🕵️ Пятнадцать лет назад был обнаружен сетевой червь Win32/Stuxnet

Он считается первым в истории кибероружием, которое нанесло масштабные разрушения в физическом мире (и да, это недопустимое событие).

🎯 Основной целью Stuxnet были центрифуги для обогащения урана на иранском заводе в Нетензе

Сетевой червь вмешивался в работу промышленного оборудования — программируемых логических контроллеров (ПЛК) Siemens и рабочих станций SCADA-системы Simatic WinCC.

Предполагается, что заражение происходило из-за внутренних нарушителей (через USB-накопители), так как системы завода были изолированы от внешнего мира. Используя четыре уязвимости нулевого дня в Windows, Stuxnet заражал устройства под управлением этой ОС. Затем он искал системы с установленным ПО для управления ПЛК Simatic Step7, а после этого модифицировал исполняемый код внутри контроллеров.

Stuxnet заставлял центрифуги вращаться с опасными колебаниями скорости, что приводило к их постепенному разрушению. В результате из строя было выведено около тысячи центрифуг.

🔍 Впервые Stuxnet обнаружила команда белорусской компании «ВирусБлокАда» (в начале этого года Positive Technologies приобрела долю вендора).

Один из клиентов «ВирусБлокАда» — иранская компания — сообщила о странных сбоях Windows-систем, происходящих без видимой причины. При первичном анализе выяснилось, что заражение происходит при открытии ярлыков (файлов .lnk) с USB-накопителя, вредоносное ПО устанавливало два драйвера (руткиты), которые использовались для внедрения в системные процессы и сокрытия самого вредоноса.

После обнаружения Stuxnet:

• Microsoft выпустила экстренное обновление, закрывшее уязвимость в .lnk-файлах Windows. Позже были устранены и другие уязвимости, которые использовал сетевой червь.

• Siemens опубликовала руководство по обнаружению и устранению вредоноса. Производители ПЛК начали внедрять контроль целостности кода и системно подходить к защите промышленного ПО.

• Антивирусные компании выпустили обновления сигнатур и инструменты удаления Stuxnet.

🤗 История со Stuxnet стала началом появления кибероружия, которое влияет на физический мир

Чтобы обеспечить полную защиту конечных устройств, а также киберустойчивость инфраструктур наших клиентов, эксперты Positive Technologies совместно с командой «ВирусБлокАда» работают над усовершенствованием антивирусных технологий в наших продуктах.

С прошлого года они добавлены в песочницу PT Sandbox, до конца лета появятся в MaxPatrol EDR (продукте для выявления киберугроз на конечных устройствах и реагирования на них), до конца года в PT ISIM (системе мониторинга безопасности промышленных инфраструктур), а также экспертиза будет использоваться в PT NGFW (межсетевом экране нового поколения).

@Positive_Technologies