Siemens: ipari kémkedés folyik a Windows-résen keresztül
Tegnap a Siemens megerősítette, hogy legalább egy ügyfeléhez elért egy féreg, amely a Windows frissen közzétett, egyelőre foltozatlan biztonsági rését kihasználva jutott be. Az áldozat egy német gyártó, és a féreg az ipari vezérlőrendszerhez férkőzött hozzá.
A Siemens természetesen nem árulja el, hogy melyik cégről van szó, sem azt, hogy történt-e károkozás. A biztonsági cégek részéről leginkább Stuxnet kódnévvel jelzett féreg a Siemens SIMATIC WinCC és SIMATIC Siemens STEP 7 ipari vezérlési és felügyeleti, úgynevezett SCADA (supervisory control and data acquisition) rendszerekkel lép kapcsolatba, és csak akkor aktiválódik, ha ezek a szoftverek jelen vannak a számítógépen - egyelőre csak olyan variáns ismert, amely Siemens szoftvereket keres. A férget múlt hónapban úgy fedezték fel egy fehérorosz biztonsági cégnél, hogy egy áldozat gépén végtelen újraindítási ciklust idézett elő. A VirusBlokAda cég ezt követően a Közel-Keletről begyűjtött jelentések alapján hozzájutott a féreghez, és ismerte fel a Windows egy új sebezhetőségét. A Microsoft szerint a leginkább fertőzött Irán és Indonézia, és világszerte összesen már több mint 6 ezer fertőzést regisztrált.
A Stuxnet forrása, célja és tevékenysége egyelőre nem teljesen ismert, legalábbis mind a Siemens, mind az Egyesült Államok ipari vezérlőrendszerek szegmensére szakosodott kibernetikus katasztrófavédelmi csoportja (ICS-CERT) vizsgálja még annak viselkedését. Az ICS-CERT annyit közölt eddig, hogy a féreg kapcsolatba lép a SIMATIC szoftverekkel, és lekérdezéseket hajt végre az adatbázisok felé. Nem világos az sem, hogy a féreg milyen adatokat gyűjt, de eddigi vizsgálatai során megállapította, hogy képes az interneten keresztül adatokat küldeni a termelési eljárással vagy a termeléssel állapotával kapcsolatosan. A Siemens állítja, ez az első alkalom, hogy tudomására jutott bármilyen SCADA rendszere elleni trójai támadás.
A SIMATIC SCADA-rendszert támadó Stuxnet a Windows frissen publikált biztonsági résén keresztül terjed, erősítette meg a Siemens, amelyet USB kulccsal juttatnak a célpontba. Ebből kifolyólag a Siemens azt javasolja, hogy ahol még nem tették meg a rendszergazdák, ott azonnal tiltsák le az USB portok használatát az érintett munkaállomásokon, valamint a biztonság kedvéért egy friss vírusirtót is telepítsenek. A Microsoft egyelőre nem adott ki javítást a hibára, vizsgálja lehetőségeit. A Siemens közölte azt is, hogy féreg a SIMATIC szoftverek a Microsoft SQL adatbázis irányában gyárilag beállított, és a bűnözők számára ismertté vált autentikáció ismeretében hatol be az információkhoz, valószínűleg ipari kémkedés céljából.
A Microsoft előzetes biztonsági figyelmeztetése szerint a hiba a Windows XP SP3-tól kezdve a Server 2008 R2-ig az összes támogatásban lévő Windows operációs rendszer érinti - természetesen támadhatóak a már támogatásból kikerül rendszerek is, ezekkel azonban a Microsoft nem foglalkozik. A rés a grafikus felhasználói felületet adó Windows Shellben található, annak is a parancsikonokat (LNK kiterjesztésű állományok) kezelő részében. A probléma abból a banális biztonsági mulasztásból származik, hogy a Shell nem ellenőrzi megfelelően a parancsikon paramétereit, így az olyan műveleteket végeztethet a rendszerben, amely indokolatlan és illegitim. A támadás kivitelezéséhez elegendő már az is, ha a felhasználó ránéz például Intézővel a fertőzött USB háttértár tartalmára - elindítani sem kell semmit.
Az ICS-CERT értékelése erre található, a Microsoft helyzetértékelése a Malware Protection Center blogon, a biztonsági réssel kapcsolatos hírünk pedig itt olvasható.