Dissecting Stuxnet
산업 기밀을 도용하기 위해 고안된 정교한 웜은 악의적 인 소프트웨어를 조사하는 보안 전문가에 따르면 이전에 생각했던 것보다 훨씬 오래 동안 사용되었다.
Stuxnet이라고 불리는이 웜은 7 월 중순까지 알려지지 않았다. 그것은 벨로루시 민스크에 기반을 둔 보안 업체 인 VirusBlockAda와의 조사에 의해 확인되었습니다. 이 웜은 기술의 정교함뿐만 아니라 공장 및 발전소를 운영하기 위해 설계된 산업용 제어 시스템 컴퓨터를 대상으로한다는 사실도 주목할 만합니다.
시만텍의 연구원은 현재 2009 년 6 월에 만들어졌으며 2010 년 초반에 악성 소프트웨어가 훨씬 더 정교 해졌다.
[추가 정보: Windows PC에서 악성 코드 제거 방법]이 이전 버전의 Stuxnet 지멘스 SCADA (감시 제어 및 데이터 수집) 관리 시스템과 연결하여 데이터를 도용하려고 시도하지만 현재의 화신과 동일한 방식으로 작동하지만 새로운 웜의 뛰어난 기술을 사용하여 바이러스 백신 탐지를 피하고 Windows 시스템에 자체 설치. 바이러스 백신 공급 업체 인 카스퍼 스키 랩 (Kaspersky Lab)의 연구원 인 Roel Schouwenberg는 이러한 기능은 최신 웜이 처음 발견되기 몇 개월 전부터 추가 된 것으로 추정됩니다. Stuxnet이 만들어 지자 저자들은 사실상 피해자가 개입하지 않고도 USB 장치들 사이에 확산 될 수있는 새로운 소프트웨어를 추가했습니다. "라고 그는 말하며"이것은 우리가 지금까지 보아온 가장 정교한 표적 공격이라는 것은 의심의 여지가 없습니다. 또한 Realtek과 JMicron 칩 회사에 속한 암호화 키를 사용하여 디지털 악성 코드에 디지털 서명했기 때문에 바이러스 백신 스캐너가이를 탐지하는 데 더 어려워졌습니다.
Realtek과 JMicron은 모두 Hsinchu Science 대만의 신주 (Hsinchu), 대만 및 쇼윈 버그 (Schouwenberg)는 두 회사의 컴퓨터에 물리적으로 액세스하여 누군가가 키를 도용했다고 생각한다.
보안 전문가들은 표적 공격이 몇 년 동안 계속되고 있지만 최근에는 주류 관심을 받기 시작했으며, 오로라 (Aurora)라는 공격에 의해 공격 대상이되었다는 것을 구글이 공개 한 이후 오로라와 스턱 스넷은 마이크로 소프트 제품에서 패치되지 않은 "제로 데이 (zero-day)"결함을 이용한다. 그러나 스턱 스넷은 구글의 공격보다 기술적으로 더 뛰어나다 고 Schouwenberg는 말했다. "오로라는 제로 데이를 가졌지 만 IE6에 대한 제로 데이였다"고 그는 말했다. "여기에는 Windows 2000 이후의 모든 Windows 버전에 대해 효과적인 취약점이 있습니다."Microsoft는 월요일에 Stuxnet이 시스템간에 전파하기 위해 사용하는 Windows 취약점에 대한 초기 패치를 발표했습니다. Microsoft는 Stuxnet 공격 코드가 더 악의적 인 공격에 사용되기 시작한 것처럼 업데이트를 발표했습니다. Stuxnet은 산업 비밀을 도용하기 위해 위조자가 사용할 수 있었지만 (예: 예를 들어 골프 클럽을 만드는 방법에 대한 공장 데이터) Schouwenberg 씨는 국가의 국가가 공격의 배후에 있다고 의심하고있다. 현재까지 Siemens는 4 명의 고객이이 웜에 감염되었다고 전했다. 그러나 모든 공격은 공장 현장에있는 것보다 엔지니어링 시스템에 영향을 미쳤습니다.
년 6 월에 최초의 웜이 작성되었지만 실제 공격에이 버전이 사용되었는지는 확실하지 않습니다. 시만텍의 보안 기술 및 대응 담당 부사장 인 빈센트 웨퍼 (Vincent Weafer)는 "시만텍이 2010 년 1 월에 발표 한 첫 번째 공격은 시만텍이 알고있는 것으로 확인됐다"고 전했다.
대부분의 감염된 시스템은이란, 인도, 인도네시아, 파키스탄도 타격을 입을지라도 그는 덧붙였다. 위버는 그 자체가 매우 드문 것이라고 말했다. "20 년 만에 처음으로이란이 너무 많이 나타 났던 것을 기억할 수있다."
Robert McMillan은
The IDG News Service
에 대한 컴퓨터 보안 및 일반 기술 관련 뉴스를 다루고 있습니다. @bobmcmillan의 Twitter에서 Robert를 팔로우하십시오. Robert의 전자 메일 주소는 [email protected]입니다.
Eset는 Stuxnet 웜의 두 번째 변형 발견
Eset의 연구원은 최신 Windows 취약성을 사용하여 Siemens 산업 기계를 대상으로하는 Stuxnet 웜의 두 번째 변형을 발견했습니다. Eset의 연구원은 최근 공개 된 윈도우 취약점을 사용하여 지멘스 산업 기계를 공격하는 스턱 스넷 웜의 두 번째 변종을 발견했습니다.
이란은 SCADA 웜의 주요 대상이었습니다 시만텍은 Stuxnet 웜에 감염된 컴퓨터의 60 %가이란에 있다고 말합니다.
이란의 컴퓨터 시만텍이 수집 한 데이터에 따르면 웜에 감염된 시스템의 약 60 %가이란에 있습니다.이 바이러스는 산업 제어 시스템에서 정보를 도용하려는 위험한 컴퓨터 웜에 가장 큰 타격을 입었습니다. 인도네시아와 인도는 또한 스턱 스넷 (Stuxnet)으로 알려진 악의적 인 소프트웨어에 큰 타격을 입었습니다. 웜에 의해 생성 된 디지털 서명 날짜를 살펴보면, 악성 소프트웨어는 1 월과 같이 오래 전부터 유통되어 왔을 것이라고 엘리엇 Levy, 시만텍 보안 연구소 (Symantec Security Response) 수석 기술 이사.