Nové cíle proti viru Průmyslové tajemství

Společnost Siemens se o této otázce dozvěděla 14. července, řekl mluvčí společnosti Siemens Industry, Michael Krampe v e-mailové zprávě v pátek. "Společnost okamžitě shromáždila tým odborníků, kteří zhodnotili situaci." Siemens podniká veškerá opatření, aby varovala své zákazníky před možnými riziky tohoto viru, "řekl.

Bezpečnostní experti se domnívají, že virus se jeví jako hrozba o kterých se už roky obávají - škodlivý software, který je navržen tak, aby infiltroval systémy používané k provozování továren a částí kritické infrastruktury.

Někteří se obávali, že toto typ viru by mohl být použit k převzetí kontroly nad těmito systémy, narušení operací nebo spuštění velké nehody, ale experti tvrdí, že časná analýza kódu naznačuje, že je pravděpodobně navržena tak, aby ukránila tajemství z výrobních závodů a dalších průmyslových zařízení. "To má všechny znaky zbraňového softwaru, pravděpodobně pro špionáž," řekl Jake Brodsky, IT pracovník s velkým užitkem, který požádal, aby jeho společnost nebyla identifikována, protože nebyl oprávněn mluvit jeho jménem.

Další odborníci na bezpečnost průmyslových systémů se shodli na tom, že škodlivý software napsal důmyslný a odhodlaný útočník. Tento software nevyužívá chybu v systému Siemens, aby se dostal na počítač, ale místo toho používá chybu v systému Windows, která byla dříve nezveřejněna.

Virus se zaměřuje na řídicí software Siemens nazvaný Simatic WinCC, který funguje na operačním systému Windows "

Siemens se snaží dostat se do svého obchodního týmu a bude také hovořit přímo se svými zákazníky, aby vysvětlil okolnosti. "Požádáme zákazníky, aby prováděli aktivní kontrolu svých počítačových systémů s instalacemi WinCC a používali aktualizované verze antivirového softwaru, kromě toho, aby zůstali ostražití v oblasti IT bezpečnosti ve svém výrobním prostředí."

V pátek v pátek Microsoft vydal bezpečnostní poradenství upozorňuje na problém a říká, že se týká všech verzí systému Windows včetně nejnovějšího operačního systému Windows 7. Společnost říká, že chyba byla zneužita pouze v omezených a cílených útokech, říká Microsoft

Systémy, které řídí software Siemens nazývané SCADA (kontrolní systémy a systémy pro získávání dat), nejsou z bezpečnostních důvodů zpravidla připojeny k internetu, ale tento virus se šíří po vložení infikovaného USB klíče do počítače.

Jakmile je zařízení USB připojeno k počítači, virus prohledává systém Siemens WinCC nebo jiné zařízení USB, tvrdí Frank Boldewin, bezpečnostní analytik Německý poskytovatel IT služeb GAD, který studoval kód. Kopíruje se na jakékoliv zařízení USB, které najde, ale pokud detekuje software Siemens, okamžitě se pokusí přihlásit pomocí výchozího hesla. Jinak to nedělá nic, řekl v e-mailovém rozhovoru.

Tato technika může fungovat, protože SCADA systémy jsou často špatně nakonfigurovány, výchozí hesla se nemění, Boldewin řekl.

Virus byl objeven minulý měsíc výzkumníky VirusBlokAda, malý antivirový podnik založený v Bělorusku, který ve čtvrtek oznámil bezpečnostní blogger Brian Krebs.

Chcete-li obejít systémy Windows vyžadující digitální podpisy - běžnou praxi v prostředích SCADA - virus používá přiřazený digitální podpis k polovodičovému výrobci Realtek. Virus se spustí kdykoli, když se oběť pokusí zobrazit obsah USB klíče. Technický popis viru naleznete zde (pdf).

Není jasné, jak mohli autoři tohoto viru podepsat svůj kód s digitálním podpisem společnosti Realtek, ale to může znamenat, že šifrovací klíč společnosti Realtek byl ohrožen. Taiwanský výrobce polovodičů nemohl být v pátek připomínán.

V mnoha ohledech virus napodobuje útoky důkazu o konceptu, které vědci v oblasti bezpečnosti jako Wesley McGrew vyvíjejí v laboratořích již léta. Systémy, na něž se zaměřuje, jsou atraktivní pro útočníky, protože mohou poskytnout poklady informací o továrně nebo utilitě, kde jsou používány.

Kdo napsal virusový software, mohl být zaměřen na konkrétní instalaci, řekl McGrew, zakladatel McGrew Security a výzkumník na Mississippi State University. Pokud se autoři chtěli rozdělit do co největšího počtu počítačů než na konkrétní cíl, snažili by se využívat více populárních řídících systémů SCADA, jako je Wonderware nebo RSLogix.

Podle odborníků existuje několik důvodů proč by někdo mohl chtít přerušit systém SCADA "V tom mohou být peníze," řekl McGrew. "Možná, že převezmete systém SCADA a držíte ho jako rukojmí za peníze."

Zločinci mohli použít informace z výrobního systému WinCC, aby se naučili, jak padělat výrobky, řekl Eric Byres, hlavní technický důstojník s bezpečnostním poradcem Byres Security. "Vypadá to jako stupeň, který je zaměřen na sklizeň IP," řekl. "To vypadá upřímně a skutečně."

Robert McMillan pokrývá počítačovou bezpečnost a obecnou technologii, která přináší novinky pro

IDG News Service

. Sledujte Robert na Twitteru @bobmcmillan. Robertova e-mailová adresa je [email protected]