Nieuw 'viruswapen' richt zich op bedrijfsgeheimen

  • Opslaan als PDF
  • Print
  • Aanbevelen
Gepubliceerd:19-07-2010 om 16:57 Auteur:Robert McMillan

Siemens waarschuwt voor een nieuw en zeer geavanceerd virus dat zich richt op de controlesystemen die in gebruik zijn in de grootschalige industrie en bij nutsbedrijven.

Virus

Volgens Michael Krampe, woordvoerder van Siemens Industry, ontdekte Siemens de aanval op 14 juli. “Ons bedrijf heeft onmiddellijk een team van experts bijeen gebracht om de situatie te beoordelen. Siemens neemt alle maatregelen om zijn klanten tijdig van de potentiële gevaren op de hoogte te stellen,” aldus Krampe.

Met dit virus lijkt een van de ergste nachtmerries van veiligheidsexperts bewaarheid te worden: kwaadaardige software die specifiek is ontworpen om systemen te infiltreren die de industrie en delen van de infrastructuur besturen.

De angst is dat dit soort virussen gebruikt kunnen worden om de controle over dergelijke systemen over te nemen en zo het dagelijks werk onmogelijk te maken of zelfs bewust ongelukken te veroorzaken. Op basis van de eerste analyses van de nu bekende code is deze variant echter waarschijnlijk alleen bedoeld om bedrijfsgeheimen te stelen.

“Dit heeft alle kenmerken van software die als wapen wordt ingezet, waarschijnlijk voor spionage” zegt Jake Brodsky, een IT-er bij een groot Amerikaans nutsbedrijf. Hij en andere industriële systeembeveiligers zijn het er over eens dat de kwaadaardige software geschreven moet zijn door een ervaren en vastbesloten aanvaller. De software maakt geen gebruik van een fout in het Siemens systeem om een pc binnen te komen, maar gebruikt een voorheen onbekende bug in Windows om tot het systeem door te dringen.

Het virus richt zich op Siemens management software, Simatic WinCC, dat draait onder Windows.

“Siemens dringt er bij zijn klanten op aan een actieve controle uit te voeren op de computers met WinCC-installaties, de nieuwste versies van hun anti-virussoftware te gebruiken, en bovenal de IT-beveiliging van hun productieomgeving zorgvuldig in de gaten te houden,” zegt Krampe.

Afgelopen vrijdag stuurde Microsoft een waarschuwing rond via hun security advisory, waarin het aangeeft dat dit virus gevaarlijk is voor alle Windows-versies, inclusief het nieuwste Windows 7 besturingssysteem. Tot nu toe heeft Microsoft naar eigen zeggen slechts enkele, gerichte aanvallen gezien die van de bug gebruik maakten.

De systemen die de Siemens software draaien (SCADA-systemen: Supervisory Control And Data Acquisition) zijn gewoonlijk om veiligheidsredenen niet met het internet verbonden. Dit virus verspreidt zich dan ook via USB-sticks die geïnfecteerd raken zodra ze op een besmette computer worden aangesloten.

Zodra de USB-stick in een pc wordt gestoken, zoekt het virus naar een Siemens WinCC-systeem of een andere USB-stick, zegt Frank Boldewin, beveiligingsanalist bij de Duitse IT dienstverlener GAD, waar de code wordt onderzocht. Het kopieert zichzelf naar alle USB-apparaten waar het bij kan, maar als het de Siemens software ontdekt, probeert het direct in te loggen met behulp van een standaard wachtwoord.

Verder doet het vooralsnog niets, aldus Boldewin in een email.

Die tactiek zou volgens hem goed kunnen werken, omdat SCADA-systemen vaak slecht geconfigureerd zijn, waarbij de standaard wachtwoorden maar al te vaak onveranderd blijven.

Het virus werd afgelopen maand ontdekt door onderzoekers van VirusBlokAda, een klein antivirusbedrijf in Wit-Rusland. Veiligheidsexpert Brian Krebs kwam er afgelopen vrijdag op zijn blog mee naar buiten.

Om Windows-systemen te omzeilen die gebruikmaken van een digitale handtekening (wat wel weer vaak gebeurt in SCADA-omgevingen) gebruikt het virus een digitale handtekening die is toegewezen aan halfgeleiderfabrikant Realtek. Het virus wordt iedere keer dat iemand de content van de USB-stick benadert geactiveerd. Wilders Security heeft een technische beschrijving van het virus online geplaatst (pdf).

Het is niet duidelijk hoe de auteurs van het virus in staat waren hun code te ondertekenen met de digitale handtekening van Realtek, maar het kan betekenen dat de encryptie van Realtek is gekraakt. De Taiwanese halfgeleiderfabrikant was tot nu toe niet bereikbaar voor commentaar.

Het virus lijkt op een aantal vlakken op eerdere ‘proof-of-concept’ aanvallen die beveiligingsonderzoekers als Wesley McGrew de afgelopen jaren in hun laboratoria hebben ontwikkeld. De systemen waar het zich op richt zijn aantrekkelijk voor aanvallers omdat er grote hoeveelheden gevoelige informatie op staan over de organisaties die er gebruik van maken.

Degene die de virussoftware heeft geschreven zocht wellicht toegang tot een specifieke installatie, zegt McGrew, oprichter van McGrew Security en onderzoeker aan de universiteit van Mississippi State. Als de auteur op zo veel mogelijk computers had willen inbreken, dan had hij of zij zich wel op populairdere SCADA managementsystemen gericht, zoals Wonderware of RSLogix, aldus McGrew.

Volgens de experts zijn er verschillende mogelijke redenen waarom iemand zou willen inbreken op een SCADA-systeem. “Misschien zit er geld in,” zegt McGrew. “Misschien kun je een SCADA-systeem gijzelen en er losgeld voor vragen.”

Een andere optie is dat criminelen de informatie uit het WinCC-systeem van een fabrikant kunnen gebruiken om er achter te komen hoe bepaalde producten kunnen worden nagemaakt, zegt Eric Byres, CTO bij beveiligingsconsultant Byres Security. “Dit lijkt op een eersteklas voorbeeld van gericht IP-oogsten,” zegt hij. “Dit lijkt gericht en echt.”

  • Opslaan als PDF
  • Print
  • Aanbevelen
Relevante whitepaper: Flexibele IT noodzaak voor banken Download
blog comments powered by Disqus

Peiling

Loading
Bekijk hier de uitslagen van eerder gehouden peilingen.

Nieuwsbrief

Ontvang tweemaal per week een overzicht van de meest recente artikelen op Computerworld.nl in uw mailbox