Отчет о черве Win32/Stuxnet
Компания ESET выпустила аналитический отчет Stuxnet Under the Microscope, в котором рассмотрены технические особенности внутреннего устройства червя Win32/Stuxnet, характер его распространения, а также цели, преследуемые создателями вредоносной программы.
Червь Win32/Stuxnet был обнаружен специалистами ESET в начале июля 2010 г. В отличие от большинства вредоносных программ, которые ежедневно появляются в Интернете и нацелены на широкий спектр компьютеров, Win32/Stuxnet рассчитан на узкий круг корпоративных систем. Задача червя состоит во внедрении вредоносного функционала в промышленные информационные системы класса SCADA.
Как полагают аналитики, каждый нюанс работы Win32/Stuxnet преследует определенную цель. Червь располагает механизмами контроля количества заражений и самоликвидации. Атаки с использованием столь сложного ПО готовятся очень длительное время. По-видимому, Win32/Stuxnet разработан группой высококвалифицированных специалистов, которые хорошо ориентируются в слабых местах современных средств информационной безопасности. Червь сделан таким образом, чтобы оставаться незамеченным как можно дольше. В качестве механизмов распространения вредоносная программа использует несколько серьезных уязвимостей с возможностью удаленного выполнения кода, часть из которых остаются незакрытыми и сегодня. Стоимость таких уязвимостей на черным рынке может достигать 10 тыс. евро за каждую. А цена уязвимости в обработке LNK/PIF-файлов (MS10-046), позволяющей червю распространяться через внешние носители, еще выше.
Некоторые компоненты Win32/Stuxnet были подписаны легальными цифровыми сертификатами компаний JMicron и Realtek. В результате вплоть до отзыва сертификатов вредоносное ПО было способно обходить большое количество реализаций технологии защиты от внешних воздействий HIPS (Host Intrusion Prevention System).
Интересна география распространения Win32/Stuxnet. По состоянию на конец сентября наибольшая доля заражений (52,2%) приходится на Иран. Далее с большим отрывом следуют Индонезия (17,4%) и Индия (11,3%).
По словам представителей ESET, вполне вероятно, что за атаками может стоять какая-нибудь влиятельная организация, поскольку с технической точки зрения стоимость их очень велика, а для обычных киберпреступников не видны ее мотивы.
Отчет Stuxnet Under the Microscope подготовлен совместными усилиями специалистов из штаб-квартиры ESET в Сан-Диего, вирусной лаборатории в Братиславе и Центра вирусных исследований и аналитики российского представительства ESET. Русскоязычная версия отчета будет опубликована в октябре.