Noua strategie pentru viruși Secretele industriale

Siemens a aflat despre această problemă pe 14 iulie, a declarat purtătorul de cuvânt al Siemens Industry, Michael Krampe, într-un mesaj e-mail de vineri. "Compania a asamblat imediat o echipă de experți pentru a evalua situația, Siemens luând toate măsurile de precauție pentru a-și avertiza clienții cu privire la potențialele riscuri ale acestui virus", a spus el

experții în securitate consideră că virusul pare a fi un fel de amenințare ei s-au îngrijorat de ani de zile - software rău intenționat conceput să infiltreze sistemele utilizate pentru a rula fabrici și părți ale infrastructurii critice.

[A se citi lectură: Cum să eliminați programele malware de pe PC-ul Windows]

tipul de virus ar putea fi folosit pentru a prelua controlul asupra acestor sisteme, a perturba operațiunile sau a declanșa un accident major, dar experții spun că o analiză timpurie a codului sugerează că a fost probabil proiectat să fure secrete de la fabricile de producție și alte instalații industriale. "Aceasta are toate caracteristicile software-ului armat, probabil pentru spionaj", a spus Jake Brodsky, un lucrător IT cu o utilitate mare, care a cerut ca firma sa să nu fie identificată pentru că nu era autorizat să vorbească în numele său

Alți experți în securitatea sistemelor industriale au convenit, spunând că software-ul rău intenționat a fost scris de un atacator sofisticat și determinat. Software-ul nu exploatează o eroare în sistemul Siemens pentru a ajunge pe un PC, ci folosește în schimb un bug Windows nedeclarat pentru a intra în sistem.

Virusul vizează software-ul de management Siemens numit Simatic WinCC, care funcționează pe Windows sistem "

" Siemens se adresează echipei de vânzări și va vorbi direct clienților săi pentru a explica circumstanțele ", a spus Krampe. "Suntem îndemnați clienții să efectueze o verificare activă a sistemelor lor de calculatoare cu instalări WinCC și să utilizeze versiuni actualizate ale software-ului antivirus, pe lângă faptul că rămân vigilenți în ceea ce privește securitatea IT în mediile lor de producție."

Microsoft a emis, avertizează asupra problemei, spunând că afectează toate versiunile de Windows, inclusiv cel mai recent sistem de operare Windows 7. Compania a văzut bug-ul exploatat doar în atacuri limitate și orientate, a spus Microsoft.

Sistemele care execută software-ul Siemens, denumite SCADA (sisteme de supraveghere și achiziție de date), de obicei nu sunt conectate la Internet din motive de securitate, dar acest virus se răspândește când un stick USB infectat este introdus într-un calculator.

Odată ce dispozitivul USB este conectat la PC, virusul scanează pentru un sistem Siemens WinCC sau alt dispozitiv USB, potrivit lui Frank Boldewin, analist de securitate cu GAD, furnizorul de servicii IT din Germania, care a studiat codul. Se copiază pe orice dispozitiv USB pe care îl găsește, dar dacă detectează software-ul Siemens, încearcă imediat să se conecteze utilizând o parolă prestabilită. În caz contrar, acesta nu face nimic, a spus el într-un interviu prin e-mail.

Această tehnică poate funcționa, deoarece sistemele SCADA sunt adesea confortabil configurate, parolele standard rămânând neschimbate, a spus Boldewin. VirusBlokAda, o companie antivirus puțin cunoscută, cu sediul în Belarus, și a raportat joi bloggerul de securitate Brian Krebs.

Pentru a obține sisteme Windows care necesită semnături digitale - o practică comună în mediile SCADA - virusul utilizează o semnătura digitală la producătorul de semiconductoare Realtek. Virusul este declanșat oricând o victimă încearcă să vizualizeze conținutul stick-ului USB. O descriere tehnică a virusului poate fi găsită aici (pdf).

Nu este clar cum autorii virusului au putut să semneze codul lor cu semnătura digitală a Realtek, dar poate indica faptul că cheia de criptare a lui Realtek a fost compromisă. Producătorul taiwanez de semiconductor nu a putut fi contactat vineri pentru comentarii.

În multe privințe, virusul imită atacurile de tip proof-of-concept pe care cercetătorii de securitate ca Wesley McGrew le dezvoltă în laboratoare de ani de zile. Sistemele pe care le vizează sunt atractive pentru atacatori, deoarece pot furniza informații despre fabrica sau utilitatea în care sunt folosite.

Cine a scris software-ul de virus ar fi putut viza o instalare specifică, a declarat McGrew, fondatorul McGrew Security și cercetător la Universitatea de Stat din Mississippi. Dacă autorii ar fi vrut să spargă cât mai multe computere, mai degrabă decât o țintă specifică, ar fi încercat să exploateze mai populare sisteme de management SCADA, cum ar fi Wonderware sau RSLogix, a spus el.

Potrivit experților, există mai multe motive de ce cineva ar putea dori să spargă un sistem SCADA "Pot exista bani în ea", a spus McGrew. "Poate că preluați un sistem SCADA și îl țineți ostatic pentru bani". Criminalii ar putea folosi informațiile de la sistemul producătorului WinCC pentru a învăța cum să contrafăcute produsele, a declarat Eric Byres, directorul departamentului de tehnologie Byres Security, consultant de securitate. "Acest lucru pare a fi un grad Un caz de recoltare IP concentrat", a spus el. "Aceasta pare concentrată și reală."

Robert McMillan acoperă securitatea calculatoarelor și știrile generale de ultimă oră pentru

Serviciul de știri IDG

. Urmați pe Robert pe Twitter la @ bobmcmillan. Adresa de e-mail a lui Robert este [email protected]