![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Uppdaterad | Publicerad
SCADA-trojan utnyttjar 0-day i Windows
Trojan inriktad på SCADA-system utmärker sig på flera sätt.
Sitic rapporterade förra veckan att det fanns misstankar om att en trojan uttnyttjade sig av en "0-day" i Windows, det vill säga en sårbarhet som det ännu inte finns någon uppdatering till. Trojanen, vilken döpts till Stuxnet av vissa leverantörer, sticker ut på följande sätt:
- Angriper SCADA-system: Trojanen försöker koppla upp sig mot databasen till SCADA-systemet WinCC från Siemens genom att utnyttja samma användarnamn och lösenord som används vid en standardinstallation. Trojanen sprider sig via USB-stickor, vilket kan vara effektivt i SCADA-sammanhang då dessa system ofta har ingen eller begränsad tillgång till nätverk.
- Signerat "rootkit": Trojan är ett "rootkit" och försöker alltså dölja sig. För att uppnå detta har angriparen lyckats signera trojanen med ett certifikat från Realtek Semiconductor. Hur detta har gått till har inte rapporterats.
- 0-day: Trojanen utnyttjar en "0-day" i Windows. Ett uppdaterat system med Windows 7 är sårbart, liksom alla andra Windows-versioner.
Mer information
http://support.automation.siemens.com/WW/view/en/43876783
http://www.f-secure.com/weblog/archives/00001987.html
http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
http://www.symantec.com/connect/blogs/w32temphid-commonly-asked-questions
http://www.theregister.co.uk/2010/07/19/win_shortcut_vuln/
Se NV från förra veckan för fler länkar.
Uppdatering 2010-07-20
- SANS har höjt sin beredskapskod till "gul". Eftersom exempelkod finns tillgänglig är det är enligt SANS bara en tidsfråga innan ny skadlig kod börjar spridas som utnyttjar sårbarheten. Mer information: http://isc.sans.edu/diary.html?storyid=9190
- Verisign har revokerat Realteks certifikat som användes för signering av Stuxnet-trojanen: http://threatpost.com/en_us/blogs/verisign-revokes-certificate-used-sign-stuxnet-malware-071710
- Ny variant av Stuxnet är signerad med ett giltigt certifikat från JMicron: http://www.f-secure.com/weblog/archives/00001993.html
Uppdatering 2010-07-21
Siemens bekräftar att en av sina kunder i Tyskland har blivit infekterad av Stuxnet:
http://www.computerworld.com/s/article/9179459/Siemens_German_customer_hit_by_industrial_worm
Uppdatering 2010-07-22
Säkerhetsforskare har börjat nysta i trojanens funktionalitet:
- http://research.zscaler.com/2010/07/lnk-cve-2010-2568-stuxnet-incident.html
- http://blog.mandiant.com/archives/1236
- http://www.symantec.com/connect/blogs/distilling-w32stuxnet-components
Uppdatering 2010-07-23
Nätverkstrafiken mot Stuxnets två C&C-servrar kartlagd. Knappt 14 000 unika IP-adresser kontaktade de två servrarna under 72 timmarna. Mest trafik kom från Iran, Indonesien och Indien. Hela artikeln:
http://www.symantec.com/connect/blogs/w32stuxnet-network-information