Hôm thứ 6, phát ngôn viên của Siemens Industry: Michael Krampe đã nói trong một email rằng: Siemens đã biết về thông tin này vào ngày 14 tháng 7. Ông cũng nói: “Ngay lập tức công ty này đã thành lập một nhóm chuyên gia để đánh giá tính hình này. Siemens đang dùng mọi biện pháp ngăn ngừa đề cảnh báo cho các khách hàng của hãng này về mối nguy hiểm tiềm tàng của Virus này.”

Các chuyên gia an ninh tin rằng con Virus này chính là một mối đe doạ nguy hiểm mà chúng ta đã phải lo lắng trong suốt nhiều năm qua - phần mềm độc hại được thiết kế để thâm nhập vào các hệ thống điều hành của các nhà máy hay các bộ phận cơ sở hạ tầng cốt yếu.

Một vài người lại lo lắng rằng loại Virus này có thể được sử dụng để chiếm quyền kiểm soát các hệ thống nhằm làm nhiễu các hoạt động hoặc gây nên các tai nạn nghiêm trọng, tuy nhiên các chuyên gia lại nói: một phân tích ban đầu về mã cho thấy có lẽ nó được thiết kế để đánh cắp các bí mật từ các công ty sản xuất hay các thiết bị công nghiệp khác.

Jake Brodsky, một chuyên viên IT của một công ty lớn đã yêu cầu không nói tên công ty mình bởi lẽ ông không có quyền phát ngôn thay mặt công ty, đã nói rằng: “Nó mang tất cả các dấu hiệu của một phần mềm tấn công và có lẽ là một phần mềm gián điệp.”

Các chuyên gia an ninh của những hệ thống công nghiệp khác cũng đồng ý với ý kiến trên và nói thêm rằng phần mềm độc hại này được viết bởi một kẻ tấn công rất chuyên nghiệp và tinh vi. Nó không khái thác lỗi trong hệ thống của Siemens để xâp nhập vào PC nhưng thay vào đó nó lại sử dụng một lỗi được giấu kín trước đó của Windows để xâm nhập vàp hệ thống này.

Virus nhằm vào phần mềm quản lý chạy trên hệ điều hành Windows của Siemens là Simatic WinCC.

Krampe đã nói: “Siemens đang liên hệ với đội ngũ bán hàng của mình, đồng thời cũng sẽ trực tiếp giải thích với khách hàng về tình hình hiện tại. Chúng tôi đang hối thúc các khách hàng thực hiện việc kiểm tra các hệ thống cài đặt WinCC của mình và sử dụng các phần mềm chống virus cập nhật để hỗ trợ cho việc giữ vững an ninh IT cho môi trường sản xuất của mình.”.

Vào thứ 6 tuần trước, Microsoft đã cảnh báo về vấn đề này và nói rằng nó ảnh hưởng tới tất cả các phiên bản của Windows bao gồm cả hệ điều hành Windows 7 mới nhất. Microsoft đã nói lỗi này chỉ tấn công những hệ thống giới hạn và đã được đặt mục tiêu.

Những hệ thống chạy phần mềm Siemens được gọi là SCADA (kiểm tra giám sát và thu thập thông tin) không được kết nối Internet vì lý do an ninh mạng nhưng virus này sẽ lây lan khi một USB nhiễm cắm vào máy tính.

Theo Frank Boldewin, một chuyên gia phân tích an ninh của công ty dịch vụ IT của Đức: GAD, đồng thời cũng nghiên cứu mã virus thì một khi USB này cắm vào PC, virus sẽ quét để tìm ra hệ thống Siemens WinCC hoặc thiết bị USB khác.Virus sẽ tự copy vào mỗi USB mà nó tìm thấy nhưng khi phát hiện ra phần mềm WinCC của Siemens, nó sẽ ngay lập tức đăng nhập vào để sử dụng một password mặc định. Còn không thì nó sẽ không làm gì cả.

Boldewin đã nói: phương thức này có thể hoạt động bởi các hệ thống SCADA thường có cấu hình kém với các password mặc định không thay đổi.

Con virus này được phát hiện vào tháng trước bởi các nhà nghiên cứu của VirusBlokAda, một công ty an ninh mạng không nổi tiếng ở Belarus và được thông báo vào thứ 5 bới một blogger an ninh là Brian Krebs.

Để xâm nhập được cả vào hệ thống sử dụng Windows đòi hỏi có chữ ký điện tử - một thông lệ khi sử dụng SCADA – con virus này đã sử dụng một chữ kỹ điện tử của hãng sản xuất thiết bị bán dẫn Realtek. Con virus sẽ được kích hoạt ngay khi nạn nhân xem nội dung của USB. Bản mô tả kĩ thuật của virus có thể xem ở đây(pdf)

Vẫn chưa rõ làm cách nào mà tác giả của con virus có thể lập trình cho mã của mình có chữ ký điện tử của Realtek, nhưng có thể thấy là mã hoá của Realtek đã bị lộ. Đến thứ 6 cũng chưa thể liên lạc được với công ty sản xuất chất bán dẫn của Đài Loan này để xin bình luận về sự việc này.

Bằng rất nhiều cách, virus đã bắt chước những cách tấn công proof-of-concept mà các nhà nghiên cứu như Wesley McGrew đang phát triển trong phòng thí nghiệm của mình nhiều năm qua. Những hệ thống mà con virus này nhằm vào rất hấp dẫn đối với những kẻ tấn công bởi vì nó có thể cung cấp một kho tàng thông tin về máy móc hay công ty mà chúng được sử dụng.

McGrew, một người sáng lập ra McGrew Security và là một nhà nghiên cứu ở đại học bang Mississipi đã nói: bất cứ ai đã viết ra phần mềm virus này đều nhằm vào một mục tiêu cụ thể nào đó. Nếu tác giả của con virus này muốn xâm nhập vào càng nhiều máy tính càng tốt thì họ đã khai thác những hệ thống quản lý nổi tiếng hơn của SCADA như Wonderware hay RSLogix.

McGrew nói: Theo các chuyên gia thì có nhiều lý do tại sao một số người muốn xâm nhập vào hệ thống SCADA: “Kiếm tiền và có thể bạn sẽ đạt được hệ thống ấy để giữ làm con tin nhằm đòi tiền.”

Eric Byres, giám đốc kỹ thuật của công ty tư vấn an ninh Byres Security đã nói: tội phạm có thể sử dụng thông tin lấy từ hệ thống WinCC của một nhà sản xuất để biết cách giả mạo sản phẩm của họ. Ông nói: “Nó giống như một cách để thu được nhiều IP, một cách rất tập trung và thực tế.”