Target Virus Baru Rahasia Industri

Siemens memperingatkan pelanggan akan adanya dan virus yang sangat canggih yang menargetkan komputer yang digunakan untuk mengelola sistem kontrol industri skala besar yang digunakan oleh perusahaan manufaktur dan utilitas.

Siemens belajar tentang masalah ini pada 14 Juli, juru bicara Industri Siemens Michael Krampe mengatakan dalam pesan e-mail Jumat. "Perusahaan segera mengumpulkan tim ahli untuk mengevaluasi situasi. Siemens mengambil semua tindakan pencegahan untuk memperingatkan pelanggannya terhadap potensi risiko dari virus ini," katanya.

Para pakar keamanan percaya bahwa virus itu tampaknya merupakan jenis ancaman. mereka khawatir selama bertahun-tahun - perangkat lunak berbahaya yang dirancang untuk menyusup ke sistem yang digunakan untuk menjalankan pabrik dan bagian dari infrastruktur penting.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Beberapa orang khawatir bahwa ini jenis virus dapat digunakan untuk mengendalikan sistem tersebut, untuk mengganggu operasi atau memicu kecelakaan besar, tetapi para ahli mengatakan analisis awal dari kode tersebut menunjukkan bahwa itu mungkin dirancang untuk mencuri rahasia dari pabrik dan fasilitas industri lainnya.

"Ini memiliki semua keunggulan dari perangkat lunak yang dimobilisir, mungkin untuk spionase," kata Jake Brodsky, seorang pekerja IT dengan utilitas besar, yang meminta agar perusahaannya tidak diidentifikasi karena dia tidak berwenang untuk berbicara atas namanya.

Ahli keamanan sistem industri lainnya setuju, mengatakan bahwa perangkat lunak berbahaya ditulis oleh penyerang yang canggih dan teguh. Perangkat lunak ini tidak mengeksploitasi bug di sistem Siemens untuk masuk ke PC, tetapi menggunakan bug Windows yang sebelumnya tidak diungkapkan untuk masuk ke sistem.

Virus menargetkan perangkat lunak manajemen Siemens yang disebut Simatic WinCC, yang berjalan pada operasi Windows sistem.

"Siemens menjangkau tim penjualannya dan juga akan berbicara langsung kepada pelanggannya untuk menjelaskan keadaannya," kata Krampe. "Kami mendesak pelanggan untuk melakukan pemeriksaan aktif pada sistem komputer mereka dengan instalasi WinCC dan menggunakan versi terbaru dari perangkat lunak antivirus sebagai tambahan untuk tetap waspada tentang keamanan TI di lingkungan produksi mereka."

Akhir Jumat, Microsoft mengeluarkan penasehat keamanan memperingatkan masalah ini, mengatakan itu mempengaruhi semua versi Windows, termasuk sistem operasi Windows 7 terbaru. Perusahaan telah melihat bug yang dieksploitasi hanya dalam serangan terbatas yang ditargetkan, kata Microsoft.

Sistem yang menjalankan perangkat lunak Siemens, yang disebut sistem SCADA (kontrol pengawasan dan akuisisi data), biasanya tidak terhubung ke Internet untuk alasan keamanan, tetapi virus ini menyebar ketika stik USB yang terinfeksi dimasukkan ke komputer.

Setelah perangkat USB dicolokkan ke PC, virus akan memindai sistem WinCC Siemens atau perangkat USB lain, menurut Frank Boldewin, seorang analis keamanan dengan Penyedia layanan TI Jerman, GAD, yang telah mempelajari kode tersebut. Ini menyalin dirinya ke perangkat USB yang ditemukannya, tetapi jika mendeteksi perangkat lunak Siemens, ia akan segera mencoba masuk menggunakan kata sandi standar. Jika tidak, tidak ada apa-apa, katanya dalam sebuah wawancara email.

Teknik itu mungkin berhasil, karena sistem SCADA sering dikonfigurasi dengan tidak benar, dengan kata sandi standar tidak berubah, kata Boldewin.

Virus ini ditemukan bulan lalu oleh para peneliti. VirusBlokAda, sebuah perusahaan antivirus yang kurang terkenal yang berbasis di Belarus, dan dilaporkan pada hari Kamis oleh blogger keamanan Brian Krebs.

Untuk menyiasati sistem Windows yang memerlukan tanda tangan digital - praktik umum di lingkungan SCADA - virus menggunakan tanda tangan digital yang ditetapkan untuk pembuat semikonduktor Realtek. Virus ini dipicu kapan saja korban mencoba untuk melihat isi dari USB stick. Deskripsi teknis virus dapat ditemukan di sini (pdf).

Tidak jelas bagaimana penulis virus dapat menandatangani kode mereka dengan tanda tangan digital Realtek, tetapi ini mungkin menunjukkan bahwa kunci enkripsi Realtek telah dikompromikan. Pembuat semikonduktor Taiwan tidak dapat dihubungi untuk komentar Jumat.

Dalam banyak hal, virus meniru bukti-of-konsep serangan yang peneliti keamanan seperti Wesley McGrew telah berkembang di laboratorium selama bertahun-tahun. Sistem yang ditargetkannya menarik bagi penyerang karena mereka dapat memberikan informasi berharga tentang pabrik atau utilitas di mana mereka digunakan.

Siapa pun yang menulis perangkat lunak virus mungkin telah menargetkan instalasi tertentu, kata McGrew, pendiri McGrew Security dan seorang peneliti di Mississippi State University. Jika penulis ingin masuk ke sebanyak mungkin komputer, daripada target tertentu, mereka akan mencoba untuk mengeksploitasi sistem manajemen SCADA yang lebih populer seperti Wonderware atau RSLogix, katanya.

Menurut para ahli ada beberapa alasan mengapa seseorang mungkin ingin mematahkan sistem SCADA "Mungkin ada uang di dalamnya," kata McGrew. "Mungkin Anda mengambil alih sistem SCADA dan Anda menahannya sebagai sandera."

Penjahat dapat menggunakan informasi dari sistem WinCC pabrikan untuk mempelajari cara memalsukan produk, kata Eric Byres, kepala staf teknologi dengan konsultan keamanan, Byres Security. "Ini terlihat seperti kasus grade A dari pemanenan IP terfokus," katanya. "Ini terlihat fokus dan nyata."

Robert McMillan mencakup keamanan komputer dan teknologi umum untuk berita The IDG News Service. Ikuti Robert di Twitter di @bobmcmillan. Alamat e-mail Robert adalah [email protected]