Virus Baru Sasar Rahsia Perindustrian

Siemens memberi amaran kepada pelanggan baru dan virus yang sangat canggih yang mensasarkan komputer yang digunakan untuk menguruskan sistem kawalan industri berskala besar yang digunakan oleh syarikat perkilangan dan utiliti.

Siemens mengetahui mengenai isu itu pada 14 Julai, jurucakap Industri Siemens, Michael Krampe berkata dalam satu mesej e-mel pada hari Jumaat. "Syarikat itu segera memasang satu pasukan pakar untuk menilai keadaan itu. Siemens mengambil semua langkah berjaga-jaga untuk memberi perhatian kepada para pelanggan mengenai potensi risiko virus ini," katanya.

Pakar keselamatan percaya virus itu nampaknya merupakan jenis ancaman mereka telah bimbang selama bertahun-tahun - perisian jahat yang direka untuk menyusup masuk ke sistem yang digunakan untuk menjalankan kilang-kilang dan bahagian infrastruktur kritis. jenis virus boleh digunakan untuk mengawal sistem-sistem tersebut, untuk mengganggu operasi atau mencetuskan kemalangan besar, tetapi pakar-pakar mengatakan analisis awal kod itu menunjukkan ia mungkin direka untuk mencuri rahsia dari kilang pembuatan dan kemudahan perindustrian yang lain.

"Ini mempunyai semua keunggulan perisian senjata, mungkin untuk pengintipan," kata Jake Brodsky, seorang pekerja IT dengan utiliti besar, yang meminta syarikatnya tidak dikenal pasti kerana dia tidak dibenarkan bercakap bagi pihaknya.

Pakar-pakar keselamatan sistem perindustrian lain bersetuju, mengatakan perisian jahat itu ditulis oleh penyerang yang canggih dan ditentukan. Perisian ini tidak mengeksploitasi pepijat dalam sistem Siemens untuk mendapatkan PC, tetapi sebaliknya menggunakan bug Windows yang belum didedahkan sebelumnya untuk memasuki sistem.

Virus ini mensasarkan perisian pengurusan Siemens bernama Simatic WinCC, yang berjalan pada operasi Windows

"Siemens menjangkau pasukan jualannya dan juga akan bercakap terus kepada pelanggan untuk menerangkan keadaan," kata Krampe. "Kami menggesa para pelanggan untuk menjalankan pemeriksaan aktif sistem komputer mereka dengan pemasangan WinCC dan menggunakan versi perisian antivirus yang dikemas kini selain untuk tetap berhati-hati tentang keselamatan IT dalam persekitaran pengeluaran mereka."

Akhirnya Jumaat, Microsoft mengeluarkan penasihat keselamatan memberi amaran mengenai isu tersebut, dengan mengatakan ia memberi kesan kepada semua versi Windows, termasuk sistem operasi Windows 7 terkini.

Sistem yang menjalankan perisian Siemens, yang dinamakan sistem SCADA (kawalan penyeliaan dan pemerolehan data), biasanya tidak disambungkan ke Internet atas alasan keselamatan, tetapi virus ini merebak apabila batang USB yang dijangkiti dimasukkan ke dalam komputer.

Sekali peranti USB dipasang ke dalam PC, virus itu mengimbas sistem Siemens WinCC atau peranti USB lain, menurut Frank Boldewin, penganalisis keselamatan dengan Penyedia perkhidmatan IT Jerman, GAD, yang telah mengkaji kod tersebut. Ia menyalin dirinya ke mana-mana peranti USB yang ditemui, tetapi jika ia mengesan perisian Siemens, ia segera cuba log masuk menggunakan kata laluan lalai.

Teknik itu mungkin berfungsi, kerana sistem SCADA sering dikonfigurasikan dengan teruk, dengan kata laluan lalai tidak berubah, kata Boldewin.

Virus itu ditemui bulan lalu oleh penyelidik dengan VirusBlokAda, sebuah firma anti-virus yang berpusat di Belarus, dan dilaporkan oleh blogger keamanan Brian Krebs.

Untuk mendapatkan sistem Windows yang memerlukan tandatangan digital - amalan biasa dalam persekitaran SCADA - virus menggunakan tandatangan digital yang ditugaskan kepada pembuat semikonduktor Realtek. Virus ini dicetuskan pada bila-bila masa seseorang cuba untuk melihat kandungan batang USB. Deskripsi teknikal virus boleh didapati di sini (pdf).

Tidak jelas bagaimana penulis virus dapat menandatangani kod mereka dengan tanda digital Realtek, tetapi ia mungkin menunjukkan bahawa kunci penyulitan Realtek telah dikompromikan. Pembuat semikonduktor Taiwan tidak dapat dijawab pada hari Jumaat.

Dalam banyak cara, virus meniru serangan konsep-bukti yang penyelidik keselamatan seperti Wesley McGrew telah berkembang di makmal selama bertahun-tahun. Sistem yang ditargetkan menarik kepada penyerang kerana mereka dapat menyediakan maklumat mengenai kilang atau utiliti di mana mereka digunakan.

Siapa pun yang menulis perisian virus itu mungkin menyasarkan pemasangan tertentu, kata McGrew, pengasas McGrew Security dan penyelidik di Universiti Negeri Mississippi. Sekiranya penulis ingin memecah masuk sebanyak mungkin komputer, bukan sasaran tertentu, mereka akan cuba mengeksploitasi sistem pengurusan SCADA yang lebih popular seperti Wonderware atau RSLogix, katanya.

Menurut pakar terdapat beberapa sebab mengapa seseorang mungkin ingin memecahkan sistem SCADA "Mungkin ada wang di dalamnya," kata McGrew. "Mungkin anda mengambil alih sistem SCADA dan anda memegang tebusan untuk wang."

Penjenayah boleh menggunakan maklumat daripada sistem WinCC pengeluar untuk mengetahui cara produk palsu, kata Eric Byres, ketua pegawai teknologi dengan perundingan keselamatan Byres Security. "Ini kelihatan seperti gred A menumpukan penuaian IP," katanya. "Ini kelihatan tertumpu dan nyata."

Robert McMillan merangkumi berita keselamatan komputer dan teknologi berita umum untuk

Perkhidmatan Berita IDG

. Ikut Robert di Twitter di @bobmcmillan. Alamat e-mel Robert [email protected]