- Хамгийн тэргүүн онцлог нь, энэхүү вирус флеш дискээр дамжигдахаар хийгдсэн. Дамжигдахдаа lnk файлын цоорхойг ашигладаг. Одооны интернетийн эринд маш сонирхолтой.
- Мөн уг вирус нь нэг биш, бүхэл бүтэн ДӨРВӨН ширхэг 0-day ашигласан. Өөрөөр хэлбэл өмнө нь мэдэгддэггүй байсан 4 цоорхойг олсон гэсэн үг- мөн ховор тохиолдол. Microsoft энэхүү цоорхойн тухай мэдээгүй байсан тул, патчгүй (нөхөөсгүй) байсан, гаргаагүй байсан. Мөн вирус нь 5 дахь сул тал буюу RPC сервисын маш аюултай цоорхойг ашиглаж, түүнийг Conficker worm идэж байжээ.
- Вирус нь хулгайлагдсан цахим гарын үсгээр батлагдсан байв. Хамгаалалтын үүднээс Майкрософт системын бүх драйвер гарын үсэгтэй байхыг шаардсантай холбоотой. Гэвч тус болсонгүй- гэмт этгээдүүд MicronJ ба RealTek компаниудын Тайван дахь төлөөлөгчийн газраас хулгайлсан байж. Уг хоёр компани нь хоёулаа нэг барилгад байрладаг. Хачирхалтай тохиолдол уу? Үгүй бол, хэн нэгэн биеэрээ тухайн обьектэнд нэвтэрч, хэрэгцээтэй компьютерт нэвтрэн орж, түлхүүрийг хулгайлсан гэсэн үг. Энэ бол сайн зохион байгуулалттай ажил
- Энэхүү вирусийг нэг хамт олон, баг бичсэн бололтой. Ассамблерээр бичсэн хагас мегабайтын код, С ба С++.
- Хамгийн сонирхолтой нь Stuxnet хүн амын нягтаршилт ихтэй Америкт биш, Хятадад эсвэл Европт олдоогүй. Уул ёсондоо тэнд интернэт хамгийн их хэрэглээ олсон бөгөөд, энгийн вирус сайхан үржээд, тавлаг сайхан байхсан. Гэвч вирусын олдворын 60% Иран Улс эзэлсэн байжээ.
- Тэрээр команд хүлээн авах чадвартай бөгөөд, өөрийгөө төвгүйгээр, P2P маягаар шинэчлэгдэж чаддаг. Гэтэл энгийн ботнет төв серверийн системийн дохиогоор шинэчлэгддэг.
- Харин хамгийн сонирхолтой, хачирхалтай нь: уг вирус спам тараадаггүй, диск форматладаггүй. Мөн банкны мэдээ хулгайлдаггүй. Тэр үйлдвэрлэлийн хорлон сүйтгэх ажиллагаа явуулдаг. Өөрөөр хэлбэл тэр үйлдвэрийн хяналтын системийг довтолж, Simatic WinCC нэртэй хэрэглээний систем ашигладаг удирдлагын төвүүдийг довтолдог. Мөн сонирхолтой нь, Stuxnet шинээр бүтээгдэн, программ бичигдэж буй чипүүдэд өөрийгөө нууцаар хувилан бичих чадвартай. Улмаар уг чипүүдэд нуугдаж, ямарваа нэгэн маш чухал үйл ажиллагааг зогсоох жишээтэй.
- Энэ үйлдлээ буцах кодоор таньдаг. Харамсалтай нь, тэр код гүйцэд тайлаагүй байгаа. Гэвч Интернетэд холбогдоогүй ихэнх үйлдвэрлэлийн машинуудыг халдаахын тулд флешээр зөөдөг зориулалттай бүтээгдсэн нь ойлгомжтой.
WinCC хэрэглээний системийг Иранд хэн ашиглах нь ойлгомжгүй, мөн хуурамч лицензтэй байсан. 3арим хуйвалдааны мэргэжилтэнгүүд үүнийг баригдаж буй Бушерийн атомын цахилгаан станцид суурьлагдсан байсан гэж ярьж байгаа. Тэр станцад Иран өөрийн ураныг баяжуулж, цөмийн программаа явуулдаг. Түүнийг хамгаалахад саяхан ОХУ пуужин харвалтын С-300
комплекс явуулах гэж байгаа бөгөөд, зенитийн Тор-1 комплекс явуулсан билээ.
Гэвч хуйвалдааны онол зөв эсэх нь мэдэгдэхгүй байгаа- учир нь WinCC Ираны лицензээр худалдан авсан байгаа.
Вирусийн тухай ихэнх мэдээ мэдээлэл нээлттэй байсан. Сул талууд зарим мэдээ мэдээллийн хэрэгслүүдэд бичигдэж байсан- мөн үйлдвэрлэлийн мэдээллийн баазад орох код нь форумуудаар нээлттэй байсан. P2P ботнэт зөвхөн онолын хувьд ярилцаж байсан бөгөөд, хэн үүний тухай мэдэж байж болох бэ гэдэг асуулт өөрийн эрхгүй үгүй болно. Хэн ч мэдэж байж чадах байсан болохоор.
Дараагийн долоо хоногт Ральф Лангнерын үйлдвэрлэлийн удирдлагын системын танилцуулга ба 9 сарын 29 Symantec компанийн мэргэжилтэн нар, ба Касперскийн багын мэдээ мэдээлэл цацагдана. .
Үүнээс гадна, америкийн мэргэжилтэн Скотт Борг (Америкийн засгийн дэргэдэх US Cyber Consequences Unit) жилийн өмнө Ираны цөмийн обьектүүдийг USB драйваар хорлож байхыг санал болгож байжээ.
Бонус: Германы хакерууд уг вирусийг задалж шинжлээд, 2 жилийн өмнөх троян олж, тэр нь ОХУ-ын АтомСтройЭкспорт компаний гарын үсэгтэй байв. Вирусын тархалтанд хамаагүй боловч, оросуудын цөмийн цахилгаан станцын аюулгүйн байдлын төвшинг илчилж байгаа болов уу.
Зочин хэзээ бичсэн: 07:40, 2017-10-26 | Холбоос | |
