Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Uppdaterad | Publicerad

SCADA-trojan utnyttjar 0-day i Windows

Trojan inriktad på SCADA-system utmärker sig på flera sätt.

Sitic rapporterade förra veckan att det fanns misstankar om att en trojan uttnyttjade sig av en "0-day" i Windows, det vill säga en sårbarhet som det ännu inte finns någon uppdatering till. Trojanen, vilken döpts till Stuxnet av vissa leverantörer, sticker ut på följande sätt:

  • Angriper SCADA-system: Trojanen försöker koppla upp sig mot databasen till SCADA-systemet WinCC från Siemens genom att utnyttja samma användarnamn och lösenord som används vid en standardinstallation. Trojanen sprider sig via USB-stickor, vilket kan vara effektivt i SCADA-sammanhang då dessa system ofta har ingen eller begränsad tillgång till nätverk.
  • Signerat "rootkit": Trojan är ett "rootkit" och försöker alltså dölja sig. För att uppnå detta har angriparen lyckats signera trojanen med ett certifikat från Realtek Semiconductor. Hur detta har gått till har inte rapporterats.
  • 0-day: Trojanen utnyttjar en "0-day" i Windows. Ett uppdaterat system med Windows 7 är sårbart, liksom alla andra Windows-versioner.

Mer information
http://support.automation.siemens.com/WW/view/en/43876783
http://www.f-secure.com/weblog/archives/00001987.html
http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
http://www.symantec.com/connect/blogs/w32temphid-commonly-asked-questions
http://www.theregister.co.uk/2010/07/19/win_shortcut_vuln/

Se NV från förra veckan för fler länkar.

Uppdatering 2010-07-20

Uppdatering 2010-07-21

Siemens bekräftar att en av sina kunder i Tyskland har blivit infekterad av Stuxnet:

http://www.computerworld.com/s/article/9179459/Siemens_German_customer_hit_by_industrial_worm

Uppdatering 2010-07-22

Säkerhetsforskare har börjat nysta i trojanens funktionalitet:

Uppdatering 2010-07-23

Nätverkstrafiken mot Stuxnets två C&C-servrar kartlagd. Knappt 14 000 unika IP-adresser kontaktade de två servrarna under 72 timmarna. Mest trafik kom från Iran, Indonesien och Indien. Hela artikeln:

http://www.symantec.com/connect/blogs/w32stuxnet-network-information