Die Team82-Sicherheitsforscher von Claroty entdecken neue Angriffstechniken gegen Industrieanlagen: Evil PLC-Attacke. PLCs – programmable logic controller – oder Speicherprogrammierbare Steuerungen (SPS) können Engineering-Workstations dazu veranlassen, bösartigen Code zur Manipulation von Prozessen oder Ransomware auszuführen.
Speicherprogrammierbare Steuerungen (SPS) sind unverzichtbare Industriegeräte, die Fertigungsprozesse in allen kritischen Infrastrukturbereichen regeln. Deshalb sind sie für Cyberkriminelle und staatlich unterstützte Angreifer ein interessantes Ziel, wie etwa beim Stuxnet-Angriff auf das iranische Atomprogramm. Die Sicherheitsforscher von Team82, der Forschungsabteilung des Spezialisten für die Sicherheit von cyber-physischen Systemen (CPS) Claroty, konnten nun nachweisen, dass industrielle Steuerungssysteme nicht nur als Ziel fungieren, sondern auch als Waffe eingesetzt werden können, um Engineering-Workstations für die Verbreitung bösartigen Codes zu nutzen und weiter in OT- und Unternehmensnetzwerke einzudringen. Diese neue Angriffstechnik namens „Evil PLC-Attacke“ konnte im Rahmen von Proof-of-Concept-Exploits bei sieben renommierten Automatisierungsherstellern (Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO und Emerson) erfolgreich durchgeführt werden. Mittlerweile haben die meisten der betroffenen Hersteller entsprechende Updates, Patches oder Abhilfemaßnahmen gegen Evil PLC-Attacken veröffentlicht.
Evil PLC-Attacke
Die meisten Angriffsszenarien, bei denen eine SPS (PLC) beteiligt ist, betreffen den Zugriff auf die Steuerung und deren Ausnutzung. SPS sind attraktive Ziele für Angreifer, da typische industrielle Netzwerke über Dutzende SPS verfügen, die verschiedene Vorgänge ausführen. Angreifer, die einen speziellen Prozess physisch stören möchten, müssen dabei zunächst relativ aufwändig die entsprechende SPS identifizieren. Die Sicherheitsforscher folgten jedoch einem anderen Ansatz, indem sie sich auf die SPS als Werkzeug und nicht auf das Ziel konzentrierten, also die SPS nutzten, um auf die Engineering-Workstation zuzugreifen: Die Engineering-Workstation ist die beste Quelle für prozessbezogene Informationen und hat Zugang zu allen anderen SPS im Netzwerk. Mit diesem Zugang und diesen Informationen kann der Angreifer leicht die Logik auf jeder SPS ändern.
Die schnellste Methode, einen Techniker dazu zu bringen, sich mit einer infizierten SPS zu verbinden, besteht darin, dass die Angreifer eine Fehlfunktion oder einen Fehler in der SPS verursachen. Dadurch wird der Techniker gezwungen, eine Verbindung herzustellen und die Software der technischen Workstation zur Fehlerbehebung zu verwenden. Im Rahmen der Untersuchung wurde dieser neue Angriffsvektor auf mehreren weit verbreiteten ICS-Plattformen ausgeführt. Dabei fanden die Spezialisten verschiedene Schwachstellen in jeder Plattform, die es ihnen ermöglichten, die SPS so zu manipulieren, dass bei einem Upload-Vorgang eigens erstellte Hilfsdaten die Engineering-Workstation dazu veranlassen, bösartigen Code auszuführen. So gelang beispielsweise die Infektion der Workstations mit Ransomware über die Steuerungen Schneider Electric M580 und Rockwell Automation Micro800 sowie das Steuerungssystem GE Mark VIe.
SPS (PLC) als Dreh- und Angelpunkt missbraucht
„Wir halten die Evil PLC-Attacken für eine neue Angriffstechnik. Bei diesem Ansatz wird die SPS mit Daten angegriffen, die nicht unbedingt Teil einer normalen statischen/Offline-Projektdatei sind, und die Ausführung von Code bei einem technischen Verbindungs-/Upload-Vorgang ermöglicht“, erklärt Sharon Brizinov, Directory of Security Research bei Claroty. „Bei diesem Angriffsvektor ist das Ziel nicht die SPS, wie es beispielsweise bei der Stuxnet-Malware der Fall war, die die SPS-Logik heimlich veränderte, um physische Schäden zu verursachen. Stattdessen wollten wir die SPS als Dreh- und Angelpunkt nutzen, um die Techniker und Workstations anzugreifen und um tieferen Zugang zum OT-Netzwerk zu erhalten.“ Dabei ist hervorzuheben, dass alle gefundenen Schwachstellen auf der Seite der Engineering-Workstation-Software lagen und nicht in der SPS-Firmware. In den meisten Fällen sind die Schwachstellen darauf zurückzuführen, dass die Software den von der SPS kommenden Daten voll und ganz vertraut, ohne umfassende Sicherheitsüberprüfungen durchzuführen.
Mehr bei claroty.com
Über Claroty Claroty, die Industrial Cybersecurity Company, hilft ihren weltweiten Kunden, ihre OT-, IoT- und IIoT-Anlagen zu erkennen, zu schützen und zu verwalten. Die umfassende Plattform des Unternehmens lässt sich nahtlos in die bestehende Infrastruktur und Prozesse der Kunden einbinden und bietet eine breite Palette an industriellen Cybersicherheitskontrollen für Transparenz, Bedrohungserkennung, Risiko- und Schwachstellenmanagement sowie sicheren Fernzugriff – bei deutlich reduzierten Gesamtbetriebskosten.