Nye Virusmål Industrielle Secrets

Siemens advarer kunder om en ny og stærkt sofistikeret virus, der er målrettet mod de computere, der bruges til at styre store industrielle kontrolsystemer, der anvendes af fremstillingsvirksomheder og nyttevirksomheder.

Siemens lærte om spørgsmålet den 14. juli, sagde talsmand for Siemens Industry Michael Krampe i en e-mail-meddelelse fredag. "Firmaet samler øjeblikkeligt et team af eksperter til at evaluere situationen. Siemens tager alle forholdsregler for at advare sine kunder om de potentielle risici ved denne virus," sagde han.

Sikkerhedseksperter mener, at viruset ser ud til at være den slags trussel de har bekymret i årevis - ondsindet software designet til at infiltrere de systemer, der bruges til at køre fabrikker og dele af den kritiske infrastruktur.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Nogle er bekymrede over, at dette type virus kunne bruges til at tage kontrol over disse systemer, forstyrre operationer eller udløse en større ulykke, men eksperter siger, at en tidlig analyse af koden antyder, at det sandsynligvis var designet til at stjæle hemmeligheder fra fabrikker og andre industrielle faciliteter.

"Dette har alle kendetegn ved våben software, sandsynligvis til spionage," sagde Jake Brodsky, en IT-medarbejder med et stort redskab, der bad om, at hans firma ikke blev identificeret, fordi han ikke var autoriseret til at tale på sin vegne.

Andre industrisystemers sikkerhedseksperter var enige om, at den ondsindede software blev skrevet af en sofistikeret og fastslået angriber. Softwaren udnytter ikke en fejl i Siemens-systemet for at komme ind på en pc, men bruger i stedet en tidligere ikke-afsløret Windows-fejl til at bryde ind i systemet.

Virusen er rettet mod Siemens management software kaldet Simatic WinCC, som kører på Windows-operativsystemet system.

"Siemens kommer ud til sit salgsteam og vil også tale direkte med sine kunder for at forklare omstændighederne," sagde Krampe. "Vi opfordrer kunderne til at foretage en aktiv kontrol af deres computersystemer med WinCC-installationer og bruge opdaterede versioner af antivirusprogrammer ud over at være tilbageholdende opmærksom på it-sikkerhed i deres produktionsmiljøer."

Microsoft sendte i fredags en sikkerhedsrådgivning advarsel om problemet, siger det påvirker alle versioner af Windows, herunder dets nyeste Windows 7-operativsystem. Virksomheden har set bugten kun udnyttet i begrænsede målrettede angreb, siger Microsoft.

Systemerne, der driver Siemens-softwaren, kaldet SCADA (overvågnings- og dataovervågningssystemer), er typisk ikke forbundet med internettet af sikkerhedsmæssige årsager, men denne virus spredes, når en inficeret USB-stick er indsat i en computer.

Når USB-enheden er tilsluttet pc'en, scanner viruset til et Siemens WinCC-system eller en anden USB-enhed, ifølge Frank Boldewin, en sikkerhedsanalytiker med Tysk it tjenesteudbyder gad, der har studeret koden. Den kopierer sig til enhver USB-enhed, den finder, men hvis den registrerer Siemens-softwaren, forsøger den straks at logge ind ved hjælp af en standardadgangskode. Ellers gør det ingenting, sagde han i et e-mail-interview.

Denne teknik kan virke, fordi SCADA-systemer ofte er dårligt konfigureret, med standardadgangskoder uændret, siger Boldewin.

Virusen blev opdaget i sidste måned af forskere med VirusBlokAda, et lille kendt antivirusfirma baseret i Belarus, og rapporteret torsdag af sikkerhedsbloggeren Brian Krebs.

For at omgå Windows-systemer, der kræver digitale signaturer - en almindelig praksis i SCADA-miljøer - bruger viruset en digital signatur tildelt til halvleder maker Realtek. Virusen udløses når som helst et offer forsøger at se indholdet på USB-stikket. En teknisk beskrivelse af virussen findes her (pdf).

Det er uklart, hvordan forfatterne af viruset kunne underskrive deres kode med Realteks digitale signatur, men det kan tyde på, at Realteks krypteringsnøgle er blevet kompromitteret. Den taiwanske halvlederproducent kunne ikke nås til kommentar fredag.

På mange måder efterligner viruset proof-of-concept-angreb, som sikkerhedsforskere som Wesley McGrew har udviklet sig i laboratorier i årevis. De systemer, den målretter, er attraktive for angribere, fordi de kan give en skattekiste af oplysninger om fabrikken eller det anvendelsesområde, hvor de bruges.

Den, der skrev virusprogrammet, kan have været målrettet mod en bestemt installation, sagde McGrew, grundlægger af McGrew Security og en forsker ved Mississippi State University. Hvis forfatterne havde ønsket at bryde ind på så mange computere som muligt, snarere end et bestemt mål, ville de have forsøgt at udnytte mere populære SCADA-styringssystemer som Wonderware eller RSLogix, siger han.

Ifølge eksperter er der flere grunde hvorfor nogen måske vil bryde et SCADA-system "Der kan være penge i det," sagde McGrew. "Måske overtager du et SCADA-system, og du holder det i gidsler for penge."

Kriminelle kunne bruge oplysningerne fra en producentens WinCC-system til at lære at forfalske produkter, siger Eric Byres, chefstekniker med sikkerhedskonsulent Byres Security. "Det ligner en klasse A-sag med fokuseret IP-høstning," sagde han. "Dette ser fokuseret og rigtigt ud."

Robert McMillan dækker computersikkerhed og generel teknologi breaking news for IDG News Service. Følg Robert på Twitter på @bobmcmillan. Roberts e-mail-adresse er [email protected]