Novi ciljevi virusa industrijske tajne

Siemens upozorava korisnike novog i visoko sofisticirani virus koji cilja računala koja se koriste za upravljanje industrijskim kontrolnim sustavima velikih razmjera koje rabe proizvodna i komunalna poduzeća.

Siemens je na to pitanje otkrio 14. srpnja, rekao je glasnogovornik Siemens Industrya Michael Krampe petkom u e-poruci. "Tvrtka je odmah sastavila tim stručnjaka za procjenu situacije, a Siemens poduzima sve mjere opreza kako bi upozorio svoje klijente na potencijalne rizike ovog virusa", rekao je.

Sigurnosni stručnjaci vjeruju da virus izgleda kao vrsta prijetnje oni su se zabrinuli godinama - zlonamjerni softver dizajniran za infiltriranje sustava koji se koriste za vođenje tvornica i dijelova kritične infrastrukture.

Neki su se brinuli da je ovo vrsta virusa može se koristiti za preuzimanje kontrole nad tim sustavima, kako bi poremetile operacije ili izazivale veliku nesreću, no stručnjaci kažu da rana analiza koda sugerira da je vjerojatno dizajniran da ukrade tajne iz proizvodnih pogona i drugih industrijskih postrojenja.

"To ima sve obilježje oružanih softvera, vjerojatno za špijunažu", izjavio je Jake Brodsky, informatičar s velikim komunalnim poduzećem koji je zatražio da se njegova tvrtka ne identificira jer nije ovlašten govoriti u svoje ime.

Ostali industrijski sustavi sigurnosni stručnjaci složili su se, rekavši da je zlonamjerni softver napisao sofisticirani i odlučni napadač. Softver ne iskorištava bug u Siemensovom sustavu da bi došao na računalo, ali umjesto toga koristi prethodno neotkriven Windows bug koji će se probiti u sustav.

Virus cilja Siemensov softver za upravljanje koji se zove Simatic WinCC, koji radi na operativnom sustavu Windows

"Siemens se približava prodajnom timu i izravno će razgovarati s kupcima kako bi objasnio okolnosti", rekao je Krampe. "Pozivamo korisnike da provode aktivnu provjeru njihovih računalnih sustava s WinCC instalacijama i koriste ažurirane verzije antivirusnog softvera, uz preostalu pažnju oko IT sigurnosti u njihovim proizvodnim okruženjima."

Kasno petak Microsoft je objavio sigurnosni savjetnik upozorenje o problemu, ukazujući to utječe na sve verzije sustava Windows, uključujući najnoviji operacijski sustav Windows 7.

Sustavi koji upravljaju Siemensovim softverom, nazvanim SCADA (nadzorni nadzor i sustavi za prikupljanje podataka) obično nisu povezani s internetom iz sigurnosnih razloga, ali ovaj se virus širi kad se zaraženi USB disk umetne u računalo.

Nakon što je USB uređaj priključen na računalo, virus skenira za Siemens WinCC sustav ili neki drugi USB uređaj, tvrdi Frank Boldewin, sigurnosni analitičar Njemački pružatelj IT usluga GAD, koji je proučavao kod. Kopira se na bilo koji USB uređaj koji pronađe, ali ako prepozna Siemensov softver, odmah se pokušava prijaviti pomoću zadane lozinke. Inače, to ne čini ništa, rekao je u intervjuu e-poštom.

Ta tehnika može funkcionirati, jer SCADA sustavi su često loše konfigurirani, sa zadanim lozinkama nepromijenjenima, rekao je Boldewin.

Virus je otkrio prošlog mjeseca istraživači s

Kako biste se kretali oko sustava Windows koji zahtijevaju digitalne potpise - uobičajena praksa u SCADA okruženjima - virus koristi digitalni potpis koji je dodijeljen do proizvođača poluvodiča Realtek. Virus se aktivira bilo kada žrtva pokuša pregledavati sadržaj USB memorije. Tehnički opis virusa može se naći ovdje (pdf).

Nije jasno kako su autori virusa mogli potpisati svoj kod s Realtekovim digitalnim potpisom, ali može ukazati na to da je Realtekov ključ za šifriranje ugrožen. Tajvanski proizvođač poluvodiča nije mogao dobiti komentar u petak.

Na mnoge načine, virus oponaša dokazne koncepcijske napade koje istraživači sigurnosti poput Wesley McGrew već godinama razvijaju u laboratorijima. Sustavi koje ciljaju atraktivni su za napadače jer mogu pružiti podatke o tvornici ili uslužnom programu gdje se koriste.

Tko je napisao virusni softver, možda je ciljao određenu instalaciju, rekao je McGrew, osnivač tvrtke McGrew Security i istraživač na State University of Mississippi. Ako su autori željeli upadati što više računala, a ne određeni cilj, pokušali bi iskoristiti više popularnih SCADA sustava upravljanja kao što su Wonderware ili RSLogix.

Prema mišljenju stručnjaka postoji nekoliko razloga zašto bi netko želio razbiti SCADA sustav "Možda u njemu ima novaca", rekao je McGrew. "Možda preuzimate SCADA sustav i držite ga kao taoce za novac."

Kriminalci mogli bi koristiti informacije iz WinCC sustava proizvođača kako bi saznali kako krivotvoriti proizvode, izjavio je Eric Byres, šef tehnološkog časnika sa sigurnosnim savjetovanjem Byres Security. "Ovo izgleda kao primjer slučaja fokusiranog IP-berbe", rekao je. "Ovo izgleda usredotočeno i realno."

Robert McMillan pokriva informacijsku sigurnost i opću tehnološku vijest za

IDG News Service. Slijedite Roberta na Twitteru @ bobmcmillan. Robertova adresa e-pošte je [email protected]