Eset entdeckt zweite Variante des Stuxnet-Wurms

Forscher von Eset haben eine zweite Variante des Stuxnet-Wurms entdeckt, die eine kürzlich bekannt gewordene Windows-Schwachstelle für den Angriff auf Siemens Industriemaschinen nutzt.

Die zweite Variante, die Eset "jmidebs.sys" nennt, kann sich über USB-Laufwerke verbreiten. Ausnutzen eines ungepatchten Fehlers in Windows mit einer schädlichen Verknüpfungsdatei mit der Endung ".lnk".

Wie der ursprüngliche Stuxnet-Wurm wird auch die zweite Variante mit einem Zertifikat signiert, mit dem die Integrität einer Anwendung bei der Installation überprüft wird. Das Zertifikat wurde von VeriSign von JMicron Technology Corp., einem Unternehmen mit Sitz in Taiwan, gekauft, schrieb Pierre-Marc Bureau, Senior Researcher bei Eset, in einem Blog.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Das erste Stuxnet-Wurm-Zertifikat kam von Realtek Semiconductor Corp., obwohl VeriSign es jetzt widerrufen hat, sagte David Harley, Eset Senior Research Fellow. Interessanterweise sind beide Unternehmen an gleicher Stelle im Hsinchu Science Park in Taiwan vertreten.

"Solche professionellen Operationen sehen wir selten", schrieb das Bureau. "Sie haben entweder die Zertifikate von mindestens zwei Firmen gestohlen oder sie von jemandem gekauft, der sie gestohlen hat. Es ist nicht klar, ob die Angreifer ihr Zertifikat ändern, weil das erste ausgestellt wurde oder wenn sie unterschiedliche Zertifikate verwenden verschiedene Angriffe, aber dies zeigt, dass sie erhebliche Ressourcen haben. "

Obwohl die Analysten von Eset die zweite Variante noch studieren, ist sie eng mit Stuxnet verwandt, sagte Harley. Es kann auch entwickelt werden, um die Aktivitäten auf Siemens-WinCC-Überwachungs- und Datenerfassungs- (SCADA) -Systemen zu überwachen, die zur Verwaltung von Industriemaschinen, die in der Produktion und in Kraftwerken verwendet werden, verwendet werden. Der Code für die zweite Variante wurde am 14. Juli zusammengestellt, sagte Harley.

Während der Code für die zweite Variante ausgefeilt erscheint, war die Art der Veröffentlichung wahrscheinlich nicht ideal. Die Freigabe eines Wurms statt eines Trojaners macht es wahrscheinlicher, dass Sicherheitsforscher eine Probe schneller sehen, wenn sie sich schnell ausbreitet, was seine Effektivität untergräbt, sagte Harley.

"Das spricht für mich, dass wir das vielleicht betrachten ist jemand außerhalb des Malware-Bereichs, der die Implikationen nicht verstanden hat ", sagte Harley. "Wenn sie ihr Interesse an SCADA-Installationen verbergen wollten, waren sie offensichtlich nicht erfolgreich."

Es wird angenommen, dass Stuxnet die erste Malware ist, die auf Siemens SCADA abzielt. Wenn der Wurm ein Siemens SCADA-System findet, verwendet er ein Standardkennwort, um in das System zu gelangen und dann Projektdateien auf eine externe Website zu kopieren.

Siemens empfiehlt seinen Kunden, das Kennwort nicht zu ändern, da dies das System stören kann. Siemens plant den Start einer Website zur Behebung des Problems und zur Beseitigung der Malware.

Microsoft hat eine Empfehlung mit einer Problemumgehung für die Sicherheitsanfälligkeit herausgegeben, bis ein Patch bereit ist. Alle Versionen von Windows sind anfällig.

Senden Sie Tipps und Kommentare an [email protected]