Pasaulē jau plaši ir izplatījusies informācija par jauno apraudējumu datoriem – Win32.Stuxnet - kā par absolūti jaunu vektoru ļaunprātīgo programmatūru izstrādāšanā. Tā kā antivīrusu kompāniju eksperti prognozē to hakeru peiplūdumu, kuri vēlēsies izmantot šo „jaunu vārdu” vīrusu rakstīšanā, svarīgi, lai datoru lietotāji savlaicīgi sagatavotos iespējamajiem jauniem uzbrukumiem. Brīdināts, tātad aizsargāts.

Tātad, pavisam nesen, 9.jūlijā, kļuva zināms, ka pasaulei radusies „unikāla” iespēja iepazīties ar jaunāko tārpu Win32/Stuxnet, kas, spriežot pēc visām pazīmēm, ir vērsts uz rūpniecisko spiegošanu.

Interesi piesaista fakts, ka tārps izmanto „zero-day” ievainojamību, jeb ievainojamību, par kuru nebija zināms plašai sabiedrībai. Šoreiz sabiedrībai nebija zināms par caurumu Windows® OS failu ar paplašinājumu LNK apstrādē, kas tiek izmantots nesankcionētai tārpa izplatīšanai no inficētām zibatmiņām. Ievainojamas izrādījās visas operētājsistēmas sākot ar Windows XP un ieskaitot Windows 7.

Unikalitātes piegaršu papildina arī tas, ka šim „jaundzimušajam” bija legāls digitālais paraksts no JMicron draiveru JMB 36x Host Controller Drivers R1.17.55 parakstīšanai. Turklāt, “pateicoties” legālajam parakstam un draiveru, kas tajā atradās, esamībai, Win32/Stuxnet var apiet arī tehnoloģiju HIPS (Host Intrusion Prevention System), kas aizsargā sistēmu no ārējās iedarbības mēģinājumiem. Tas ir pilnīgi loģiski, jo digitālā paraksta esamība daudzās sistēmās tiek uzskatīta par legālās programmatūras pazīmi.

 
Sertifikāta sērijas numurs - "47 6f 49 f4 c9 59 f6 56 e9 aa 1e b8 7f c5 29 bb."  Patlaban jau ir zināms, ka paraksts bija zagts un dotajā brīdī sertifikāts jau ir anulēts.

Turklāt, īpašu uzmanību ir pelnījusi arī Win32/Stuxnet izplatīšanas ģeogrāfija.

Attēlā redzam, ka visvairāk ir cietusi Amerika: tās daļa no visiem inficētiem datoriem ir 58%, Irānai - „tikai” 30%. Savukārt trešā pēc inficēšanas līmeņa ir Krievija, kur vērojami aptuveni 4% no inficējumiem. Pārējām valstīm tika krietni mazāk. Ativīrusu kompānijas ESET speciālisti saista uzbrukumu ģeogrāfiju ar to, cik „vilinoša” ir valsts rūpnieciskās spiegošanas kontekstā.

Kāds tad ir šī tārpa „efekts”? Visvairāk tas apdraud rūpniecisko sektoru. Turklāt, analīzes veikšanas gaitā netika konstatēti kibernoziedzīgās monetizācijas veidi, t.i. pagaidām ir mīglā tīts vai šo uzbrukumu ir iespējams izmantot tiešās peļņas nolūkā. Taču tika atklāti veidi kā savākt informāciju no SCADA sistēmām, kuras parasti tiek izmantotas lielajās rupnieciskajās organizācijās. Tādēļ tika izvirzīta versija, ka šis hakeru uzbrukums ir vērsts tieši uz rūpniecisko spiegošanu.

Visvairāk apdraudot rūpnieciskos objektus, tārps gandrīz vai nav skāris privāto datoru lietotājus – viņiem šis tārps ir tik pat bīstams kā jebkura cita ļaunprātīgā programma. Turklāt, tārps uzreiz pēc tā detektēšanas tika iekļauts ESET vīrusu bāzēs, tāpēc, ja Jums ir ESET  NOD32 vai ESET Smart Security – varat gulēt mierīgi.

Kāds tad ir veids kā pasargāt sevi no šī drauda? Viss ir elementāri, kā jebkuras citas ļaunprātīgās programmatūras gadījumā: 1. uzstādīt drošu antivīrusu – neskatoties uz to, ka šis paņēmiens ir vecs kā pasaule, toties tas ir vienkāršs un efektīvs; 2. uzstādīt atjauninājumus, ja Jūsu antivīruss to joprojām nedara automātiski; 3. sagaidīt ielāpu no Microsoft. Pagaidām varat uzstādīt patču, kas padara autorun pieejamu tikai CD un DVD. Tiesa, zibatmiņas mēdz būt nokonfigurētas tā, lai tās izskatītos pēc CD, taču jebkurā gadījumā šis solis mazinās inficēšanās draudus. Vai arī varat vienkārši atslēgt autorun – arī nesniedz 100% garantiju, taču būs mierīgāk.

Vairāk par šo draudu lasiet ESET blogā - http://blog.eset.com/
Informāciju sagatavoja:
Diana Germane, info@eset.lv