Stuxnet è un worm informatico che si rivolge ai tipi di sistemi di controllo industriale (ICS) comunemente usati negli impianti di supporto delle infrastrutture (ad esempio centrali elettriche, impianti di trattamento delle acque, linee di gas, ecc.).
Si dice che il verme sia stato scoperto per la prima volta nel 2009 o 2010, ma in realtà è stato scoperto che aveva attaccato il programma nucleare iraniano già nel 2007. A quei tempi, Stuxnet si trovava principalmente in Iran, Indonesia e India, rappresentando oltre l'85% di tutte le infezioni.
Da allora, il worm ha colpito migliaia di computer in molti paesi, rovinando completamente alcune macchine e spazzando via gran parte delle centrifughe nucleari iraniane.
Cosa fa Stuxnet?
Stuxnet è progettato per alterare i controllori logici programmabili (PLC) utilizzati in tali strutture. In un ambiente ICS, i PLC automatizzano attività di tipo industriale come la regolazione della portata per mantenere i controlli di pressione e temperatura.
È costruito per diffondersi solo su tre computer, ma ognuno di questi può diffondersi a tre altri, che è il modo in cui si propaga.
Un'altra delle sue caratteristiche è quella di diffondersi ai dispositivi su una rete locale che non è connessa a Internet. Ad esempio, potrebbe spostarsi su un computer tramite USB, ma poi diffondersi su altre macchine private dietro il router che non sono configurate per raggiungere le reti esterne, causando effettivamente l'infezione reciproca dei dispositivi intranet.
Inizialmente, i driver di dispositivo di Stuxnet erano firmati digitalmente poiché erano stati rubati da certificati legittimi applicati a dispositivi JMicron e Realtek, il che gli consentiva di installarsi facilmente senza alcuna richiesta sospetta all'utente. Da allora, tuttavia, VeriSign ha revocato i certificati.
Se il virus si ferma su un computer che non ha installato il software Siemens corretto, rimarrà inutile. Questa è una delle principali differenze tra questo virus e altri, in quanto è stata costruita per uno scopo estremamente specifico e non "vuole" fare qualcosa di nefasto su altre macchine.
Come fa Stuxnet a raggiungere i PLC?
Per motivi di sicurezza, molti dei dispositivi hardware utilizzati nei sistemi di controllo industriale non sono collegati a Internet (e spesso non sono nemmeno collegati a reti locali). Per contrastare questo, il worm Stuxnet incorpora diversi sofisticati mezzi di propagazione con l'obiettivo di raggiungere e infettare alla fine i file di progetto STEP 7 utilizzati per programmare i dispositivi PLC.
Ai fini della propagazione iniziale, il worm si rivolge ai computer che eseguono i sistemi operativi Windows e solitamente lo fa attraverso un'unità flash. Tuttavia, il PLC stesso non è un sistema basato su Windows, ma piuttosto un dispositivo proprietario della lingua macchina. Quindi Stuxnet attraversa semplicemente i computer Windows per arrivare ai sistemi che gestiscono i PLC, su cui rende il suo carico utile.
Per riprogrammare il PLC, il worm Stuxnet ricerca e infetta i file di progetto STEP 7, che vengono utilizzati da Siemens SIMATIC WinCC, un sistema di supervisione e acquisizione dati (SCADA) e interfaccia uomo-macchina (HMI) utilizzato per programmare i PLC.
Stuxnet contiene varie routine per identificare il modello PLC specifico. Questo controllo del modello è necessario in quanto le istruzioni a livello macchina varieranno su diversi dispositivi PLC. Una volta che il dispositivo target è stato identificato e infetto, Stuxnet ottiene il controllo per intercettare tutti i dati che entrano o escono dal PLC, inclusa la capacità di manomettere tali dati.
Nomi Stuxnet passa
Di seguito sono riportati alcuni modi in cui il programma antivirus potrebbe identificare il worm Stuxnet:
- F-Secure: Trojan-Dropper: W32 / Stuxnet
- Kaspersky: Rootkit.Win32.Stuxnet.b o Rootkit.Win32.Stuxnet.a
- McAfee: Stuxnet
- normanno: W32 / Stuxnet.A
- Sophos: Troj / Stuxnet-A o W32 / Stuxnet-B
- Symantec: W32.Temphid
- Trend Micro: WORM_STUXNET.A
Stuxnet potrebbe anche avere alcuni "parenti" che fanno nomi come Duqu o Flame.
Come rimuovere Stuxnet
Poiché il software Siemens è ciò che è compromesso quando un computer è infetto da Stuxnet, è importante contattarlo in caso di sospetta infezione.
Esegui anche una scansione completa del sistema con un programma antivirus come Avast o AVG o uno scanner antivirus su richiesta come Malwarebytes.
È inoltre necessario mantenere aggiornato Windows, cosa che puoi fare con Windows Update.
