As empresas de manufatura que se cuidem, porque até seus sistemas de controle industrial estão na mira de ataques cibernéticos. Pesquisadores da empresa de segurança FireEye descobriram um malware, batizado de Irongate, que aparentemente é capaz de manipular sistemas de aquisição de dados e supervisão de controle industrial (SCADA) e mascarar as leituras geradas por sensores dos processos em fábricas.
O malware foi encontrado em meados do ano passado em uma base de dados na web chamada VirusTotal, de propriedade da Google, que é usada como repositório de códigos suspeitos que são enviados por usuários para serem analisados por diversos sistemas antivírus. Não há ainda registro de ataque real do Irongate, mas seu código foi enviado ao VirusTotal por diferentes pessoas entre 2014 e 2015. Nesse período, nenhum sistema antivírus conseguiu reconhecer o código como malicioso.
Por hora, a boa notícia é que as amostras encontradas parecem ser provas de conceito ou parte de alguma pesquisa. Elas foram projetadas para encontrar e substituir uma DLL específica que se comunica com o software Siemens SIMATIC S7-PLCSIM, programa que roda em simuladores dos controladores lógicos programáveis (PLC) S7-300 e S7-400.
PLCs são dispositivos especializados de hardware que monitoram e controlam processos industriais – ligam motores, abrem e fecham válvulas etc.. Eles transmitem suas leituras e outros dados a softwares de monitoramento, a chamada interface homem-máquina (HMI), que rodam em estações de trabalho usadas por engenheiros.
Segundo a FireEye, o Irongate se parece com o malware de sabotagem da Stuxnet que supostamente teria sido criado pelos EUA e Israel para derrubar o programa nuclear do Irã e que teria destruído um grande número de centrífugas de enriquecimento de urânio no país.
De forma similar ao que a Stuxnet fez com a planta nuclear Natanz, do Irã, o objetivo do IRONGATE é injetar-se dentro do processo de monitoramento SCADA e manipular os dados que são enviados pelos PLCs, mascarando uma potencial sabotagem em uma planta fabril.
No ataque da Stuxnet a operação de um PLC foi suspensa e paralisou o rotor da centrífuga, mas continuou a enviar sinais de que o equipamento estava funcionando dentro dos limites da normalidade. O Irongate , por sua vez, grava dados válidos de um PLC e passa a repetir esses dados continuamente para o sistema de controle, enquanto sabota o funcionamento de um equipamento, alguma similar a ladrões de banco exibindo uma gravação em loop para as câmeras de vigilância enquanto executam o roubo.
O grupo de análise de emergências da Siemens, chamado Product Computer Emergency Readiness Team (ProductCERT) teria, segundo a FireEye, “confirmado que o código não funciona contra um sistema de controle de ambiente padrão da Siemens”. Mesmo parecendo uma prova de conceito e usando uma DLL que não é padrão, a descoberta do IRONGATE deve servir de alerta às empresas que trabalham com sistemas SCADA.
A FireEye apenas descobriu o potencial malicioso do código porque estava em busca de amostras potencialmente perigosas compiladas com a técnica PyInstaller, utilizada por vários atacantes. Durante a busca, dois uploads de Irongate chamaram atenção dos pesquisadores porque tinham referências ao SCADA e a funcionalidades associadas a ele.
Site: Computerworld
Data: 03/06/2016
Hora: 11h17
Seção: Segurança
Autor: ——
Foto: ——
Link: http://computerworld.com.br/novo-stuxnet-malware-irongate-pode-comprometer-sistemas-industriais