O Stuxnet é um worm de computador que tem como alvo os tipos de sistemas de controle industrial (ICS) que são comumente usados em instalações de suporte a infra-estrutura (ou seja, usinas de energia, instalações de tratamento de água, linhas de gás, etc.).
O worm é frequentemente descoberto em 2009 ou 2010, mas foi descoberto que ele atacou o programa nuclear iraniano já em 2007. Naquela época, o Stuxnet era encontrado principalmente no Irã, na Indonésia e na Índia, respondendo por mais de 85%. de todas as infecções.
Desde então, o worm afetou milhares de computadores em muitos países, até mesmo arruinando completamente algumas máquinas e eliminando grande parte das centrífugas nucleares do Irã.
O que o Stuxnet faz?
O Stuxnet é projetado para alterar Controladores Lógicos Programáveis (PLCs) usados nessas instalações. Em um ambiente ICS, os PLCs automatizam tarefas do tipo industrial, como regular a vazão para manter os controles de pressão e temperatura.
Ele é construído para se espalhar apenas para três computadores, mas cada um deles pode se espalhar para outros três, que é como se propaga.
Outra de suas características é se espalhar para dispositivos em uma rede local que não esteja conectada à internet. Por exemplo, ele pode se mover para um computador via USB, mas depois se espalhar para outras máquinas privadas atrás do roteador que não estão configuradas para alcançar redes externas, o que efetivamente faz com que os dispositivos da intranet infectem uns aos outros.
Inicialmente, os drivers de dispositivo do Stuxnet eram assinados digitalmente, uma vez que eram roubados de certificados legítimos que se aplicavam aos dispositivos JMicron e Realtek, o que permitia que ele se instalasse facilmente, sem nenhum aviso suspeito para o usuário. Desde então, no entanto, a VeriSign revogou os certificados.
Se o vírus parar em um computador que não tenha o software Siemens correto instalado, ele permanecerá inútil. Esta é uma das principais diferenças entre este vírus e outros, pois foi construído para um propósito extremamente específico e não "quer" fazer algo nefasto em outras máquinas.
Como o Stuxnet alcança os PLCs?
Por motivos de segurança, muitos dos dispositivos de hardware usados nos sistemas de controle industrial não são conectados à Internet (e nem sempre estão conectados a nenhuma rede local). Para combater isso, o worm Stuxnet incorpora vários meios sofisticados de propagação com o objetivo de alcançar e infectar os arquivos de projeto do STEP 7 usados para programar os dispositivos PLC.
Para propósitos iniciais de propagação, o worm tem como alvo computadores que executam os sistemas operacionais Windows e geralmente faz isso por meio de uma unidade flash. No entanto, o próprio PLC não é um sistema baseado no Windows, mas sim um dispositivo proprietário de linguagem de máquina. Portanto, o Stuxnet simplesmente atravessa os computadores Windows para obter os sistemas que gerenciam os CLPs, sobre os quais ele renderiza sua carga útil.
Para reprogramar o PLC, o worm Stuxnet procura e infecta arquivos de projeto STEP 7, que são usados pelo Siemens SIMATIC WinCC, um sistema de controle de supervisão e aquisição de dados (SCADA) e interface homem-máquina (HMI) usado para programar os PLCs.
O Stuxnet contém várias rotinas para identificar o modelo específico de CLP. Esta verificação do modelo é necessária, pois as instruções no nível da máquina podem variar em diferentes dispositivos PLC. Uma vez que o dispositivo de destino tenha sido identificado e infectado, o Stuxnet ganha o controle para interceptar todos os dados que entram ou saem do CLP, incluindo a capacidade de adulterar esses dados.
Nomes Stuxnet vai por
A seguir estão algumas maneiras de o programa antivírus identificar o worm Stuxnet:
- F-Secure: Trojan-Dropper: W32 / Stuxnet
- Kaspersky: Rootkit.Win32.Stuxnet.b ou Rootkit.Win32.Stuxnet.a
- McAfee: Stuxnet
- normando: W32 / Stuxnet.A
- Sophos: Troj / Stuxnet-A ou W32 / Stuxnet-B
- Symantec: W32.Temphid
- Trend Micro: WORM_STUXNET.A
O Stuxnet também pode ter alguns "parentes" que usam nomes como Duqu ou Flame.
Como remover o Stuxnet
Como o software da Siemens é comprometido quando um computador é infectado pelo Stuxnet, é importante contatá-lo se houver suspeita de uma infecção.
Execute também uma verificação completa do sistema com um programa antivírus como o Avast ou o AVG ou um antivírus sob demanda, como o Malwarebytes.
Também é necessário manter o Windows atualizado, o que você pode fazer com o Windows Update.
