Les chercheurs en sécurité de la Team82 de Claroty découvrent de nouvelles techniques d'attaque contre les installations industrielles : Evil PLC attack. Les API - contrôleurs logiques programmables - ou contrôleurs logiques programmables (PLC) peuvent déclencher des postes de travail d'ingénierie pour exécuter un code malveillant afin de manipuler des processus ou d'exécuter des rançongiciels.
Les contrôleurs logiques programmables (PLC) sont des dispositifs industriels essentiels qui régulent les processus de fabrication dans tous les domaines critiques de l'infrastructure. Cela en fait une cible intéressante pour les cybercriminels et les attaquants parrainés par l'État, comme l'attaque Stuxnet contre le programme nucléaire iranien. Les chercheurs en sécurité de Team82, la branche de recherche du spécialiste de la sécurité des systèmes cyber-physiques (CPS) Claroty, ont maintenant pu démontrer que les systèmes de contrôle industriels peuvent non seulement servir de cible, mais peuvent également être utilisés comme une arme pour cibler les postes de travail d'ingénierie. pour la prolifération exploiter le code malveillant et pénétrer davantage les réseaux OT et d'entreprise. Cette nouvelle technique d'attaque appelée "Evil PLC attack" a été menée avec succès dans le cadre d'exploits de preuve de concept chez sept fabricants d'automatisation bien connus (Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO et Emerson). Entre-temps, la plupart des fabricants concernés ont publié des mises à jour, des correctifs ou des remèdes correspondants contre les attaques Evil PLC.
Attaque PLC maléfique
La plupart des scénarios d'attaque impliquant un PLC (PLC) impliquent l'accès et l'exploitation du contrôleur. Les automates sont des cibles intéressantes pour les attaquants, car les réseaux industriels typiques comportent des dizaines d'automates effectuant diverses opérations. Les attaquants qui souhaitent perturber physiquement un processus spécifique doivent d'abord identifier l'automate concerné dans un processus relativement complexe. Cependant, les chercheurs en sécurité ont suivi une approche différente, se concentrant sur l'automate en tant qu'outil et non sur la cible, c'est-à-dire en utilisant l'automate pour accéder au poste d'ingénierie : le poste d'ingénierie est la meilleure source d'informations liées au processus et a accès à tous autres automates du réseau. Avec cet accès et ces informations, l'attaquant peut facilement modifier la logique de n'importe quel automate.
Le moyen le plus rapide d'amener un technicien à se connecter à un SPS infecté est que les attaquants provoquent un dysfonctionnement ou un bogue du SPS. Cela oblige le technicien à se connecter et à utiliser le logiciel technique du poste de travail pour dépanner. Dans le cadre de l'enquête, ce nouveau vecteur d'attaque a été exécuté sur plusieurs plates-formes ICS largement utilisées. Ce faisant, les spécialistes ont trouvé diverses vulnérabilités dans chaque plate-forme qui leur ont permis de manipuler l'automate de telle sorte que des données auxiliaires spécialement créées lors d'un processus de téléchargement amènent le poste d'ingénierie à exécuter un code malveillant. Par exemple, les postes de travail ont été infectés par un rançongiciel via les contrôleurs Schneider Electric M580 et Rockwell Automation Micro800 et le système de contrôle GE Mark VIe.
SPS (PLC) utilisé à mauvais escient comme clé de voûte
« Nous considérons les attaques Evil PLC comme une nouvelle technique d'attaque. Cette approche attaque l'automate avec des données qui ne font pas nécessairement partie d'un fichier de projet statique/hors ligne normal et permet au code de s'exécuter lors d'une opération technique de connexion/téléchargement », explique Sharon Brizinov, Directory of Security Research chez Claroty. "Avec ce vecteur d'attaque, la cible n'est pas le SPS, comme ce fut le cas avec le malware Stuxnet, par exemple, qui a secrètement modifié la logique du SPS pour causer des dommages physiques. Au lieu de cela, nous voulions utiliser l'automate comme point d'appui pour attaquer les ingénieurs et les postes de travail et pour obtenir un accès plus approfondi au réseau OT. » Il convient de noter que toutes les vulnérabilités trouvées se trouvaient du côté du logiciel du poste de travail d'ingénierie et non du micrologiciel de l'automate. . Dans la plupart des cas, les vulnérabilités sont dues au fait que le logiciel fait entièrement confiance aux données provenant de l'automate sans effectuer de contrôles de sécurité approfondis.
Plus sur claroty.com
À propos de Claroty Claroty, la société de cybersécurité industrielle, aide ses clients mondiaux à découvrir, protéger et gérer leurs actifs OT, IoT et IIoT. La plate-forme complète de la société s'intègre de manière transparente à l'infrastructure et aux processus existants des clients et offre une large gamme de contrôles de cybersécurité industrielle pour la transparence, la détection des menaces, la gestion des risques et des vulnérabilités et l'accès à distance sécurisé - avec un coût total de possession considérablement réduit.