I ricercatori di sicurezza di Team82 di Claroty scoprono nuove tecniche di attacco contro impianti industriali: Evil PLC attack. I PLC (controllori logici programmabili) o controllori logici programmabili (PLC) possono attivare le workstation di ingegneria per eseguire codice dannoso per manipolare processi o eseguire ransomware.
I controllori logici programmabili (PLC) sono dispositivi industriali essenziali che regolano i processi di produzione in tutte le aree critiche delle infrastrutture. Questo li rende un obiettivo interessante per i criminali informatici e gli aggressori sponsorizzati dallo stato, come l'attacco Stuxnet al programma nucleare iraniano. I ricercatori di sicurezza di Team82, il braccio di ricerca dello specialista della sicurezza dei sistemi cyber-fisici (CPS) Claroty, sono stati ora in grado di dimostrare che i sistemi di controllo industriale non solo possono fungere da bersaglio, ma possono anche essere usati come arma per prendere di mira le workstation di ingegneria per la proliferazione sfruttano il codice dannoso e penetrano ulteriormente OT e reti aziendali. Questa nuova tecnica di attacco chiamata "Evil PLC attack" è stata eseguita con successo come parte di exploit proof-of-concept presso sette noti produttori di automazione (Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO ed Emerson). Nel frattempo, la maggior parte dei produttori interessati ha pubblicato aggiornamenti, patch o rimedi corrispondenti contro gli attacchi di Evil PLC.
Malvagio attacco PLC
La maggior parte degli scenari di attacco che coinvolgono un PLC (PLC) comportano l'accesso e lo sfruttamento del controller. I PLC sono bersagli attraenti per gli aggressori perché le tipiche reti industriali hanno dozzine di PLC che eseguono varie operazioni. Gli aggressori che vogliono interrompere fisicamente un processo specifico devono prima identificare il PLC pertinente in un processo relativamente complesso. Tuttavia, i ricercatori sulla sicurezza hanno seguito un approccio diverso, concentrandosi sul PLC come strumento e non sull'obiettivo, ovvero utilizzando il PLC per accedere alla workstation di ingegneria: la workstation di ingegneria è la migliore fonte di informazioni relative al processo e ha accesso a tutte le altri PLC della rete. Con questo accesso e queste informazioni, l'aggressore può facilmente modificare la logica su qualsiasi PLC.
Il modo più rapido per convincere un tecnico a connettersi a un SPS infetto è che gli aggressori causino il malfunzionamento o il bug dell'SPS. Ciò costringe il tecnico a connettersi e utilizzare il software della workstation tecnica per la risoluzione dei problemi. Nell'ambito dell'indagine, questo nuovo vettore di attacco è stato eseguito su diverse piattaforme ICS ampiamente utilizzate. In tal modo, gli specialisti hanno riscontrato varie vulnerabilità in ciascuna piattaforma che ha consentito loro di manipolare il PLC in modo tale che i dati ausiliari appositamente creati durante un processo di caricamento inducano la workstation di ingegneria a eseguire codice dannoso. Ad esempio, le workstation sono state infettate da ransomware tramite i controller Schneider Electric M580 e Rockwell Automation Micro800 e il sistema di controllo GE Mark VIe.
SPS (PLC) usato impropriamente come fulcro
“Consideriamo gli attacchi di Evil PLC una nuova tecnica di attacco. Questo approccio attacca il PLC con dati che non fanno necessariamente parte di un normale file di progetto statico/offline e consente l'esecuzione del codice su un'operazione tecnica di connessione/caricamento", spiega Sharon Brizinov, Directory of Security Research presso Claroty . “Con questo vettore di attacco, l'obiettivo non è l'SPS, come nel caso del malware Stuxnet, ad esempio, che ha alterato di nascosto la logica dell'SPS per causare danni fisici. Volevamo invece utilizzare il PLC come fulcro per attaccare gli ingegneri e le workstation e per ottenere un accesso più profondo alla rete OT." Vale la pena notare che tutte le vulnerabilità rilevate erano sul lato del software della workstation di ingegneria e non nel firmware del PLC . Nella maggior parte dei casi, le vulnerabilità sono dovute al fatto che il software si fida completamente dei dati provenienti dal PLC senza eseguire controlli di sicurezza approfonditi.
Altro su claroty.com
A proposito di Claroty Claroty, la società di sicurezza informatica industriale, aiuta i suoi clienti globali a scoprire, proteggere e gestire le proprie risorse OT, IoT e IIoT. La piattaforma completa dell'azienda si integra perfettamente con l'infrastruttura e i processi esistenti dei clienti e offre un'ampia gamma di controlli di sicurezza informatica industriale per la trasparenza, il rilevamento delle minacce, la gestione dei rischi e delle vulnerabilità e l'accesso remoto sicuro, con un costo totale di proprietà notevolmente ridotto.