Siemens WinCC под угрозой

[pi_oneer]

Компания Siemens предупредила корпоративных пользователей о вирусе, поражающем компьютеры, на которых работает система контроля и управления производственными объектами, продаваемая компанией. Предварительный анализ вируса, вызвавшего беспокойство Siemens, показал, что он, скорее всего, предназначен для хищения коммерческих секретов. Вирус создан для поражения системы контроля и управления производством SIMATIC WinCC, поставляемой Siemens. Для проникновения на компьютер используется незакрытая уязвимость в защите ОС Windows, связанная с обработкой LNK-файлов. Компания отмечает, что компьютеры, на которых работает программное обеспечение класса SIMATIC WinCC, обычно не подключены к Интернет, дабы уменьшить риск заражения. Вероятно, именно поэтому вирус спроектирован так, чтобы проникать в систему на инфицированном USB-носителе. Когда устройство подключается к компьютеру, зловредное ПО копирует себя на другие обнаруженные USB-носители и сканирует компьютер в поисках SIMATIC WinCC. Если софт обнаружен, вирус пытается получить контроль над ним при помощи пароля, используемого производителем по-умолчанию. Такой хакерский метод может сработать, если системные администраторы не произвели должную настройку программного комплекса предприятия. Если вирус не обнаруживает SIMATIC WinCC, то он все равно заражает ПК, который в дальнейшем может выступать как разносчик инфекции. При этом пока непонятно, ведет ли зловредная программа какую-то деструктивную деятельность на компьютерах без SIMATIC WinCC. Специалисты называют несколько сценариев, которыми хакеры могут воспользоваться для получения выгоды от атаки на ПО предприятий. В частности, это может быть блокировка системы до момента, пока руководство объекта не заплатит злоумышленникам. На фабриках интерес также может представлять детальная информация о производственном процессе, которая облегчит изготовление высококачественных подделок. Кроме того, SIMATIC WinCC нередко используется для управления работой электростанций, что дало повод для обсуждений в интернете возможности использования вируса для совершения диверсий.
Эксперты предполагают, что вирус создавался под конкретную цель, поскольку, если бы задачей ставилось поразить как можно больше компьютеров, для атаки было бы разумнее выбрать не SIMATIC WinCC, а какую-нибудь из более популярных систем аналогичного класса.
"Программу писали явно не ради развлечения и не для того, чтобы кому-то что-то доказать, слишком уж тщательно она сделана. Одна только неизвестная прежде уязвимость Windows, которую использует вирус, на черном рынке стоит несколько десятков тысяч долларов. Очевидно, люди рассчитывали заработать на этом вирусе много больше", - говорит вирусный аналитик "Лаборатории Касперского" Александр Гостев, - "Собранная нами статистика распространения вируса показывает, что наибольшее число зараженных систем сосредоточено в Индии, Иране и Индонезии. В каждой из этих стран за четыре дня было зафиксировано более пяти тысяч зараженных систем. А, например, в соседствующем с Индией Китае отмечено лишь пять случаев, что довольно странно. Возможно, это обусловлено спецификой распространения вируса через USB-накопители". В России "Лаборатория Касперского" зафиксировала за тот же период лишь около 150 зараженных систем, то есть в нашей стране об эпидемии речи явно не идет.

Источник

[pi_oneer]

В принципе модифицировать этот вир можно под любую Win HMI.
Господа, чаще обновляйте свои антивирусные базы.

[Marrenoloth]

А я-то все ждал, когда же жахнет...
Понятно, что "Слухи о моей смерти сильно преувеличены.", но последний абзац, не вошедший в цитирование, заставляет сильно задуматься:

В ответ на запрос РИА Новости, Сергей Михайлин, руководитель подразделения "Системы автоматизации" департамента "Промышленная автоматизация" Siemens в России и Центральной Азии так прокомментировал ситуацию: «Siemens в настоящее время проводит детальный анализ новой вредоносной программы, в частности проводятся тесты на совместимость современных антивирусных программ с нашим программным обеспечением.(WTF? Их небыло???) До настоящего времени не было зафиксировано ни одного случая аварийной остановки производства по этой причине. (Но это не единственный риск же!)».

