Gömülü PLC Web Sunucuları Yeni OT Kötü Amaçlı Yazılım Sınıfına Yönelik Bir Vektör

Programlanabilir mantık denetleyicileri (fabrikalar ve elektrik şebekesi gibi ortamlarda fiziksel süreçlerin çalışmasını kontrol eden dijital cihazlar) bir zamanlar seri iletişim protokollerine dayanıyordu ancak artık gömülü web sunucuları içeriyorlar. Yöneticiler, işlemleri kontrol etmek ve tarayıcı tabanlı kontrolü etkinleştirmek için uygulama programlama arayüzlerini yapılandırabildiğinden, bunun olumlu tarafı kolaylıktır.

Düğümlü özel yazılımla yapılandırılmış hantal insan-makine arayüzü istemcileri var; düz ekranlar ve dokunmatik kontroller vardır.

Georgia Teknoloji Enstitüsü'nden araştırmacılar, sorunun, endüstriyel donanım yazılımına gömülü web sunucularının bilgisayar korsanları için potansiyel bir kazanç olması olduğunu söyledi. Saldırganların web tabanlı PLC kötü amaçlı yazılımlarından yararlanarak Stuxnet'i nasıl pislik içinde bırakabileceğinin ana hatlarını çizen makalede, bilgisayar korsanlarının sensör okumalarını tahrif edebileceği, güvenlik alarmlarını devre dışı bırakabileceği ve fiziksel aktüatörleri manipüle edebileceği belirtildi. Bilgisayar korsanları, can kaybı da dahil olmak üzere yıkıcı olaylara neden olabilir.

Araştırmacılar, her büyük PLC satıcısının (toplamda küresel pazar payının %80'ini kontrol ediyorlar) artık web tabanlı kötü amaçlı yazılımlara karşı savunmasız bir PLC ürettiğini söylüyor. Bir web sunucusuna gömülü operasyonel teknoloji ürün yazılımının rahatlığı “ICS ekosistemini derin ve geri döndürülemez şekillerde dönüştürdü.”

Operasyonel teknolojiye yönelik kötü amaçlı yazılımlar yeni bir şey değil. Endüstriyel bir sisteme karşı şimdiye kadar başlatılan en ünlü kötü amaçlı yazılım olan Stuxnet, on yıldan daha eskidir. Ancak önceki nesil ICS kötü amaçlı yazılımları, bozmaya çalıştıkları gerçek zamanlı işletim sistemlerinin katı donanım gereksinimlerine uymak zorundaydı.

Karışıma bir web sunucusu ekleyin ve bu değişir. Web PLC kötü amaçlı yazılımı sonuçta PLC'nin kendisinde değil, ürün yazılımıyla etkileşimde bulunmak için kullanılan tarayıcı donanımlı cihazda yürütülür.

Ulus-devletler muhtemelen not alıyor. OT güvenliği odaklı firma Dragos, OT'ye özel 21 benzersiz, aktif siber tehdit grubu belirledi; bu, ya özel olarak OT ortamları için kötü amaçlı kod geliştirdikleri ya da OT ortamlarına sahip kuruluşları hedeflemeye odaklandıkları anlamına gelir (bkz.: Operasyonel Teknoloji Ortamlarını Savunmak: Temel Konular).

Devlet destekli Çinli ve Rus bilgisayar korsanlığı grupları, Şubat ayında ABD'li yetkililerin kendisini muhtemelen yıkıcı saldırılar başlatmak için önceden konumlandırdığını söylediği Volt Typhoon olarak takip edilen bir Pekin grubu da dahil olmak üzere kritik altyapıyı hacklemeye yatırım yaptı. Avrupa güvenlik kurumu 2022'de, jeopolitik siber tehdit ortamını etkilediğinden devlet destekli bilgisayar korsanlığı gruplarının operasyonel teknolojiye daha fazla dikkat edeceği konusunda uyardı.

