Georgia Tech Mühendislik Fakültesi'nden bir grup araştırmacı, büyük üreticiler tarafından üretilen çoğu PLC'yi hedef alabilecek web tabanlı programlanabilir mantık denetleyici (PLC) kötü amaçlı yazılımı geliştirdi.
“Web Tabanlı (WB) PLC kötü amaçlı yazılımımız, PLC belleğinde bulunur, ancak sonuçta ICS ortamında çeşitli tarayıcı donanımlı cihazlar tarafından istemci tarafında çalıştırılır. Araştırmacılar, kötü amaçlı yazılımın, temeldeki gerçek dünya makinelerine saldırmak amacıyla PLC'nin meşru web API'leriyle etkileşime geçmek için ortamdaki tarayıcı tabanlı kimlik bilgilerini kullandığını belirtti.
PLC'ler nedir?
Programlanabilir mantık denetleyicileri (PLC'ler), fiziksel bir sistemin işlevlerini kontrol etmek için kullanılan endüstriyel kontrol sistemlerinin (ICS) bileşenleridir. Sensörlerden veri alıyorlar, işliyorlar ve verilere ve önceden programlanmış mantıklarına dayanarak gerçek dünyadaki süreçleri kontrol eden aktüatörlere çıktılar gönderiyorlar.
PLC'ler, son yıllarda konfigürasyonu ve kontrolü kolaylaştırmaya hizmet eden (özelleştirilebilir web uygulamaları ve web tabanlı API'ler aracılığıyla) yerleşik bir web sunucusunu da içermeye başlayan bir ürün yazılımı katmanına sahiptir. Maalesef uzaktaki saldırganların da içeri girmesine izin verebilir.
Araştırmacılar, “PLC'lere yapılan önceki saldırılar, PLC hesaplamasının kontrol mantığını veya aygıt yazılımı bölümlerini etkilerken, önerdiğimiz kötü amaçlı yazılım, yalnızca PLC'ler içindeki yeni ortaya çıkan gömülü web sunucuları tarafından barındırılan web uygulamasını etkiliyor” dedi.
Web tabanlı PLC kötü amaçlı yazılımlarının avantajları
Yerleşik web sunucularına sahip PLC'ler, saldırganların kötü amaçlı yazılımı dağıtmak için ağa veya fiziksel erişime ihtiyaç duymadığı anlamına gelir; bir ICS operatörünü, bir çapraz kaynak paylaşımı (CORS) yanlış yapılandırma güvenlik açığından yararlanarak saldırgan tarafından kontrol edilen bir web sitesini görüntülemeye yönlendirebilirler. Web sunucusuna kötü amaçlı JavaScript kodu içeren web sayfası.
WB PLC kötü amaçlı yazılımının yaşam döngüsü (Kaynak: Georgia Institute of Technology)
Araştırmacılar, “Ayrıca, geleneksel PLC kötü amaçlı yazılımları tarafından kullanılan iki erişim düzeyi (ağ ve fiziksel), WB PLC kötü amaçlı yazılımları için de geçerli erişim düzeyleridir” dedi.
“Örneğin kötü niyetli bir [user-defined web page] ICS protokolü aracılığıyla indirilebilir veya SD Kart yoluyla kötü amaçlı web tabanlı bir GUI kurulabilir.
WB PLC kötü amaçlı yazılımının bir diğer avantajı ise yalnızca web tarayıcılarında çalıştığı için özel olarak özelleştirilmesine gerek kalmadan birçok farklı PLC üzerinde çalışabilmesidir.
Olası saldırıların test edilmesi
Bu vektör aracılığıyla bir kötü amaçlı yazılım saldırısının uygulanabilirliğini kanıtlamak için, kendi WB kötü amaçlı yazılımlarını (“IronSpider”) oluşturdular ve bunun, gerçek dünyadaki bir ICS test ortamında popüler bir PLC modelini tehlikeye atmak için nasıl kullanılabileceğini test ettiler.
Ön uç kodunu PLC'ye göndermek için yasal kanallardan yararlanabileceklerini ya da PLC yönetici portalı web uygulamalarındaki güvenlik açıklarından yararlanabileceklerini buldular.
Kötü amaçlı yazılımın herhangi bir kullanıcı bildirimi veya güvenlik duvarı müdahalesi olmadan indirilebileceğini söylediler ve hatta ortamda uzun vadeli kalıcılık ve sürekli yürütme sağlamak veya PLC'yi tüm izlerden temizlemek için tekrar tekrar “yeniden diriltilebileceğini” belirttiler. enfeksiyonun önlenmesi (ve dolayısıyla adli tıp soruşturmalarının engellenmesi).
Saldırganların verebileceği nihai hasar, hedef PLC'nin hangi fiziksel süreçleri kontrol ettiğine bağlıdır.