Evil PLC-Attacke: Neue Angriffstechnik gegen Industrieanlagen

Beitrag teilen

Die Team82-Sicherheitsforscher von Claroty entdecken neue Angriffstechniken gegen Industrieanlagen: Evil PLC-Attacke. PLCs – programmable logic controller – oder Speicherprogrammierbare Steuerungen (SPS) können Engineering-Workstations dazu veranlassen, bösartigen Code zur Manipulation von Prozessen oder Ransomware auszuführen.

Speicherprogrammierbare Steuerungen (SPS) sind unverzichtbare Industriegeräte, die Fertigungsprozesse in allen kritischen Infrastrukturbereichen regeln. Deshalb sind sie für Cyberkriminelle und staatlich unterstützte Angreifer ein interessantes Ziel, wie etwa beim Stuxnet-Angriff auf das iranische Atomprogramm. Die Sicherheitsforscher von Team82, der Forschungsabteilung des Spezialisten für die Sicherheit von cyber-physischen Systemen (CPS) Claroty, konnten nun nachweisen, dass industrielle Steuerungssysteme nicht nur als Ziel fungieren, sondern auch als Waffe eingesetzt werden können, um Engineering-Workstations für die Verbreitung bösartigen Codes zu nutzen und weiter in OT- und Unternehmensnetzwerke einzudringen. Diese neue Angriffstechnik namens „Evil PLC-Attacke“ konnte im Rahmen von Proof-of-Concept-Exploits bei sieben renommierten Automatisierungsherstellern (Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO und Emerson) erfolgreich durchgeführt werden. Mittlerweile haben die meisten der betroffenen Hersteller entsprechende Updates, Patches oder Abhilfemaßnahmen gegen Evil PLC-Attacken veröffentlicht.

Anzeige

Evil PLC-Attacke

Die meisten Angriffsszenarien, bei denen eine SPS (PLC) beteiligt ist, betreffen den Zugriff auf die Steuerung und deren Ausnutzung. SPS sind attraktive Ziele für Angreifer, da typische industrielle Netzwerke über Dutzende SPS verfügen, die verschiedene Vorgänge ausführen. Angreifer, die einen speziellen Prozess physisch stören möchten, müssen dabei zunächst relativ aufwändig die entsprechende SPS identifizieren. Die Sicherheitsforscher folgten jedoch einem anderen Ansatz, indem sie sich auf die SPS als Werkzeug und nicht auf das Ziel konzentrierten, also die SPS nutzten, um auf die Engineering-Workstation zuzugreifen: Die Engineering-Workstation ist die beste Quelle für prozessbezogene Informationen und hat Zugang zu allen anderen SPS im Netzwerk. Mit diesem Zugang und diesen Informationen kann der Angreifer leicht die Logik auf jeder SPS ändern.

Die schnellste Methode, einen Techniker dazu zu bringen, sich mit einer infizierten SPS zu verbinden, besteht darin, dass die Angreifer eine Fehlfunktion oder einen Fehler in der SPS verursachen. Dadurch wird der Techniker gezwungen, eine Verbindung herzustellen und die Software der technischen Workstation zur Fehlerbehebung zu verwenden. Im Rahmen der Untersuchung wurde dieser neue Angriffsvektor auf mehreren weit verbreiteten ICS-Plattformen ausgeführt. Dabei fanden die Spezialisten verschiedene Schwachstellen in jeder Plattform, die es ihnen ermöglichten, die SPS so zu manipulieren, dass bei einem Upload-Vorgang eigens erstellte Hilfsdaten die Engineering-Workstation dazu veranlassen, bösartigen Code auszuführen. So gelang beispielsweise die Infektion der Workstations mit Ransomware über die Steuerungen Schneider Electric M580 und Rockwell Automation Micro800 sowie das Steuerungssystem GE Mark VIe.

SPS (PLC) als Dreh- und Angelpunkt missbraucht

„Wir halten die Evil PLC-Attacken für eine neue Angriffstechnik. Bei diesem Ansatz wird die SPS mit Daten angegriffen, die nicht unbedingt Teil einer normalen statischen/Offline-Projektdatei sind, und die Ausführung von Code bei einem technischen Verbindungs-/Upload-Vorgang ermöglicht“, erklärt Sharon Brizinov, Directory of Security Research bei Claroty. „Bei diesem Angriffsvektor ist das Ziel nicht die SPS, wie es beispielsweise bei der Stuxnet-Malware der Fall war, die die SPS-Logik heimlich veränderte, um physische Schäden zu verursachen. Stattdessen wollten wir die SPS als Dreh- und Angelpunkt nutzen, um die Techniker und Workstations anzugreifen und um tieferen Zugang zum OT-Netzwerk zu erhalten.“ Dabei ist hervorzuheben, dass alle gefundenen Schwachstellen auf der Seite der Engineering-Workstation-Software lagen und nicht in der SPS-Firmware. In den meisten Fällen sind die Schwachstellen darauf zurückzuführen, dass die Software den von der SPS kommenden Daten voll und ganz vertraut, ohne umfassende Sicherheitsüberprüfungen durchzuführen.

Mehr bei claroty.com

 


Über Claroty

Claroty, die Industrial Cybersecurity Company, hilft ihren weltweiten Kunden, ihre OT-, IoT- und IIoT-Anlagen zu erkennen, zu schützen und zu verwalten. Die umfassende Plattform des Unternehmens lässt sich nahtlos in die bestehende Infrastruktur und Prozesse der Kunden einbinden und bietet eine breite Palette an industriellen Cybersicherheitskontrollen für Transparenz, Bedrohungserkennung, Risiko- und Schwachstellenmanagement sowie sicheren Fernzugriff – bei deutlich reduzierten Gesamtbetriebskosten.


 

Passende Artikel zum Thema

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

PKI-Zertifikate sicher verwalten

Mit der Zunahme von Hard- und Software nimmt die Anzahl von Zertifikaten für diese Geräte zu. Ein Cybersicherheitsunternehmen hat jetzt ➡ Weiterlesen

Cloud-Sicherheitsstrategien: eBook gibt Tipps

Cloud-Computing nimmt immer weiter zu. Das ebook erklärt effektive Cloud-Sicherheitsstrategien, inklusive Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse ➡ Weiterlesen

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen