Stuxnet เป็นหนอนคอมพิวเตอร์ที่กำหนดเป้าหมายประเภทของระบบควบคุมอุตสาหกรรม (ICS) ซึ่งมักใช้ในสิ่งอำนวยความสะดวกสนับสนุนโครงสร้างพื้นฐาน (เช่นโรงไฟฟ้า, โรงงานบำบัดน้ำ, สายแก๊ส, ฯลฯ )
หนอนมักถูกกล่าวว่าได้รับการค้นพบครั้งแรกในปีพ. ศ. 2552 หรือ พ.ศ. 2553 แต่พบว่ามีการโจมตีโครงการนิวเคลียร์ของอิหร่านนับ แต่ช่วงต้นปี 2550 ในสมัยนั้น Stuxnet พบว่าส่วนใหญ่อยู่ในอิหร่านอินโดนีเซียและอินเดียคิดเป็นกว่า 85% ของการติดเชื้อทั้งหมด
ตั้งแต่นั้นเป็นต้นมาหนอนดังกล่าวได้ส่งผลกระทบต่อคอมพิวเตอร์หลายพันเครื่องในหลายประเทศแม้กระทั่งทำลายเครื่องจักรทั้งหมดและกวาดล้างโรงงานผลิตเครื่องปั่นไฟนิวเคลียร์ของอิหร่านเป็นจำนวนมาก
Stuxnet ทำอะไร?
Stuxnet ได้รับการออกแบบมาเพื่อปรับเปลี่ยน Controller ลอจิก (Programmable Logic Controllers - PLCs) ที่ใช้ในสิ่งอำนวยความสะดวกเหล่านั้น ในสภาวะแวดล้อมแบบ ICS PLC จะทำงานประเภทอุตสาหกรรมโดยอัตโนมัติเช่นการควบคุมอัตราการไหลเพื่อรักษาความดันและการควบคุมอุณหภูมิไว้
มันสร้างขึ้นเพื่อกระจายไปยังเครื่องคอมพิวเตอร์สามเครื่องเท่านั้น แต่แต่ละเครื่องสามารถแพร่กระจายไปยังอีก 3 เครื่องซึ่งเป็นวิธีการแพร่กระจาย
หนึ่งในลักษณะของมันคือการแพร่กระจายไปยังอุปกรณ์ในเครือข่ายท้องถิ่นที่ไม่ได้เชื่อมต่อกับอินเทอร์เน็ต ตัวอย่างเช่นอาจย้ายไปยังคอมพิวเตอร์เครื่องหนึ่งผ่านทาง USB แต่จะแพร่กระจายไปยังเครื่องส่วนตัวอื่น ๆ ที่อยู่เบื้องหลังเราเตอร์ที่ไม่ได้รับการตั้งค่าเพื่อเข้าถึงเครือข่ายภายนอกทำให้อุปกรณ์อินทราเน็ตก่อให้เกิดการติดไวรัสได้อย่างมีประสิทธิภาพ
ในตอนแรกโปรแกรมควบคุมอุปกรณ์ของ Stuxnet ได้รับการลงนามแบบดิจิทัลเนื่องจากถูกขโมยจากใบรับรองที่ถูกต้องตามกฎหมายที่ใช้กับอุปกรณ์ JMicron และ Realtek ซึ่งอนุญาตให้ติดตั้งได้ง่ายโดยไม่ต้องแจ้งให้ผู้ใช้ทราบ ตั้งแต่นั้น VeriSign ได้เพิกถอนใบรับรอง
หากไวรัสติดไวรัสบนคอมพิวเตอร์ที่ไม่ได้ติดตั้งซอฟต์แวร์ Siemens ที่ถูกต้องก็จะไม่มีประโยชน์ นี่เป็นข้อแตกต่างที่สำคัญระหว่างไวรัสตัวนี้กับคนอื่น ๆ เนื่องจากมันถูกสร้างขึ้นเพื่อวัตถุประสงค์เฉพาะอย่างยิ่งและไม่ "ต้องการ" ที่จะทำอะไรที่ร้ายกาจในเครื่องอื่น
Stuxnet Reach PLC ทำงานอย่างไร?
