Os pesquisadores de segurança Team82 da Claroty descobrem novas técnicas de ataque contra plantas industriais: Ataque Evil PLC. PLCs – controladores lógicos programáveis – ou controladores lógicos programáveis (PLCs) podem acionar estações de trabalho de engenharia para executar código malicioso para manipular processos ou executar ransomware.
Os controladores lógicos programáveis (PLCs) são dispositivos industriais essenciais que regulam os processos de fabricação em todas as áreas críticas da infraestrutura. Isso os torna um alvo interessante para cibercriminosos e invasores patrocinados pelo Estado, como o ataque Stuxnet ao programa nuclear iraniano. Pesquisadores de segurança da Team82, o braço de pesquisa da especialista em segurança de sistemas ciberfísicos (CPS) Claroty, agora conseguiram demonstrar que os sistemas de controle industrial podem não apenas atuar como um alvo, mas também podem ser usados como uma arma para atingir estações de trabalho de engenharia para proliferação, exploram códigos maliciosos e penetram ainda mais nas redes OT e corporativas. Essa nova técnica de ataque chamada "Evil PLC attack" foi realizada com sucesso como parte de explorações de prova de conceito em sete fabricantes de automação conhecidos (Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO e Emerson). Nesse ínterim, a maioria dos fabricantes afetados publicou atualizações, patches ou soluções correspondentes contra os ataques do Evil PLC.
Ataque mal PLC
A maioria dos cenários de ataque envolvendo um PLC (PLC) envolve acesso e exploração do controlador. Os PLCs são alvos atraentes para invasores porque as redes industriais típicas possuem dezenas de PLCs realizando várias operações. Os invasores que desejam interromper fisicamente um processo específico primeiro precisam identificar o PLC relevante em um processo relativamente complexo. No entanto, os pesquisadores de segurança seguiram uma abordagem diferente, focando no PLC como uma ferramenta e não no alvo, ou seja, usando o PLC para acessar a estação de trabalho de engenharia: A estação de trabalho de engenharia é a melhor fonte de informações relacionadas ao processo e tem acesso a todos outros CLPs na rede. Com esse acesso e informação, o invasor pode facilmente alterar a lógica de qualquer CLP.
A maneira mais rápida de fazer com que um técnico se conecte a um SPS infectado é os invasores causarem mau funcionamento ou bug no SPS. Isso força o técnico a conectar e usar o software da estação de trabalho técnica para solucionar problemas. Como parte da investigação, esse novo vetor de ataque foi executado em várias plataformas ICS amplamente utilizadas. Ao fazer isso, os especialistas encontraram várias vulnerabilidades em cada plataforma que lhes permitiram manipular o PLC de forma que dados auxiliares especialmente criados durante um processo de upload fizessem com que a estação de trabalho de engenharia executasse códigos maliciosos. Por exemplo, as estações de trabalho foram infectadas com ransomware por meio dos controladores Schneider Electric M580 e Rockwell Automation Micro800 e do sistema de controle GE Mark VIe.
SPS (PLC) mal utilizado como o pivô
“Consideramos os ataques Evil PLC uma nova técnica de ataque. Essa abordagem ataca o PLC com dados que não fazem necessariamente parte de um arquivo de projeto estático/offline normal e permite que o código seja executado em uma operação técnica de conexão/upload”, explica Sharon Brizinov, Diretório de Pesquisa de Segurança da Claroty . “Com esse vetor de ataque, o alvo não é o SPS, como foi o caso do malware Stuxnet, por exemplo, que alterou secretamente a lógica do SPS para causar danos físicos. Em vez disso, queríamos usar o PLC como um fulcro para atacar os engenheiros e as estações de trabalho e obter acesso mais profundo à rede OT.” Vale a pena notar que todas as vulnerabilidades encontradas estavam no lado do software da estação de trabalho de engenharia e não no firmware do PLC . Na maioria dos casos, as vulnerabilidades ocorrem porque o software confia totalmente nos dados provenientes do PLC sem realizar verificações de segurança extensas.
Mais em claroty.com
Sobre a Claroty A Claroty, a Industrial Cybersecurity Company, ajuda seus clientes globais a descobrir, proteger e gerenciar seus ativos OT, IoT e IIoT. A plataforma abrangente da empresa integra-se perfeitamente com a infraestrutura e os processos existentes dos clientes e oferece uma ampla gama de controles industriais de segurança cibernética para transparência, detecção de ameaças, gerenciamento de riscos e vulnerabilidades e acesso remoto seguro - com custo total de propriedade significativamente reduzido.