Claroty'nin Team82 güvenlik araştırmacıları, endüstriyel tesislere karşı yeni saldırı teknikleri keşfediyor: Evil PLC saldırısı. PLC'ler - programlanabilir mantık denetleyicileri - veya programlanabilir mantık denetleyicileri (PLC'ler), süreçleri manipüle etmek veya fidye yazılımı çalıştırmak için mühendislik iş istasyonlarını kötü amaçlı kod çalıştıracak şekilde tetikleyebilir.
Programlanabilir mantık denetleyicileri (PLC'ler), tüm kritik altyapı alanlarında üretim süreçlerini düzenleyen temel endüstriyel cihazlardır. Bu, onları siber suçlular ve İran'ın nükleer programına yönelik Stuxnet saldırısı gibi devlet destekli saldırganlar için ilginç bir hedef haline getiriyor. Siber-fiziksel sistemler (CPS) güvenlik uzmanı Claroty'nin araştırma kolu olan Team82'deki güvenlik araştırmacıları, artık endüstriyel kontrol sistemlerinin yalnızca bir hedef olarak hareket etmekle kalmayıp, aynı zamanda mühendislik iş istasyonlarını hedeflemek için bir silah olarak da kullanılabileceğini gösterebildiler. çoğaltmak için kötü amaçlı koddan yararlanın ve OT ve kurumsal ağlara daha fazla nüfuz edin. "Evil PLC saldırısı" olarak adlandırılan bu yeni saldırı tekniği, yedi tanınmış otomasyon üreticisinde (Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO ve Emerson) kavram kanıtlama açıklarının bir parçası olarak başarıyla gerçekleştirildi. Bu arada, etkilenen üreticilerin çoğu, Evil PLC saldırılarına karşı ilgili güncellemeler, yamalar veya çözümler yayınladı.
Kötü PLC saldırısı
Bir PLC'yi (PLC) içeren saldırı senaryolarının çoğu, denetleyiciye erişimi ve denetleyiciden yararlanmayı içerir. Tipik endüstriyel ağlarda çeşitli işlemleri gerçekleştiren düzinelerce PLC bulunduğundan, PLC'ler saldırganlar için cazip hedeflerdir. Belirli bir süreci fiziksel olarak bozmak isteyen saldırganlar, nispeten karmaşık bir süreçte öncelikle ilgili PLC'yi tanımlamalıdır. Ancak, güvenlik araştırmacıları farklı bir yaklaşım izlediler, PLC'ye hedefe değil bir araç olarak odaklandılar, yani mühendislik iş istasyonuna erişmek için PLC'yi kullandılar: Mühendislik iş istasyonu, süreçle ilgili bilgilerin en iyi kaynağıdır ve tüm bilgilere erişime sahiptir. ağdaki diğer PLC'ler. Saldırgan bu erişim ve bilgilerle herhangi bir PLC'deki mantığı kolayca değiştirebilir.
Bir teknisyenin virüs bulaşmış bir SPS'ye bağlanmasını sağlamanın en hızlı yolu, saldırganların SPS'de arıza yapmasına veya hata vermesine neden olmaktır. Bu, teknisyeni sorun gidermek için teknik iş istasyonu yazılımına bağlanmaya ve kullanmaya zorlar. Araştırmanın bir parçası olarak, bu yeni saldırı vektörü, yaygın olarak kullanılan birkaç ICS platformunda yürütüldü. Uzmanlar bunu yaparken her platformda çeşitli güvenlik açıkları buldular ve bu da onların PLC'yi bir yükleme işlemi sırasında özel olarak oluşturulan yardımcı verilerin mühendislik iş istasyonunun kötü amaçlı kod yürütmesine neden olacak şekilde manipüle etmelerine olanak sağladı. Örneğin, iş istasyonlarına Schneider Electric M580 ve Rockwell Automation Micro800 kontrolörleri ve GE Mark VIe kontrol sistemi aracılığıyla fidye yazılımı bulaştı.
SPS (PLC) temel taşı olarak kötüye kullanılıyor
“Evil PLC saldırılarını yeni bir saldırı tekniği olarak görüyoruz. Bu yaklaşım, PLC'ye normal bir statik/çevrimdışı proje dosyasının parçası olması gerekmeyen verilerle saldırır ve kodun teknik bir bağlantı/yükleme işleminde yürütülmesine izin verir," diye açıklıyor Claroty Güvenlik Araştırmaları Dizini Sharon Brizinov. "Bu saldırı vektörüyle hedef, örneğin fiziksel hasara neden olmak için SPS mantığını gizlice değiştiren Stuxnet kötü amaçlı yazılımında olduğu gibi SPS değil. Bunun yerine, mühendislere ve iş istasyonlarına saldırmak ve OT ağına daha derin erişim elde etmek için PLC'yi bir dayanak noktası olarak kullanmak istedik." Bulunan tüm güvenlik açıklarının PLC sabit yazılımında değil, mühendislik iş istasyonu yazılımı tarafında olduğunu belirtmekte fayda var. . Çoğu durumda güvenlik açıkları, yazılımın kapsamlı güvenlik kontrolleri gerçekleştirmeden PLC'den gelen verilere tamamen güven duymasından kaynaklanır.
Daha fazlası claroty.com'da
Claroty Hakkında Endüstriyel Siber Güvenlik Şirketi Claroty, küresel müşterilerinin OT, IoT ve IIoT varlıklarını keşfetmelerine, korumalarına ve yönetmelerine yardımcı olur. Şirketin kapsamlı platformu, müşterilerin mevcut altyapısı ve süreçleriyle sorunsuz bir şekilde entegre olur ve şeffaflık, tehdit tespiti, risk ve güvenlik açığı yönetimi ve güvenli uzaktan erişim için çok çeşitli endüstriyel siber güvenlik kontrolleri sunar - önemli ölçüde azaltılmış toplam sahip olma maliyetiyle.