Eset scopre la seconda variante di Stuxnet Worm

I ricercatori di Eset hanno scoperto una seconda variante del worm Stuxnet che utilizza una vulnerabilità di Windows recentemente divulgata per attaccare le macchine industriali di Siemens.

La seconda variante, che Eset chiama "jmidebs.sys", può diffondersi tramite unità USB, sfruttando un difetto non corretto in Windows che coinvolge un file di collegamento dannoso con l'estensione ".lnk".

Come il worm Stuxnet originale, anche la seconda variante è firmata con un certificato, utilizzato per verificare l'integrità di un'applicazione quando installata. Il certificato è stato acquistato da VeriSign da JMicron Technology Corp., una società con sede a Taiwan, ha scritto Pierre-Marc Bureau, ricercatore senior presso Eset, su un blog.

[Ulteriori informazioni: Come rimuovere malware dal tuo PC Windows]

Il primo certificato di worm Stuxnet proviene da Realtek Semiconductor Corp., anche se VeriSign lo ha revocato, ha dichiarato David Harley, ricercatore senior di Eset. È interessante notare che entrambe le società sono elencate per avere uffici nello stesso posto, il Parco Scientifico di Hsinchu a Taiwan.

"Raramente assistiamo a operazioni così professionali", ha scritto Bureau. "Hanno rubato i certificati da almeno due società o li hanno acquistati da qualcuno che li ha rubati. A questo punto, non è chiaro se gli autori degli attacchi stiano cambiando il loro certificato perché il primo è stato esposto o se stanno utilizzando certificati diversi in attacchi diversi, ma questo dimostra che hanno risorse significative. "

Anche se gli analisti di Eset stanno ancora studiando la seconda variante, è strettamente correlata a Stuxnet, ha detto Harley. Può anche essere progettato per monitorare l'attività sui sistemi di controllo di supervisione Siemens e di acquisizione dati (SCADA), utilizzati per gestire macchine industriali utilizzate per la produzione e le centrali elettriche. Il codice per la seconda variante è stato compilato il 14 luglio, ha detto Harley.

Mentre il codice per la seconda variante sembra essere sofisticato, il modo in cui è stato rilasciato probabilmente non è l'ideale. Rilasciare un worm piuttosto che un Trojan rende più probabile che i ricercatori di sicurezza vedano un campione di esso prima se si diffonde rapidamente, il che mina la sua efficacia, ha detto Harley.

"Questo mi fa pensare che forse quello che stiamo guardando c'è qualcuno al di fuori del campo del malware che non capisce le implicazioni ", ha detto Harley. "Se intendevano nascondere il loro interesse per le installazioni SCADA, ovviamente non ci sono riusciti".

Si ritiene che Stuxnet sia il primo malware destinato a SCADA Siemens. Se il worm trova un sistema SCADA Siemens, utilizza una password predefinita per entrare nel sistema e quindi copiare i file di progetto in un sito Web esterno.

Siemens consiglia ai propri clienti di non modificare la password perché ciò può disturbare il sistema. Siemens prevede di lanciare un sito Web che risolva il problema e come rimuovere il malware.

Microsoft ha emesso un avviso con una soluzione alternativa per la vulnerabilità fino a quando una patch non è pronta. Tutte le versioni di Windows sono vulnerabili.

Invia suggerimenti e commenti a [email protected]