В сети обнаружен второй вариант червя Stuxnet

Антивирусная компания Eset сегодня сообщила об обнаружении второго варианта сетевого червя Stuxnet, использующего недавно обнаруженную уязвимость в операционной системе Windows. Новая версия предназначена для атаки промышленных решений компании Siemens.



Второй вариант червя, получивший название jmidebs.sys, может распространяться через USB-накопители, используя незакрытую на сегодня уязвимость в Windows, затрагивающую неверный парсинг файлов-ярлыков с расширением lnk.

Как и оригинал Stuxnet, второй вариант червя также подписан сертификатом, используемым для верификации приложений, инсталлируемых в систему. В новой версии червя сертификат был куплен у компании Verisign компанией JMicron Technology Corp, зарегистрированной на Тайване.

Первый Stuxnet использовал сертификат, выданный компании Realtek Semiconductor, хотя Verisign на тот момент его уже отозвала. В Eset говорят, что обе компании имеют на Тайване офисы почти по соседству в научном парке Хсинчу. "Мы редко видим такие профессиональные операции. Либо хакеры похитили сертификаты у обеих компаний, либо кто-то купил их по поддельным документам. Сейчас невозможно сказать, по какой причине атакующие сменили сертификаты. Возможно, первый сертификат уже был внесен в блеклисты, возможно такая тактика распространения была задумана изначально", - говорит старший специалист по антивирусным исследованиям Пьер-Марк Бюрео.

В Eset говорят, что хоть пока компания и занята изучением второго варианта червя, очевидно, что он очень похож на первый вариант, хотя создана вторая версия была для атаки на системы Siemens SCADA (supervisory control and data acquisition). Дата компиляции второго варианта червя - 14 июля.

В компании отмечают, что второй вариант Stuxnet сложнее первого, хотя и в нем есть некоторые изъяны. Кроме того, тот факт, что злоумышленники используют Stuxnet именно как сетевой червь, а не троян, также вводит в заблуждение. Единственным логичным объяснением на сегодня являет то, что злоумышленники просто пробуют разные подходы для атаки SCADA.

Работает червь довольно просто: он находит целевую систему Siemens SCADA и при помощи стандартного пароля пытается проникнуть в систему, а затем скопировать заданные файлы на удаленные системы. В Siemens говорят, что рекомендуют клиентам не использовать пароли по умолчанию, кроме того на сайте компании появились детальные инструкции по удалению вредоносного кода.

Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Следствие по делу о REvil в России зашло в тупик

Как стало известно «Ъ», расследование деятельности предполагаемых участников группировки REvil, об аресте которых в январе сообщила ФСБ России, приостановилось. Американские коллеги так и не предоставили информации о жертвах и причиненном ущербе, поэтому подозреваемых можно обвинить только махинациях с банковскими картами двух граждан США, разыскать которых не представляется возможным.

Напомним, аресты в России были проведены с подачи американцев в рамках сотрудничества двух стран по вопросам кибербезопасности. В ходе недавнего интервью замглавы Совбеза РФ Олег Храмов рассказал «Российской газете», что в прошлом году заокеанские партнеры попросили под любым предлогом арестовать «главного хакера» — россиянина по фамилии Пузыревский, и предоставили его IP-адрес.

Российским спецслужбам удалось выяснить, что речь идет о рестораторе Данииле Пузыревском из Санкт-Петербурга. Попутно были идентифицированы 13 предполагаемых соучастников операций REvil, а также установлены две жертвы. Ими оказались проживающие в США мексиканцы, у которых подозреваемые, по версии следствия, дистанционно украли деньги, впоследствии потратив их в интернет-магазинах, с оплатой товаров по электронным средствам связи.

В России возбудили уголовное дело в соответствии с ч. 2 ст. 187 УК (неправомерное использование средств платежа в составе преступной группы), однако на том все и остановилось. Американская сторона, по словам Храмова, так и не предоставила обещанных дополнительных доказательств и даже не подтвердила ущерб от вымогательства. Более того, россиянам сообщили, что США в одностороннем порядке выходят из совместной рабочей группы и закрывают канал связи.

Адвокат одного из задержанных решил воспользоваться затишьем и добиться освобождения своего клиента. С этой целью он обратился к Храмову, отметив, что в уголовном деле до сих пор нет потерпевших и не указан ущерб, причиненный обвиняемыми. Допросов в СИЗО не проводится, поэтому защита просит генерала посодействовать в изменении меры пресечения, а затем — в прекращении уголовного преследования.

«На мой взгляд, разумным выходом из этой ситуации была бы сделка обвиняемых с Генпрокуратурой, — заявил «Ъ» автор прошения Игорь Вагин. — В ее рамках фигуранты получили бы освобождение от уголовной ответственности».

Адвокат также отметил, что изъятые денежные средства по условиям сделки могли бы быть потрачены на благие нужды, а «уникальный опыт» фигурантов дела наверняка пригодился бы российским спецслужбам.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru