Червь Win32/Stuxnet шпионит за промышленными компаниями
Компания ESET сообщает о распространении новой эпидемии – червя Win32/Stuxnet, который используется для атак на ПО класса SCADA, а также промышленные системы управления и контроля.
Win32/Stuxnet был обнаружен несколько дней назад. Наибольшее распространение угроза получила в США и Иране, на которые пришлось 58% и 30% инфицированных компьютеров в мире, соответственно. Третьей по уровню проникновения страной стала Россия (4% зараженных ПК).
Win32/Stuxnet представляет большую угрозу для промышленных предприятий. При запуске этой вредоносной программы используется ранее неизвестная уязвимость в обработке файлов с расширением LNK, содержащихся на USB-накопителе. Выполнение вредоносного кода происходит благодаря наличию уязвимости в Windows Shell, связанной с отображением специально подготовленных LNK-файлов. Новый способ распространения может повлечь появление других злонамеренных программ, задействующих такую технологию заражения, поскольку на данный момент брешь остается открытой.
По мнению представителей ESET, злоумышленники постарались разработать свою программу таким образом, чтобы она привлекала к себе как можно меньше внимания. Скорее всего, создание Win32/Stuxnet имеет целевую направленность, так как общеизвестных способов монетизации при анализе данного вредоносного ПО пока не выявлено. Высокое проникновение угрозы именно в США, возможно, связано с адресной атакой, задачей которой является промышленный шпионаж.
Win32/Stuxnet может обходить технологию HIPS (Host Intrusion Prevention System), которая защищает от попыток внешнего воздействия на систему. Это стало возможным благодаря наличию во вредоносной программе файлов, имеющих легальные цифровые подписи.