Worm.Win32.Stuxnet se remarcă prin faptul că este un instrument de spionaj industrial, fiind proiectat pentru a obţine acces la sistemul de operare Siemens WinCC, responsabil cu monitorizarea producţiei şi colectarea datelor.
Încă de la apariţia sa, în luna iulie 2010, experţii în securitate IT au urmărit cu atenţie evoluţia Worm.Win32.Stuxnet. Astfel, specialiştii Kaspersky Lab au descoperit că – în plus faţă de vulnerabilitatea detectată iniţial – acest tip de malware exploata alte patru breşe de securitate din Windows, care aveau legătură directă cu procesarea fişierelor de tip LNK şi PIF. Un exemplu este vulnerabilitatea MS08-067, de asemenea folosită de „celebrul” vierme Kido (Conficker) la începutul anului 2009.
Iniţial, celelalte trei vulnerabilităţi erau necunoscute şi există în continuare în versiunile curente de Windows.
Pe lângă MS08-067, Stuxnet foloseşte o altă problemă de securitate din Windows, prezentă în serviciul Windows Print Spooler. Codul malware este trimis către un computer conectat la distanţă, unde este şi executat, încercând apoi să răspândească infecţia la toate computerele din reţea folosind imprimanta sau accesul partajat la ea.
Imediat ce Kaspersky Lab a detectat această vulnerabilitate, a fost raportată la Microsoft, care a analizat-o şi a recunoscut gradul de risc ridicat pentru utilizatori. Aceasta a fost clasificată ca fiind „critică”, Microsoft începând să lucreze la remedierea ei şi lansând ieri, 14 septembrie 2010, patch-ul MS10-061.
Cu toate acestea, specialiştii Kaspersky Lab au detectat o altă vulnerabilitate „zero-day” în codul Stuxnet, clasificată ca „Elevation of Privilege” (EoP), care poate fi exploatată de vierme pentru a obţine control total asupra computerului.
O breşă de securitate de tip EoP a fost identificată şi de Microsoft, ambele urmând să fie reparate odată cu lansarea viitorului set de actualizări de securitate.
Alexander Gostev, Chief Security Expert la Kaspersky Lab, a jucat un rol important în identificarea Stuxnet, colaborând intens cu Microsoft pentru rezolvarea problemei.
Alex a scris un blog post referitor la acest episod, iar datele colectate în timpul analizei, inclusiv detalii despre modul în care pot fi exploatate vulnerabilităţile, vor fi prezentate la conferinţa Virus Bulletin care va avea loc luna aceasta în Canada.
„Stuxnet este primul tip de malware care poate exploata patru vulnerabilităţi software în acelaşi timp”, spune Alex Gostev. „Este ceva unic pentru un vierme ca Stuxnet: este prima ameninţare informatică ce include atât de multe «surprize» într-un singur pachet. Înainte să identificăm noua vulnerabilitate, aceasta ar fi valorat o avere pentru hackeri, iar datorită faptului că Stuxnet foloseşte şi certificate digitale Realtek şi Jmicron – şi nu uitaţi că, în cele din urmă, a fost proiectat pentru a fura datele stocate în Simatic WinCC SCADA – nu putem concluziona decât că această ameninţare este una fără precedent în domeniul securităţii IT.
Trebuie să recunoaştem, infractorii cibernetici au demonstrat capacităţi remarcabile de programare”, încheie acesta.
Toate produsele Kaspersky Lab detectează şi neutralizează cu succes Worm.Win32.Stuxnet.