西门子:关于Stuxnet病毒、Simatic WinCC SCADA系统的更新

西门子工业公司在2010年9月22日更新了Stuxnet病毒:

2010年7月14日，西门子收到了针对西门子Simatic WinCC和PCS 7软件的恶意软件程序(特洛伊木马)的通知。7月22日，西门子为其客户提供了一个下载工具，可以在不影响工厂运行的情况下检测和清除病毒。所有主要的病毒扫描程序现在都能够检测到木马。8月8日，微软关闭了操作系统的安全漏洞，从而避免了该木马在工业环境中不受控制地传播的威胁。

距离西门子上次收到Stuxnet攻击客户系统的报告已经过去了两个多星期。从7月中旬到8月下旬，西门子公司共收到15例报告，在多家工厂检测到震网病毒，其中约三分之一在德国。西门子不知道有任何生产操作受到影响或工厂发生故障的情况;在西门子已知的所有病例中，该病毒已被清除。

西门子已经在一个测试系统上隔离了这种病毒，以便进行更广泛的调查。根据先前分析的特性和病毒在测试系统软件环境中的行为，这似乎不是一个黑客的随机开发，而是一个专家团队的产品。根据病毒在工业生产过程中的部署情况，公司怀疑该团队由具有相应工业控制工程知识的IT专家组成。

然而，在实施安全更新后，Stuxnet对工业系统的威胁程度仍将不确定，直到对该木马及其操作模式的进一步调查完成。西门子目前还没有关于这种恶意软件的来源和来源的任何线索，但分析正在进行中。

附加信息:

•7月份的调查显示，Stuxnet可以识别来自西门子的WinCC和step7程序，并与某些网站/服务器进行通信。Stuxnet利用微软Windows操作系统的安全漏洞，通过u盘和网络感染电脑。然后，它专门寻找西门子WinCC和PCS 7安装。

•恶意软件携带自己的块(例如，DB890, FC1865, 1874)并试图将它们加载到CPU中并将它们集成到程序序列中。如果上述块已经存在，则恶意软件不会渗透到用户程序中。如果系统中不存在上述块，并且现在检测到，则病毒已经感染了系统。在这种情况下，西门子紧急建议将工厂控制系统恢复到原来的状态。

•进一步的调查表明，该病毒除了传递数据外，理论上还可以影响非常具体的自动化或工厂配置中的特定流程和操作。这意味着，在一定的边界条件下，恶意软件能够影响控制系统中操作的处理。然而，这一点尚未在试验或实践中得到证实。

•西门子专家正在与微软和病毒扫描程序的分销商合作，分析病毒可能的后果和确切的操作模式。

•西门子不断提醒客户保护其IT系统和计算机免受病毒攻击的重要性，使用最新的病毒扫描程序，如趋势科技、迈克菲和赛门铁克，并安装微软等软件供应商提供的最新补丁。

也可以从控制工程：

震网病毒是一种“武器”

用于工业控制系统的网络安全取证工具

控制系统的网络安全:来自INL的更多提示和警告

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。