È stato diffuso un alert per un trojan che prende di mira il sistemi con i software WinCC Simatic PCS 7 e Siemens ha comunicato di aver immediatamente attivato un gruppo di lavoro per valutare la situazione e intraprendere le opportune contromisure.
Il trojan, secondo le prime informazioni, appartiene alla famiglia Stuxnet e si diffonde tramite supporti come gli stick Usb e le reti, ma gli esperti stanno continuando a investigare sul comportamento del malware. In pratica è sufficiente visualizzare il contenuto della chiavetta Usb infettata per attivare il trojan e infettare il sistema.
Il malware sfrutta una vulnerabilità di Windows e può colpire i sistemi con Windows XP o superiori e il trojan cerca nel computer infetto specificamente per le installazioni di Simatic WinCC e PCS 7 e i relativi dati.
Sul versante degli effetti, il trojan può mettersi in contatto e comunicare con i server di alcuni siti web. I primi test hanno stabilito che il trojan è capace di mandare dati relativi ai processi e alla produzione, anche se però il server di destinazione sembra essere apparentemente inattivo. Questo ha fatto sospettare molti che lo scopo del malware possa in qualche modo messo in relazione allo spionaggio industriale.
Per quanto riguarda il numero di sistemi infettati, invece, i dati riferiscono, per il momento, di due soli computer WinCC, ma è stato precisato anche che nessun impianto di produzione è stato colpito sinora.
Dal punto di vista delle contromisure applicabili, Siemens segnala che esistono già tre programmi di scansione antivirus da Trend Micro, McAfee e Symantec, le cui versioni più recenti sono in grado di rilevare il trojan.
Online comunque sono stati forniti per il download alcuni strumenti per rimuovere il malware, come un link a Sysclean di TrendMicro, ma anche una nuova versione dell’update di sicurezza di Simatic che può essere utilizzato anche da computer che non hanno il software Simatic installato.
Sono comunque consigliate anche diverse altre precauzioni per ridurre i possibili rischi, come quella, ovvia, di non utilizzare pen drive Usb, ma anche di disattivare o disinstallare i servizi che non sono richiesti e in particolare le connessioni a Internet.
Occorre tenere presente, comunque, che la norma prevede che l’accesso a sistemi Scada via Usb non sia normalmente accessibile e numerosi sistemi hanno inoltre già dei tool antivirus e firewall che servono appunto a prevenire attacchi di trojan e virus.
Autore: Francesco Ferrari