ÚJ vírus célok Ipari titkok

és rendkívül kifinomult vírus, amely a gyártás és a közüzemi vállalatok által használt nagyméretű ipari vezérlőrendszerek kezelésére használt számítógépekre irányul.

Siemens július 14-én tudomást szerzett a kérdésről, a Siemens Industry szóvivője, Michael Krampe e-mailben pénteken elmondta. "A vállalat azonnal összeállít egy szakértői csapatot a helyzet értékelésére, a Siemens minden óvintézkedést megtett annak érdekében, hogy figyelmeztesse ügyfeleit a vírus potenciális veszélyeire" - mondta.

A biztonsági szakértők szerint a vírus fenyegetőnek tűnik már évek óta aggódnak - olyan rosszindulatú szoftverek, amelyek beszivárogtak a gyárak és a létfontosságú infrastruktúrák részeként használt rendszerekbe.

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]

Egyesek aggódtak, hogy ez a vírus típusát felhasználhatnák az ilyen rendszerek irányításához, a műveletek megzavarásához vagy súlyos baleset kiváltásához, de a szakértők szerint a kód korai elemzése azt sugallja, hogy valószínűleg arra lett tervezve, hogy titokban tartsa a gyárakat és más ipari létesítményeket.

"Ez a fegyveres szoftver minden jellemzője, valószínűleg a kémkedés számára" - mondta Jake Brodsky, nagyszámítógépes informatikus, aki megkérte a cégét, hogy ne legyen azonosítva, mert nem volt felhatalmazva beszélni nevében.

Más ipari rendszerek biztonsági szakértői megállapodtak abban, hogy a rosszindulatú szoftvereket egy kifinomult és határozott támadó írta. A szoftver nem használja ki a hibát a Siemens rendszerben, hanem egy korábban nem nyilvános Windows-hibát használ a rendszerbe.

A vírus a Siemens operációs rendszeren futó Simatic WinCC programot célozza meg

"A Siemens elérte az értékesítési csapatát, és közvetlenül a vevői számára is elmagyarázza a körülményeket" - mondta Krampe. "Sürgeti az ügyfeleket, hogy végezzenek aktív ellenőrzéseket számítógépes rendszereikről a WinCC telepítésekkel, és használják a víruskereső szoftverek frissített verzióit, továbbá a gyártási környezetükben továbbra is éberek az informatikai biztonsággal kapcsolatban."

A késő pénteken a Microsoft biztonsági tanácsadást figyelmeztetés a probléma, mondván, hogy érinti a Windows összes verzióját, beleértve a legfrissebb Windows 7 operációs rendszert. A vállalat csak korlátozott, célzott támadásokban kihasználta a hibát, a Microsoft szerint.

A Siemens szoftvert futtató rendszerek, az úgynevezett SCADA (felügyeleti és adatgyűjtő) rendszerek általában biztonsági okokból nem kapcsolódnak az internethez, de ez a vírus terjed, amikor egy fertőzött USB-kulcsot helyeznek be a számítógépbe.

Miután az USB-eszközt a számítógéphez csatlakoztatta, a vírus a Siemens WinCC rendszert vagy egy másik USB-eszközt keres, Frank Boldewin biztonsági elemző szerint Német IT-szolgáltató GAD, aki a kódot tanulmányozta. Másolja magát az általa talált bármely USB-eszközre, de ha észleli a Siemens szoftvert, azonnal megpróbál bejelentkezni egy alapértelmezett jelszó használatával. Egyébként nem tesz semmit, azt mondta egy e-mail interjúban.

Ez a technika működhet, mert a SCADA rendszerek gyakran rosszul vannak konfigurálva, az alapértelmezett jelszavak változatlanok, Boldewin mondta. VirusBlokAda, egy kevésbé ismert, Fehéroroszországban működő vírusvédelmi cég, és a biztonsági blogger, Brian Krebs beszámolt csütörtökről.

A digitális aláírásokat igénylő Windows rendszerekhez - általános gyakorlat a SCADA környezetekben - a vírus digitális aláírást használ a Realtek félvezető gyártójához. A vírus akkor jelenik meg, amikor az áldozat megpróbálja megtekinteni az USB-eszköz tartalmát. A vírus technikai leírása itt található (pdf).

Nem világos, hogy a vírus szerzői hogyan tudták aláírni a kódot a Realtek digitális aláírásával, de jelezheti, hogy a Realtek titkosítási kulcsa veszélybe került. A tajvani félvezető-gyártó nem érhető el észrevételre pénteken.

A vírus sokféleképpen támaszkodik olyan koncepció-támadásokra, amelyeket a Wesley McGrew, mint a biztonsági kutatók évek óta fejlesztenek a laboratóriumokban. Az általa célzott rendszerek vonzóak a támadók számára, mivel kincskeresési adatokat szolgáltathatnak a gyárról vagy a segédprogramról, ahol használják őket.

A vírusszoftvert író személy esetleg egy konkrét telepítést célozgatott meg, mondta McGrew, az alapítója McGrew Security és a Mississippi Állami Egyetem kutatója. Ha a szerzők a lehető legtöbb számítógépet szeretnék behatolni, és nem egy konkrét célt, akkor megpróbálták volna kihasználni a népszerűbb SCADA irányítási rendszereket, mint például a Wonderware vagy az RSLogix.

A szakértők szerint számos ok miért akarna megszakítani egy SCADA rendszert? "Lehet, hogy pénz van benne" - mondta McGrew. "Lehet, hogy átveszi a SCADA rendszert, és pénzt fog tartani."

A bűnözők felhasználhatják az információkat a gyártó WinCC rendszeréből, hogy megtudják, hogyan takarítanak el termékeket - mondta Eric Byres, a Byres Security biztonsági tanácsadója. "Ez úgy néz ki, mint az A fokozatú koncentrált IP-betakarítás", mondta. "Ez összpontosított és valós."

Robert McMillan az informatikai biztonságra és az általános technológiai hírlevelekre vonatkozik az

Az IDG News Service számára. Kövesse Robert a Twitteren @ bobmcmillan. Robert e-mail címe [email protected]