Nieuwe virusdoelstellingen Industriële geheimen

Siemens waarschuwt klanten voor een nieuwe en een zeer geavanceerd virus dat zich richt op de computers die worden gebruikt voor het beheer van grootschalige industriële besturingssystemen die worden gebruikt door productie- en nutsbedrijven. Siemens hoorde hierover op 14 juli, aldus woordvoerder Michael Krampe van Siemens in een e-mailbericht op vrijdag. "Het bedrijf heeft onmiddellijk een team van experts samengesteld om de situatie te evalueren Siemens neemt alle voorzorgsmaatregelen om zijn klanten te waarschuwen voor de mogelijke risico's van dit virus," zei hij.

Beveiligingsexperts geloven dat het virus het soort bedreiging lijkt te zijn ze maken zich al jaren zorgen - kwaadaardige software die is ontworpen om te infiltreren in de systemen die worden gebruikt voor het runnen van fabrieken en delen van de kritieke infrastructuur.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Sommigen vrezen dat dit type virus kan worden gebruikt om de controle over die systemen te nemen, operaties te verstoren of een zwaar ongeval te veroorzaken, maar deskundigen zeggen dat een vroege analyse van de code suggereert dat het waarschijnlijk ontworpen was om geheimen te stelen van fabrieken en andere industriële faciliteiten.

"Dit heeft alle kenmerken van bewapende software, waarschijnlijk voor spionage", zei Jake Brodsky, een IT-medewerker met een groot nutsbedrijf, die vroeg om zijn bedrijf niet te identificeren omdat hij niet bevoegd was om te spreken namens haar.

Andere deskundigen op het gebied van industriële beveiligingssystemen waren het erover eens dat de schadelijke software is geschreven door een geavanceerde en vastberaden aanvaller. De software maakt geen misbruik van een bug in het Siemens-systeem om op een pc te komen, maar gebruikt in plaats daarvan een tot dan toe onbekende Windows-bug om in te breken in het systeem.

Het virus is gericht op Siemens-beheersoftware Simatic WinCC, die op Windows draait systeem.

"Siemens bereikt zijn verkoopteam en spreekt ook rechtstreeks met zijn klanten om de omstandigheden te verklaren," zei Krampe. "We dringen er bij klanten op aan om hun computersystemen actief te controleren met WinCC-installaties en bijgewerkte versies van antivirussoftware te gebruiken, en daarnaast waakzaam te blijven ten aanzien van IT-beveiliging in hun productie-omgevingen."

Vrijdag gaf Microsoft een beveiligingsadvies uit waarschuwing voor het probleem, zeggend dat het van invloed is op alle versies van Windows, inclusief het nieuwste Windows 7-besturingssysteem. Het bedrijf zag de bug alleen worden misbruikt in beperkte, gerichte aanvallen, zei Microsoft.

De systemen waarop de Siemens-software draait, SCADA-systemen (systemen voor toezichtscontrole en gegevensverzameling), zijn om veiligheidsredenen meestal niet met internet verbonden. maar dit virus verspreidt zich wanneer een geïnfecteerde USB-stick in een computer wordt geplaatst.

Nadat het USB-apparaat op de pc is aangesloten, scant het virus naar een Siemens WinCC-systeem of een ander USB-apparaat, aldus Frank Boldewin, een beveiligingsanalist bij Duitse IT-serviceprovider GAD, die de code heeft bestudeerd. Het kopieert zichzelf naar elk USB-apparaat dat wordt gevonden, maar als het de Siemens-software detecteert, probeert het onmiddellijk in te loggen met een standaardwachtwoord. Anders doet het niets, zei hij in een e-mailinterview.

Die techniek kan werken, omdat SCADA-systemen vaak slecht zijn geconfigureerd, met standaardwachtwoorden ongewijzigd, zei Boldewin.

Het virus werd vorige maand ontdekt door onderzoekers met VirusBlokAda, een weinig bekende antivirusfirma uit Wit-Rusland en donderdag gemeld door beveiligingsblogger Brian Krebs.

Om Windows-systemen te omzeilen die digitale handtekeningen vereisen - een gangbare praktijk in SCADA-omgevingen - gebruikt het virus een digitale handtekening toegewezen aan halfgeleiderfabrikant Realtek. Het virus wordt geactiveerd telkens wanneer een slachtoffer probeert de inhoud van de USB-stick te bekijken. Een technische beschrijving van het virus is hier te vinden (pdf).

Het is onduidelijk hoe de auteurs van het virus in staat waren om hun code te ondertekenen met de digitale handtekening van Realtek, maar het kan erop wijzen dat de coderingssleutel van Realtek in gevaar is gebracht. De Taiwanese halfgeleiderfabrikant was vrijdag niet bereikbaar voor commentaar.

In veel opzichten bootst het virus proof-of-concept-aanvallen na die beveiligingsonderzoekers zoals Wesley McGrew al jaren in laboratoria ontwikkelen. De systemen waarop het is gericht, zijn aantrekkelijk voor aanvallers omdat ze een schat aan informatie kunnen bieden over de fabriek of het hulpprogramma waar ze worden gebruikt.

Wie de virussoftware heeft geschreven, heeft mogelijk een specifieke installatie gericht, zegt McGrew, oprichter van McGrew Security en een onderzoeker aan de Mississippi State University. Als de auteurs zo veel mogelijk computers wilden binnendringen in plaats van een specifiek doelwit, zouden ze geprobeerd hebben om meer populaire SCADA-beheersystemen zoals Wonderware of RSLogix te exploiteren, zei hij.

Volgens experts zijn er verschillende redenen waarom iemand misschien een SCADA-systeem wil breken "Er zit misschien geld in," zei McGrew. "Misschien neem je een SCADA-systeem over en houd je het voor geld."

Criminelen konden de informatie van het WinCC-systeem van een fabrikant gebruiken om te leren hoe vervalste producten te maken, zei Eric Byres, chief technology officer bij beveiligingsadviesbureau Byres Security. "Dit lijkt op een geval A van gerichte IP-oogsten," zei hij. "Dit ziet er gefocust en echt uit."

Robert McMillan behandelt computerbeveiliging en algemeen technologisch breaking news voor

The IDG News Service. Volg Robert op Twitter op @bobmcmillan. Het e-mailadres van Robert is [email protected]