Nye virusmål Industrielle hemmeligheter

Siemens varsler kunder om en ny og svært sofistikert virus som retter seg mot datamaskiner som brukes til å håndtere store industrielle kontrollsystemer som brukes av industri- og bruksfirmaer.

Siemens lærte om spørsmålet 14. juli, sa talsmannen for Siemens Industry, Michael Krampe, i en e-postmelding fredag. "Siemens tar umiddelbart alle forsiktighetsregler for å varsle kundene om de potensielle risikoene for dette viruset," sa han.

Sikkerhetseksperter mener at viruset ser ut til å være en slags trussel de har bekymret i årevis - ondsinnet programvare som er utformet for å infiltrere systemene som brukes til å drive fabrikker og deler av den kritiske infrastrukturen.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Noen har bekymret for at dette type virus kan brukes til å ta kontroll over disse systemene, forstyrre operasjoner eller utløse en storulykke, men eksperter sier at en tidlig analyse av koden antyder at det sannsynligvis var designet for å stjele hemmeligheter fra fabrikker og andre industrielle anlegg.

"Dette har alle kjennetegnene til weaponized programvare, sannsynligvis for spionasje," sa Jake Brodsky, en IT-arbeidstaker med et stort verktøy, som ba om at hans firma ikke ble identifisert fordi han ikke var autorisert til å snakke på sin vegne.

Andre industrisystemer sikkerhetseksperter enige om, sier den ondsinnede programvaren ble skrevet av en sofistikert og fastslått angriper. Programvaren utnytter ikke en feil i Siemens-systemet for å komme inn på en PC, men bruker i stedet en tidligere ikke-avslørt Windows-feil for å bryte inn i systemet.

Viruset retter seg mot Siemens management software, kalt Simatic WinCC, som kjører på Windows-operativsystemet system.

"Siemens kommer ut til sitt salgsteam og vil også snakke direkte med sine kunder for å forklare omstendighetene," sa Krampe. "Vi oppfordrer kundene til å utføre en aktiv kontroll av sine datasystemer med WinCC-installasjoner og bruke oppdaterte versjoner av antivirusprogramvaren i tillegg til å være opptatt av IT-sikkerhet i sine produksjonsmiljøer."

Microsoft sendte i fredags en sikkerhetsrådgivning Advarsel om problemet, sier at det påvirker alle versjoner av Windows, inkludert det nyeste Windows 7-operativsystemet. Selskapet har sett feilen utnyttet bare i begrensede angrep, sa Microsoft.

Systemene som kjører Siemens-programvaren, kalt SCADA (overvåkings- og datainnsamlingssystemer), er vanligvis ikke koblet til Internett av sikkerhetshensyn, men dette viruset sprer seg når en infisert USB-pinne er satt inn i en datamaskin.

Når USB-enheten er koblet til PCen, skanner viruset for et Siemens WinCC-system eller en annen USB-enhet, ifølge Frank Boldewin, en sikkerhetsanalytiker med Tysk IT-leverandør GAD, som har studert koden. Den kopierer seg til en hvilken som helst USB-enhet den finner, men hvis den oppdager Siemens-programvaren, prøver den umiddelbart å logge inn ved hjelp av et standardpassord. Ellers gjør det ingenting, sa han i et e-postintervju.

Denne teknikken kan fungere, fordi SCADA-systemer ofte er dårlig konfigurert, med standard passord uendret, sa Boldewin.

Viruset ble oppdaget i forrige måned av forskere med VirusBlokAda, et lite kjent antivirus firma basert i Hviterussland, og rapportert torsdag av sikkerhetsblogger Brian Krebs.

For å omgå Windows-systemer som krever digitale signaturer - en vanlig praksis i SCADA-miljøer - bruker viruset en digital signatur tildelt til halvleder maker Realtek. Viruset utløses når et offer prøver å se innholdet på USB-pinnen. En teknisk beskrivelse av viruset finner du her (pdf).

Det er uklart hvordan forfatterne av viruset kunne signere sin kode med Realteks digitale signatur, men det kan tyde på at Realteks krypteringsnøkkel er blitt kompromittert. Den taiwanske halvlederproducenten kunne ikke nås til kommentar fredag.

På mange måter virker etterlikningen bevisst på konseptet at sikkerhetsforskere som Wesley McGrew har utviklet seg i laboratorier i årevis. Systemene den målrettes er attraktive for angripere fordi de kan gi en skattekiste av informasjon om fabrikken eller verktøyet der de brukes.

Den som skrev virusprogramvaren, kan ha blitt målrettet mot en bestemt installasjon, sa McGrew, grunnlegger av McGrew Security og en forsker ved Mississippi State University. Hvis forfatterne hadde ønsket å bryte inn på så mange datamaskiner som mulig, i stedet for et bestemt mål, ville de ha forsøkt å utnytte mer populære SCADA-styringssystemer som Wonderware eller RSLogix, sa han.

Ifølge eksperter er det flere grunner hvorfor noen vil kanskje bryte et SCADA-system "Det kan være penger i det," sa McGrew. "Kanskje du tar over et SCADA-system, og du holder det i gissel for penger."

Kriminelle kan bruke informasjonen fra en produsents WinCC-system for å lære å forfalske produkter, sier Eric Byres, sjefsteknologsjef med sikkerhetsrådgivning Byres Security. "Dette ser ut som en klasse En sak med fokusert IP-høsting," sa han. "Dette ser fokusert og ekte."

Robert McMillan dekker datasikkerhet og generell teknologi bryte nyheter for IDG News Service. Følg Robert på Twitter på @bobmcmillan. Roberts e-postadresse er [email protected]