Siemens mówi, nie zmieniajcie haseł (ponieważ to zakłóci pracę systemów) i ostrzega swoich klientów o nowym i bardzo zaawansowanym wirusie, którego celem są systemy kontroli dużych kompleksów przemysłowych i użyteczności. Wirus sprawdza czy na zainfekowanym komputerze jest windowsowa wersja SCADA Siemens, jeżeli nie to po prostu dalej rozprzesrzenia infekcje.
Jeżeli znajdzie się na komputerze system Siemens WinCC to próbuje się zalogować do tego systemu używając domyślnego hasła. Ta technika działa ponieważ systemy SCADA są często źle skonfigurowane z pozostawionym domyślnym hasłem (teoretycznie nie powinny być podłączone do internetu) Następnie próbuje ściągnąć z tych systemów projekty wykonywanych produktów i wysłać na zewnętrzną lokalizację sieciową. Kradnąc firmowe sekrety atakujący może się dowiedzieć jak firma wykonuje swoje produkty…
Robak z rodziny Stuxnet (opis techniczny) jest odpowiedzialny nie tylko za 0 day związany z linkami (.lnk) ale również za niepokojące zwrócenie uwagi masowych infekcji w stronę olbrzymich pieniędzy i sekretów korporacji, po które wcześniej sięgały raczej tylko najwytrawniejsze czarne kapelusze w atakach celowanych.
Pozostaje jeszcze kilka pytań bez odpowiedzi. Na przykład to jak autorzy wirusa byli w stanie podpisać swój kod sygnaturą Realteka. Może klucz szyfrujący Realteka został przechwycony. Firma z Taiwanu nie skomentowała. Klucz na wszelki wypadek został unieważniony.
Ktokolwiek napisał robaka mógł atakować konkretną instalację. Gdyby chciał przechwycić jak najwięcej informacji to mógł by zaatakować również inne systemy jak Wonderware lub RSLogix. A może to tylko wersja alfa.
Jest kilka sposobów zarobienia na włamaniu do systemów SCADA. Można sprzedać lub wykorzystać sekrety do podrobienia produktu. Można odciąć dostęp do nich i żądać okupu (brak danych z takiego systemu może powodować milionowe straty dla producenta na godzinę). Lub po prostu zakłócić czy wprowadzić zmiany do procesu produkcyjnego narażając firmy czy klientów na olbrzymie niebezpieczeństwo.
