Kompanija Siemens je upozorila korisnike na novi sofisticirani virus koji napada računare preko kojih se kontrolišu veliki industrijski sistemi.

U Siemensu su za problem saznali 14. jula, izjavio je u predstavnik ogranka Siemens Industry, Majkl Krampi. Bezbednosni stručnjaci veruju da ovaj virus predstavlja pretnju od kakve su se godinama pribojavali – zlonamerni softver čiji je cilj infiltriranje u sisteme koji se koriste za upravljanje fabrikama i delovima važne infrastrukture.

Neki su zabrinuti zbog ovog virusa jer smatraju da bi se on mogao iskoristiti da se preuzme kontrola nad tim sistemima, prekine njihov rad ili izazove velika nesreća, ali stručnjaci na osnovu rane analize njegovog koda tvrde da je virus verovatno dizajniran tako da krade industrijske tajne iz fabrika za proizvodnju i industrijskih postrojenja.

I drugi stručnjaci za bezbednost industrijskih sistema su se složili sa ovom tvrdnjom, izjavljujući da je ovaj zlonamerni softver napisao vešt i rešen napadač. Da bi ušao u računar, softver ne iskorišćava propust u Siemensovom sistemu, već prethodno neotkriven propust u Windowsu.

Virus napada Siemensov upravljački softver Simatic WinCC, koji radi pod operativnim sistemom Windows. U petak su predstavnici Microsofta upozorili korisnike na ovaj problem, navodeći da se on odnosi na sve verzije Windowsa, uključujući i Windows 7.

Kompanija je zabeležila mali broj ciljanih napada. SCADA sistemi koji sadrže Siemensov softver obično iz bezbednosnih razloga nisu povezani na Internet, ali ovaj virus se širi kada se zaražena USB fleš memorija ubaci u računar. Kada se USB uređaj poveže s računarom, virus traži WinCC sistem ili drugi USB uređaj, tvrdi Frenk Boldvin, analitičar za bezbednost nemačkog davaoca IT usluga GAD, kompanije koja je proučavala kôd.

Virus će se prvo kopirati na pronađene USB uređaje, ali ako detektuje Siemensov softver, odmah će pokušati da se prijavi koristeći podrazumevanu lozinku. Taj metod ponekad i uspeva, jer SCADA sistemi su često loše podešeni, sa neizmenjenim podrazumevanim lozinkama, tvrdi Boldvin.

Virus su prošlog meseca otrkili istraživači manje poznate antivirusne kompanije VirusBlokAda, čije je sedište u Belorusiji, a o pretnji je prvi izvestio Brajan Krebs. Da bi radio na Windows sistemima koji zahteva digitalni potpis, što je česta praksa u SCADA okruženjima, virus koristi digitalni potpis dodeljen proizvođaču poluprovodnika Realtek.

Virus se pokreće svaki put kada žrtva pokuša da pregleda sadržaj USB diska. Tehnički opis virusa se može pronaći ovde. Nije jasno kako su autori virusa uspeli da kôd potpišu Realtekovim digitalnim potpisom, ali to verovatno znači da je Realtekov šifrovani ključ razbijen. Ovaj virus na mnogo načina imitira napade koje istraživači bezbednosti godinama ispituju u laboratorijama.

Sistemi koje napada su privlačni napadačima zato što mogu ponuditi mnoštvo informacija o fabrici ili postrojenju gde se koriste. Ko god da je napisao ovaj virus možda je za cilj imao određeno postrojenje, izjavio je Vesli Mekgru, osnivač kompanije McGrew Security i istraživač na državnom univerzitetu Misisipija.

„Da su autori želeli da upadnu u što više računara, a ne u neki konkretan, skoristili bi popularnije SCADA sisteme za upravljanje, kao što su Wonderware ili RSLogic“, izjavio je Mekgru. Kriminalci bi mogli da iskoriste informacije iz proizvođačevog WinCC sistema kako bi saznali kako da falsifikuju proizvode, smatra Erik Bajres, tehnološki direktor u kompaniji Byres Security.

Izvor: Mikro