Georgia Tech doktora öğrencisi ve çalışmanın baş yazarı Ryan Pickren, “Tamamen yeni bir PLC kötü amaçlı yazılım sınıfı var ve ortaya çıkmayı bekliyor” dedi. “Size tam cihaz ve fiziksel süreç kontrolü sağlıyor.”

Bir PLC web sunucusuna çeşitli şekillerde virüs bulaşabilir. Birçok PLC üreticisi, kullanıcıların özel HMI kontrol panelleri oluşturmak için “kullanıcı tanımlı web sayfaları” olarak adlandırdıkları sayfaları oluşturmalarına izin verir. Hatta bazı şirketler UWP'ler bile satarak saldırganların yetkili kullanıcıları Truva atı web sayfası yüklemeleri için kandırması için bir fırsat yaratıyor. Alternatif olarak, bilgisayar korsanları özel bir HMI panosunun önceden oluşturulmuş öğelerine müdahale edebilir.

Araştırmacılar ayrıca kanallar arası komut dosyası çalıştırmayı – “siteler arası komut dosyası çalıştırmanın belirsiz bir çeşidi” – bir saldırı yöntemi olarak işaretlediler. Bu tür saldırılarda “kötü amaçlı yükün web sunucusuna SNMP veya FTP gibi web dışı bir protokol aracılığıyla aktarıldığını” söylediler.

Saldırganlar, JavaScript varlıklarının web tarayıcıları ve web sunucuları arasında proxy görevi görmesine olanak tanıyan “hizmet çalışanı” olarak bilinen bir HTML5 özelliğinden yararlanarak ikincil kötü amaçlı kodu önbelleğe aldığında kalıcılığa ulaşmak “şok edici etkilidir”. Hizmet çalışanları arka planda “herhangi bir web sayfasından bağımsız olarak” çalışırlar. Bu, birincil kötü amaçlı yazılım yükünün PLC cihazından tamamen kaldırılması durumunda bile önbelleğe alınan JavaScript dosyasının cihaza yeniden virüs bulaştırabileceği anlamına gelir.

Araştırmacılar, saldırganların bir cihaza virüs bulaştırdıktan sonra yapabileceklerinin, geleneksel PLC kötü amaçlı yazılımlarıyla yapabileceklerinden çok daha kötü olduğunu söyledi. Kısıtlı işlevlere sahip bir kontrol mantığı kodu sanal alanında veya internet bağlantısı olmayan ayrılmış bir endüstriyel ağda çalışma gibi önceki nesil PLC kötü amaçlı yazılımlarına ilişkin kısıtlamalar geçerli değildir.

Web PLC kötü amaçlı yazılımı, API'lerle etkileşimde bulunmak ve makinelere fiziksel zarar vermek için tarayıcı çerezlerini kullanabilir. Web özellikli HMI'ya erişim, tehdit aktörlerinin sanal olarak düğmeleri çevirmeye başlamasına olanak tanıyacağından, saldırganların ortalığı kasıp kavurmak için altta yatan fiziksel süreçler hakkında çok fazla bilgiye ihtiyacı olmayacak.

“Bu tür rastgele kontrol, I/O pin konfigürasyonu ve aşağı akış aktüatör ayarları hakkında kapsamlı bilgi gerektiren geleneksel PLC kötü amaçlı yazılımları kullanılarak mümkün değildir. Bu nedenle, WB kötü amaçlı yazılımları yoluyla fiziksel sabotaj, mevcut stratejilerle karşılaştırıldığında önemli ölçüde daha az tersine mühendislik çabası ve önkoşul zekası gerektirir. ” dedi araştırmacılar.

Saldırganlar ayrıca daha fazla riske girmek için yönetici ayarlarını kötüye kullanabilir ve endüstriyel casusluk amacıyla verileri sızdırabilir.

Pickren, “Homer Simpson'ın kontrol odasındaki eski tarz fikri artık çok az web görselleştirmesinin olduğu bir web sitesine dönüştü” dedi. “Bir çalışanın tesiste bir iPad veya Google Chrome açık bir kontrol odasıyla dolaştığını hayal edebilirsiniz.”