И еще выдержка из оригинала:

Вредоносный код был обнаружен специалистами белорусской компании "ВирусБлокАда" еще в июне, в середине июля информация о нем была опубликована в открытых источниках. Siemens узнала о проблеме 14 июля (По официальной информации из тех самых "открытых источников"), после чего немедленно собрала команду экспертов для оценки ситуации.

В пятницу Microsoft представила описание уязвимости, которую использует вирус. Ошибке подвержены все современные версии Windows, включая Windows 7. Компания отмечает, что уязвимость эксплуатировалась только в небольшом количестве целенаправленных атак. (Т.е. 15 тысяч заводов в Азии - это "небольшое количество целенаправленных атак???")

[Marrenoloth]

Так и подмывает развить холивар Linux vs Windows, но не буду (; Просто интересно, Сименс вообще свое ПО не защищает от внешних воздействий? И как то, что для нормальной работы они сами рекомендуют отрубать антивирусы или добавлять в исключения папки программ и требуют сразу нахрен тушить фаерволы, а, также иногда требуют работу из-под админа, сочетается с понятием безопасности?

[Marrenoloth]

За книжку я уже спасибо говорил! Очень к месту тогда пришлась!
Просто меня реально удивляет то, что большинство систем живет на винде со всеми ее доказанными проблемами и еще и сами разработчики рекомендуют убирать защиту т.к. она мешает нормальной работе их программы. А из линуховых я только APROL от B&R знаю, что может потягаться с тем-же PCS by облажавшиеся сегодня...

[Marrenoloth]

Я вот боюсь, как-бы это все сейчас в снежный ком не превратилось. А то люди просекут фишку и хз чем дело кончится. С другой стороны, игрушка явно заказная, глядишь, ботнет из винсисёвых компов и не получим...
Но для себя я точно решил, что линух лучше - сижу, разрабатываю все в виртуалках, благо 4гига в ноуте позволяют. Всем какие-то вирусы по сетке ползут, а мне пофиг. У дальних родственников с компа авторанер флешечный подцепил, так только через 3 дня узнал...
Вообще интересно в этом плане, а можно ли как-то подцепить контроллер к линуху. Хоть тот-же симатик. В линухе OPC ж нету...

[Бондарев Михаил]

http://www.softing.com/home/en/industri ... olkits.php

Softing's OPC Toolbox is the world's most comprehensive suite of OPC development tools. It consists of approx. 20 OPC Toolkits that provide support for Windows, Windows CE, .NET, Linux, and embedded operating systems.

Advantages of the OPC Toolbox
■All OPC specifications: DA, AE, XML-DA, Complex Data and Security; OPC UA in development
■Wide range of development languages: C, C++, C#, VB,VB.NET
■For Windows, Windows CE, Linux, VxWorks and more embedded operating systems
■Full OPC compliance
■Regularly tested at interoperability workshops of the OPC Foundation
■Powerful, yet easy-to-use wizard to get you started quickly
■Context-sensitive online help integrated into Microsoft MS Developer Studio
■Free demo version
■Available as developer license and as runtime license
■International update and support program
■Support provided by the OPC Competence Cente

опять же платформонезависимый OPC XML-DA есть.
Доводилось сталкиваться и с самописными без (не в плане качества, а в плане реаизации своими силами)

или как вариант OPC COM/DCOM на виртуальной машине крутить


еще по теме OPC-Linux
http://www.opcdatahub.com/Features/OPC_to_Linux.html
http://www.opcfoundation.org/Products/P ... =9087&CU=1

P.S. А вообще в последнее время тенденция появилась, в металлургии в частности, визуализацию своими силами делать (в том числе на флеш-технологиях)
P.S.2 просьба поняти "свои силы" оценивать адевкатно, в данном контекстке следует читать "собственные силы концерна DEMAG", а не "клуб студенто-любителей-покодить"

[Бондарев Михаил]

Что характерно- вирь ведь написан чисто под WinCC... и на других СКАДА не распространяется.

