Stuxnet предназначен в первую очередь для ПК с программным обеспечением компании Siemens, которое обычно используется в различных промышленных системах управления производственными процессами. И это касается не мелких предприятий, а целых ядерных заводов. В коде Stuxnet содержится участок, который, теоретически, может позволить злоумышленникам получить доступ к тем самым системам управления. Stuxnet предназначен для атаки компонентов управления предприятием (SCADA), которые используются на химических, ядерных и прочих крупных (крупнейших) предприятиях.
«Stuxnet является 100%-но направленной атакой, которая направлена на нарушение хода обычных промышленных процессов в обычном же, а не виртуальном, мире», — говорит Ральф Ленгнер.
Ленгнер не голословен — сделав такое заявление на одной из конференций по информационной безопасности на производстве, он также опубликовал детальный анализ участков кода вируса на собственном сайте.
http://www.langner.com/en/index.htm
[img]http://www.langner.com/files/stux/ob35_inject.jpg[/img]
[INFO]: вирус Stuxnet для контроллеров Simens
-
errornet
- Posts: 57
- Joined: Mon Oct 30, 2006 8:54 am
- Location: Russia
-
errornet
- Posts: 57
- Joined: Mon Oct 30, 2006 8:54 am
- Location: Russia
вирус Simens WinCC
На днях корпорация Microsoft подтвердила наличие уязвимости "нулевого дня" во всех версиях Windows - от 2000 до 7. Причём уязвимость оказалась очень необычной.
Началось всего чуть больше месяца назад, когда специалисты белорусской компании "ВирусБлокАда" обнаружили очень необычную вредоносную программу. Это был червь Win32/Stuxnet. От своих собратьев он отличается в первую очередь тем, что использует ранее неизвестную уязвимость ОС Windows.
Уязвимость заключается в том, что при попытке отобразить иконку у специально сформированного файла с расширением .lnk (ярлык) в ОС может быть запущен произвольный код. Эта брешь в защите по-своему уникальна. Пользователю достаточно открыть папку с червём в любом приложении, которое способно отображать иконки файлов - Explorer, Total Commander и даже в диалоге открытия/сохранения файлов, - и всё, компьютер уже заражён.
Однако любопытнее всего то, что часть компонентов Win32/Stuxnet имела цифровую подпись. Причём самую настоящую, принадлежащую небезызвестной компании Realtek. Это вовсе не означает, что инженеры компании на досуге занимаются написанием вирусов. Скорее всего, злоумышленники получили доступ к приватным ключам, которые необходимы для создания цифровой подписи. Впрочем, и сам факт предполагаемой кражи ключей бросает тень на репутацию Realtek.
Наличие цифровой подписи сыграло злую шутку с антивирусами. Они считали червь вполне безопасным ПО и не препятствовали его проникновению. На данный момент сертификат уже отозван, а некоторые антивирусы вполне успешно детектируют попытки воспользоваться этой уязвимостью. К сожалению, ещё не все.
Ещё одна нетипичная черта Win32/Stuxnet - его направленность. Червь не содержит в явном виде каких-либо средств получения прибыли - будь то просьба отослать SMS или организация ботнета. [b]Червь ворует и пересылает информацию из баз данных SCADA-систем, в частности SIMATIC WinCC.[/b] Подобные системы широко используются в промышленности - для управления энергостанциями, технологическими процессами, кораблями, системами связи, нефтяными вышками. В общем, довольно сложными и критически важными объектами и инфраструктурами. Нетрудно догадаться, что Win32/Stuxnet, скорее всего, используется для промышленного шпионажа. Причём в очень больших масштабах.
Началось всего чуть больше месяца назад, когда специалисты белорусской компании "ВирусБлокАда" обнаружили очень необычную вредоносную программу. Это был червь Win32/Stuxnet. От своих собратьев он отличается в первую очередь тем, что использует ранее неизвестную уязвимость ОС Windows.
Уязвимость заключается в том, что при попытке отобразить иконку у специально сформированного файла с расширением .lnk (ярлык) в ОС может быть запущен произвольный код. Эта брешь в защите по-своему уникальна. Пользователю достаточно открыть папку с червём в любом приложении, которое способно отображать иконки файлов - Explorer, Total Commander и даже в диалоге открытия/сохранения файлов, - и всё, компьютер уже заражён.
Однако любопытнее всего то, что часть компонентов Win32/Stuxnet имела цифровую подпись. Причём самую настоящую, принадлежащую небезызвестной компании Realtek. Это вовсе не означает, что инженеры компании на досуге занимаются написанием вирусов. Скорее всего, злоумышленники получили доступ к приватным ключам, которые необходимы для создания цифровой подписи. Впрочем, и сам факт предполагаемой кражи ключей бросает тень на репутацию Realtek.
Наличие цифровой подписи сыграло злую шутку с антивирусами. Они считали червь вполне безопасным ПО и не препятствовали его проникновению. На данный момент сертификат уже отозван, а некоторые антивирусы вполне успешно детектируют попытки воспользоваться этой уязвимостью. К сожалению, ещё не все.
Ещё одна нетипичная черта Win32/Stuxnet - его направленность. Червь не содержит в явном виде каких-либо средств получения прибыли - будь то просьба отослать SMS или организация ботнета. [b]Червь ворует и пересылает информацию из баз данных SCADA-систем, в частности SIMATIC WinCC.[/b] Подобные системы широко используются в промышленности - для управления энергостанциями, технологическими процессами, кораблями, системами связи, нефтяными вышками. В общем, довольно сложными и критически важными объектами и инфраструктурами. Нетрудно догадаться, что Win32/Stuxnet, скорее всего, используется для промышленного шпионажа. Причём в очень больших масштабах.
-
errornet
- Posts: 57
- Joined: Mon Oct 30, 2006 8:54 am
- Location: Russia
Re: вирус lkz Simens Step7
"Доктор Веб" и "Лаборатория Касперского" как всегда не просекли целенаправленность вируса Stuxnet и заявили, что он "может использоваться киберпреступниками для того, в частности, чтобы блокировать доступ к данным и затем вымогать у жертвы деньги (посредством платных SMS-сообщений)"
компания Microsoft выпустила обновления для своих операционных систем, начиная с версии Windows XP SP3 и 64-битной версии Windows XP SP2. 32-битные версии Windows XP SP2 остались без обновлений, и именно они становятся под удар этой новой вредоносной программы".
компания Microsoft выпустила обновления для своих операционных систем, начиная с версии Windows XP SP3 и 64-битной версии Windows XP SP2. 32-битные версии Windows XP SP2 остались без обновлений, и именно они становятся под удар этой новой вредоносной программы".
-
errornet
- Posts: 57
- Joined: Mon Oct 30, 2006 8:54 am
- Location: Russia
Re: вирус lkz Simens Step7
презентация Ральфа Лангнера
http://community.controlglobal.com/cont ... conference
Статья
http://www.virusbtn.com/conference/vb20 ... inute7.xml
Германские хакеры, распотрошившие вирус также нашли сдохшего два года назад трояна на сайте родного нашего АтомСтройЭкспорта
http://community.controlglobal.com/cont ... conference
Статья
http://www.virusbtn.com/conference/vb20 ... inute7.xml
Германские хакеры, распотрошившие вирус также нашли сдохшего два года назад трояна на сайте родного нашего АтомСтройЭкспорта
-
errornet
- Posts: 57
- Joined: Mon Oct 30, 2006 8:54 am
- Location: Russia
Re: вирус lkz Simens Step7
В коде Stuxnet найдена ссылка на Книгу Эстер, которая, как известно, посвящена превентивному еврейскому удару против иранских злодеев.