Mr.Doors


Rambler's Top100



Вольт Маркет
Цель червя Stuxnet - Simatic WinCC

Факт наличия сразу четырех уязвимостей, впервые использованных в Stuxnet, делает данную вредоносную программу действительно уникальным явлением в истории. До сих пор нам не приходилось сталкиваться с угрозами, которые содержали бы в себе столько «сюрпризов». Добавьте к этому использование подлинных цифровых сертификатов Realtek и JMicron, и вспомните об основной цели червя – получении доступа к информации промышленных систем Simatic WinCC SCADA.
Несомненно, Stuxnet был создан профессионалами, обладающими обширными знаниями о существующих антивирусных технологиях и их слабых местах, информацией о неизвестных уязвимостях, архитектуре и устройстве WinCC и PSC7. Червь  Stuxnet  (помимо размножения) пытается получить доступ к системам управления промышленным производством, функционирующим на программном обеспечении WinCC, производства компании Siemens.

Я уже не могу вспомнить, кто первый из журналистов (или антивирусных экспертов), упомянул в этой связи электростанции (на некоторых из них действительно работает ПО WinCC) , но с тех пор над историей витает дух «промышленных атак», «межгосударственного шпионажа» и прочих параллелей, годных на пару-тройку сценариев для голливудских фильмов.

Действительно, Stuxnet пытается подключаться к системе визуализации WinCC SCADA , используя «пароль по-умолчанию», который компания Siemens заложила в свою программу.

В состав червя входит весьма интересный компонент, dll-файл, который представляет собой своеобразную «обертку» (wrapper) вокруг настоящей, оригинальной DLL от Siemens.
Эта «обертка» и пытается осуществлять взаимодействие с WinCC, перенаправляя большую часть функций в оригинальную dll. Остальные функции он эмулирует самостоятельно!
Это функции:
s7db_open
s7blk_write
s7blk_findfirst
s7blk_findnext
s7blk_read
s7_event
s7ag_test
s7ag_read_szl
s7blk_delete
s7ag_link_in
s7db_close
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

Кроме того, в модуле содержится несколько зашифрованных блоков данных (пример одного из расшифрованных блоков):

WinCC 

Компания Siemens в настоящее время проводит собственное расследование и анализ вредоносной программы. Ими опубликован специальный информационный отчет об инциденте, в котором сообщается об одном подтвержденном случае заражения клиента WinCC в Германии.
Процитирую оригинал:
"Currently there is still only one known case where a customer's WinCC computer has been infected. The virus infiltrated a purely engineering environment of a system integrator, but was quickly eliminated. A production plant has not been affected so far."
"There is only one known case of infection in Germany. We are, at present, trying to find out whether the virus caused any damage."
Siemens подтверждает, что червь способен передавать данные о промышленном процессе и продукции, а также пытается установить интернет-соединение с серверами злоумышленников, но в настоящее время данные серверы недоступны.
Отметим так же, что Siemens дополнил свой бюллетень информацией о том, что зафиксирован второй случай заражения.

Александр Гостев
Эксперт «Лаборатории Касперского»
Источник: securelist

 
Используете ли антивирус на пром. станциях?
 

Lamoda RU