Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Mirt i gujawa, część 5

Aleksander Gostiew
Kaspersky Lab Expert
Dodany 27 lipca 2010, 10:48 CEST
Tagi:

Do tej pory w naszej historii w odcinkach o robaku Stuxnet skupiliśmy się na głównej kwestii: jest nią zagrożenie, jakie stanowi luka zero-day w przetwarzaniu plików LNK, oraz fakt, że cyberprzestępcom w jakiś sposób udało się uzyskać dostęp do certyfikatów cyfrowych. Jednak nie przyjrzeliśmy się jeszcze funkcjonalności robaka.

Każdy, kto śledzi tę historię, prawdopodobnie przeczytał już, w jaki sposób Stuxnet, poza rozmnażaniem się, próbuje uzyskać dostęp do systemów przemysłowych działających pod kontrolą WinCC firmy Siemens.

Nie pamiętam już, który dziennikarz czy analityk antywirusowy po raz pierwszy wspomniał o elektrowniach (z których niektóre z pewnością posiadają WinCC) w związku z robakiem Stuxnet. Od tego czasu cała historia nabrała cech filmu rodem z Hollywood. Pojawiły się szemrania o „atakach na przemysł” i „międzyrządowym szpiegostwie”.

(Jak działa WinCC; schemat z dokumentacji Siemensa)

Stuxnet próbuje połączyć się z systemem SCADA do wizualizacji WinCC przy użyciu hasła domyślnego firmy Siemens. Częścią robaka jest bardzo interesujący komponent, dll, który pełni rolę opakowania dla oryginalnego dll firmy Siemens. To właśnie to opakowanie próbuje połączyć się z WinCC, przekierowując większość funkcji do oryginalnego dll, oraz emulując pozostałe funkcje.

Są to następujące funkcje:

s7db_open
s7blk_write
s7blk_findfirst
s7blk_findnext
s7blk_read
s7_event
s7ag_test
s7ag_read_szl
s7blk_delete
s7ag_link_in
s7db_close
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

Moduł ten zawiera również kilka zaszyfrowanych bloków danych – poniżej przykład zaszyfrowanego bloku:

Siemens prowadzi obecnie własne dochodzenia i analizę tego szkodliwego oprogramowania. Firma opublikowała oficjalne informacje opisujące jeden potwierdzony przypadek infekcji klienta WinCC w Niemczech.

W raporcie tym czytamy:

„Obecnie znany jest tylko jeden przypadek infekcji komputera z WinCC, której ofiarą padł nasz klient. Wirus przeniknął środowisko inżynieryjne integratora systemowego, został jednak szybko wyeliminowany. Fabryka nie została w żaden sposób dotknięta tym incydentem”.

Istnieje tylko jeden znany przypadek infekcji w Niemczech. Obecnie próbujemy stwierdzić, czy wirus spowodował jakiekolwiek szkody”.

Siemens potwierdził również, że robak potrafi przesyłać dane produkcyjne i procesowe i próbuje ustanowić połączenie z serwerami cyberprzestępców. Na razie jednak serwery są nieaktywne.

P.S. Siemens właśnie opublikował następujące informacje:

„Obecnie wiadomo nam o dwóch przypadkach zainfekowania komputerów z WinCC na świecie. Jak dotąd fabryka jest bezpieczna”.