Eset découvre la deuxième variante du ver Stuxnet

Des chercheurs d'Eset ont découvert une seconde variante du ver Stuxnet qui utilise une vulnérabilité Windows récemment découverte pour attaquer les machines industrielles de Siemens

La seconde variante, appelée par Eset "jmidebs.sys", peut se propager via des clés USB, Exploitation d'une faille non corrigée dans Windows impliquant un fichier raccourci malveillant avec l'extension ".lnk"

Comme le ver Stuxnet d'origine, la seconde variante est également signée avec un certificat, utilisé pour vérifier l'intégrité d'une application lors de son installation. Le certificat a été acheté à VeriSign par JMicron Technology Corp., une société basée à Taïwan, a écrit sur un blog Pierre-Marc Bureau, chercheur senior chez Eset,

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Le premier certificat du ver Stuxnet provient de Realtek Semiconductor Corp., bien que VeriSign l'ait maintenant révoqué, a déclaré David Harley, chercheur senior chez Eset. Il est intéressant de noter que les deux sociétés ont des bureaux au même endroit, le Hsinchu Science Park à Taiwan.

"Nous voyons rarement de telles opérations professionnelles", écrit le Bureau. «Ils ont volé les certificats d'au moins deux compagnies ou les ont achetés à quelqu'un qui les a volés.» À ce stade, il n'est pas clair si les attaquants changent leur certificat parce que le premier a été exposé ou s'ils utilisent des certificats différents. différentes attaques, mais cela montre qu'ils ont des ressources importantes. "

Bien que les analystes Eset étudient encore la deuxième variante, il est étroitement lié à Stuxnet, a déclaré Harley. Il peut également être conçu pour surveiller l'activité des systèmes de supervision et d'acquisition de données (SCADA) de Siemens WinCC, qui sont utilisés pour gérer les machines industrielles utilisées dans les usines de fabrication et les centrales électriques. Le code de la deuxième variante a été compilé le 14 juillet, a dit Harley.

Alors que le code de la deuxième variante semble être sophistiqué, la façon dont il a été publié n'était probablement pas idéale. Libérer un ver plutôt qu'un cheval de Troie rend plus probable que les chercheurs en sécurité en verront un échantillon plus tôt s'il se propage rapidement, ce qui nuit à son efficacité, dit Harley.

"Cela me fait penser que peut-être ce que nous regardons est quelqu'un en dehors du domaine des logiciels malveillants qui n'a pas compris les implications ", a déclaré Harley. "S'ils avaient l'intention de cacher leur intérêt pour les installations SCADA, ils n'ont évidemment pas réussi."

Stuxnet est considéré comme le premier malware ciblant Siemens SCADA. Si le ver trouve un système Siemens SCADA, il utilise un mot de passe par défaut pour entrer dans le système et copier les fichiers projet sur un site Web externe.

Siemens recommande à ses clients de ne pas modifier le mot de passe. Siemens prévoit de lancer un site Web traitant du problème et comment supprimer le malware.

Microsoft a publié un avis avec une solution de contournement de la vulnérabilité jusqu'à ce qu'un correctif soit prêt. Toutes les versions de Windows sont vulnérables.

Envoyez des conseils et des commentaires à [email protected]