חדש וירוס סודות תעשייתיים

סימנס היא אזהרה ללקוחות חדשים וירוסים מתוחכמים מאוד שמכוונים למחשבים המשמשים לניהול מערכות בקרה תעשייתיות בקנה מידה גדול המשמשים את חברות הייצור והתשתית.

סימנס למדה על הנושא ב -14 ביולי, אמר דובר התעשייה סימנס מייקל קרמפה בהודעת דואר אלקטרוני ביום שישי. "החברה הקימה מיד צוות של מומחים כדי להעריך את המצב.סימנס נוקטת את כל אמצעי הזהירות כדי להזהיר את הלקוחות שלה את הסיכונים האפשריים של הנגיף הזה", אמר.

מומחים אבטחה מאמינים כי הנגיף נראה כסוג של איום הם מודאגים מזה שנים - תוכנה זדונית שנועדה לחדור למערכות המשמשות להפעלת מפעלים וחלקים מהתשתית הקריטית. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

חלק חששו מכך סוג של וירוס יכול לשמש כדי להשתלט על מערכות אלה, כדי לשבש פעולות או להפעיל תאונה גדולה, אבל מומחים אומרים ניתוח מוקדם של הקוד מציע שזה היה כנראה נועד לגנוב סודות מפעלי ייצור ומתקנים תעשייתיים אחרים. "זה כולל את כל הסימנים של תוכנות נשק, כנראה עבור ריגול", אמר ג 'ייק ברודסקי, עובד IT עם שירות גדול, שביקש כי החברה שלו לא מזוהים כי הוא לא היה מורשה לדבר.

אחרים מומחים בתעשייה מערכות הביטחון הסכימו, ואמר את התוכנה הזדונית נכתב על ידי מתקיף מתוחכם ונחוש. התוכנה לא מנצלת באג במערכת סימנס כדי לעלות על מחשב, אבל במקום זאת משתמשת באג באגף Windows שלא פורץ בעבר כדי לפרוץ את המערכת.

הנגיף מטרות תוכנה לניהול סימנס בשם Simatic WinCC, אשר פועל על ההפעלה Windows.

"סימנס היא להגיע אל צוות המכירות שלה גם ידבר ישירות ללקוחותיה כדי להסביר את הנסיבות", אמר קרמפה. "אנו קוראים ללקוחות לבצע בדיקה פעילה של מערכות המחשוב שלהם עם התקנות של WinCC ולהשתמש בגירסאות מעודכנות של תוכנות אנטי-וירוס, בנוסף לעמידה על המשמר בנוגע לאבטחת ה- IT בסביבות הייצור שלהם."

יום שישי המאוחרת, פרסמה מיקרוסופט הודעת אבטחה אזהרה של הבעיה, אומר שזה משפיע על כל הגירסאות של Windows, כולל האחרונה שלה Windows 7 מערכת ההפעלה. לדבריה, מערכות ההפעלה של סימנס, הנקראות SCADA, הן בדרך כלל לא מחוברות לאינטרנט מסיבות ביטחוניות, אבל זה וירוס מתפשט כאשר מקל USB נגוע מוכנס לתוך המחשב.

לאחר התקן ה- USB מחובר למחשב, הנגיף סורק עבור מערכת Winenc Siemens או התקן USB אחר, על פי פרנק Boldewin, אנליסט אבטחה עם ספקית שירותי ה- IT הגרמנית GAD, שחקרה את הקוד. הוא מעתיק את עצמו לכל התקן USB שהוא מוצא, אבל אם הוא מזהה את התוכנה סימנס, זה מיד מנסה להיכנס באמצעות סיסמת ברירת המחדל. אחרת, הוא אומר בראיון לדואר אלקטרוני, כי טכניקה זו עשויה לפעול, כי מערכות SCADA מוגדרות לעתים קרובות בצורה גרועה, עם סיסמאות ברירת המחדל ללא שינוי, אמר Boldewin.

הנגיף התגלה בחודש שעבר על ידי חוקרים עם VirusBlokAda, חברה אנטי וירוס ידועה המבוססת בבלארוס, ומדווחת על ידי בלוגר האבטחה הבריטי בריאן קרבס.

כדי לעקוף את מערכות Windows הדורשות חתימות דיגיטליות - נוהג נפוץ בסביבות SCADA - הווירוס משתמש בחתימה דיגיטלית יצרנית המוליכים למחצה - Realtek. הווירוס מופעל בכל עת הקורבן מנסה להציג את התוכן של מקל ה- USB. תיאור טכני של הנגיף ניתן למצוא כאן (pdf).

לא ברור כיצד מחברי הנגיף הצליחו לחתום על הקוד שלהם עם החתימה הדיגיטלית של Realtek, אך הוא עשוי להצביע על כך שמפתח ההצפנה של Realtek נפגע. יצרנית המוליכים למחצה הטייוואנית לא יכלה להגיע לתגובה ביום שישיבמובנים רבים, הווירוס מחקה התקפות של הוכחה של מושג כי חוקרי אבטחה כמו ווסלי מקגרו כבר בפיתוח במעבדות במשך שנים. המערכות שאליהן הוא מכוון הן אטרקטיביות לתוקפים משום שהן יכולות לספק מידע על המפעל או על כלי השירות שבו משתמשים בו.

מי שכתב את תוכנת הווירוס עשוי היה לכוון להתקנה ספציפית, אמר מק'גרו, מייסד McGrew אבטחה וחוקר באוניברסיטת מיסיסיפי סטייט. אם המחברים רצו לפרוץ למחשבים רבים ככל האפשר, ולא למטרה ספציפית, הם היו מנסים לנצל מערכות ניהול פופולריות יותר של SCADA, כגון Wonderware או RSLogix. לדברי המומחים, ישנן מספר סיבות למה שמישהו ירצה לשבור מערכת SCADA "אולי יש כסף זה," אמר מק 'גרו. "אולי אתה משתלט על מערכת SCADA ואתה מחזיק אותה כבני ערובה תמורת כסף".

פושעים יכולים להשתמש במידע ממערכת WinCC של היצרן כדי ללמוד כיצד לזייף מוצרים, אמר אריק ביירס, קצין הטכנולוגיה הראשי של חברת הייעוץ הביטחוני Byres Security. "זה נראה כמו כיתה מקרה של הקצאת IP ממוקד," הוא אמר. "זה נראה ממוקד ואמיתי."

רוברט מקמילן מכסה את אבטחת המחשב ואת הטכנולוגיה הכללית חדשות חמות עבור

שירות חדשות IDG

. עקוב אחר רוברט בטוויטר ב @bobmcmillan. כתובת הדואר האלקטרוני של רוברט היא [email protected]