🕵️ Пятнадцать лет назад был обнаружен сетевой червь Win32/Stuxnet Он считается первым в истории кибероружием, которое нанесло масштабные разрушения в физическом мире (и да, это недопустимое событие). 🎯 Основной целью Stuxnet были центрифуги для обогащения урана на иранском заводе в Нетензе Сетевой червь вмешивался в работу промышленного оборудования — программируемых логических контроллеров (ПЛК) Siemens и рабочих станций SCADA-системы Simatic WinCC. Предполагается, что заражение происходило из-за внутренних нарушителей (через USB-накопители), так как системы завода были изолированы от внешнего мира. Используя четыре уязвимости нулевого дня в Windows, Stuxnet заражал устройства под управлением этой ОС. Затем он искал системы с установленным ПО для управления ПЛК Simatic Step7, а после этого модифицировал исполняемый код внутри контроллеров. Stuxnet заставлял центрифуги вращаться с опасными колебаниями скорости, что приводило к их постепенному разрушению. В результате из строя было выведено около тысячи центрифуг. 🔍 Впервые Stuxnet обнаружила команда белорусской компании «ВирусБлокАда» (в начале этого года Positive Technologies приобрела долю вендора). Один из клиентов «ВирусБлокАда» — иранская компания — сообщила о странных сбоях Windows-систем, происходящих без видимой причины. При первичном анализе выяснилось, что заражение происходит при открытии ярлыков (файлов .lnk) с USB-накопителя, вредоносное ПО устанавливало два драйвера (руткиты), которые использовались для внедрения в системные процессы и сокрытия самого вредоноса. После обнаружения Stuxnet: • Microsoft выпустила экстренное обновление, закрывшее уязвимость в .lnk-файлах Windows. Позже были устранены и другие уязвимости, которые использовал сетевой червь. • Siemens опубликовала руководство по обнаружению и устранению вредоноса. Производители ПЛК начали внедрять контроль целостности кода и системно подходить к защите промышленного ПО. • Антивирусные компании выпустили обновления сигнатур и инструменты удаления Stuxnet. 👀 История со Stuxnet стала началом появления кибероружия, которое влияет на физический мир Чтобы обеспечить полную защиту конечных устройств, а также киберустойчивость инфраструктур наших клиентов, эксперты Positive Technologies совместно с командой «ВирусБлокАда» работают над усовершенствованием антивирусных технологий в наших продуктах. С прошлого года они добавлены в песочницу PT Sandbox, до конца лета появятся в MaxPatrol EDR (продукте для выявления киберугроз на конечных устройствах и реагирования на них), до конца года в PT ISIM (системе мониторинга безопасности промышленных инфраструктур), а также экспертиза будет использоваться в PT NGFW (межсетевом экране нового поколения). #PositiveTechnologies