Дослідники безпеки Team82 Claroty відкривають нові методи атак на промислові підприємства: Evil PLC атака. ПЛК – програмовані логічні контролери – або програмовані логічні контролери (ПЛК) можуть ініціювати інженерні робочі станції для запуску шкідливого коду для маніпулювання процесами або запуску програм-вимагачів.
Програмовані логічні контролери (PLC) є основними промисловими пристроями, які регулюють виробничі процеси в усіх критичних областях інфраструктури. Це робить їх цікавою мішенню для кіберзлочинців і спонсорованих державою зловмисників, таких як атака Stuxnet на ядерну програму Ірану. Дослідники з безпеки в Team82, дослідницькому відділі Claroty, спеціалісту з безпеки кіберфізичних систем (CPS), тепер змогли продемонструвати, що промислові системи управління можуть не тільки діяти як мішень, але також можуть використовуватися як зброя для націлювання на робочі станції інженерів. для розповсюдження використовують зловмисний код і далі проникають в OT і корпоративні мережі. Ця нова техніка атаки під назвою «Атака Evil PLC» була успішно реалізована в рамках перевірки концепції семи відомих виробників засобів автоматизації (Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO та Emerson). Тим часом більшість постраждалих виробників опублікували відповідні оновлення, виправлення або засоби захисту від атак Evil PLC.
Зла атака PLC
Більшість сценаріїв атак із залученням ПЛК (ПЛК) включають доступ до контролера та його використання. ПЛК є привабливою мішенню для зловмисників, оскільки типові промислові мережі мають десятки ПЛК, які виконують різні операції. Зловмисники, які хочуть фізично порушити певний процес, спочатку повинні ідентифікувати відповідний ПЛК у відносно складному процесі. Однак дослідники безпеки дотримувалися іншого підходу, зосереджуючись на ПЛК як на інструменті, а не на меті, тобто використовували ПЛК для доступу до робочої станції інженера: робоча станція інженера є найкращим джерелом інформації, пов’язаної з процесом, і має доступ до всіх інші ПЛК в мережі. Маючи такий доступ і інформацію, зловмисник може легко змінити логіку будь-якого ПЛК.
Найшвидший спосіб змусити технічного спеціаліста підключитися до зараженої SPS – це спричинити зловмисники SPS несправність або помилку. Це змушує техніка підключатися та використовувати програмне забезпечення технічної робочої станції для усунення несправностей. У рамках розслідування цей новий вектор атаки було здійснено на кількох широко використовуваних платформах ICS. При цьому фахівці виявили різні вразливості на кожній платформі, які дозволили їм маніпулювати ПЛК таким чином, що допоміжні дані, спеціально створені під час процесу завантаження, змушують інженерну робочу станцію виконувати шкідливий код. Наприклад, робочі станції були заражені програмним забезпеченням-вимагачем через контролери Schneider Electric M580 і Rockwell Automation Micro800 і систему керування GE Mark VIe.
SPS (PLC) неправильно використовується як стрижень
«Ми вважаємо атаки Evil PLC новою технікою атаки. Цей підхід атакує ПЛК за допомогою даних, які не обов’язково є частиною звичайного статичного/офлайнового файлу проекту, і дозволяє коду виконуватися під час технічної операції з’єднання/завантаження», – пояснює Шерон Брізінов, директор з досліджень безпеки в Claroty. «З цим вектором атаки ціллю не є SPS, як, наприклад, у випадку з шкідливим програмним забезпеченням Stuxnet, яке приховано змінило логіку SPS, щоб завдати фізичної шкоди. Натомість ми хотіли використовувати ПЛК як точку опори для атаки на інженерів і робочі станції та отримати глибший доступ до мережі OT». Варто зазначити, що всі виявлені вразливості стосуються програмного забезпечення робочої станції інженера, а не мікропрограми ПЛК. . У більшості випадків уразливості пов’язані з тим, що програмне забезпечення повністю довіряє даним, що надходять від ПЛК, без виконання ретельних перевірок безпеки.
Більше на claroty.com
Про Клароті Claroty, компанія промислової кібербезпеки, допомагає своїм глобальним клієнтам виявляти, захищати та керувати своїми активами OT, IoT та IIoT. Комплексна платформа компанії бездоганно інтегрується з існуючою інфраструктурою та процесами клієнтів і пропонує широкий спектр засобів контролю промислової кібербезпеки для прозорості, виявлення загроз, управління ризиками та вразливістю та безпечного віддаленого доступу – зі значно зниженою загальною вартістю володіння.