Worm.Win32.Stuxnet se remarca prin faptul ca este un instrument de spionaj industrial, fiind proiectat pentru a obtine acces la sistemul de operare Siemens WinCC, responsabil cu monitorizarea productiei si colectarea datelor.

Inca de la aparitia sa, in luna iulie 2010, expertii in securitate IT au urmarit cu atentie evolutia Worm.Win32.Stuxnet. Astfel, specialistii Kaspersky Lab au descoperit ca – in plus fata de vulnerabilitatea detectata initial – acest tip de malware exploata alte patru brese de securitate din Windows, care aveau legatura directa cu procesarea fisierelor de tip LNK si PIF. Un exemplu este vulnerabilitatea MS08-067, de asemenea folosita de "celebrul" vierme Kido (Conficker) la inceputul anului 2009. Initial, celelalte trei vulnerabilitati erau necunoscute si exista in continuare in versiunile curente de Windows.

Pe langa MS08-067, Stuxnet foloseste o alta problema de securitate din Windows, prezenta in serviciul Windows Print Spooler. Codul malware este trimis catre un computer conectat la distanta, unde este si executat, incercand apoi sa raspandeasca infectia la toate computerele din retea folosind imprimanta sau accesul partajat la ea.

Imediat ce Kaspersky Lab a detectat aceasta vulnerabilitate, a fost raportata la Microsoft, care a analizat-o si a recunoscut gradul de risc ridicat pentru utilizatori. Aceasta a fost clasificata ca fiind "critica", Microsoft incepand sa lucreze la remedierea ei si lansand pe 14 septembrie patch-ul MS10-061.

Cu toate acestea, specialistii Kaspersky Lab au detectat o alta vulnerabilitate "zero-day" in codul Stuxnet, clasificata ca "Elevation of Privilege" (EoP), care poate fi exploatata de vierme pentru a obtine control total asupra computerului. O bresa de securitate de tip EoP a fost identificata si de Microsoft, ambele urmand sa fie reparate odata cu lansarea viitorului set de actualizari de securitate.

Alexander Gostev, Chief Security Expert la Kaspersky Lab, a jucat un rol important in identificarea Stuxnet, colaborand intens cu Microsoft pentru rezolvarea problemei. Alex a scris un blog post referitor la acest episod, iar datele colectate in timpul analizei, inclusiv detalii despre modul in care pot fi exploatate vulnerabilitatile, vor fi prezentate la conferinta Virus Bulletin care va avea loc luna aceasta in Canada.

"Stuxnet este primul tip de malware care poate exploata patru vulnerabilitati software in acelasi timp", spune Alex Gostev.

"Este ceva unic pentru un vierme ca Stuxnet: este prima amenintare informatica ce include atat de multe «surprize» intr-un singur pachet. Inainte sa identificam noua vulnerabilitate, aceasta ar fi valorat o avere pentru hackeri, iar datorita faptului ca Stuxnet foloseste si certificate digitale Realtek si Jmicron – si nu uitati ca, in cele din urma, a fost proiectat pentru a fura datele stocate in Simatic WinCC SCADA – nu putem concluziona decat ca aceasta amenintare este una fara precedent in domeniul securitatii IT. Trebuie sa recunoastem, infractorii cibernetici au demonstrat capacitati remarcabile de programare", incheie acesta.