Evil PLC-Attacke: Neue Angriffstechnik gegen Industrieanlagen

Beitrag teilen

Die Team82-Sicherheitsforscher von Claroty entdecken neue Angriffstechniken gegen Industrieanlagen: Evil PLC-Attacke. PLCs – programmable logic controller – oder Speicherprogrammierbare Steuerungen (SPS) können Engineering-Workstations dazu veranlassen, bösartigen Code zur Manipulation von Prozessen oder Ransomware auszuführen.

Speicherprogrammierbare Steuerungen (SPS) sind unverzichtbare Industriegeräte, die Fertigungsprozesse in allen kritischen Infrastrukturbereichen regeln. Deshalb sind sie für Cyberkriminelle und staatlich unterstützte Angreifer ein interessantes Ziel, wie etwa beim Stuxnet-Angriff auf das iranische Atomprogramm. Die Sicherheitsforscher von Team82, der Forschungsabteilung des Spezialisten für die Sicherheit von cyber-physischen Systemen (CPS) Claroty, konnten nun nachweisen, dass industrielle Steuerungssysteme nicht nur als Ziel fungieren, sondern auch als Waffe eingesetzt werden können, um Engineering-Workstations für die Verbreitung bösartigen Codes zu nutzen und weiter in OT- und Unternehmensnetzwerke einzudringen. Diese neue Angriffstechnik namens „Evil PLC-Attacke“ konnte im Rahmen von Proof-of-Concept-Exploits bei sieben renommierten Automatisierungsherstellern (Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO und Emerson) erfolgreich durchgeführt werden. Mittlerweile haben die meisten der betroffenen Hersteller entsprechende Updates, Patches oder Abhilfemaßnahmen gegen Evil PLC-Attacken veröffentlicht.

Anzeige

Evil PLC-Attacke

Die meisten Angriffsszenarien, bei denen eine SPS (PLC) beteiligt ist, betreffen den Zugriff auf die Steuerung und deren Ausnutzung. SPS sind attraktive Ziele für Angreifer, da typische industrielle Netzwerke über Dutzende SPS verfügen, die verschiedene Vorgänge ausführen. Angreifer, die einen speziellen Prozess physisch stören möchten, müssen dabei zunächst relativ aufwändig die entsprechende SPS identifizieren. Die Sicherheitsforscher folgten jedoch einem anderen Ansatz, indem sie sich auf die SPS als Werkzeug und nicht auf das Ziel konzentrierten, also die SPS nutzten, um auf die Engineering-Workstation zuzugreifen: Die Engineering-Workstation ist die beste Quelle für prozessbezogene Informationen und hat Zugang zu allen anderen SPS im Netzwerk. Mit diesem Zugang und diesen Informationen kann der Angreifer leicht die Logik auf jeder SPS ändern.

Die schnellste Methode, einen Techniker dazu zu bringen, sich mit einer infizierten SPS zu verbinden, besteht darin, dass die Angreifer eine Fehlfunktion oder einen Fehler in der SPS verursachen. Dadurch wird der Techniker gezwungen, eine Verbindung herzustellen und die Software der technischen Workstation zur Fehlerbehebung zu verwenden. Im Rahmen der Untersuchung wurde dieser neue Angriffsvektor auf mehreren weit verbreiteten ICS-Plattformen ausgeführt. Dabei fanden die Spezialisten verschiedene Schwachstellen in jeder Plattform, die es ihnen ermöglichten, die SPS so zu manipulieren, dass bei einem Upload-Vorgang eigens erstellte Hilfsdaten die Engineering-Workstation dazu veranlassen, bösartigen Code auszuführen. So gelang beispielsweise die Infektion der Workstations mit Ransomware über die Steuerungen Schneider Electric M580 und Rockwell Automation Micro800 sowie das Steuerungssystem GE Mark VIe.

SPS (PLC) als Dreh- und Angelpunkt missbraucht

„Wir halten die Evil PLC-Attacken für eine neue Angriffstechnik. Bei diesem Ansatz wird die SPS mit Daten angegriffen, die nicht unbedingt Teil einer normalen statischen/Offline-Projektdatei sind, und die Ausführung von Code bei einem technischen Verbindungs-/Upload-Vorgang ermöglicht“, erklärt Sharon Brizinov, Directory of Security Research bei Claroty. „Bei diesem Angriffsvektor ist das Ziel nicht die SPS, wie es beispielsweise bei der Stuxnet-Malware der Fall war, die die SPS-Logik heimlich veränderte, um physische Schäden zu verursachen. Stattdessen wollten wir die SPS als Dreh- und Angelpunkt nutzen, um die Techniker und Workstations anzugreifen und um tieferen Zugang zum OT-Netzwerk zu erhalten.“ Dabei ist hervorzuheben, dass alle gefundenen Schwachstellen auf der Seite der Engineering-Workstation-Software lagen und nicht in der SPS-Firmware. In den meisten Fällen sind die Schwachstellen darauf zurückzuführen, dass die Software den von der SPS kommenden Daten voll und ganz vertraut, ohne umfassende Sicherheitsüberprüfungen durchzuführen.

Mehr bei claroty.com

 


Über Claroty

Claroty, die Industrial Cybersecurity Company, hilft ihren weltweiten Kunden, ihre OT-, IoT- und IIoT-Anlagen zu erkennen, zu schützen und zu verwalten. Die umfassende Plattform des Unternehmens lässt sich nahtlos in die bestehende Infrastruktur und Prozesse der Kunden einbinden und bietet eine breite Palette an industriellen Cybersicherheitskontrollen für Transparenz, Bedrohungserkennung, Risiko- und Schwachstellenmanagement sowie sicheren Fernzugriff – bei deutlich reduzierten Gesamtbetriebskosten.


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen