A empresa alemã Siemens emitiu um alerta aos clientes, em que avisa sobre a presença de um vírus novo e altamente sofisticado especializado em atacar sistemas usados na gestão de aplicativos para o controle de grandes instalações industriais.

De acordo com um comunicado enviado na última sexta-feira (16/7), a empresa tomou conhecimento da questão em 14/7. “A situação está sendo avaliada por uma equipe de especialistas escalada para dar conta disso. A Siemens está tomando todas as precauções para alertar a seus clientes sobre o risco”.

Especialistas em segurança acreditam que esse vírus é o tipo de ameaça com que se preocupavam há anos – um software malicioso desenvolvido para comprometer sistemas de gestão de processos industriais.

Enquanto alguns temem que esse tipo de vírus possa ser usado para tomar o controle sobre processos industriais críticos e seja capaz de causar acidentes graves, especialistas acham que a função do software é roubar informações sigilosas e realizar espionagem industrial.

“O vírus tem todas as características de um software de espionagem”, afirma o funcionário da TI de uma grande empresa, Jake Brodksy. Jake prefere não revelar o nome da companhia em que atua, pois não foi autorizado a falar em nome da empresa.

Sofisticação

Especialistas em segurança de sistemas concordam com a ideia de que o software foi desenvolvido por alguém sofisticado e bastante determinado. O vírus não visa atacar o software da Siemens, o Simatic WinCC , programa multiusuário aplicado na visualização de processo industriais e com recursos de clientes web. Em vez disso, o objetivo é explorar uma vulnerabilidade, até então desconhecida, do sistema operacional Windows no qual roda o Sismatic WinCC.

“A Siemens está em contato com a equipe comercial e irá entrar em contato diretamente com os usuários do sistema para explicar as circunstâncias”, explica o comunicado, que ressalta: “Recomendamos fortemente aos nosso clientes que façam uma verificação dos sistemas em que o WinCC está instalado e que atualizem os programas de antivírus. Também sublinhamos a necessidade de atentarem para a segurança nos sistemas de TI das empresas”.

Resposta da Microsoft

No final de sexta-feira (16/7), a Microsoft emitiu um alerta de segurança em que informa sobre o problema. Toda a plataforma Windows está sujeita ao ataque, inclusive a versão 7 do SO da MS. Até o momento, a empresa verificou apenas ataques isolados, dirigidos especificamente a determinados sistemas, informou a Microsoft.

Normalmente os sistemas que operam com o SCADA (Supervisory Control and Data Acquisition ou, em português, supervisão de controle e de aquisição de dados) que trabalha junto com o WinCC, não estão ligados à Internet por motivos de segurança. A forma de infecção provável é por meio de um USB Stick (pendrive) inserido no sistema.

Origem

Descoberta pela fornecedora de antivírus VirusBlokAda, sediada  na Bielorrússia, a notícia da existência do vírus foi dada na quinta-feira (15/7) pelo blogueiro especializado em segurança de TI Brian Krebs.

Na eventualidade do sistema Windows requerer uma assinatura digital, circunstância bastante comum em sistemas  que operam o SCADA, o vírus utiliza uma assinatura ligada ao fabricante e semicondutores Realtek. A cada vez que o usuário acessa o USB Stick, o vírus entra em ação. Leia adescrição técnica do vírus nesse documento .pdf.

O fato de não estar claro como os autores do vírus conseguiram associar o código à assinatura digital da Realtek, pode significar que a chave de criptografia da fornecedora tenha sido haqueada.

O vírus representa o tipo de ataque que pesquisadores de segurança como o fundador da empresa McGrew Security, Weley McGrew, estudam há vários anos. Atrativos para os desenvolvedores, essa espécie de vírus é capaz de prover informações valiosíssimas sobre a indústria que rodam os sistemas atacados.

É possível que o autor do vírus tenha objetivado uma empresa específica, informa McGrew, que também faz parte do corpo de pesquisadores da Mississipi State University. Se o objetivo do programa fosse atacar o maior número de sistemas possível, ele provavelmente teria explorado plataformas de gestão SCADA mais ordinárias, como o Wonderware ou o RSLogix, informou McGrew.

A motivação para atacar sistemas SCADA pode ser variada. “Pode dar dinheiro”, e, “Talvez o objetivo seja sequestrar o sistema e pedir um resgate”, diz McGrew.

Para o CTO da organização Byres Security, Eric Byres, ao quebrar a segurança de sistemas SCADA, os criminosos podem aprender maneiras de falsificar os produtos da indústria. “Isso é um IP-harvesting do tipo A; real e extremamente focado”, diz.

Fonte: http://computerworld.uol.com.br/seguranca/2010/07/18/virus-de-espionagem-industrial-ataca-sistemas-siemens/