Robak W32/Stuxnet-B do załadowania się do systemu wykorzystuje lukę Windows w obsłudze plików skrótu .LNK. Dziura systemowa pozwala na automatyczny rozruch niebezpiecznego kodu w przypadku, gdy przeglądamy pamięć USB z poziomu Eksploratora Windows. Bez wiedzy użytkownika instalowany jest wtedy rootkit, który maskuje swoją obecność, a następnie ładuje do systemu szkodliwe oprogramowanie.
Jak to działa, doskonale widać na przygotowanym przez Sophos filmie YouTube:
- Zagrożenia takie jak doskonale znany już robak Conficker, w przeszłości rozprzestrzeniały się bardzo skutecznie za pośrednictwem USB, ale po części zostały zneutralizowane poprzez wyłączenie funkcji autoodtwarzania. Istnieje ryzyko, że więcej szkodliwego oprogramowania wykorzysta lukę odnalezioną przez twórców robaka Stuxnet - wyjaśnił starszy konsultant ds. technologii w Sophos.
Co ciekawe, podejrzane pliki sterownika posiadały podpis cyfrowy Realtek Semiconductor Corp, znanego dostawcy sprzętu komputerowego.
- Ważne jest, aby nie przesadzić z reakcją na to zagrożenie, jako że exploit został niedawno wykryty, a specjaliści od bezpieczeństwa nie ustalili jeszcze ryzyka dla systemów SCADA. Ale sam fakt, że systemy SCADA są w ogóle zaangażowane oznacza, że każdy będzie przyglądał się sprawie z bliska. Oczy będą też skierowane w kierunku firmy Microsoft, aby zobaczyć, jaka będzie reakcja na to, co wydaje się być kolejną luką w ich kodzie, którą sprytnie wykorzystali hakerzy.
Dodatkowe informacje o mechanizmie działania tego robaka można znaleźć na blogu Chestera Wisniewskiego z Sophos.
Źródło: Sophos
