ما تحتاج إلى معرفته حول دودة Stuxnet
Stuxnet عبارة عن فيروس كمبيوتر يستهدف أنواع أنظمة التحكم الصناعية (ICS) التي تُستخدم عادة في مرافق دعم البنية التحتية (مثل محطات الطاقة ، مرافق معالجة المياه ، خطوط الغاز ، الخ).
غالباً ما يقال إن الدودة قد تم اكتشافها لأول مرة في عام 2009 أو 2010 ولكن تم اكتشاف أنها هاجمت البرنامج النووي الإيراني في وقت مبكر من عام 2007. في تلك الأيام ، تم العثور على Stuxnet بشكل رئيسي في إيران وإندونيسيا والهند ، وهو ما يمثل أكثر من 85٪ من جميع الالتهابات.
ومنذ ذلك الحين ، أثرت الدودة على آلاف الحواسيب في العديد من البلدان ، حتى أنها أدمرت بعض الآلات تماماً وقضت على جزء كبير من أجهزة الطرد المركزي النووية الإيرانية.
ماذا تفعل ستكسنت؟
تم تصميم Stuxnet لتغيير أجهزة التحكم المنطقية القابلة للبرمجة (PLCs) المستخدمة في هذه المرافق. في بيئة ICS ، تقوم PLCs بأتمتة المهام الصناعية مثل تنظيم معدل التدفق للحفاظ على التحكم في الضغط والحرارة.
لقد تم تصميمه بحيث لا ينتشر إلا إلى ثلاثة أجهزة كمبيوتر ، ولكن يمكن لكل واحد منها الانتشار إلى ثلاثة أجهزة أخرى ، وهو كيفية نشره.
ومن خصائصها الأخرى الانتشار إلى الأجهزة الموجودة على شبكة محلية غير متصلة بالإنترنت. على سبيل المثال ، قد ينتقل إلى كمبيوتر واحد عبر USB ، ثم ينتقل إلى بعض الأجهزة الخاصة الأخرى خلف جهاز التوجيه التي لم يتم إعدادها للوصول إلى الشبكات الخارجية ، مما يتسبب في إصابة أجهزة الإنترانت بعضها ببعض.
في البداية ، تم توقيع برامج تشغيل أجهزة Stuxnet رقمياً منذ سرقتها من الشهادات الشرعية التي تم تطبيقها على أجهزة JMicron و Realtek ، مما سمح لها بتثبيت نفسها بسهولة دون أي مطالبات مشبوهة للمستخدم. منذ ذلك الحين ، ومع ذلك ، فإن VeriSign ألغت الشهادات.
في حالة وصول الفيروس إلى جهاز كمبيوتر غير مثبت عليه برنامج Siemens الصحيح ، سيظل عديم الفائدة. هذا هو أحد الاختلافات الرئيسية بين هذا الفيروس وغيره ، من حيث أنه بني لغرض محدد للغاية ولا "يريد" أن يفعل أي شيء مشين على الأجهزة الأخرى.
كيف تصل Stuxnet إلى PLC؟
لأسباب أمنية ، العديد من الأجهزة المستخدمة في أنظمة التحكم الصناعية ليست متصلة بالإنترنت (وغالباً ما تكون غير متصلة بأي شبكات محلية). ولمواجهة ذلك ، فإن دودة Stuxnet تشتمل على العديد من وسائل الانتشار المتطورة بهدف الوصول في نهاية المطاف إلى ملفات مشروع STEP 7 وإخراجه لاستخدامها في برمجة أجهزة PLC.
لأغراض الانتشار الأولي ، تستهدف الدودة أجهزة الكمبيوتر التي تعمل بأنظمة تشغيل Windows ، وعادةً ما تقوم بذلك من خلال محرك أقراص فلاش . ومع ذلك ، فإن PLC في حد ذاته ليس نظامًا يستند إلى Windows بل هو جهاز خاص بلغة الآلة. ومن ثم ، فإن Stuxnet تعبر ببساطة أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows من أجل الوصول إلى الأنظمة التي تدير PLCs ، والتي تقوم على أساسها بتحميل حمولتها.
لإعادة برمجة PLC ، تقوم دودة Stuxnet بالبحث عن ملفات مشروع STEP 7 وتصفيتها ، والتي تستخدمها شركة Siemens SIMATIC WinCC ، وهي عبارة عن تحكم إشرافي وحيازة بيانات (SCADA) ونظام واجهة بين الإنسان والآلة (HMI) يستخدم في برمجة PLCs.
تحتوي Stuxnet على إجراءات مختلفة لتحديد طراز PLC المحدد. يعد فحص النموذج هذا ضروريًا حيث ستختلف تعليمات مستوى الماكينة على أجهزة PLC المختلفة. وبمجرد التعرف على الجهاز المستهدف وإصابته ، يحصل Stuxnet على التحكم في اعتراض جميع البيانات التي تتدفق إلى PLC أو خارجها ، بما في ذلك القدرة على العبث بهذه البيانات.
أسماء Stuxnet يذهب بها
فيما يلي بعض الطرق التي قد يحدد بها برنامج الحماية من الفيروسات الفيروس المتنقل Stuxnet:
- F-Secure : Trojan-Dropper: W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b أو Rootkit.Win32.Stuxnet.a
- مكافي : Stuxnet
- نورمان : W32 / Stuxnet.A
- سوفوس : Troj / Stuxnet-A أو W32 / Stuxnet-B
- سيمانتيك : W32.Temphid
- Trend Micro : WORM_STUXNET.A
قد تحتوي Stuxnet أيضًا على بعض "الأقارب" الذين يرسلون أسمي مثل Duqu أو Flame .
كيفية إزالة Stuxnet
نظرًا لأن برنامج Siemens هو ما تم اختراقه عندما يصاب جهاز الكمبيوتر بـ Stuxnet ، فمن المهم الاتصال به إذا كان هناك شك بوجود عدوى.
قم أيضًا بإجراء فحص كامل للنظام باستخدام برنامج مكافحة فيروسات مثل Avast أو AVG أو برنامج فحص فيروسات عند الطلب مثل Malwarebytes.
من الضروري أيضًا تحديث Windows ، والذي يمكنك القيام به باستخدام Windows Update .
انظر كيفية فحص جهاز الكمبيوتر بحثًا عن البرامج الضارة بشكل صحيح إذا كنت بحاجة إلى مساعدة.