не всякий "офисный" программист может сравниться с матерым асушником по части знания начинки Windows и уж тем более самой WinCC. Иной раз им (асушным программерам) приходится в такие системные дебри лазить, что просто диву даешься, подмена кодовых страниц для интача, это просто детские игрушки. Неудивительно что при таком знании архитектуры системы кто-то написал такую вот штуковень.

Интересно другое: если абслоютное большинство компьютеров на объектах выхода в интернет не имеет, вирус сам в силу своей природы малоразмерен, то как планируется передача добытых "интеллектуальных серкретов" ?

P.S. в статье говорится о USB-key, мож имеется в виду лицензионный USB-key, и дырка в защите используется через сименсовские лицензионные механизмы.

[abbat81]

Да вообще хрень какая-то))) Там пишут еще про возможную кражу HMI экранов- да кому это вообще нужно, в этом то какая интеллектуальная собственность ? Картинка и есть картинка. Сдается мне по ходу просто очередная заказная шумиха и происки империалистов.

[abbat81]

Ага) хитрый, возможно рекламный ход.

[Василий Иванович]

Вирус пролезает через дыру в Виндовс, а не в ВыньСиСи. Если местный админ демо-пароль оставил - это его проблема, а не Сименса.
Сименс тут оказался "при чём" лишь ввиду широкого распространения его продукта. А про рекламу - это вообще клиника. Типо Майкрософт тоже дыры оставляет, чтобы потом мужественно их патчить.

А украсть в скаде есть чего. Уже одно знание времени цикла конвейера может очень много сказать конкурентам. Не говоря уже о проприетарной рецептуре и особенностях технологического режима.

[pi_oneer]

"Хм, ну здесь вопрос очень спорный по сравнению с остальными брендами"

Очень часто WinCC идет в составе блочно-поставляемого немецкого оборудования. И там зачастую ни о какой доп. защите кроме пароля оператора речь не идёт...

Теперь еще новости по теме: http://www.uinc.ru/news/sn14160.html
http://www.securelist.com/ru/blog/32850 ... ertifikaty

[abbat81]

А украсть в скаде есть чего. Уже одно знание времени цикла конвейера может очень много сказать конкурентам. Не говоря уже о проприетарной рецептуре и особенностях технологического режима.

Проще заплатить специалисту интересующей конторы,чем затрачивать значительные ресурсы на написание(ведь нужно не только знать уязвимости виндовс но и досканально WINCC),мало написать- его надо еще впарить на компьютер жертвы. Он на блюдечке принесет проект, даже каменты оставит в нужных местах , если надо. Все дело обстоит в только в чистоплотности последнего.

[abbat81]

А про рекламу - это вообще клиника. Типо Майкрософт тоже дыры оставляет, чтобы потом мужественно их патчить.

Может и так :) Повышается цитируемость продукта, вот мы сейчас активно обсуждаем WINCC. А может быть я заблуждаюсь, кто их разберет буржуев и их подковерные игры.
Тот же Майкрософт периодически выпускает новые версии винды - "более быстрой, безопасной, совершенной" ни как не хотят оставить простого обывателя в покое типа один раз купил и забыл.

[Василий Иванович]

А украсть в скаде есть чего. Уже одно знание времени цикла конвейера может очень много сказать конкурентам. Не говоря уже о проприетарной рецептуре и особенностях технологического режима.

Проще заплатить специалисту интересующей конторы,чем затрачивать значительные ресурсы на написание(ведь нужно не только знать уязвимости виндовс но и досканально WINCC),мало написать- его надо еще впарить на компьютер жертвы. Он на блюдечке принесет проект, даже каменты оставит в нужных местах , если надо. Все дело обстоит в только в чистоплотности последнего.

Где-то я уже писал про это. Не проще. Затраты сравнимы (начиная с проникновения на территорию, контакта, вербовки и т.п.), а риск выше. С вирусом оно удобненько, анонимненько.

