Eset, Stuxnet Solucanının İkinci Değişimini Keşfeder

Eset'teki araştırmacılar, Stuxnet solucanının, Siemens'in endüstriyel makinelere saldırmak için kısa süre önce açıklanan bir Windows güvenlik açığı kullanan ikinci bir varyantını keşfettiler.

Eset'in "jmidebs.sys" dediği ikinci varyantı, USB sürücüleri üzerinden yayılabilir. ".lnk" uzantısıyla kötü amaçlı bir kısayol dosyası içeren Windows'taki bir hatalı hatadan yararlanma.

Orijinal Stuxnet solucanı gibi, ikinci varyant da bir uygulamanın yüklü olduğunda bir uygulamanın bütünlüğünü doğrulamak için kullanılan bir sertifika ile imzalanır. Sertifika, Tayvan merkezli bir şirket olan JMicron Technology Corp. tarafından VeriSign'dan satın alındı, bir blogda Eset'in kıdemli araştırmacısı Pierre-Marc Bureau'yu yazdı.

[Ek okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

İlk Stuxnet solucanının sertifikası Realtek Semiconductor Corp.'dan geliyordu, ancak VeriSign şimdi iptal etmiş olsa da, Eset üst düzey araştırma görevlisi David Harley. İlginç bir şekilde, her iki şirketin de aynı yerde ofisleri var, Tayvan'daki Hsinchu Bilim Parkı.

"Bu tür profesyonel operasyonları nadiren görüyoruz" diye yazdı. "En az iki şirketten sertifikaları çaldılar ya da onları çalan birinden satın aldılar. Bu noktada, saldırganların sertifikalarını değiştirip değiştirmedikleri ya da farklı sertifikalar kullanıp kullanmadıkları açık değil. farklı saldırılar, ama bu onların önemli kaynaklara sahip olduğunu gösteriyor. "

Eset analistleri hala ikinci varyantı araştırıyor olsalar da, Stuxnet ile yakından ilişkilidir, dedi Harley. Ayrıca, üretim ve enerji santralleri için kullanılan endüstriyel makineleri yönetmek için kullanılan Siemens WinCC denetleyici kontrol ve veri toplama (SCADA) sistemlerinde etkinliği izlemek için tasarlanabilir. İkinci varyantın kodu 14 Temmuz'da derlendi, Harley dedi.

İkinci varyantın kodu sofistike görünürken, serbest bırakılma şekli muhtemelen ideal değildi. Bir Truva atı yerine bir solucan bırakmak, güvenlik araştırmacılarının, hızlı yayılırsa, onun etkinliğini baltalayan, hızlı bir şekilde bir örnek görmesini daha olası hale getiriyor, dedi Harley.

"Bu, belki de Harley, “Kötü amaçlı yazılım alanının dışındakileri anlamayı anlamadı” dedi. "SCADA kurulumlarına ilgilerini gizlemek niyetindeydiler, belli ki başarılı olmadılar."

Stuxnet'in, Siemens SCADA'yı hedefleyen ilk kötü amaçlı yazılım parçası olduğuna inanılıyor. Solucan bir Siemens SCADA sistemi bulursa, sistemin içine girebilmek ve proje dosyalarını harici bir Web sitesine kopyalamak için varsayılan bir parola kullanır.

Siemens, müşterinin parolayı değiştirmemesini tavsiye eder çünkü bu, sistemi bozabilir. Siemens, sorunu ele alan bir web sitesi ve kötü amaçlı yazılımın nasıl kaldırılacağını açıklamayı planlıyor.

Microsoft, bir yama hazır olana kadar güvenlik açığı için bir çözüm önerisi yayınladı. Windows'un tüm sürümleri savunmasızdır.

[email protected] adresine mesaj ve ipuçları gönder