Несколько дней назад мы уже публиковали информацию об обнаружении нового варианта руткит-компонента червя Stuxnet, которая имела цифровую подпись не Realtek, а компании JMicron. Костин Раю в двух своих постах осветил эту ситуацию детально. Средства массовой информации быстро подхватили новость, и интернет запестрел сообщениями в стиле «Обнаружен новый вариант червя». Однако все было не так просто. Дело в том, что оставался неясным главный вопрос – а где, собственно, сам червь, из которого этот подписанный драйвер должен был появиться? То, что драйвер был создан 14 июля, могло означать существование в «дикой природе» совершенно нового варианта, возможно с новым функционалом. Однако все попытки специалистов из Лаборатории Касперского обнаружить дроппер или хотя бы второй драйвер руткита (их ведь должно быть два) не увенчались успехом. Это еще больше запутывает всю историю, которая в последние дни практически окончательно свелась к двум версиям появления у злоумышленников сертификатов тайваньских компаний – к их краже при помощи троянской программы или работе инсайдера. Тогда было решено посмотреть на статистику детектирования Rootkit.Win32.Stuxnet.c (драйвер с подписью JMicron). Результаты были обескураживающими. Система KSN зафиксировала за три дня (с 20 июля) ДВА детекта данного модуля. Один в России и один на Украине. По сравнению со статистикой детектов руткит-компонент, подписанных сертификатом Realtek, – это просто смешно. Так или иначе, Verisign отозвал данный сертификат JMicron, и он больше не действителен. В  whitelisting-базе ЛК содержалось 124 подписанных им уникальных приложения. Все они, конечно, были "чистые". Пока не будем делать выводы о происхождении этого мистического драйвера. То, что он является измененным вариантом руткит-драйвера mrxcls.sys – несомненно. Но то, что он должен запускать на зараженных компьютерах - остается в розыске. Так же как и зараженные им компьютеры. Если же обратиться к статистике распространения «основного» варианта Stuxnet, то мы можем констатировать факт продолжения эпидемии в Индии, Иране и Индонезии. Число зараженных компьютеров каждый день увеличивается примерно на тысячу, и это только верхушка айсберга, которую мы видим при помощи KSN.

Стоит отметить, что в число стран, в которых Stuxnet тоже занимает заметные позиции, входят Афганистан и Азербайджан (в каждой из них отмечено более 1000 зараженных систем). Ареал распространения угрозы заставляет о многом задуматься. До сих пор в  публикациях о Stuxnet ни где не освещали основной функционал этого червя, концентрируясь в первую очередь на гораздо более опасных для всех пользователей проблемах – с zero-day уязвимостью в обработке LNK-файлов и сертификатами в руках злоумышенников. Впрочем, те кто интересуется этой историей, наверняка уже читали сообщения о том, что червь (помимо размножения) пытается получить доступ к системам управления промышленным производством, функционирующим на программном обеспечении WinCC, производства компании Siemens. Уже сложно вспомнить, кто первый из журналистов (или антивирусных экспертов), упомянул в этой связи электростанции (на некоторых из которых действительно работает ПО WinCC) , но с тех пор над историей витает дух «промышленных атак», «межгосударственного шпионажа» и прочих параллелей, годных на пару-тройку сценариев для голливудских фильмов.

Действительно, Stuxnet пытается подключаться к системе визуализации WinCC SCADA , используя «пароль по-умолчанию», который компания Siemens заложила в свою программу. В состав червя входит весьма интересный компонент, dll-файл, который представляет из себя своеобразную «обертку» (wrapper), вокруг настоящей, оригинальной DLL от Siemens. Эта «обертка» и пытается осуществлять взаимодействие с WinCC, перенаправляя большую часть функций в оригинальную dll. Остальные функций он эмулирует самостоятельно! Это функции:

Кроме того, в модуле содержится несколько зашифрованных блоков данных (пример одного из расшифрованных блоков):

Компания Siemens в настоящее время проводит собственное расследование и анализ вредоносной программы. Ими опубликован специальный информационный отчет об инциденте, в котором сообщается об одном подтвержденном случае заражения клиента WinCC в Германии. Процитирую оригинал: "Currently there is still only one known case where a customer's WinCC computer has been infected. The virus infiltrated a purely engineering environment of a system integrator, but was quickly eliminated. A production plant has not been affected so far." "There is only one known case of infection in Germany. We are, at present, trying to find out whether the virus caused any damage." Siemens подтверждает, что червь способен передавать данные о промышленном процессе и продукции, а также пытается установить интернет-соединение с серверами злоумышленников, но в настоящее время данные серверы недоступны. UPD: 20:00 msk
Siemens дополнил свой бюллетень информацией о том, что зафиксирован второй случай заражения.

Читать:
Часть 1
Часть 2