Apa yang anda perlu ketahui tentang cacing Stuxnet
Stuxnet adalah cacing komputer yang mensasarkan jenis sistem kawalan industri (ICS) yang biasa digunakan dalam kemudahan penunjang infrastruktur (iaitu loji kuasa, kemudahan rawatan air, garisan gas, dan sebagainya).
Cacing ini sering dikatakan telah ditemui pada tahun 2009 atau 2010 tetapi sebenarnya didapati telah menyerang program nuklear Iran seawal tahun 2007. Pada masa itu, Stuxnet ditemui terutamanya di Iran, Indonesia, dan India, menyumbang lebih 85% daripada semua jangkitan.
Sejak itu, cacing itu telah menjejaskan beribu-ribu komputer di banyak negara, malah merosakkan beberapa mesin dan menyapu sebahagian besar sentrifug nuklear Iran.
Apa yang dilakukan oleh Stuxnet?
Stuxnet direka untuk mengubah Pengawal Logik Programmable (PLC) yang digunakan di kemudahan tersebut. Dalam persekitaran ICS, PLC mengautomasikan tugas jenis industri seperti mengawal kadar aliran untuk mengekalkan kawalan tekanan dan suhu.
Ia dibina untuk hanya tersebar ke tiga komputer, tetapi masing-masing boleh menyebar ke tiga orang lain, iaitu bagaimana ia menyebarkan.
Satu lagi ciri-cirinya adalah untuk menyebarkan ke peranti pada rangkaian tempatan yang tidak disambungkan ke internet. Sebagai contoh, ia mungkin berpindah ke satu komputer melalui USB tetapi kemudian merebak ke beberapa mesin persendirian lain di belakang penghala yang tidak ditubuhkan untuk menjangkau rangkaian luar, dengan berkesan menyebabkan peranti intranet menjangkiti satu sama lain.
Pada mulanya, pemandu peranti Stuxnet ditandatangani secara digital kerana dicuri daripada sijil sah yang digunakan untuk peranti JMicron dan Realtek, yang membolehkannya memasang dengan mudah tanpa ada sebarang petunjuk yang mencurigakan kepada pengguna. Sejak itu, bagaimanapun, VeriSign telah membatalkan sijil tersebut.
Sekiranya virus itu jatuh pada komputer yang tidak dipasang perisian Siemens yang betul, ia akan tetap tidak berguna. Ini adalah satu perbezaan utama antara virus ini dan yang lain, kerana ia dibina untuk tujuan yang sangat khusus dan tidak "mahu" melakukan apa-apa yang jahat pada mesin lain.
Bagaimana Stuxnet Reach PLCs?
Atas sebab keselamatan, banyak peranti perkakasan yang digunakan dalam sistem kawalan perindustrian tidak berkaitan dengan internet (dan sering tidak disambungkan ke rangkaian tempatan). Untuk mengatasi masalah ini, worm Stuxnet menggabungkan beberapa cara penyebaran yang canggih dengan matlamat akhirnya mencapai dan menjangkiti fail projek LANGKAH 7 yang digunakan untuk memprogramkan peranti PLC.
Untuk tujuan penyebaran awal, cacing mensasarkan komputer yang menjalankan sistem operasi Windows, dan biasanya melakukan ini melalui pemacu denyar . Bagaimanapun, PLC itu sendiri bukan sistem berasaskan Windows melainkan peranti bahasa mesin proprietari. Oleh itu, Stuxnet hanya melintasi komputer Windows untuk mendapatkan sistem yang menguruskan PLC, di mana ia menghasilkan muatannya.
Untuk memprogram semula PLC, worm Stuxnet mencari dan menginfeksi fail projek STEP 7, yang digunakan oleh Siemens SIMATIC WinCC, sistem penyelarasan kawalan dan pemerolehan data (SCADA) dan sistem antara muka manusia (HMI) yang digunakan untuk memprogramkan PLC.
Stuxnet mengandungi pelbagai rutin untuk mengenal pasti model PLC tertentu. Pemeriksaan model ini diperlukan kerana arahan peringkat mesin akan berbeza pada peranti PLC yang berbeza. Sebaik sahaja peranti sasaran telah dikenal pasti dan dijangkiti, Stuxnet memperoleh kawalan untuk memintas semua data yang mengalir masuk atau keluar dari PLC, termasuk keupayaan untuk menganggu data tersebut.
Nama Stuxnet Goes By
Berikut ialah beberapa cara program antivirus anda dapat mengenal pasti cacing Stuxnet:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b atau Rootkit.Win32.Stuxnet.a
- McAfee : Stuxnet
- Norman : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-A atau W32 / Stuxnet-B
- Symantec : W32.Temphid
- Trend Micro : WORM_STUXNET.A
Stuxnet mungkin juga mempunyai beberapa "saudara" yang pergi nama saya seperti Duqu atau Flame .
Bagaimana untuk Buang Stuxnet
Oleh kerana perisian Siemens adalah yang dikompromikan apabila komputer dijangkiti Stuxnet, penting untuk menghubungi mereka jika jangkitan disyaki.
Juga jalankan imbasan sistem penuh dengan program antivirus seperti Avast atau AVG, atau pengimbas virus atas permintaan seperti Malwarebytes.
Ia juga perlu untuk memastikan Windows dikemas kini , yang boleh anda lakukan dengan Pembaruan Windows .
Lihat Bagaimana Benar Scan Komputer Anda untuk Malware jika anda memerlukan bantuan.