İçlerinde yerleşik Web sunucuları bulunan programlanabilir mantık denetleyicilerinin (PLC'ler) çoğalması, saldırganlara, kritik altyapı sektörlerindeki endüstriyel kontrol sistemlerine (ICS) yönelik operasyonel teknolojiye (OT) karşı potansiyel olarak yıkıcı, uzaktan saldırılar başlatmanın bir yolunu verdi.
Tehdidi vurgulamak için Georgia Teknoloji Enstitüsü'nden bir araştırmacı ekibi, bir saldırganın PLC içindeki yerleşik bir Web sunucusuna uzaktan erişmek ve temeldeki fiziksel sisteme saldırmak için kullanabileceği kötü amaçlı yazılım geliştirdi. Araştırmacılar, bir saldırganın kötü amaçlı yazılımı, aktüatörlere giden çıkış sinyallerini manipüle etmek, sensör okumalarını tahrif etmek, güvenlik sistemlerini devre dışı bırakmak ve yaşam kaybı dahil olmak üzere potansiyel olarak yıkıcı sonuçları tetikleyebilecek diğer eylemleri gerçekleştirmek için kullanabileceğini söyledi.
PLC'ler, çeşitli üretim, endüstriyel ve kritik altyapı ortamlarında fiziksel süreçlerin ve makinelerin çalışmasını kontrol eden ICS bileşenleridir. A PLC, bağlı çeşitli sensörlerden ve diğer giriş kaynaklarından girdi alır, ve önceden programlanmış kontrollü mantığa dayalı olarak fiziksel sistemlere komutlar göndermek için verileri kullanır. Genel olarak PLC kötü amaçlı yazılımlarının amacı, çıktıyı, PLC'nin kontrol ediyor olabileceği fiziksel süreci bozacak veya sabote edecek şekilde etkilemektir.
Stuxnet Benzeri, Web Tabanlı PLC Kötü Amaçlı Yazılımı
Çoğu zaman, PLC'leri ve ICS sistemlerini hedef alan kötü amaçlı yazılımlar, saldırganların hedef ortama önceden bir tür fiziksel veya ağ erişimine sahip olmasını gerektirmiştir ve genellikle platforma özeldir ve fabrika ayarlarına sıfırlama yoluyla kolayca silinebilir. Makalede Georgia Tech araştırmacıları Ryan Pickren, Tohid Shekari, Saman Zonouz ve Raheem Beyah kendi araştırmalarını anlattılar. Web tabanlı PLC kötü amaçlı yazılımı temelde farklı.
Çoğu PLC kötü amaçlı yazılımı tipik olarak denetleyicilerin ürün yazılımını veya kontrol mantığını etkilerken, yeni Web tabanlı kötü amaçlı yazılım, kötü amaçlı JavaScript ile PLC'lerdeki ön uç Web katmanına saldırarak, bu tür kötü amaçlı kodların geçmişte karşılaştığı bazı sınırlamaları ortadan kaldırır.
Araştırmacılar, “Bu yaklaşımın mevcut PLC kötü amaçlı yazılım tekniklerine (kontrol mantığı ve aygıt yazılımı) göre platform bağımsızlığı, dağıtım kolaylığı ve daha yüksek düzeyde kalıcılık gibi önemli avantajları var” dedi.
Ancak yeni türün siber saldırı sonuçları diğer başarılı PLC saldırılarıyla aynı. İçinde 1 milyar dolarlık Stuxnet kampanyası örneğin – bazılarının sahip olduğu ABD ve İsrail hükümetlerine atfedilen — Saldırganlar, İran'ın Natanz uranyum zenginleştirme tesisindeki yüksek hızlı santrifüjlerin kendilerini parçalayacak kadar hızlı dönmesini sağlamak için Siemens PLC'lerini hedef aldı.
O zamandan bu yana, saldırganların fiziksel süreçleri kontrol eden sistemlere verebileceği hasarı vurgulayan birkaç başka saldırı daha gerçekleşti. Dikkate değer örnekler arasında Rus tehdit aktörlerinin kullandığı BlackEnergy kötü amaçlı yazılımı yer alıyor. Ukrayna'nın elektrik şebekesini bozdu 2016 yılında; the Triton / Trisis saldırısı Suudi Arabistan'daki bir petrokimya planında Schneider güvenlik sistemi; Ve KONTROLÖRSchneider ve Omron'un PLC'lerini hedef alan bir dizi kötü amaçlı yazılım aracı.
PoC Siber Saldırısı: Dağıtımı Daha Kolay ve Daha Kalıcı
Araştırmacıların geliştirdiği Web tabanlı saldırı, temel olarak, bir tehdit aktörünün yaygın olarak kullanılan bir PLC'ye Stuxnet benzeri bir saldırı gerçekleştirdiği ve bu durumda uranyum zenginleştirme sırasında santrifüjlere güç sağlamak için kullanılana benzer bir endüstriyel motoru kontrol ettiği bir test senaryosunu içeriyordu. . Birçok modern PLC gibi, araştırmacıların araştırmacı için kullandığı PLC de uzaktan izleme, programlama ve konfigürasyon için Web tabanlı bir arayüze sahipti.
Test senaryosu için araştırmacılar, PLC'nin bulunduğu tesisin hem iş ağına hem de endüstriyel ağa bağlı mühendislik iş istasyonlarına sahip olduğunu varsaydılar. Araştırmacılar ayrıca saldırganın, test PLC'sinin kontrol ettiği fiziksel süreç ve ortamın diğer birkaç spesifik olmayan detayı hakkında bazı temel bilgilere sahip olduğunu varsaydılar.
Araştırmacılar makalelerinde, bir saldırganın Web sunucusuna çeşitli yollarla zararlı kodları uzaktan enjekte ederek PLC'ye ilk erişimi nasıl elde edebileceğini ve ardından alttaki makineyi bozmak için meşru uygulama programlama arayüzlerini (API) nasıl kullanabileceğini açıkladılar. Test senaryolarından biri, saldırganın bir ICS operatörünü, araştırmacıların Web uygulamasında keşfettiği üç ayrı sıfır gün güvenlik açığını zincirleyerek PLC kötü amaçlı yazılımını otomatik olarak PLC'nin Web uygulamasına indiren kötü amaçlı bir Web sayfasını ziyaret etmesi için kandırmasını içeriyordu.
Diğer şeylerin yanı sıra, araştırmacıların geliştirdiği Web tabanlı PLC (WB PLC) kötü amaçlı yazılımı, bir saldırganın kontrol ettiği endüstriyel motora fiziksel olarak zarar vermesine, daha fazla riske girmek için yönetici ayarlarını kötüye kullanmasına ve endüstriyel casusluk amacıyla verileri çalmasına olanak tanıyordu.
Araştırmacılar, “Web PLC kötü amaçlı yazılımımız PLC belleğinde bulunuyor, ancak sonuçta ICS ortamında çeşitli tarayıcı donanımlı cihazlar tarafından istemci tarafında çalıştırılıyor” dedi. “Bu noktadan sonra kötü amaçlı yazılım, temeldeki gerçek dünya makinelerine saldırmak amacıyla PLC'nin meşru Web API'leriyle etkileşime geçmek için ortamdaki tarayıcı tabanlı kimlik bilgilerini kullanıyor.” Bu tür kötü amaçlı yazılımların kontrolü dağıtmanın daha kolay olduğunu ve çoğunlukla platformdan bağımsız olduğunu söylediler.