И не надо быть семи пядей во лбу, чтобы содрать все картинки и слить винсюсёвую базу куда-нибудь на анонимный хостинг. А даже если разбираться надо - Сименс каждую запятую задокументировал и выложил в Интернет.

[pi_oneer]

Официально от Сименса (англ).

[Василий Иванович]

Всё ясно. Всё ж таки это дыра в WinCC, который читает и пишет свои SQL-базы со статичными юзером и паролем, которые задокументированы и жёстко вбиты в софт (гы, я даже знаю, какими). Т.е. любая свинья помимо самой WinCC (и меня, конечно) может влезть в базу и отправить куда-нибудь по сети или в Интернет. Что и пытается делать вирус. Ну тогда патчить, помимо Майкрософта, должен и Сименс за компанию.

[Jackson]

Всё намного проще. Сначала придумываются фичи, потом находятся нестандартные (с т.зр. разработчиков) способы использования этих фич, после чего фичи превращаются в баги и спешно фиксятся, но не просто отключаются, а оставляются но при возможности их использовать только задуманным разработчиками способом. В результате себестоимость продукта растёт как на дрожжах (из-за трудоёмкости закрытия этих багов-фич). Если проследить всю историю модификации Windows от 95 до нынешней, то так оно и будет. :)

Возможно, никакая это не дыра, а стандартная скрытая фича разработчиков WinCC предназначенная для того, чтобы удалённо посмотреть как клиенты используют WinCC, пиратскую ли, честную ли. И кстати (это уже моя идея) в случае если клиент использует пиратскую WinCC - этой же фичей стырить с компа комерческую инфу и снять денег за использование WinCC. Клиенту (с т.зр. SIEMENS) так должно быть даже удобнее: Вам надо всего лишь начать пользоваться продуктом и не заботиться о его оплате - деньги мы сами заберём. :)

[Василий Иванович]

Нет, всё ещё проще. Афигенно быстро пишется афигенно удобная и классная программа, которая позволяет делать афигенные вещи и от которой юзер должен афигеть и купить её. Причём главное здесь - афигенно быстро, что не даёт времени на размышления на тему того, что свобода юзера - палка о двух концах.

[Jackson]

Афигенно быстро- это не для Сименс :) ВыньСС сколько лет на рынке уже? ;) Да и конкурентов у них - масса. И вообще, немцы и программирование - вещь несовместимая. Убеждаюсь в этом все время.

Не знаю, у нас обратный опыт, правда не по СКАДАм. То с чем педантичные датчане телепаются месяцами, немцы делают на раз-два. Ты не смешивай SIEMENS и немцев. :) SIEMENS - это отдельное государство такое.

[hell_boy]

В сети обнаружен второй вариант червя Stuxnet
Hotfix от Microsoft

[Jackson]

hell-boy, спасибо!

Вот радуют меня формулировки! "В сети обнаружен...." - как деликатно. :) Просто кто-то написал и кто-то нарвался. Как у нас принято - вместо "кто-то украл" говорить "обнаружена пропажа".

[Василий Иванович]

Господа, постя ссылки, не забывайте пожалуйста проверять их дату. Первое сообщение датировано 21 июля и имеет сабжем всё тот же WinCC-вирус, о котором и была открыта тема, а второе - 2 августа, когда Майкрософт выпустил заплатку. Вот только Сименсу с его заплаткой придётся потруднее, хихи.

[hell_boy]

Дату я видел. Дело в том, что за исключением Eset больше никто из производителей антивирусов о второй версии не отрапортовал. А патч Microsoft имеет тоже 2-ю версию от 24 августа. Первая от 2-го августа оказалась не совсем удачной.
Интересно, что на первом месте в мире по количеству заражений Stuxnet с большим отрывом лидирует Иран. Несколько десятков тысяч компов, Россия - на почетном 3-м с 700-ми заражениями. Это у них столько инсталяций WinCC? Тогда какое общее количество людей в Иране, работающих в автоматизации?

[Михайло]

Для Ирана Россия построила АЭС в Бушере... Проект на 5 млрд. $.