Yeni Virüs Hedefleri Endüstriyel Sırlar

Siemens, yeni bir müşteriyi uyarıyor Siemens, endüstri ve üretim şirketleri tarafından kullanılan büyük ölçekli endüstriyel kontrol sistemlerini yönetmek için kullanılan bilgisayarları hedefleyen son derece sofistike bir virüs.

Siemens, konu hakkında 14 Temmuz'da bilgi aldı. Siemens Sanayi sözcüsü Michael Krampe Cuma günü bir e-posta mesajında ​​bulundu. "Şirket, durumu değerlendirmek için bir uzman ekibini derhal topladı. Siemens, müşterilerini bu virüsün potansiyel risklerine karşı uyarmak için tüm önlemleri alıyor" dedi.

Güvenlik uzmanları, virüsün bir tür tehdit olarak göründüğüne inanıyor. yıllarca endişeleniyorlar - fabrikaları ve kritik altyapının parçalarını çalıştırmak için kullanılan sistemlere sızmak için tasarlanmış kötü amaçlı yazılım.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Bazıları bunun için endişeleniyor Bu sistemlerin kontrolünü ele geçirmek, operasyonları aksatmak veya büyük bir kazayı tetiklemek için virüs tipi kullanılabilir, ancak uzmanlar kodun erken bir analizinin muhtemelen üretim tesislerinden ve diğer endüstriyel tesislerden gelen sırları çalmak için tasarlandığını ileri sürdüler.

"Bu, casusluk için muhtemelen silahlı yazılımın tüm işaretlerini taşıyor," diyor büyük bir yararı olan bir BT çalışanı olan Jake Brodsky, şirketin yetkili olmadığını söylediğinden şirketinin belirlenmesini istemedi.

Diğer endüstriyel sistemler güvenlik uzmanları, kötü amaçlı yazılımın sofistike ve kararlı bir saldırgan tarafından yazıldığını kabul etti. Yazılım, bir PC'ye girmek için Siemens sistemindeki bir hatayı kullanmaz, bunun yerine sisteme sızmak için daha önce açığa çıkarılmamış bir Windows hatası kullanır.

Virüs, Windows işletim sisteminde çalışan Simatic WinCC adlı Siemens yönetim yazılımını hedefler. sistem.

"Siemens satış ekibine ulaşıyor ve şartları açıklamak için müşterileriyle doğrudan konuşacak" dedi. "Müşterilerimizi bilgisayar sistemlerini WinCC yüklemeleriyle etkin bir şekilde kontrol etmeye ve bilgisayar ortamlarında BT güvenliği konusunda uyanık kalmalarına ek olarak güncellenmiş antivirüs yazılımı sürümlerini kullanmaya çağırıyoruz."

Geç Cuma, Microsoft bir güvenlik danışmanı yayınladı Windows'un en son Windows 7 işletim sistemi de dahil olmak üzere tüm Windows sürümlerini etkilediğini belirterek, sorunun uyarısı. Şirket, yalnızca sınırlı, hedefli saldırılarda kötüye kullanıldığını gördü, dedi.

SCADA (denetleyici kontrol ve veri toplama) sistemleri olarak adlandırılan Siemens yazılımını çalıştıran sistemler genellikle güvenlik nedeniyle İnternet'e bağlı değiller. ancak virüs bulaşmış bir USB çubuğu bilgisayara takıldığında bu virüs yayılır.

USB aygıtı PC'ye takıldıktan sonra virüs, bir güvenlik analizcisi olan Frank Boldewin'e göre bir Siemens WinCC sistemi veya başka bir USB cihazı tarar. Kodu inceleyen Alman BT servis sağlayıcısı GAD. Kendisini bulduğu herhangi bir USB cihazına kopyalar, ancak Siemens yazılımını tespit ederse, hemen varsayılan bir şifre kullanarak giriş yapmaya çalışır. Aksi takdirde, hiçbir şey yapmaz, bir e-posta röportajında ​​şöyle dedi:

Bu teknik işe yarayabilir, çünkü SCADA sistemleri genellikle kötü yapılandırılmış, varsayılan parolalar değişmemiş, dedi.

Virüs, araştırmacılar tarafından geçen ay keşfedildi Belarus merkezli az bilinen bir virüsten koruma firması olan VirusBlokAda, güvenlik blog yazarı Brian Krebs tarafından Perşembe günü bildirildi.

SCADA ortamlarında yaygın bir uygulama olan dijital imza gerektiren Windows sistemlerini kullanmak için virüs, atanan dijital bir imza kullanıyor yarı iletken üreticisi Realtek. Virüs, bir kurbanın USB çubuğunun içeriğini görüntülemeye çalıştığında tetiklenir. Virüsün teknik bir açıklaması burada bulunabilir (pdf).

Virüs yazarlarının kodlarını Realtek'in dijital imzası ile imzalamalarının nasıl mümkün olmadığı belirsizdir, fakat Realtek'in şifreleme anahtarının tehlikeye düştüğünü gösterebilir. Tayvanlı yarı iletken üreticisi Cuma gününe yorum yapamadı.

Virüs, birçok açıdan, Wesley McGrew gibi güvenlik araştırmacılarının yıllardır laboratuarlarda geliştirdikleri kavram kanıtı saldırılarını taklit ediyor. Hedeflediği sistemler saldırganlar için caziptir çünkü fabrikada kullanıldıkları ya da kullanıldıkları yerler hakkında bilgi hazinesi sağlayabilirler.

Virüs yazılımını kim yazdıysa belirli bir kuruluşu hedeflemiş olabilir, dedi McGrew, McGrew Güvenliği ve Mississippi Eyalet Üniversitesi'nde bir araştırmacı. Yazarlar belirli bir hedef yerine mümkün olduğu kadar çok bilgisayara girmek istemişlerse, Wonderware ya da RSLogix gibi daha popüler SCADA yönetim sistemlerini kullanmayı denemişlerdi.

Uzmanlara göre çeşitli nedenler var. McGrew, birisinin SCADA sistemini kırmak isteyebileceğini "Bunun içinde para olabilir," dedi. “Belki bir SCADA sistemini devraldınız ve onu para için rehin tuttunuz.”

Suçlular, ürünlerin nasıl sahtekarlık yapılacağını öğrenmek için bir üreticinin WinCC sistemindeki bilgileri kullanabilirdi, diyor güvenlik danışmanı Byres Security'nin baş teknoloji sorumlusu Eric Byres. "Bu bir derece gibi görünüyor IP odaklı bir odak", dedi. "Bu odaklanmış ve gerçek görünüyor."

Robert McMillan, IDG Haber Servisi için bilgisayar güvenliği ve genel teknoloji kırılma haberlerini kapsamaktadır. @bobmcmillan'da Robert'ı takip edin. Robert'in e-posta adresi [email protected]