnat de Realtek, însă vor publica rezultatele analizei în momentul în care una dintre aceste ipoteze se va confirma.

Stuxnet, un vierme informatic care a apărut iniţial în Iran, provoacă îngrijorare printre experţii în soluţii de securitate. Asta pentru că ţinta atacului şi regiunea geografică în care a apărut sugerează faptul că acesta a fost iniţiat de un grup de infractori cibernetici profesionişti, iar scopul principal al lui Stuxnet nu este spionajul sistemelor infectate, ci acela de a iniţia o acţiune de sabotaj. Potrivit kasperski Lab, toate aceste indicii arată că dezvoltarea viermelui Stuxnet a fost susţinută de oficialităţile unui stat, care dispune de informaţii puternice şi valoroase.

Specialiştii sunt de părere că Stuxnet este prototipul unei arme cibernetice, care va conduce la crearea de noi instrumente de atac foarte periculoase. Ei susţin că, de data aceasta, lumea se confruntă cu o cursă a înarmării cibernetice.

“Cred că am ajuns la un moment de cotitură, deoarece ne confruntăm cu o nouă lume, o nouă abordare a infracţionalităţii cibernetice. În trecut erau doar infractori cibernetici, acum constat cu teamă că ne apropiem de o eră a terorismului cibernetic, a armelor sofisticate şi a războaielor cibernetice”, a declarat Eugene Kaspersky, CEO şi co-fondator Kaspersky Lab.

Viermele încearcă accesarea şi reprogramarea de sisteme industriale de control

Viermele Stuxnet exploatează patru vulnerabilităţi de tip “zero-day” din Microsoft Windows

. De asemenea, Stuxnet a folosit şi două certificate digitale valide, furate de la Realtek şi JMicron, care i-au ajutat pe infractorii cibernetici să ascundă prezenţa malware-ului în sistem pentru o perioadă lungă de timp.

Viermele încearcă accesarea şi reprogramarea de sisteme industriale de control, ţintind sistemele de tip SCADA (Supervisory Control and Data Acquisition) produse

de compania Siemens, şi anume Simatic WinCC. Acestea sunt utilizate pentru monitorizarea şi administrarea infrastructurii şi proceselor de producţie. Sisteme similare sunt folosite la scară largă pe platformele petroliere, centrale electrice, platforme largi de comunicare, în aeroporturi, pe vapoare şi chiar în armată.

Stuxnet, creat de o echipă de profesionişti foarte experimentaţi

Computer-Malware-Guys

Cunoştinţele avansate ale sistemelor industriale de control, atacul sofisticat pe mai multe niveluri, folosirea de vulnerabilităţi “zero-day” şi furtul de certificate digitale valide i-au determinat pe cei de la Kaspersky Lab să constate că Stuxnet a fost creat de o echipă de profesionişti foarte experimentaţi, care posedă resurse vaste şi suport financiar

“Acest program periculos nu a fost creat pentru a fura bani, a trimite mesaje spam sau a fura date personale, ci pentru a sabota întreprinderi de producţie, pentru a distruge sisteme industriale. Constat că acesta este începutul unei noi ere. Anii ’90 au fost marcaţi de vandalism cibernetic, anii 2000 au însemnat deceniul infracţionalităţii cibernetice, iar acum ne apropiem de terorism şi războaie cibernetice”, a mai spus Eugene Kaspersky.

Cercetătorului german Ralph Langner a declarat că virusul este capabil să recunoască şi să distrugă anumite protocoale de control ale sistemelor. Mai mult, acesta suspecta că ţinta virusului era centrala nucleară Bushehr, mai ales că oficialii iraniei au invocat probleme diverse ce au condus la întârzierea punerii în funcţiune în totalitate a centralei.

Virusul Stuxnet a infectat 30.000 de computere industriale din Iran, însă, oficialii neagă faptul că ar fi afectat şi computerele de la prima centrală nucleară a ţării, de la Bushehr. Cu toate acestea, presa internațională notează că programul nulear al Iranului a fost atacat serios și era pe cale să sufere o cădere importantă.

Virusul a intrat în vizorul firmelor de securitate în iunie şi de atunci a fost monitorizat, ajungându-se la concluzia că se răspândeşte mai ales prin stick-uri USB, putând astfel să infecteze şi computere care în mod normal nu se conectează la internet. S-a ajuns la concluzia că Stuxnet profită de o vulnerabilitate a unui soft Siemens de management a infrastructurii şi poate astfel să reprogrameze calculatorul infectat, dându-i alte comenzi. Virusul poate infecta calculatoare care comandă diverse utilaje şi monitorizează funcţionarea acestora, pornind spre exemplu automat sistemele de răcire, operaţiuni delicate ce nu trebuie perturbate.

“Virusul nu a cauzat daune sistemelor principale ale centralei Bushehr. Toate computerele funcţionează normal şi nu au fost afectate de Stuxnet”, a declarat managerul de proiect, Mahmoud Jafari.
Virusul a fost depistat şi în India, Indonezia şi Pakistan, însă cele mai multe computere infectate sunt în Iran. Potrivit ministrului Telecomunicaţiilor din Iran, Reza Taqipour, “virusul nu a reuşit să pătrundă sau să cauzeze daune importante sistemelor guvernamentale”.

BBC citează experţi care spun că un astfel de virus a putut fi creat doar de un stat rival al Iranului şi dacă se va răspândi poate avea consecinţe nefaste asupra infrastructurii. Alţii spun, însă, că teoriile sunt pur alarmiste şi că nu există destul dovezi care să le susţină.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: