Investigadores de seguridad Team82 de Claroty descubren nuevas técnicas de ataque contra plantas industriales: Evil PLC attack. Los PLC (controladores lógicos programables) o controladores lógicos programables (PLC) pueden hacer que las estaciones de trabajo de ingeniería ejecuten código malicioso para manipular procesos o ejecutar ransomware.
Los controladores lógicos programables (PLC) son dispositivos industriales esenciales que regulan los procesos de fabricación en todas las áreas críticas de infraestructura. Esto los convierte en un objetivo interesante para los ciberdelincuentes y los atacantes patrocinados por el estado, como el ataque de Stuxnet al programa nuclear de Irán. Los investigadores de seguridad de Team82, el brazo de investigación del especialista en seguridad de sistemas ciberfísicos (CPS) Claroty, ahora han podido demostrar que los sistemas de control industrial no solo pueden actuar como un objetivo, sino que también pueden usarse como un arma para apuntar a las estaciones de trabajo de ingeniería. para la proliferación, explote el código malicioso y penetre aún más en las redes empresariales y de OT. Esta nueva técnica de ataque denominada "Evil PLC attack" se llevó a cabo con éxito como parte de los exploits de prueba de concepto en siete fabricantes de automatización conocidos (Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO y Emerson). Mientras tanto, la mayoría de los fabricantes afectados han publicado las correspondientes actualizaciones, parches o remedios contra los ataques de Evil PLC.
Mal ataque PLC
La mayoría de los escenarios de ataque que involucran un PLC (PLC) involucran acceso y explotación del controlador. Los PLC son objetivos atractivos para los atacantes porque las redes industriales típicas tienen docenas de PLC que realizan diversas operaciones. Los atacantes que desean interrumpir físicamente un proceso específico primero deben identificar el PLC relevante en un proceso relativamente complejo. Sin embargo, los investigadores de seguridad siguieron un enfoque diferente, centrándose en el PLC como una herramienta y no en el objetivo, es decir, utilizando el PLC para acceder a la estación de trabajo de ingeniería: La estación de trabajo de ingeniería es la mejor fuente de información relacionada con el proceso y tiene acceso a todos otros PLC en la red. Con este acceso e información, el atacante puede cambiar fácilmente la lógica en cualquier PLC.
La forma más rápida de lograr que un técnico se conecte a un SPS infectado es que los atacantes hagan que el SPS no funcione correctamente o tenga errores. Esto obliga al técnico a conectarse y utilizar el software de la estación de trabajo técnica para solucionar problemas. Como parte de la investigación, este nuevo vector de ataque se ejecutó en varias plataformas ICS ampliamente utilizadas. Al hacerlo, los especialistas encontraron varias vulnerabilidades en cada plataforma que les permitieron manipular el PLC de tal manera que los datos auxiliares especialmente creados durante un proceso de carga hacen que la estación de trabajo de ingeniería ejecute código malicioso. Por ejemplo, las estaciones de trabajo se infectaron con ransomware a través de los controladores Schneider Electric M580 y Rockwell Automation Micro800 y el sistema de control GE Mark VIe.
SPS (PLC) mal utilizado como eje
“Consideramos que los ataques Evil PLC son una nueva técnica de ataque. Este enfoque ataca el PLC con datos que no son necesariamente parte de un archivo de proyecto normal estático/fuera de línea, y permite que el código se ejecute en una operación técnica de conexión/carga”, explica Sharon Brizinov, Directora de Investigación de Seguridad en Claroty. “Con este vector de ataque, el objetivo no es el SPS, como fue el caso del malware Stuxnet, por ejemplo, que alteró de forma encubierta la lógica del SPS para causar daño físico. En cambio, queríamos usar el PLC como punto de apoyo para atacar a los ingenieros y las estaciones de trabajo y obtener un acceso más profundo a la red OT". Vale la pena señalar que todas las vulnerabilidades encontradas estaban en el lado del software de la estación de trabajo de ingeniería y no en el firmware del PLC. . En la mayoría de los casos, las vulnerabilidades se deben a que el software confía plenamente en los datos provenientes del PLC sin realizar controles de seguridad exhaustivos.
Más en claroty.com
Acerca de Claroty Claroty, la empresa de ciberseguridad industrial, ayuda a sus clientes globales a descubrir, proteger y administrar sus activos de OT, IoT e IIoT. La plataforma integral de la compañía se integra a la perfección con la infraestructura y los procesos existentes de los clientes y ofrece una amplia gama de controles de ciberseguridad industrial para transparencia, detección de amenazas, gestión de riesgos y vulnerabilidades y acceso remoto seguro, con un costo total de propiedad significativamente reducido.