เพื่อเหตุผลด้านความปลอดภัยอุปกรณ์ฮาร์ดแวร์จำนวนมากที่ใช้ในระบบควบคุมอุตสาหกรรมไม่ได้เชื่อมต่อกับอินเทอร์เน็ต (และมักไม่ได้เชื่อมต่อกับเครือข่ายท้องถิ่นใด ๆ ) เพื่อตอบโต้นี้หนอน Stuxnet มีวิธีการแพร่กระจายที่ซับซ้อนหลายวิธีโดยมีเป้าหมายในการเข้าถึงและติดไฟล์ STEP 7 ที่ใช้ในการโปรแกรมอุปกรณ์ PLC
เพื่อวัตถุประสงค์ในการแพร่กระจายครั้งแรกหนอนจะกำหนดเป้าหมายคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows และทำสิ่งนี้ผ่านแฟลชไดรฟ์ อย่างไรก็ตาม PLC ตัวเองไม่ใช่ระบบที่ใช้ Windows แต่เป็นอุปกรณ์ภาษาที่เป็นกรรมสิทธิ์ ดังนั้น Stuxnet จึงสำรวจคอมพิวเตอร์ Windows เพื่อเข้าสู่ระบบที่จัดการ PLCs ซึ่งจะทำให้มีการโหลดข้อมูล
ในการทำโปรแกรม PLC ใหม่หนอน Stuxnet จะค้นหาและติดตั้งไฟล์โครงการ STEP 7 ซึ่งใช้โดย Siemens SIMATIC WinCC การควบคุมดูแลและการรับข้อมูล (SCADA) และระบบอินเตอร์เฟซมนุษย์ (HMI) ที่ใช้ในการโปรแกรม PLCs
Stuxnet มีขั้นตอนต่างๆเพื่อระบุรูปแบบ PLC เฉพาะ การตรวจสอบแบบนี้เป็นสิ่งที่จำเป็นเนื่องจากคำแนะนำในระดับเครื่องจะแตกต่างกันไปในอุปกรณ์ PLC ต่างๆ เมื่ออุปกรณ์เป้าหมายได้รับการระบุและถูกบุกรุกแล้ว Stuxnet จะได้รับการควบคุมเพื่อสกัดข้อมูลทั้งหมดที่ไหลเข้าหรือออกจาก PLC รวมถึงความสามารถในการเจาะข้อมูลดังกล่าว
ชื่อ Stuxnet Goes By
ต่อไปนี้เป็นวิธีที่โปรแกรมป้องกันไวรัสของคุณอาจระบุหนอน Stuxnet:
- F-Secure: Trojan-Dropper: W32 / Stuxnet
- Kaspersky: Rootkit.Win32.Stuxnet.b หรือ Rootkit.Win32.Stuxnet.a
- McAfee: Stuxnet
- นอร์แมน: W32 / Stuxnet.A
- Sophos: Troj / Stuxnet-A หรือ W32 / Stuxnet-B
- ไซแมนเทค: W32.Temphid
- เทรนด์ไมโคร: WORM_STUXNET.A
Stuxnet อาจมี "ญาติ" บางส่วนที่ไปตามชื่อเช่น Duqu หรือ Flame
วิธีการลบ Stuxnet
เนื่องจากซอฟต์แวร์ของซีเมนส์เป็นสิ่งที่ถูกบุกรุกเมื่อคอมพิวเตอร์บุกรุก Stuxnet สิ่งสำคัญคือต้องติดต่อพวกเขาหากสงสัยว่ามีการติดเชื้อ
เรียกใช้การสแกนระบบแบบเต็มรูปแบบด้วยโปรแกรมป้องกันไวรัสเช่น Avast หรือ AVG หรือสแกนเนอร์ไวรัสตามต้องการเช่น Malwarebytes
นอกจากนี้คุณจำเป็นต้องอัปเดต Windows ซึ่งคุณสามารถทำกับ Windows Update ได้
