西门子是警告的客户新和高度复杂的病毒目标计算机用于管理的大型工业控制系统所使用的制造和公用事业公司。
西门子了解了问题7月14日,西门子工业发言人Michael Krampe上周五在一封电子邮件里说。”该公司立即成立了一个小组的专家评估。西门子正在采取所有预防措施,提醒客户该病毒的潜在风险,”他说。
安全专家认为,病毒似乎是一种威胁他们多年来一直担心,恶意软件渗透到系统设计用于运行工厂和部分关键基础设施。
有些人担心这种病毒可以用来控制这些系统,破坏操作或引发重大事故,但专家表示早期代码的分析表明,它可能是为了窃取机密从制造工厂和其它工业设施。
“这的所有特征核武化的软件,可能从事间谍活动,”杰克布罗斯基说,IT工人有一个很大的效用,他要求他的公司没有透露姓名,因为他没有被授权代表其说话。
其他工业系统安全专家同意,说恶意软件是由一个复杂的和攻击者决定。软件不利用西门子系统中的缺陷到电脑,而是使用先前未公开的Windows错误进入系统。
西门子管理软件病毒的目标称为硅镁质WinCC,在Windows操作系统上运行。
“西门子接触其销售团队,也将直接向客户解释说这种情况下,“Krampe说。“我们敦促客户进行积极检查与WinCC的计算机系统的安装和使用更新版本的杀毒软件除了保持警惕它安全的生产环境。”
周五晚些时候,微软发布了安全咨询警告的问题,说它影响所有版本的Windows,包括最新的Windows 7操作系统。公司已经看到了错误只在有限的利用,有针对性的攻击,微软表示。
西门子软件运行的系统,称为SCADA(监控和数据采集)系统,通常不联网出于安全原因,但这种病毒传播时被感染的u盘插入电脑。
USB设备插入电脑后,西门子WinCC的病毒扫描系统或另一个USB设备,根据Frank Boldewin德国服务提供者迦得,安全分析师研究代码。它将自身复制到任何USB设备发现,但是如果它检测到西门子软件,它立即试图使用一个默认的密码登录。否则什么也不做,他在一封电子邮件采访中说道。
技术可能会工作,因为SCADA系统往往严重配置,使用默认密码不变,Boldewin说。
病毒被发现与VirusBlokAda上个月由研究人员,一个鲜为人知的杀毒软件公司位于白俄罗斯和日报道被安全博客作者布莱恩·克雷布斯。
绕过Windows系统需要数字签名——一个在SCADA环境中常见的做法——病毒使用数字签名分配给瑞昱半导体制造商。随时触发病毒受害者试图查看u盘的内容。可以找到病毒的技术描述这里(pdf)。
目前还不清楚病毒的作者能够签署他们的代码与瑞昱的数字签名,但它可能表明,瑞昱的加密密钥的身份被识破了。台湾半导体制造商周五不能置评。
在许多方面,这种病毒模拟概念验证攻击,安全研究人员就像韦斯利·麦格罗发展多年来在实验室。系统的目标是对攻击者的吸引力,因为他们可以提供一个珍贵的信息工厂或实用程序使用它们的地方。
无论谁写的病毒软件可能是针对一个特定的安装,创始人·麦格罗·麦格罗说安全和密西西比州立大学研究员。如果作者想要打入尽可能多的电脑,而不是一个具体的目标,他们就会试图利用SCADA管理系统如Wonderware或RSLogix更受欢迎,他说。
据专家有几个原因为什么有人想打破SCADA系统”可能有金钱,”·麦格罗说。“也许你接管SCADA系统和你持有人质。”
犯罪分子可以利用的信息从一个制造商的WinCC系统学习如何假冒产品,Eric牛栏说与安全咨询公司首席技术官牛栏安全。“这看起来像一个年级的集中IP-harvesting,”他说。“这看起来专注和真实的。”
罗伯特·麦克米兰涵盖了计算机安全和通用技术新闻IDG新闻服务。在Twitter上关注罗伯特@bobmcmillan。罗伯特的电子邮件地址robert_mcmillan@idg.com