专家说,超级工厂病毒恶意软件是突破性的技术,可能是在政府的支持下创建的。
Stuxnet蠕虫是一块“史无前例”的恶意软件在使用狡猾的补丁,所以复杂的多管齐下的办法,撕裂,他的安全研究人员认为它可能是有政府背景的专业人士的工作。
“这是了不起的,真的,走进这个蠕虫的资源,“Murchu阿利亚姆说,经理与赛门铁克安全响应团队操作。
说:“我叫它开创性Roel Schouwenberg,高级杀毒软件卡巴斯基实验室研究员。相比之下,其他值得注意的攻击,就像一个被称为“极光”黑客攻击谷歌的网络,和几十个其他的大公司,是孩子们的游戏。
O Murchu和Schouwenberg应该知道:他们两个保安公司工作,发现Stuxnet利用不仅仅是一个零日Windows错误,但四,前所未有的数量一段恶意软件。
Stuxnet,中旬首次报道6月中旬,一个鲜为人知的安全公司位于白俄罗斯、声名狼藉一个月后,当微软证实虫积极针对Windows电脑管理大型工业控制系统在制造业和公用事业公司。
这些控制系统通常被称为SCADA,“监控和数据采集,并运行从发电厂和工厂机械石油管道和军事设施。
当时,研究人员认为Stuxnet的根后来追踪早在2009年6月——利用一个修改,或“零日”漏洞在Windows和传播感染的USB闪存驱动器。
伊朗是最严重的打击Stuxnet,赛门铁克的研究人员,7月说,将近60%的被感染的电脑都位于这个国家。
微软补丁Stuxnet-exploited bug在Windows的捷径紧急更新8月2日。
不知道微软,插入一个四个零日漏洞,Stuxnet用于获得一个公司的网络,然后寻找感染管理的特定机器从德国电子巨头西门子SCADA系统控制软件。
Stuxnet的样本,卡巴斯基和赛门铁克的研究人员去工作,挖深在其代码为了学习它被套。
这两家公司独立地发现攻击目标三个应用补丁的Windows bug的代码。
“一周内,正式(Stuxnet的消息),我们发现了假脱机打印程序错误,“Schouwenberg说。“然后我们发现的一个bgi的bug(高程的特权)。”Microsoft researchers discovered a second EoP flaw, Schouwenberg said.
工作独立,赛门铁克研究人员发现假脱机打印程序错误和两个8月份bgi的漏洞。
微软两家公司报告他们的研究结果,假脱机打印程序漏洞打补丁周二,并表示将解决内bgi的错误在以后的安全更新。
“使用四个零日,这是真的,真的疯了,”O Murchu说。“我们从来没有见过。”
无论是卡巴斯基,Schouwenberg回荡。
但Stuxnet奇迹并没有就此止步。蠕虫病毒还利用Windows bug修补与微软的和ms08 - 067在2008年更新。这只虫子是一样的脆弱的灾难性的影响臭名昭著的Conficker蠕虫在2008年末和2009年初感染数百万的机器。
一旦在一个网络——最初交付通过一个USB设备,Stuxnet感染使用bgi的漏洞获得行政访问其他电脑,找到了系统运行WinCC和电脑7 SCADA管理程序,劫持他们利用假脱机打印程序或ms08 - 067错误,然后密码默认西门子试图霸占SCADA软件。
他们可以重新编程所谓PLC(可编程逻辑控制)软件给机械新的指令。
除此之外,Stuxnet攻击代码似乎是合法的,因为后面的人偷了至少两个签名的数字证书。
“复杂的组织和执行整个计划是非常令人印象深刻,”Schouwenberg说。“谁是这背后的使命进入任何公司或企业目标。”
O Murchu附议。”有很多不同类型的执行需要,很明显这是一个团队的人与不同背景、rootkit到数据库的利用,”他说。
恶意软件,重近半个字节,一个惊人的大小,说Schouwenberg——是用多种语言写,包括C、c++和其他面向对象语言,O Murchu补充道。
“从SCADA的一面,这是一个非常专业的领域,他们需要的实际物理硬件测试,并且知道特定的工厂是如何工作的,”O Murchu说。
”有人坐下来,说,“我希望能够控制在工厂地板上的东西,我想让它悄然蔓延,我需要有几个零日’,”O Murchu继续说。”然后整合这些资源。这是一个很大很大的工程。”
攻击者发现的风险最小化的方法之一是把一个计数器在受感染的USB接口,允许它传播到不超过3个人电脑。“他们想尽量限制这一威胁的传播,这样它将保持在目标设备。”O Murchu said.
他们聪明,Schouwenberg说。
一旦进入一个公司,Stuxnet ms08 - 067利用只有它知道目标是SCADA网络的一部分。“没有记录在大多数SCADA网络,安全,非常有限,非常缓慢的补丁周期,“Schouwenberg解释说,使long-patched ms08 - 067开发适合这份工作。
把这一切放在一起,这张照片是“可怕,”O Murchu说。
如此吓人,彻底的侦察,复杂的工作,所以卑鄙的袭击,两个O Murchu或Schouwenberg认为它甚至无法工作的一个先进的网络犯罪团伙。
“我不认为这是一个私人组织,”O Murchu说。“他们不只是信息后,所以竞争对手。他们想重新编程plc和操作机械意想不到的真正的运营商。指向的东西超过工业间谍。”
必要的资源和钱金融攻击,所说的一个私人领域的黑客团队,O Murchu说。
“这是专门针对伊朗的威胁,”他继续说。“这是独一无二的,它能够控制机械在现实世界中。”
“所有不同的情况下,从多个零日偷来的证书,其分布,最有可能的情况是一个国家政府支持集团“Schouwenberg说,他承认,有些人可能会认为他是戴着锡纸帽。但事实上,伊朗是一个目标告诉数量。
“这听起来像是一部电影,“Schouwenberg说。“但我认为这是合理的,突然的,这是国家支持的。”
“这是一个非常重要的项目,谁是背后,“O Murchu说。“但是当一个石油管道或发电厂,赌注是很高的。”
尽管西门子主张14个工厂它发现感染了SCADA系统没有影响或受到Stuxnet, O Murchu和Schouwenberg也不是那么肯定。
专家们不同意当Stuxnet的攻击开始了——卡巴斯基认为早在2009年7月,赛门铁克攻击回溯到2010年1月,但他们一致认为,虫子好几个月都没有被发现。
“我们不知道如果他们成功与否,但我认为他们有他们想要的目标,”O Murchu说,引用了隐形的性质和复杂性有虫吃。
“Stuxnet的指挥控制基础设施非常原始,非常基本,“Schouwenberg说。“我认为他们相信他们能够在他们发现之前做自己想做的事情。”
O Murchu将纸赛门铁克的Stuxnet病毒公报工作安全会议将开始9月29日在温哥华,不列颠哥伦比亚省。研究人员从微软和卡巴斯基将提供一个另纸在同一会议。
格雷格Keizer包括微软,安全问题,苹果,网络浏览器和计算机世界通用技术新闻。在Twitter上关注格雷格@gkeizer,或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@ix.netcom.com。
阅读更多关于恶意软件和漏洞在计算机世界的恶意软件和漏洞的话题中心。
这个故事,“Stuxnet是有史以来最好的恶意软件?”最初发表的《计算机世界》 。