Stuxnet Worm IOCs

security IOC

Stuxnet - это вредоносный компьютерный червь, впервые обнаруженный в 2010 году и разрабатывавшийся, по крайней мере, с 2005 года. Stuxnet нацелен на системы диспетчерского управления и сбора данных (SCADA) и считается ответственным за нанесение существенного ущерба ядерной программе Ирана.[2] Хотя ни одна из стран открыто не признала свою ответственность, широко распространено мнение, что этот червь является кибероружием, созданным совместно Соединенными Штатами и Израилем в рамках совместных усилий, известных как операция " Operation Olympic Games".

Stuxnet Worm

Stuxnet специально нацелен на программируемые логические контроллеры (ПЛК), которые позволяют автоматизировать электромеханические процессы, например, используемые для управления машинами и промышленными процессами, включая газовые центрифуги для разделения ядерного материала. Используя четыре дефекта нулевого дня,[6] Stuxnet действует, нацеливаясь на машины с операционной системой Microsoft Windows и сети, а затем ищет программное обеспечение Siemens Step7. По сообщениям, Stuxnet взломал иранские ПЛК, собирая информацию о промышленных системах и заставляя быстро вращающиеся центрифуги разрываться на части.[7] Дизайн и архитектура Stuxnet не являются специфическими для конкретной области, и его можно использовать в качестве платформы для атак на современные системы SCADA и ПЛК (например, на сборочных линиях заводов или электростанций), большинство из которых находятся в Европе, Японии и США.[8] Stuxnet, по сообщениям, разрушил почти пятую часть ядерных центрифуг Ирана.[9] Нацеленный на промышленные системы управления, червь заразил более 200 000 компьютеров и вызвал физическую деградацию 1000 машин.[10]

Stuxnet состоит из трех модулей: червя, который выполняет все процедуры, связанные с основной полезной нагрузкой атаки; файла-ссылки, который автоматически выполняет распространяемые копии червя; и компонента rootkit, отвечающего за сокрытие всех вредоносных файлов и процессов, чтобы предотвратить обнаружение Stuxnet.[11] Обычно он внедряется в целевую среду через зараженный USB-накопитель, преодолевая таким образом любой воздушный зазор. Затем червь распространяется по сети, сканируя программное обеспечение Siemens Step7 на компьютерах, управляющих ПЛК. При отсутствии одного из критериев Stuxnet находится в спящем состоянии внутри компьютера. Если оба условия выполнены, Stuxnet внедряет зараженный руткит в ПЛК и программное обеспечение Step7, изменяя код и отдавая неожиданные команды ПЛК, одновременно возвращая пользователям цикл значений нормальной работы системы.

Indicators of Compromise

MD5

  • 5b855cff1dba22ca12d4b70b43927db7
  • 7a4e2d2638a454442efb95f23df391a1
  • ad19fbaa55e8ad585a97bbcddcde59d4
  • b834ebeb777ea07fb6aab6bf35cdf07f
  • cc1db5360109de3b857654297d262ca1
  • d102bdad06b27616babe442e14461059
  • f8153747bae8b4ae48837ee17172151e

Technical reports

SEC-1275-1
Добавить комментарий