Новые цели вирусов Промышленные секреты

Siemens предупреждает клиентов о новом и высокотехнологичный вирус, предназначенный для компьютеров, используемых для управления крупномасштабными промышленными системами управления, используемыми производственными и коммунальными компаниями.

Siemens узнал об этом 14 июля, сообщил представитель компании Siemens Майкл Крампе в электронном сообщении в пятницу. «Компания немедленно собрала команду экспертов для оценки ситуации. Siemens принимает все меры предосторожности, чтобы предупредить своих клиентов о потенциальных рисках этого вируса», - сказал он.

Эксперты по безопасности считают, что вирус представляет собой угрозу они обеспокоены годами - вредоносное программное обеспечение, предназначенное для проникновения в системы, используемые для запуска заводов и частей критической инфраструктуры.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Некоторые обеспокоены тем, что это тип вируса мог бы использоваться для контроля над этими системами, чтобы нарушить операции или вызвать крупную аварию, но эксперты говорят, что ранний анализ кода предполагает, что он, вероятно, предназначен для кражи секретов от заводов-изготовителей и других промышленных объектов.

«У этого есть все отличительные черты вооруженного программного обеспечения, возможно, для шпионажа», - сказал Джейк Бродски, ИТ-специалист с большой полезностью, который попросил его компанию не идентифицировать, поскольку он не был уполномочен говорить от его имени.

Эксперты по безопасности других промышленных систем согласились, заявив, что вредоносное программное обеспечение было написано сложным и решительным злоумышленником. Программное обеспечение не использует ошибку в системе Siemens для выхода на ПК, но вместо этого использует ранее нераскрытую ошибку Windows, чтобы проникнуть в систему.

Вирус нацелен на программное обеспечение для управления Siemens под названием Simatic WinCC, которое работает на операционной системе Windows системы.

«Siemens обращается к своей команде продаж и также будет говорить напрямую со своими клиентами, чтобы объяснить обстоятельства», - сказал Крампе. «Мы призываем клиентов проводить активную проверку своих компьютерных систем с установками WinCC и использовать обновленные версии антивирусного программного обеспечения в дополнение к остальным бдительным вопросам безопасности ИТ в их производственных средах».

В конце пятницы Microsoft выпустила консультацию по безопасности предупреждая о проблеме, заявив, что это затрагивает все версии Windows, включая новейшую операционную систему Windows 7. Компания обнаружила, что ошибка была использована только в ограниченных атаках с таргетингом, сказал Microsoft.

Системы, которые запускают программное обеспечение Siemens, называемые системами SCADA (диспетчерский контроль и сбор данных), обычно не подключены к Интернету по соображениям безопасности, но этот вирус распространяется, когда зараженный USB-накопитель вставлен в компьютер.

После подключения USB-устройства к компьютеру вирус сканирует систему Siemens WinCC или другое USB-устройство, по словам Фрэнка Болдевина, аналитика по безопасности, Немецкий поставщик ИТ-услуг GAD, который изучил код. Он копирует себя на любое обнаруженное им USB-устройство, но если он обнаруживает программное обеспечение Siemens, он немедленно пытается войти в систему, используя пароль по умолчанию. В противном случае он ничего не делает, сказал он в интервью по электронной почте.

Этот метод может работать, потому что системы SCADA часто плохо настроены, а пароли по умолчанию остаются неизменными, сказал Boldewin.

Вирус был обнаружен в прошлом месяце исследователями с VirusBlokAda, малоизвестная антивирусная фирма, базирующаяся в Беларуси, и сообщила в четверг блоггеру по безопасности Брайан Кребс.

Чтобы обойти системы Windows, требующие цифровых подписей - обычная практика в средах SCADA - вирус использует цифровую подпись для полупроводникового производителя Realtek. Вирус запускается в любое время, когда жертва пытается просмотреть содержимое USB-накопителя. Техническое описание вируса можно найти здесь (pdf).

Неясно, как авторы вируса смогли подписать свой код с цифровой подписью Realtek, но это может означать, что ключ шифрования Realtek был скомпрометирован. Тайваньский производитель полупроводников не смог связаться с комментарием в пятницу.

Во многих отношениях вирус имитирует доказательство концептуальных атак, которые исследователи безопасности, такие как Уэсли МакГрю, уже несколько лет развиваются в лабораториях. Системы, на которые он нацелен, привлекательны для злоумышленников, потому что они могут предоставить сокровищницу информации о фабрике или утилите, в которой они используются.

Тот, кто написал вирусное программное обеспечение, возможно, ориентировался на определенную установку, сказал Макгрю, основатель McGrew Security и исследователь Университета штата Миссисипи. Если бы авторы хотели взломать как можно больше компьютеров, а не конкретную цель, они бы попытались использовать более популярные системы управления SCADA, такие как Wonderware или RSLogix.

По мнению экспертов, есть несколько причин почему кто-то может захотеть разбить систему SCADA «В ней могут быть деньги», - сказал МакГрю. «Возможно, вы возьмете систему SCADA, и вы держите ее в заложниках за деньги».

Преступники могут использовать информацию из системы WinCC производителя, чтобы узнать, как подделывать продукты, сказал Эрик Байрес, главный технический директор службы безопасности Byres Security. «Это похоже на случай класса A с целенаправленной сборкой ИС», - сказал он. «Это выглядит сфокусированным и реальным».

Роберт Макмиллан рассматривает компьютерную безопасность и общие технологии, новости для Служба новостей IDG. Следуйте за Робертом в Твиттере в @bobmcmillan. Адрес электронной почты Роберта: [email protected]