Nowe cele wirusowe Tajemnice przemysłowe

Siemens ostrzega klientów o nowych produktach i wysoce zaawansowany wirus atakujący komputery używane do zarządzania wielkoskalowymi przemysłowymi systemami sterowania używanymi przez firmy produkcyjne i użyteczności publicznej.

Siemens dowiedział się o tej problemie 14 lipca, powiedział rzecznik Siemens Industry, Michael Krampe, w wiadomości e-mailowej w piątek. "Firma natychmiast zebrała zespół ekspertów w celu oceny sytuacji: Siemens podejmuje wszelkie środki ostrożności, aby ostrzec klientów przed potencjalnym ryzykiem związanym z tym wirusem", powiedział.

Eksperci ds. Bezpieczeństwa uważają, że wirus ten jest rodzajem zagrożenia od lat martwią się - złośliwym oprogramowaniem zaprojektowanym do infiltracji systemów używanych do uruchamiania fabryk i części infrastruktury krytycznej.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Niektórzy martwili się, że to rodzaj wirusa może zostać wykorzystany do przejęcia kontroli nad tymi systemami, do zakłócenia operacji lub wywołania poważnej awarii, ale eksperci twierdzą, że wczesna analiza kodu sugeruje, że prawdopodobnie został zaprojektowany w celu kradzieży tajemnic z zakładów produkcyjnych i innych obiektów przemysłowych.

"Ma to wszystkie cechy oprogramowania z bronią, prawdopodobnie dla szpiegostwa", powiedział Jake Brodsky, pracownik IT z dużym narzędziem, który poprosił o to, aby jego firma nie została zidentyfikowana, ponieważ nie był upoważniony do mówienia w jej imieniu.

Inni specjaliści ds. bezpieczeństwa systemów przemysłowych zgodzili się, mówiąc, że złośliwe oprogramowanie zostało napisane przez wyrafinowanego i zdecydowanego napastnika. Oprogramowanie nie wykorzystuje błędów w systemie Siemens, aby uzyskać dostęp do komputera, ale zamiast tego wykorzystuje wcześniej nieujawniony błąd systemu Windows, aby włamać się do systemu.

Wirus atakuje oprogramowanie Siemens do zarządzania o nazwie Simatic WinCC, które działa na systemie operacyjnym Windows. system.

"Siemens kontaktuje się ze swoim zespołem handlowym i będzie rozmawiał bezpośrednio z klientami, aby wyjaśnić okoliczności" - powiedział Krampe. "Zachęcamy klientów do przeprowadzania aktywnego sprawdzania ich systemów komputerowych za pomocą instalacji WinCC i korzystania ze zaktualizowanych wersji oprogramowania antywirusowego, a także do zachowania czujności na temat bezpieczeństwa IT w swoich środowiskach produkcyjnych."

W piątek firma Microsoft wydała raport bezpieczeństwa ostrzeżenie o problemie, mówiąc, że dotyczy wszystkich wersji systemu Windows, w tym jego najnowszego systemu operacyjnego Windows 7. Firma zauważyła, że ​​błąd wykorzystywany jest tylko w ograniczonych, ukierunkowanych atakach, powiedział Microsoft.

Systemy, które uruchamiają oprogramowanie Siemens, nazywane systemami SCADA (kontrola nadzorcza i akwizycja danych), zazwyczaj nie są połączone z Internetem ze względów bezpieczeństwa, ale ten wirus rozprzestrzenia się, gdy zainfekowana pamięć USB zostanie włożona do komputera.

Po podłączeniu urządzenia USB do komputera, wirus skanuje system Siemens WinCC lub inne urządzenie USB, według Franka Boldewina, analityka bezpieczeństwa z Niemiecki dostawca usług informatycznych GAD, który przestudiował kod. Kopiuje się do dowolnego znalezionego urządzenia USB, ale jeśli wykryje oprogramowanie Siemens, natychmiast próbuje zalogować się przy użyciu domyślnego hasła. W przeciwnym razie nic nie robi, powiedział w wywiadzie mailowym.

Ta technika może działać, ponieważ systemy SCADA są często źle skonfigurowane, a domyślne hasła pozostają niezmienione, powiedział Boldewin.

Wirus został odkryty w zeszłym miesiącu przez badaczy z VirusBlokAda, mało znana firma antywirusowa z siedzibą na Białorusi, aw czwartek informowała o tym bloger bezpieczeństwa Brian Krebs.

Aby obejść systemy Windows wymagające podpisów cyfrowych - powszechną praktykę w środowiskach SCADA - wirus wykorzystuje podpis cyfrowy do producenta półprzewodników Realtek. Wirus jest wywoływany za każdym razem, gdy ofiara próbuje przejrzeć zawartość pamięci USB. Techniczny opis wirusa można znaleźć tutaj (pdf).

Nie jest jasne, w jaki sposób autorzy wirusa byli w stanie podpisać swój kod cyfrowym podpisem Realtek, ale może to oznaczać, że złamano klucz szyfrowania Realtek. Tajwański producent półprzewodników nie był w stanie dotrzeć do komentarza w piątek.

Pod wieloma względami wirus naśladuje ataki typu "proof-of-concept", które badacze bezpieczeństwa tacy jak Wesley McGrew rozwijają od lat w laboratoriach. Systemy, do których dąży, są atrakcyjne dla atakujących, ponieważ mogą dostarczyć skarbnicy informacji o fabryce lub narzędziu, w którym są używane.

Ktokolwiek napisał oprogramowanie antywirusowe mogło być skierowane na konkretną instalację, powiedział McGrew, założyciel McGrew Security i badacz z Mississippi State University. Gdyby autorzy chcieli włamać się do jak największej liczby komputerów, a nie do określonego celu, spróbowaliby wykorzystać bardziej popularne systemy zarządzania SCADA, takie jak Wonderware lub RSLogix, powiedział.

Według ekspertów jest kilka powodów dlaczego ktoś może chcieć złamać system SCADA "Mogą w tym być pieniądze" - powiedział McGrew. "Być może przejmujesz system SCADA i zakładasz go jako zakładnika dla pieniędzy."

Przestępcy mogli wykorzystać informacje z systemu WinCC producenta, aby dowiedzieć się, jak podrabiać produkty, powiedział Eric Byres, dyrektor ds. Technologii w firmie konsultingowej ds. Bezpieczeństwa Byres Security. "To wygląda jak przypadek skupienia się na zbieraniu IP" - powiedział. "Wygląda to na skoncentrowanego i prawdziwego."

Robert McMillan zajmuje się bezpieczeństwem komputerowym i wiadomościami o przełomowej technologii dla News Service IDG. Obserwuj Roberta na Twitterze na @bobmcmillan. Adres e-mail Roberta to [email protected]