Nuevas amenazas de virus Secretos industriales

Siemens advierte a los clientes de una nueva y un virus altamente sofisticado que apunta a las computadoras utilizadas para administrar los sistemas de control industrial a gran escala utilizados por las empresas manufactureras y de servicios.

Siemens se enteró del problema el 14 de julio, dijo el portavoz de Siemens Industry, Michael Krampe, en un mensaje de correo electrónico. "La empresa reunió inmediatamente un equipo de expertos para evaluar la situación. Siemens está tomando todas las precauciones para alertar a sus clientes sobre los riesgos potenciales de este virus", dijo.

Los expertos en seguridad creen que el virus parece ser el tipo de amenaza han estado preocupados durante años: software malicioso diseñado para infiltrarse en los sistemas utilizados para ejecutar fábricas y partes de la infraestructura crítica.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Algunos se han preocupado de que esto tipo de virus podría utilizarse para tomar el control de esos sistemas, interrumpir las operaciones o desencadenar un accidente grave, pero los expertos dicen que un análisis temprano del código sugiere que probablemente fue diseñado para robar secretos de plantas de fabricación y otras instalaciones industriales.

"Esto tiene todas las características del software armado, probablemente para el espionaje", dijo Jake Brodsky, un trabajador de TI con una gran utilidad, que pidió que no se identificara a su empresa porque no estaba autorizado a hablar. en su nombre.

Otros expertos en seguridad de sistemas industriales estuvieron de acuerdo, diciendo que el software malicioso fue escrito por un atacante sofisticado y decidido. El software no explota un error en el sistema de Siemens para ingresar a una PC, sino que utiliza un error de Windows previamente no divulgado para ingresar al sistema.

El virus está dirigido al software de administración de Siemens llamado Simatic WinCC, que funciona con Windows sistema.

"Siemens está llegando a su equipo de ventas y también hablará directamente con sus clientes para explicar las circunstancias", dijo Krampe. "Instamos a los clientes a que realicen una verificación activa de sus sistemas informáticos con instalaciones de WinCC y utilicen versiones actualizadas de software antivirus además de estar atentos a la seguridad de TI en sus entornos de producción".

La tarde del viernes Microsoft emitió un aviso de seguridad advertencia del problema, diciendo que afecta a todas las versiones de Windows, incluido su último sistema operativo Windows 7. La compañía ha visto explotar el error solo en ataques dirigidos y limitados, dijo Microsoft.

Los sistemas que ejecutan el software de Siemens, llamados sistemas SCADA (control de supervisión y adquisición de datos), generalmente no están conectados a Internet por razones de seguridad, pero este virus se propaga cuando se REPLACEa una memoria USB infectada en una computadora.

Una vez que el dispositivo USB está conectado a la PC, el virus busca un sistema Siemens WinCC u otro dispositivo USB, según Frank Boldewin, un analista de seguridad con El proveedor alemán de servicios de TI GAD, que ha estudiado el código. Se copia a sí mismo en cualquier dispositivo USB que encuentre, pero si detecta el software de Siemens, inmediatamente intenta iniciar sesión utilizando una contraseña predeterminada. De lo contrario, no hace nada, dijo en una entrevista por correo electrónico.

Esa técnica puede funcionar, porque los sistemas SCADA a menudo están mal configurados, con las contraseñas predeterminadas sin cambios, dijo Boldewin.

El virus fue descubierto el mes pasado por investigadores VirusBlokAda, una empresa de antivirus poco conocida con sede en Bielorrusia, e informada el jueves por el bloguero de seguridad Brian Krebs.

Para evitar los sistemas Windows que requieren firmas digitales, una práctica común en entornos SCADA, el virus utiliza una firma digital asignada al fabricante de semiconductores Realtek. El virus se activa cada vez que una víctima intenta ver el contenido de la memoria USB. Una descripción técnica del virus se puede encontrar aquí (pdf).

No está claro cómo los autores del virus pudieron firmar su código con la firma digital de Realtek, pero puede indicar que la clave de encriptación de Realtek se ha visto comprometida. El fabricante de semiconductores de Taiwán no pudo ser contactado el viernes para hacer comentarios.

En muchos sentidos, el virus imita ataques de prueba de concepto que investigadores de seguridad como Wesley McGrew han estado desarrollando en laboratorios durante años. Los sistemas a los que apunta son atractivos para los atacantes porque pueden proporcionar un tesoro de información sobre la fábrica o la utilidad donde se usan.

Quien escribió el software de virus puede haber estado apuntando a una instalación específica, dijo McGrew, fundador de McGrew Security y un investigador en la Universidad Estatal de Mississippi. Si los autores hubieran querido entrar en tantas computadoras como fuera posible, en lugar de un objetivo específico, habrían intentado explotar los sistemas de administración de SCADA más populares, como Wonderware o RSLogix, dijo.

Según los expertos, hay varias razones por qué alguien podría querer romper un sistema SCADA "Puede haber dinero en él", dijo McGrew. "Tal vez tomas el control de un sistema SCADA y lo mantienes como rehén por dinero".

Los delincuentes podían usar la información del sistema WinCC de un fabricante para aprender a falsificar productos, dijo Eric Byres, director de tecnología de la consultora de seguridad Byres Security. "Esto se ve como un caso de grado A de recolección de PI enfocada", dijo. "Esto parece enfocado y real".

Robert McMillan cubre las últimas noticias de seguridad informática y tecnología general para The IDG News Service. Sigue a Robert en Twitter en @bobmcmillan. La dirección de correo electrónico de Robert es [email protected]