Il nuovo virus mira ai segreti industriali

Siemens avvisa i clienti di un nuovo e virus altamente sofisticato che si rivolge ai computer utilizzati per gestire i sistemi di controllo industriale su larga scala utilizzati da aziende manifatturiere e utility.

Siemens ha appreso il problema il 14 luglio, il portavoce di Siemens Industry Michael Krampe ha detto in un messaggio di posta elettronica venerdì. "La società ha immediatamente riunito un team di esperti per valutare la situazione: Siemens sta prendendo tutte le precauzioni per avvisare i suoi clienti dei potenziali rischi di questo virus", ha detto.

Gli esperti di sicurezza ritengono che il virus sembri essere il tipo di minaccia si sono preoccupati per anni - software dannoso progettato per infiltrarsi nei sistemi utilizzati per eseguire fabbriche e parti dell'infrastruttura critica.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Alcuni si sono preoccupati che questo il tipo di virus potrebbe essere usato per assumere il controllo di tali sistemi, per interrompere le operazioni o innescare un incidente rilevante, ma gli esperti dicono che un'analisi preliminare del codice suggerisce che probabilmente era stato progettato per rubare i segreti agli impianti di produzione e altre strutture industriali.

"Questo ha tutte le caratteristiche del software armato, probabilmente per lo spionaggio", ha detto Jake Brodsky, un operatore IT con una grande utility, che ha chiesto che la sua azienda non venisse identificata perché non era autorizzato a parlare per suo conto.

Altri esperti di sicurezza dei sistemi industriali concordano, affermando che il software dannoso è stato scritto da un aggressore sofisticato e determinato. Il software non sfrutta un bug nel sistema Siemens per accedere a un PC, ma utilizza un bug di Windows precedentemente non rivelato per introdursi nel sistema.

Il virus si rivolge al software di gestione Siemens chiamato Simatic WinCC, che funziona su Windows sistema.

"Siemens sta contattando il proprio team di vendita e parlerà direttamente con i propri clienti per spiegare le circostanze", ha affermato Krampe. "Stiamo sollecitando i clienti a effettuare un controllo attivo dei loro sistemi informatici con installazioni WinCC e utilizzare versioni aggiornate del software antivirus oltre a rimanere vigili sulla sicurezza IT nei loro ambienti di produzione."

Venerdì scorso, Microsoft ha emesso un avviso di sicurezza avviso del problema, dicendo che influisce su tutte le versioni di Windows, incluso il suo ultimo sistema operativo Windows 7. La società ha visto l'errore sfruttato solo in attacchi mirati e limitati, ha detto Microsoft.

I sistemi che eseguono il software Siemens, denominati sistemi SCADA (controllo di supervisione e acquisizione dati), in genere non sono connessi a Internet per motivi di sicurezza, ma questo virus si diffonde quando una chiavetta USB infetta viene inserita in un computer.

Una volta che il dispositivo USB è collegato al PC, il virus cerca un sistema Siemens WinCC o un altro dispositivo USB, secondo Frank Boldewin, un analista della sicurezza con Il fornitore di servizi IT tedesco GAD, che ha studiato il codice. Si copia su qualsiasi dispositivo USB trovato, ma se rileva il software Siemens, tenta immediatamente di accedere utilizzando una password predefinita. Altrimenti non fa nulla, ha detto in un'intervista via e-mail.

Quella tecnica potrebbe funzionare, perché i sistemi SCADA sono spesso mal configurati, con password predefinite invariate, ha detto Boldewin.

Il virus è stato scoperto il mese scorso da ricercatori con VirusBlokAda, una società antivirus poco conosciuta con sede in Bielorussia, e riportata giovedì dal blogger della sicurezza Brian Krebs.

Per aggirare i sistemi Windows che richiedono firme digitali - una pratica comune negli ambienti SCADA - il virus utilizza una firma digitale assegnata a Realtek, produttore di semiconduttori. Il virus viene attivato ogni volta che una vittima tenta di visualizzare il contenuto della chiavetta USB. Una descrizione tecnica del virus può essere trovata qui (pdf).

Non è chiaro come gli autori del virus siano stati in grado di firmare il loro codice con la firma digitale di Realtek, ma potrebbe indicare che la chiave di crittografia di Realtek è stata compromessa. Il produttore di semiconduttori taiwanesi non è stato possibile raggiungere per un commento Venerdì.

In molti modi, il virus imita gli attacchi proof-of-concept che ricercatori della sicurezza come Wesley McGrew hanno sviluppato nei laboratori da anni. I sistemi target sono interessanti per gli aggressori perché possono fornire una miniera di informazioni sulla fabbrica o sull'utilità in cui vengono utilizzati.

Chiunque abbia scritto il software antivirus potrebbe aver preso di mira un'installazione specifica, ha affermato McGrew, fondatore di McGrew Security e ricercatore presso l'Università statale del Mississippi. Se gli autori volessero penetrare nel maggior numero di computer possibile, piuttosto che un obiettivo specifico, avrebbero cercato di sfruttare i più diffusi sistemi di gestione SCADA come Wonderware o RSLogix, ha affermato.

Secondo gli esperti ci sono diversi motivi perché qualcuno potrebbe voler rompere un sistema SCADA "Ci possono essere dei soldi", ha detto McGrew. "Forse prendi il controllo di un sistema SCADA e lo trattieni in ostaggio per denaro."

I criminali potrebbero utilizzare le informazioni del sistema WinCC di un produttore per apprendere come contraffare i prodotti, ha dichiarato Eric Byres, chief technology officer di Byres Security. "Questo sembra un caso di grado di raccolta IP focalizzato", ha detto. "Questo sembra focalizzato e reale".

Robert McMillan copre le ultime notizie relative alla sicurezza informatica e alla tecnologia generale per Il servizio di notizie IDG. Segui Robert su Twitter all'indirizzo @bobmcmillan. L'indirizzo e-mail di Robert è [email protected]