Stuxnet, calul troian cu semnătură digitală Realtek

Problema a fost semnalată specialiştilor Kaspersky Lab de către analiştii companiei de securitate IT VirusBlokAda (VBA) din Belarus. De remarcat sunt cele două caracteristici ale acestui nou troian: foloseşte fişiere de tip LNK pentru a lansa comenzi de pe un stick USB infectat – şi nu tradiţionalul Autorun.inf -, metodă nemaiîntâlnită până la momentul de faţă, şi este semnat digital de Realtek.
„Malware-ul semnat digital este un coşmar pentru dezvoltatorii de programe antivirus”, spune Aleks Gostev, Chief Security Expert, Global Research and Analysis Team Kaspersky Lab. „Semnăturile digitale atestă faptul că un program este legitim, ele reprezintând un concept de bază în securitatea informatică. Infractorii cibernetici folosesc astfel de semnături digitale alese la întâmplare pentru a da legitimitate programelor pe care le creează, dar în cazul Stuxnet situaţia este diferită. Nu mai vorbim despre o semnătură oarecare, ci avem în faţă chiar garanţia oferită de Realtek, unul dintre cei mai importanţi producători de echipamente IT”, completează Gostev.
Fişierele semnate digital (Rootkit.Win32.Stuxnet) au funcţionalitate de rootkit – ascund malware-ul în sistem şi pe stick-urile USB pe care le infectează. Pentru a se asigura că certificatul eliberat de Realtek este unul legitim, experţii Kaspersky Lab l-au verificat prin intermediul VeriSign, care a confirmat acest fapt.
Fişierele au fost semnate în data de 25 ianuarie 2010, dar certificatul a expirat pe 12 iunie 2010, dată care coincide cu perioada în care Stuxnet a fost identificat pentru prima dată de VBA. Experţii Kaspersky Lab au mai multe ipoteze referitoare la modul în care acest fişier malware a fost semnat de Realtek, însă vor publica rezultatele analizei în momentul în care una dintre aceste ipoteze se va confirma.
La momentul actual, cele două componente de bază ale troianului Stuxnet sunt Rootkit.Win32.Stuxnet (driver-ele semnate digital) şi Dropper.Win32.Stuxnet, iar geografia răspândirii lor idică India ca fiind ţară de origine.

VeriSign a anulat acest certificat, precum şi unul descoperit recent, aparţinând companiei JMicron Technology Corp., folosit tot de infractorii cibernetici care au creat Stuxnet. Cu toate acestea, nu înseamnă că utilizatorii vor fi protejaţi, deoarece mostrele Stuxnet deja semnate vor continua să infecteze sistemele de operare, însă certificatele nu vor mai putea fi folosite pentru a semna şi alte versiuni ale troianului. Kaspersky Lab recomandă tuturor utilizatorilor să se asigure că au instalată pe computer o soluţie de securitate avansată, cu actualizările la zi.
Mai multe detalii despre acest nou cal troian, precum şi explicaţii ale experţilor Kaspersky Lab găsiţi în următoarele articole:
http://www.securelist.com/en/blog/269/Myrtus_and_Guava_Episode_1
http://www.securelist.com/en/blog/271/Myrtus_and_Guava_Episode_2
http://www.securelist.com/en/blog/272/Myrtus_and_Guava_Episode_3
http://www.securelist.com/en/blog/2234/Stuxnet_and_stolen_certificates