El que necessites saber sobre el cuc Stuxnet
Stuxnet és un cuc informàtic que s'adreça als tipus de sistemes de control industrial (ICS) que s'utilitzen habitualment en infraestructures de suport (és a dir, centrals elèctriques, instal·lacions de tractament d'aigua, línies de gas, etc.).
Sovint es diu que el cuc ha estat descobert per primera vegada el 2009 o el 2010, però es va trobar que va atacar el programa nuclear iranià a partir de 2007. En aquells dies, Stuxnet es va trobar principalment a Iran, Indonèsia i Índia, que representaven més del 85% de totes les infeccions.
Des de llavors, el cuc ha afectat milers d'ordinadors en molts països, fins i tot arruïnant completament algunes màquines i eliminant una gran part de les centrífugues nuclears d'Iran.
Què fa Stuxnet?
Stuxnet està dissenyat per alterar els controladors lògics programables (PLC) que s'utilitzen en aquestes instal·lacions. En un entorn ICS, els PLC automatitzen tasques de tipus industrial com la regulació del cabal per mantenir els controls de pressió i temperatura.
Està construït per difondre's només a tres ordinadors, però cadascun d'ells es pot estendre a tres, de manera que es propaga.
Una altra de les seves característiques és difondre dispositius en una xarxa local que no està connectada a Internet. Per exemple, pot passar a una computadora per USB, però després es va estendre a altres màquines privades darrere de l' enrutador que no estan configurats per arribar a xarxes externes, de manera efectiva que els dispositius intranet es puguin infectar.
Inicialment, els controladors de dispositius de Stuxnet es van signar digitalment, ja que van ser robats de certificats legítims que s'aplicaven als dispositius JMicron i Realtek, el que va permetre instal·lar-se fàcilment sense cap missatge sospitós per a l'usuari. Des de llavors, VeriSign ha revocat els certificats.
Si el virus es troba en una computadora que no té el programari correcte de Siemens instal·lat, continuarà sent inútil. Aquesta és una de les principals diferències entre aquest virus i altres, ja que es va construir amb un propòsit extremadament específic i no vol "fer res nefarious en altres màquines".
Com fa que Stuxnet arribi als PLC?
Per motius de seguretat, molts dels dispositius de maquinari utilitzats en els sistemes de control industrial no estan connectats a Internet (i sovint ni tan sols estan connectats a cap xarxa local). Per contrarestar-ho, el cuc Stuxnet incorpora diversos mitjans de propagació sofisticats amb l'objectiu d'arribar i infectar finalment els fitxers de projecte STEP 7 utilitzats per programar els dispositius PLC.
Per als propòsits de propagació inicials, el cuc s'adreça als equips que executen els sistemes operatius de Windows, i normalment ho fa a través d'un dispositiu flaix . No obstant això, el propi PLC no és un sistema basat en Windows, sinó un dispositiu propietari de la màquina-llengua. Per tant, Stuxnet només travessa els ordinadors Windows per accedir als sistemes que administren els PLC, en què fa la seva càrrega útil.
Per reprogramar el PLC, el cuc Stuxnet busca i infecta els fitxers de projecte STEP 7, que són utilitzats per Siemens SIMATIC WinCC, un control de supervisió i adquisició de dades (SCADA) i un sistema de màquina-màquina (HMI) utilitzat per programar els PLC.
Stuxnet conté diverses rutines per identificar el model PLC específic. Aquesta verificació del model és necessària perquè les instruccions del nivell de màquina varien en diferents dispositius PLC. Una vegada que el dispositiu objectiu ha estat identificat i infectat, Stuxnet obté el control per interceptar totes les dades que entren dins o fora del PLC, inclosa la capacitat d'alterar aquestes dades.
Noms de Stuxnet Goes By
A continuació es detallen algunes maneres en què el vostre programa antivirus podria identificar el cuc Stuxnet:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b o Rootkit.Win32.Stuxnet.a
- McAfee : Stuxnet
- Norman : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-A o W32 / Stuxnet-B
- Symantec : W32.Temphid
- Trend Micro : WORM_STUXNET.A
Stuxnet també podria tenir alguns "familiars" que fan els meus noms com Duqu o Flame .
Com treure Stuxnet
Com que el programari de Siemens està compromès quan una computadora està infectada amb Stuxnet, és important contactar-los si es sospita una infecció.
També executeu una exploració completa del sistema amb un programa antivirus com Avast o AVG, o un escàner de virus sota demanda com Malwarebytes.
També cal mantenir Windows actualitzat , que podeu fer amb Windows Update .
Consulteu Com escanejar adequadament el vostre ordinador per obtenir malware si necessiteu ajuda.