Червь PLC-Blaster — новая угроза для АСУ

Выступая на Black Hat USA 2016 ИБ-исследователи рассказали о новом PoC-черве, разработанном, чтобы атаковать уязвимости автоматизированных систем управления, использующихся на промышленных предприятиях и объектах критической инфраструктуры. По словам экспертов из OpenSource Security червь способен производить автономный поиск и заражение соединенных по сети программируемых логических контроллеров (ПЛК).

PLC-Blaster был разработан для атак на конкретные ПЛК производства Siemens — SIMATIC S7-1200. Siemens — крупнейшая машиностроительная компания Европы, имеющая наибольшую долю на рынке ПЛК. В марте, когда информация о черве была впервые представлена на конференции Black Hat Asia, представители компании заявили, что в оборудовании производства Siemens отсутствуют уязвимости, которыми способен воспользоваться зловред. Майк Брюггеман (Maik Brüggemann), разработчик ПО и ИБ-инженер из OpenSource Security, заявил, что подобный червь представляет угрозу для любых индустриальных сетей.

«Это — новая угроза для компаний производящих АСУ, которые обычно имеют надежную защиту от атак извне, — заявил Брюггеман. — Нельзя отметать возможность, что ПЛК-червь может попасть в сеть через поставщика компонентов или сотрудника предприятия. Эта проблема касается далеко не только одной Siemens. Червь представляет собой угрозу для любой промышленной сети».

Во время своего выступления на Black Hat USA, Брюггеман продемонстрировал, как атакующий, располагающий физическим или сетевым доступом к ПЛК, способен заразить сеть вредоносным ПО и провести атаку. Червь может быть запрограммирован для проведения различных видов атак. Альтернативно, зараженный ПЛК может быть запрограммирован выходить на связь с C&C-сервером и управляться удаленно, однако только при условии, что у него имеется выход в Интернет. При помощи зловреда атакующий может остановить или саботировать работу наиболее уязвимых компонентов критической инфраструктуры.

По словам исследователей, корнем уязвимости являются изъяны в дизайне ПