Novos Segmentos de Vírus Segredos Industriais

A Siemens está alertando os clientes sobre um novo e vírus altamente sofisticados que visam os computadores usados ​​para gerenciar sistemas de controle industrial em larga escala usados ​​por empresas de manufatura e serviços públicos. A Siemens aprendeu sobre a questão em 14 de julho, disse Michael Krampe, porta-voz da Siemens Industry, em uma mensagem de e-mail. "A empresa imediatamente montou uma equipe de especialistas para avaliar a situação. A Siemens está tomando todas as precauções para alertar seus clientes sobre os riscos potenciais deste vírus", disse ele.

Especialistas em segurança acreditam que o vírus parece ser o tipo de ameaça eles têm se preocupado há anos - software malicioso projetado para se infiltrar nos sistemas usados ​​para executar fábricas e partes da infra-estrutura crítica.

[Leia mais: Como remover malware do seu PC com Windows]

Alguns temem que isso Um tipo de vírus poderia ser usado para controlar esses sistemas, interromper operações ou provocar um grande acidente, mas especialistas dizem que uma análise preliminar do código sugere que ele provavelmente foi projetado para roubar segredos de fábricas e outras instalações industriais.

"Isso tem todas as características de um software armado, provavelmente para espionagem", disse Jake Brodsky, um trabalhador de TI de grande porte, que pediu para que sua empresa não fosse identificada por não ter autorização para falar.

Outros especialistas em segurança de sistemas industriais concordaram, dizendo que o software malicioso foi escrito por um invasor sofisticado e determinado. O software não explora um bug no sistema Siemens para entrar em um PC, mas usa um bug do Windows não divulgado anteriormente para invadir o sistema.

O vírus é direcionado ao software de gerenciamento da Siemens chamado Simatic WinCC, que é executado no Windows. "A Siemens está buscando sua equipe de vendas e também falará diretamente com seus clientes para explicar as circunstâncias", disse Krampe. "Estamos pedindo aos clientes que realizem uma verificação ativa de seus sistemas de computador com instalações WinCC e usem versões atualizadas de software antivírus, além de permanecerem vigilantes sobre a segurança de TI em seus ambientes de produção".

Na sexta-feira, a Microsoft divulgou um alerta de segurança. aviso do problema, dizendo que afeta todas as versões do Windows, incluindo o seu mais recente sistema operacional Windows 7. A empresa viu o bug ser explorado apenas em ataques limitados e direcionados, disse a Microsoft.

Os sistemas que executam o software da Siemens, chamados sistemas SCADA (controle de supervisão e aquisição de dados), normalmente não estão conectados à Internet por razões de segurança. mas o vírus se espalha quando um pen drive infectado é inserido em um computador.

Quando o dispositivo USB é conectado ao PC, o vírus procura um sistema Siemens WinCC ou outro dispositivo USB, segundo Frank Boldewin, analista de segurança O provedor alemão de serviços de TI GAD, que estudou o código. Ele se copia para qualquer dispositivo USB que encontrar, mas se detectar o software da Siemens, ele imediatamente tentará efetuar login usando uma senha padrão. Caso contrário, ele não faz nada, disse ele em entrevista por e-mail. Essa técnica pode funcionar, porque os sistemas SCADA são mal configurados, com senhas padrão inalteradas, disse Boldewin. O vírus foi descoberto no mês passado por pesquisadores com VirusBlokAda, uma empresa antivírus pouco conhecida baseada na Bielorússia, e relatada quinta-feira pelo blogueiro de segurança Brian Krebs.

Para contornar sistemas Windows que exigem assinaturas digitais - uma prática comum em ambientes SCADA - o vírus usa uma assinatura digital atribuída a fabricante de semicondutores Realtek. O vírus é acionado sempre que a vítima tenta visualizar o conteúdo do pendrive. Uma descrição técnica do vírus pode ser encontrada aqui (pdf).

Não está claro como os autores do vírus conseguiram assinar seu código com a assinatura digital da Realtek, mas isso pode indicar que a chave de criptografia da Realtek foi comprometida. O fabricante de semicondutores taiwanês não pôde ser encontrado para comentar o assunto na sexta-feira.De muitas maneiras, o vírus imita ataques à prova de conceito que pesquisadores de segurança como Wesley McGrew vêm desenvolvendo em laboratórios há anos. Os sistemas que ele alveja são atraentes para os invasores, porque eles podem fornecer um tesouro de informações sobre a fábrica ou a concessionária onde eles são usados.

Quem escreveu o software de vírus pode estar mirando em uma instalação específica, disse McGrew, fundador da McGrew Security e pesquisador da Universidade Estadual do Mississippi. Se os autores quisessem invadir o maior número possível de computadores, em vez de um alvo específico, eles teriam tentado explorar sistemas de gerenciamento SCADA mais populares, como Wonderware ou RSLogix, disse ele.

De acordo com especialistas, há várias razões Por que alguém pode querer quebrar um sistema SCADA? "Pode haver dinheiro nisso", disse McGrew. "Talvez você assuma um sistema SCADA e seja refém por dinheiro."

Criminosos podem usar as informações do sistema WinCC de um fabricante para aprender a falsificar produtos, disse Eric Byres, diretor de tecnologia da consultoria de segurança Byres Security. "Isso parece um caso de grau de coleta centralizada de IP", disse ele. "Isso parece focado e real."

Robert McMillan fala sobre segurança de computadores e tecnologia geral para as últimas notícias do

Serviço de Notícias IDG

. Siga Robert no Twitter em @bobmcmillan. O endereço de e-mail de Robert é [email protected]