Claroty の Team82 セキュリティ研究者は、産業プラントに対する新しい攻撃手法を発見しました: Evil PLC 攻撃です。 PLC (プログラマブル ロジック コントローラー) またはプログラマブル ロジック コントローラー (PLC) は、エンジニアリング ワークステーションをトリガーして悪意のあるコードを実行し、プロセスを操作したり、ランサムウェアを実行したりすることができます。
プログラマブル ロジック コントローラ (PLC) は、すべての重要なインフラストラクチャ領域で製造プロセスを制御する重要な産業用デバイスです。 そのため、イランの核計画に対する Stuxnet 攻撃など、サイバー犯罪者や国家が支援する攻撃者にとって興味深い標的となっています。 サイバーフィジカル システム (CPS) のセキュリティ スペシャリストである Claroty の研究部門である Team82 のセキュリティ研究者は、産業用制御システムが標的として機能するだけでなく、エンジニアリング ワークステーションを標的とする武器としても使用できることを実証することができました。拡散のために悪意のあるコードを悪用し、OT および企業ネットワークにさらに侵入します。 「Evil PLC 攻撃」と呼ばれるこの新しい攻撃手法は、有名なオートメーション メーカー XNUMX 社 (Rockwell Automation、Schneider Electric、GE、B&R、Xinje、OVARRO、および Emerson) での概念実証エクスプロイトの一部として成功裏に実行されました。 その間、影響を受けるメーカーのほとんどは、Evil PLC 攻撃に対する対応するアップデート、パッチ、または対策を公開しています。
邪悪なPLC攻撃
PLC (PLC) が関与するほとんどの攻撃シナリオには、コントローラへのアクセスと悪用が含まれます。 典型的な産業用ネットワークにはさまざまな操作を実行する数十の PLC があるため、PLC は攻撃者にとって魅力的なターゲットです。 特定のプロセスを物理的に妨害したい攻撃者は、まず、比較的複雑なプロセスで関連する PLC を特定する必要があります。 しかし、安全研究者は別のアプローチに従い、ターゲットではなくツールとして PLC に焦点を当てました。つまり、PLC を使用してエンジニアリング ワークステーションにアクセスしました。エンジニアリング ワークステーションは、プロセス関連情報の最良のソースであり、すべてにアクセスできます。ネットワーク内の他の PLC。 このアクセスと情報により、攻撃者は任意の PLC のロジックを簡単に変更できます。
感染した SPS に技術者を接続させる最も簡単な方法は、攻撃者が SPS を誤動作させたり、バグを発生させたりすることです。 これにより、技術者はテクニカル ワークステーション ソフトウェアに接続して使用し、トラブルシューティングを行う必要があります。 調査の一環として、この新しい攻撃ベクトルは、広く使用されているいくつかの ICS プラットフォームで実行されました。 そうすることで、スペシャリストは、アップロードプロセス中に特別に作成された補助データがエンジニアリングワークステーションに悪意のあるコードを実行させるような方法で PLC を操作できるようにする、各プラットフォームのさまざまな脆弱性を発見しました。 たとえば、ワークステーションは Schneider Electric M580 および Rockwell Automation Micro800 コントローラと GE Mark VIe 制御システムを介してランサムウェアに感染しました。
SPS(PLC)が要として悪用される
「Evil PLC 攻撃は新しい攻撃手法であると考えています。 このアプローチは、必ずしも通常の静的/オフライン プロジェクト ファイルの一部ではないデータで PLC を攻撃し、技術的な接続/アップロード操作でコードを実行できるようにします」と、Claroty のセキュリティ リサーチ ディレクトリである Sharon Brizinov 氏は説明しています。 「この攻撃ベクトルでは、ターゲットは SPS ではありません。たとえば、SPS ロジックを密かに変更して物理的な損傷を引き起こした Stuxnet マルウェアの場合とは異なります。 代わりに、エンジニアとワークステーションを攻撃し、OT ネットワークへのより深いアクセスを取得するための支点として PLC を使用したかったのです。」発見されたすべての脆弱性は、PLC ファームウェアではなく、エンジニアリング ワークステーション ソフトウェア側にあったことは注目に値します。 . ほとんどの場合、脆弱性はソフトウェアが広範囲のセキュリティ チェックを実行せずに PLC からのデータを完全に信頼していることが原因です。
詳細はclaroty.comで
クラロティについて 産業用サイバーセキュリティ企業である Claroty は、世界中の顧客が OT、IoT、および IIoT 資産を発見、保護、管理するのを支援しています。 同社の包括的なプラットフォームは、顧客の既存のインフラストラクチャおよびプロセスとシームレスに統合され、透明性、脅威の検出、リスクと脆弱性の管理、および安全なリモート アクセスのための幅広い産業用サイバーセキュリティ制御を提供し、総所有コストを大幅に削減します。