一个复杂的蠕虫设计工业秘密窃取和破坏行动已经感染了至少14植物,根据西门子。
名为Stuxnet蠕虫发现7月当VirusBlokAda研究人员发现它在伊朗在电脑上。它是有史以来最复杂的和不寻常的恶意软件——蠕虫利用未知创建Windows漏洞(现在修补),允许它传播从计算机到计算机,通常通过USB棒。
虫吃,攻击西门子工业控制系统设计,并没有广泛传播。然而,它影响了西门子工厂,根据公司发言人西蒙维兰德。“我们发现病毒SCADA监控和数据采集系统的14个工厂操作但没有任何故障的过程和生产没有任何损害,”他在一封电子邮件里说。
这是令人担忧的消息,因为根据蠕虫的一篇新论文,将发表在本月的病毒通报会议在温哥华,Stuxnet蠕虫病毒可以造成大量的伤害如果不适当删除。
赛门铁克的研究人员已经破解Stuxnet的加密系统,他们说这是第一蜗杆不仅监视工业系统构建的,还要重新编程。
一旦安装在电脑上,Stuxnet使用西门子默认密码去寻找并试图获得系统运行WinCC和PC 7程序——所谓的PLC(可编程逻辑控制器)程序用于管理大型工业系统在工厂和军事设施和化学和发电厂。
软件运行在感染后两个阶段,根据赛门铁克安全响应主管'Murchu阿利亚姆。首先它上传配置西门子系统指挥和控制服务器的信息。然后攻击者可以选择一个目标和重组它的工作方式。“他们决定他们希望plc为他们工作,然后他们将代码发送到被感染的机器会改变制度如何工作,”O 'Murchu说。
维兰德指出,中还没有任何已知的植物实际上业务受影响。
然而,这是一种可能性,根据O 'Murchu。Stuxnet附带了一个rootkit,半推半就隐藏任何命令下载从西门子系统的运营商。因此,赛门铁克警告说,即使蠕虫的Windows组件移除,西门子软件可能仍然包含隐藏的命令。赛门铁克建议公司被感染彻底审计代码在他们的制度从一个安全的备份或恢复系统,为了是安全的。
Stuxnet感染系统在英国然而,北美和韩国最多的感染,到目前为止,已经在伊朗。
Stuxnet的第一批样本代码可以追溯到2009年6月,但安全专家认为,这可能直到今年早些时候才开始感染系统。
国防承包商和公司有价值的知识产权受到多年来有针对性的攻击——1月份谷歌说,它的目标是一个复杂的极光data-stealing努力称为操作。但Stuxnet是第一次有人针对工厂。
如果虫子被用来砸系统化学或发电厂,结果可能是毁灭性的。
“我们肯定从未见过这样的,”O 'Murchu说。“事实上,它可以控制物理机器的工作方式是相当令人不安。”
不太可能,Stuxnet可能接管新系统在这一点上,然而。赛门铁克获得控制域用于发送命令受感染机器Stuxnet蠕虫病毒被发现后不久,这意味着它背后的黑客不再有新命令发送给受感染的系统。
Stuxnet背后没人知道是谁,但最近卡巴斯基实验室研究员Roel Schouwenberg说,这是最有可能的一个国家。
赛门铁克的O 'Murchu认为虫子是由特别复杂的攻击者。“这肯定不是你的典型的操作,”他说。
罗伯特·麦克米兰涵盖了计算机安全和通用技术新闻IDG新闻服务。在Twitter上关注罗伯特@bobmcmillan。罗伯特的电子邮件地址robert_mcmillan@idg.com