По информации вирусной лаборатории компании ESET, червь Win32/Stuxnet был обнаружен несколько дней назад. Наибольшее распространение угроза получила в США и Иране – на эти страны пришлось 58% и 30% случаев заражения соответственно. На третьем месте Россия, где зарегистрировано 4% случаев.
Опасность промышленных масштабов
По словам специалистов ESET, червь является уникальным, поскольку использует так называемую «уязвимость нулевого дня», то есть уязвимость, о которой ранее не было известно. Поскольку действия злоумышленников направлены на системы класса SCADA, антивирусные аналитики пришли к выводу, что хакеры используют данное вредоносное ПО для промышленного шпионажа. По мнению аналитиков ESET, в пользу этой версии также говорит тот факт, что наибольшее распространение вирус получил в США.
При запуске этой вредоносной программы используется ранее неизвестная уязвимость в обработке файлов с расширением LNK, содержащихся на USB-накопителе. Вредоносный код исполняется в результате существования уязвимости в Windows Shell (интерфейс, с помощью которого можно управлять операционной системой). По данным аналитиков, новый способ распространения может повлечь появление других злонамеренных программ, использующих такую технологию заражения, поскольку «дыра» еще не «залатана».
Специалисты также отмечают, что злоумышленники разработали Win32/Stuxnet таким образом, что вирус осуществляет вредоносные действия максимально незаметным образом. Программа способна обходить технологию HIPS, которая защищает систему от попыток внешнего воздействия, потому что вирус использует легальные цифровые подписи.
Программа опасна еще и тем, что распространяется через USB-носители – это крайне эффективный для масштабных атак способ.
Это далеко не первый случай промышленного шпионажа с помощью вирусов, отметил руководитель Центра вирусных исследований и аналитики российского представительства компании ESET Александр Матросов.
«Написание такого рода вредоносного ПО — это отдельное направление киберпреступного бизнеса, которое нацелено на кражу определенных данных или отслеживание информационных потоков определенной компании, — пояснил Infox.ru эксперт. – Ярким примером недавней целенаправленной атаки является так называемая операция «Аврора», в рамках которой злоумышленникам удалось успешно атаковать ряд крупных корпораций».
По словам Александра Матросова, в процессе распространения Win32/Stuxnet наблюдается хорошо спланированная и подготовленная целевая атака.
«Она совершенно точно была спланирована не одним человеком, а группой злоумышленников, — отметил эксперт. – Каждый день мы выясняем все более интересные детали этой атаки, некоторые из которых заставляют нас пересмотреть уже найденные факты в новом свете».
Оценить объем ПО для шпионажа в общем объеме ПО в ESET не взялись, поскольку установить точные цели злоумышленников можно только в процессе подробного анализа. А те объемы вредоносных программ, которые антивирусные аналитики получают ежедневно, не позволяют им проводить детальный анализ каждого полученного файла.
Не просто промышленный шпионаж
Интересно, что новый вирус имеет легальные цифровые подписи реально существующих компаний Realtek и – в новых модификациях – JMicron. Известно, что обе эти компании имеют офисы в Hsinchu Science Park на Тайване.
«На данный момент мы уверены, что это именно целевая атака, направленная на сбор информации в производственных системах SCADA, — рассказал Александр Матросов. – Кто был основной мишенью и почему, по нашим статистическим данным, получился такой интересный ландшафт распространения угрозы, еще предстоит выяснить. Пока есть только смелые догадки, которые не подтверждены фактами».
«Интересный ландшафт» — это страны, на которые пришлось больше всего случаев инфицирования. На возможную версию о том, что вирус мог появиться в США, косвенно указывает характер его распространения.
«Основной способ распространения этой вредоносной программы связан с ранее неизвестной уязвимостью, рассчитанной на теневое распространение с использованием USB-накопителей, — пояснил Александр Матросов. – Способ такого рода распространения может вызвать лавинный эффект заражений в том регионе, где начала распространяться эта угроза. Несмотря на целевую направленность этой вредоносной программы, из-за способа ее распространения она попросту могла выйти из-под контроля преступной группы».
Для Windows Defenter выпущены обновления, которые препятствуют проникновению Win32/Stuxnet. Компания Microsoft также объявила о том, что выпустит патч, устраняющий дыру, но выйдет он не ранее 10 августа. Кроме того, для Windows 2000 и XP SP2 патча не будет, поскольку поддержка этих систем уже прекращена.
Кроме США, Ирана и России, в рейтинге стран, подверженных новой угрозе, значатся также Индонезия (3,04%), Фарерские острова (1,22%), Великобритания (0,77%), Турция (0,49%), Испания (0,44%) и Индия (0,29%). На остальные страны пришлось 1,73% случаев заражения новым вирусом.
