Новый USB-червь атакует системы управления заводов и предприятий

Новый компьютерный червь Stuxnet, распространяющийся через USB-накопители посредством критической уязвимости "нулевого дня" и содержащий руткит с цифровой подписью Realtek, используется для промышленного шпионажа. Вредонос нацелен на системы контроля производственными процессами (SCADA), работающие под управлением ПО SIMATIC WinCC корпорации Siemens, сообщает PC World.

В Siemens узнали о проблеме несколько дней назад — когда информация о черве начала распространяться через СМИ. "Вебпланета" также писала об отличительных свойствах этой вредоносной программы, однако информации о её предназначении на тот момент у нас ещё не было.

Оказывается, получив контроль над целевым компьютером, червь Stuxnet ищет другие USB-накопители и внедряет на них свой код для дальнейшего распространения. Кроме того, он пытается обнаружить на компьютере SIMATIC WinCC и подключиться к системе при помощи "умолчального" пароля.

Эксперты считают, что очень многие корпоративные пользователи WinCC не изменяли этот пароль. Между тем, пароль по умолчанию к этой системе выложен в открытый доступ ещё в 2008 году.

Siemens говорит, что его специалисты работают над этой проблемой не покладая рук. Обещают разработать утилиту для обнаружения и удаления Stuxnet. Однако пока пользователям не советуют менять никакие пароли, потому что это может привести к неработоспособности SCADA.

Предварительный анализ кода червя наводит на выводы о том, что вредонос не используется для получения контроля над SCADA (например, с целью шантажа), а, скорее всего, предназначен для промышленного шпионажа. Червь явно создан людьми, хорошо знакомыми с SIMATIC WinCC; только то, что он распространяется исключительно через флешки, говорит о многом (часто компьютеры с системами управления производственным процессом заводов и предприятий отключены от Интернета).

По данным "Лаборатории Касперского", Stuxnet обнаружен по большей части на компьютерах Ирана, Индонезии и Индии. Очевидно, очаг заражения находится где-то в этом регионе — как очевидно и то, что рано или поздно эпидемия может распространиться по всему миру: в Siemens сейчас ежедневно фиксируют по 9 тысяч попыток подключения к SIMATIC WinCC (в действительности, попыток заражения гораздо больше: сименсовский софт весьма специфический, и установлен далеко не везде).

"Программу писали явно не ради развлечения и не для того, чтобы кому-то что-то доказать, слишком уж тщательно она сделана. Одна только неизвестная прежде уязвимость Windows, которую использует вирус, на черном рынке стоит несколько десятков тысяч долларов. Очевидно, люди рассчитывали заработать на этом вирусе много больше", — цитирует РИА Новости эксперта "Лаборатории Касперского" Александра Гостева.

В минувшую пятницу Microsoft признала наличие неизвестной доселе уязвимости в обработке файлов-ярлыков. Когда будет выпущена "заплатка", не известно.

Пока что в компании советуют "обойти" уязвимость одним из двух способов: либо отключив отображение пиктограмм ярлыков, либо отключив службу WebClient. (При этом здесь, похоже, поторопились, заявив сперва, по свидетельству F-Secure, что пользователь должен запустить lnk-файл, чтобы сработал эксплойт — в действительности, достаточно только просмотреть содержимое зараженной флешки, например, в Проводнике.)

Будем надеяться, что специалисты Microsoft не затянут с выпуском обновления безопасности, а, возможно, даже сделают это вне привычного графика. Тем более что в воскресенье некий французский "компьютерный гений" уже опубликовал код эксплойта для этой уязвимости (прямую ссылку на этот код мы не дадим по ряду соображений). Стоит также добавить, что неделю назад Microsoft выпустила последние обновления безопасности для Windows XP SP2 — поддержка этой версии ОС уже подошла к концу. Так что не исключено, что даже если "заплатка" и выйдет, очень многие юзеры останутся без защиты.

Что до руткит-модулей с цифровой подписью Realtek, то Verisign уже отозвала соответствующий сертификат (срок действия которого всё равно уже истёк). Однако каким образом злоумышленники завладели этой подписью, пока остаётся неясным. Realtek молчит, хотя, благодаря стараниям белорусской компании "ВирусБлокАда", знает о проблеме ещё с конца июня. Между тем, специализация червя — промышленный шпионаж — наводит на мысли о том, что подписи, скорее всего, также были украдены.