Pesquisadores de segurança cibernética elaboraram uma nova técnica de ataque que arma controladores lógicos programáveis (PLCs) para obter uma posição inicial em estações de trabalho de engenharia e, posteriormente, invadir as redes de tecnologia operacional (OT).
Apelidado de ataque «Evil PLC» pela empresa de segurança industrial Claroty, o problema afeta o software de estação de trabalho de engenharia da Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO e Emerson.
Os controladores lógicos programáveis são um componente crucial dos dispositivos industriais que controlam os processos de fabricação em setores de infraestrutura crítica. Os CPs, além de orquestrar as tarefas de automação, também são configurados para iniciar e parar processos e gerar alarmes.
Portanto, não é de surpreender que o acesso entrincheirado fornecido pelos PLCs tenha feito das máquinas um foco de ataques sofisticados por mais de uma década, começando do Stuxnet ao PIPEDREAM (também conhecido como INCONTROLLER), com o objetivo de causar interrupções físicas.
«Esses aplicativos de estação de trabalho costumam ser uma ponte entre redes de tecnologia operacional e redes corporativas», disse Claroty. «Um invasor capaz de comprometer e explorar vulnerabilidades em uma estação de trabalho de engenharia pode facilmente se mover para a rede interna, mover-se lateralmente entre sistemas e obter mais acesso a outros PLCs e sistemas sensíveis.»
Com o ataque Evil PLC, o controlador atua como um meio para um fim, permitindo que o agente da ameaça invada uma estação de trabalho, acesse todos os outros PLCs na rede e até adultere a lógica do controlador.
Em outras palavras, a ideia é “usar o PLC como um ponto de articulação para atacar os engenheiros que o programam e diagnosticam e obter acesso mais profundo à rede OT”, disseram os pesquisadores.
Na próxima fase, o agente mal-intencionado aproveita as falhas anteriormente não descobertas identificadas nas plataformas para executar código malicioso na estação de trabalho quando uma operação de upload é realizada pelo engenheiro para recuperar uma cópia de trabalho da lógica do PLC existente.
Toda a sequência se desenrola da seguinte forma: um adversário oportunista induz deliberadamente um mau funcionamento em um PLC exposto à Internet, uma ação que leva um engenheiro desavisado a se conectar ao PLC infectado usando o software da estação de trabalho de engenharia como ferramenta de solução de problemas.
«O fato de o PLC armazenar tipos adicionais de dados que são usados pelo software de engenharia e não pelo próprio PLC» cria um cenário em que os dados não utilizados armazenados no PLC podem ser modificados para manipular o software de engenharia, apontaram os pesquisadores.
«Na maioria dos casos, as vulnerabilidades existem porque o software confia totalmente nos dados provenientes do PLC sem realizar verificações de segurança extensas.»
Em um cenário de ataque teórico alternativo, o método Evil PLC também pode ser usado como honeypots para atrair os agentes de ameaças para se conectarem a um PLC chamariz, levando a um comprometimento da máquina do invasor.
Claroty também chamou a atenção para a ausência de proteções de segurança nos dispositivos do sistema de controle industrial (ICS) voltados para o público, facilitando assim que os agentes de ameaças alterem sua lógica por meio de procedimentos de download não autorizados.
Para mitigar esses ataques, é recomendável limitar o acesso físico e de rede aos PLCs a engenheiros e operadores autorizados, aplicar mecanismos de autenticação para validar a estação de engenharia, monitorar o tráfego de rede OT para atividades anômalas e aplicar patches em tempo hábil.
Conheça o octoplant! Solução para gestão de ativos de OT, governança e cyber segurança.
Esteja protegido contra essas ameaças: https://hsinet.com.br/octoplant/
Fonte: Hackers Distributing Password Cracking Tool for PLCs and HMIs to Target Industrial Systems
