Stuxnet est un ver informatique qui cible les types de systèmes de contrôle industriels (SCI) couramment utilisés dans les installations de support d’infrastructures (centrales électriques, installations de traitement de l’eau, lignes de gaz, etc.).
On dit souvent que le ver a été découvert pour la première fois en 2009 ou 2010, mais il a en fait été découvert qu'il avait attaqué le programme nucléaire iranien dès 2007. À cette époque, Stuxnet se trouvait principalement en Iran, en Indonésie et en Inde, représentant plus de 85% de toutes les infections.
Depuis lors, le ver a touché des milliers d'ordinateurs dans de nombreux pays, détruisant même certaines machines et anéantissant une grande partie des centrifugeuses nucléaires iraniennes.
Que fait Stuxnet?
Stuxnet est conçu pour modifier les automates programmables utilisés dans ces installations. Dans un environnement ICS, les automates automatisent des tâches de type industriel telles que la régulation du débit afin de maintenir les contrôles de pression et de température.
Il est conçu pour ne se propager qu'à trois ordinateurs, mais chacun de ces ordinateurs peut se propager à trois autres, c'est ainsi qu'il se propage.
Une autre de ses caractéristiques est de se propager aux périphériques d’un réseau local qui n’est pas connecté à Internet. Par exemple, il peut passer d’un ordinateur à l’autre via USB, puis se propager à d’autres machines privées situées derrière le routeur et qui ne sont pas configurées pour accéder à des réseaux extérieurs, ce qui provoque l’infection des périphériques intranet.
Initialement, les pilotes de périphérique de Stuxnet étaient signés numériquement, car ils étaient volés de certificats légitimes s’appliquant aux périphériques JMicron et Realtek, ce qui lui permettait de s’installer facilement sans aucune invite suspecte adressée à l’utilisateur. Depuis lors, VeriSign a toutefois révoqué les certificats.
Si le virus tombe sur un ordinateur sur lequel le logiciel Siemens correct n'est pas installé, il restera inutilisable. Il s’agit d’une différence majeure entre ce virus et d’autres, en ce sens qu’il a été conçu dans un but extrêmement spécifique et ne «veut» rien faire de néfaste sur d’autres machines.
Comment fonctionne les automates Stuxnet Reach?
Pour des raisons de sécurité, de nombreux périphériques matériels utilisés dans les systèmes de contrôle industriels ne sont pas connectés à Internet (et souvent même pas connectés à des réseaux locaux). Pour y remédier, le ver Stuxnet incorpore plusieurs moyens de propagation sophistiqués dans le but d’atteindre et d’infecter les fichiers de projet STEP 7 utilisés pour programmer les automates.
À des fins de propagation initiale, le ver cible les ordinateurs exécutant les systèmes d'exploitation Windows et effectue généralement cette opération via un lecteur flash. Toutefois, l’API lui-même n’est pas un système Windows, mais un périphérique propriétaire en langage machine. Par conséquent, Stuxnet traverse simplement les ordinateurs Windows pour se rendre aux systèmes qui gèrent les automates, sur lesquels il rend sa charge utile.
Pour reprogrammer l'automate, le ver Stuxnet recherche et infecte les fichiers de projet STEP 7 utilisés par Siemens SIMATIC WinCC, un système de contrôle et d'acquisition de données (SCADA) et une interface homme-machine (IHM) utilisés pour programmer les automates.
Stuxnet contient diverses routines pour identifier le modèle d’API spécifique. Cette vérification de modèle est nécessaire car les instructions au niveau de la machine varieront selon les périphériques de l’automate. Une fois que le périphérique cible a été identifié et infecté, Stuxnet obtient le contrôle permettant d'intercepter toutes les données entrant ou sortant de l'API, y compris la possibilité de les altérer.
Les noms de Stuxnet passent
Voici comment votre programme antivirus peut identifier le ver Stuxnet:
- F-Secure: Trojan-Dropper: W32 / Stuxnet
- Kaspersky: Rootkit.Win32.Stuxnet.b ou Rootkit.Win32.Stuxnet.a
- McAfee: Stuxnet
- normand: W32 / Stuxnet.A
- Sophos: Troj / Stuxnet-A ou W32 / Stuxnet-B
- Symantec: W32.Temphid
- Trend Micro: WORM_STUXNET.A
Stuxnet pourrait aussi avoir des "parents" portant des noms tels que Duqu ou Flame.
Comment supprimer Stuxnet
Puisque le logiciel Siemens est ce qui est compromis lorsqu'un ordinateur est infecté par Stuxnet, il est important de le contacter si une infection est suspectée.
Exécutez également une analyse complète du système avec un programme antivirus tel qu'Avast ou AVG, ou un antivirus à la demande tel que Malwarebytes.
Il est également nécessaire de maintenir Windows à jour, comme vous pouvez le faire avec Windows Update.
