Nouvelles cibles de virus Secrets industriels

Les experts en sécurité pensent que le virus est le type de menace ils s'inquiètent depuis des années - des logiciels malveillants conçus pour infiltrer les systèmes utilisés pour faire fonctionner les usines et certaines parties de l'infrastructure critique.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

"Cela a toutes les caractéristiques des logiciels militarisés, probablement pour l'espionnage", a déclaré Jake Brodsky, un informaticien de grande utilité, qui a demandé que son entreprise ne soit pas identifiée car il n'était pas autorisé à parler.

D'autres experts en sécurité des systèmes industriels étaient d'accord, affirmant que le logiciel malveillant avait été écrit par un attaquant sophistiqué et déterminé. Le logiciel n'exploite pas un bogue dans le système Siemens pour accéder à un PC, mais utilise un bogue Windows non divulgué pour pénétrer dans le système.

Le virus cible le logiciel de gestion Siemens appelé Simatic WinCC, qui fonctionne sous Windows système.

"Siemens se tourne vers son équipe de vente et parlera directement à ses clients pour expliquer les circonstances", a déclaré M. Krampe. «Nous invitons les clients à effectuer une vérification active de leurs systèmes informatiques avec des installations WinCC et à utiliser des versions mises à jour du logiciel antivirus, en plus de rester vigilants sur la sécurité informatique dans leurs environnements de production.»

avertissement du problème, disant qu'il affecte toutes les versions de Windows, y compris son dernier système d'exploitation Windows 7. La société a vu le bug exploité uniquement dans des attaques limitées et ciblées, selon Microsoft.

Les systèmes qui utilisent le logiciel Siemens, appelé système de supervision et d'acquisition de données, ne sont généralement pas connectés à Internet pour des raisons de sécurité, Ce virus se propage lorsqu'une clé USB infectée est insérée dans un ordinateur

Une fois le périphérique USB branché sur le PC, le virus recherche un système Siemens WinCC ou un autre périphérique USB, selon Frank Boldewin, analyste en sécurité chez Le fournisseur de services informatiques allemand GAD, qui a étudié le code. Il se copie sur n'importe quel périphérique USB qu'il trouve, mais s'il détecte le logiciel Siemens, il essaie immédiatement de se connecter en utilisant un mot de passe par défaut. Sinon, il ne fait rien, at-il dit dans un entretien par e-mail.

Cette technique peut fonctionner, car les systèmes SCADA sont souvent mal configurés, avec des mots de passe par défaut inchangés, . VirusBlokAda, une société antivirus peu connue basée en Biélorussie, rapportée jeudi par le blogueur de sécurité Brian Krebs.

Pour contourner les systèmes Windows qui nécessitent des signatures numériques - une pratique courante dans les environnements SCADA - le virus utilise une signature numérique assignée au fabricant de semi-conducteurs Realtek. Le virus est déclenché chaque fois qu'une victime essaie d'afficher le contenu de la clé USB. Une description technique du virus peut être trouvée ici (pdf).

On ne sait pas comment les auteurs du virus ont pu signer leur code avec la signature numérique de Realtek, mais cela peut indiquer que la clé de chiffrement de Realtek a été compromise. Le fabricant de semi-conducteurs taiwanais n'a pas pu être joint pour commenter vendredi.

À bien des égards, le virus imite les attaques de preuve de concept que les chercheurs en sécurité comme Wesley McGrew ont développées dans les laboratoires depuis des années. Les systèmes ciblés sont attrayants pour les attaquants, car ils peuvent fournir une mine d'informations sur l'usine ou l'utilitaire où ils sont utilisés.

Celui qui a écrit le logiciel antivirus ciblait peut-être une installation spécifique, a déclaré McGrew, fondateur de McGrew Security et un chercheur à l'Université Mississippi State. Si les auteurs avaient voulu percer autant d'ordinateurs que possible, plutôt qu'une cible spécifique, ils auraient essayé d'exploiter des systèmes de gestion SCADA plus populaires tels que Wonderware ou RSLogix, dit-il.

Selon les experts, il existe plusieurs raisons pourquoi quelqu'un pourrait vouloir casser un système SCADA "Il peut y avoir de l'argent", a déclaré McGrew. "Peut-être que vous prenez le contrôle d'un système SCADA et que vous le retenez en otage."

Les criminels pourraient utiliser les informations du système WinCC d'un fabricant pour apprendre à contrefaire les produits, a déclaré Eric Byres. "Cela ressemble à un cas de récolte ciblée de la propriété intellectuelle", a-t-il déclaré. "Cela semble concentré et réel."

Robert McMillan couvre la sécurité informatique et les nouvelles générales de dernière heure pour

The IDG News Service