New Virus Targets Industrial Secrets

Siemens varoittaa uutta ja erittäin kehittyneistä viruksista, jotka kohdistuvat tietokoneisiin, joita käytetään valmistamaan teollisuuslaitoksia ja hyödyllisyysyhtiöitä.

Siemens sai tietää asiasta 14. heinäkuuta, Siemensin edustaja Michael Krampe ilmoitti sähköpostiviestinä perjantaina. "Yhtiö on koonnut välittömästi asiantuntijaryhmän tilanteen arvioimiseksi, ja Siemens ryhtyy kaikkiin varotoimiin ilmoittamaan asiakkailleen tämän viruksen mahdollisista riskeistä", hän sanoi.

Tietoturva-asiantuntijat uskovat, että virus näyttää uhkaavan tällaista uhkaa he ovat huolissaan jo vuosia - haittaohjelmia, jotka on suunniteltu soluttamaan järjestelmät, joita käytetään tehtaiden ja kriittisen infrastruktuurin osiin.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Jotkut ovat huolissaan siitä, että tämä viruksen tyyppiä voitaisiin käyttää hallitsemaan näitä järjestelmiä, häiritsemään toimintoja tai laukaisemaan suurta onnettomuutta, mutta asiantuntijat sanovat, että koodin varhaisessa vaiheessa tapahtuvaan analyysiin viitattiin luultavasti varastamasta salaisuuksia tuotantolaitoksilta ja muilta teollisuuslaitoksilta.

"Tämä on kaikki aseistettujen ohjelmistojen tunnusmerkkejä, todennäköisesti vakoilusta", sanoi suuri apuohjelma IT-työntekijä Jake Brodsky, joka pyysi, että hänen yritystään ei tunnisteta, koska hänellä ei ollut lupaa puhua

Muut teollisuusjärjestelmät tietoturva-asiantuntijat sopivat sanoen, että haittaohjelmat kirjoitti hienostunut ja määrätietoinen hyökkääjä. Ohjelmisto ei käytä Siemens-järjestelmään liittyvää vikaa päästäkseen PC: hen, vaan käyttää aiemmin julkistamatonta Windows-vikaa, jotta se murtautuu järjestelmään.

Virus kohdistuu Siemensin hallintaohjelmaan nimeltä Simatic WinCC, joka toimii Windows-käyttöjärjestelmässä

"Siemens on tavoittamassa myyntiä ja puhuu suoraan asiakkailleen selvittääkseen olosuhteet", Krampe sanoi. "Kehotamme asiakkaita toteuttamaan aktiiviset tarkistukset tietokonejärjestelmiinsä WinCC-laitteistolla ja käyttämään virustentorjuntaohjelmistojen päivitettyjä versioita sen lisäksi, että ne säilyttävät valppaasti IT-tietoturvaansa tuotantoympäristöissään."

Microsoft julkaisi perjantaina turvallisuusneuvontaa varoitus siitä, että se vaikuttaa kaikkiin Windows-versioihin, mukaan lukien sen uusin Windows 7 -käyttöjärjestelmä.

Siemens-ohjelmiston ylläpitämiä järjestelmiä, joita kutsutaan SCADA-valvonta- ja tiedonsiirtojärjestelmiksi, eivät yleensä ole yhteydessä Internetiin turvallisuussyistä, mutta tämä virus leviää, kun tietokoneeseen on asetettu tartunnan saaneita USB-tikkuja.

Kun USB-laite on kytketty tietokoneeseen, virus etsii Siemens WinCC -järjestelmää tai muuta USB-laitetta, Frank Boldewin, Saksalainen IT-palveluntarjoaja GAD, joka on tutkinut koodia. Se kopioi mihin tahansa löydettyyn USB-laitteeseen, mutta jos se havaitsee Siemens-ohjelmiston, se yrittää heti kirjautua käyttäen oletussalasanaa. Muussa tapauksessa se ei tee mitään, hän sanoi sähköpostin haastattelussa.

Tämä tekniikka saattaa toimia, koska SCADA-järjestelmät ovat usein huonosti konfiguroitavissa, oletus salasanat ovat ennallaan, Boldewin sanoi. VirusBlokAda, joka on Valkovenäjällä toimiva vähän tunnettu virustorjuntayritys, jonka turvallisuusblogisti Brian Krebs raportoi torstaina.

Jos haluat päästä käsiksi Windows-järjestelmään, joka vaatii digitaalisia allekirjoituksia - yleinen käytäntö SCADA-ympäristöissä - virus käyttää digitaalista allekirjoitusta puolijohdevalmistaja Realtek. Virus käynnistyy milloin uhri yrittää tarkastella USB-muistin sisältöä. Viruksen tekninen kuvaus löytyy täältä (pdf).

On epäselvää, miten viruksen kirjoittajat pystyivät allekirjoittamaan koodinsa Realtekin digitaalisella allekirjoituksella, mutta se saattaa osoittaa, että Realtekin salausavain on vaarantunut.

Taiwanista puolijohdevalmistajaa ei voitu kommentoida perjantainaVirus muokkaa monia tapoja, jotka Wesley McGrewin turvallisuustutkijat ovat kehittäneet laboratorioissa jo vuosien ajan. Järjestelmät, joihin se kohdistuu, ovat houkuttelevia hyökkääjille, koska he voivat antaa aarrekarjan tietoja tehtaasta tai hyödyllisyydestä, jossa heitä käytetään.

Kuka kirjoitti virustorjuntaohjelmiston, saattaa olla kohdistunut tiettyyn laitokseen, sanoi McGrew, McGrew Security ja tutkija Mississippi State Universityissä. Jos kirjoittajat olisivat halunneet murtautua mahdollisimman monen tietokoneen piiriin kuin tiettyyn kohteeseen, he olisivat yrittäneet hyödyntää entistä suositumpia SCADA-hallintajärjestelmiä, kuten Wonderwarea tai RSLogixia.

Asiantuntijoiden mukaan on olemassa useita syitä miksi joku voisi haluta rikkoa SCADA-järjestelmän "Tulee olla rahaa siinä", McGrew sanoi. "Ehkä voit ottaa SCADA-järjestelmän käyttöön ja pidät sitä panttivankeina."

Rikolliset voisivat käyttää tietoja valmistajan WinCC-järjestelmästä oppiakseen väärennöksiä, sanoo tekninen turvallisuuspäällikkö Eric Byres, jonka turvallisuusneuvonta Byres Security. "Tämä näyttää luokan A tapauksena keskittynyt IP-korjuu", hän sanoi. "Tämä näyttää tarkkalta ja todelliselta."

Robert McMillan kattaa tietoturvan ja yleisen teknologian uutiset

IDG News Service. Seuraa Robertin Twitterissä osoitteessa @bobmcmillan. Robertin sähköpostiosoite on [email protected]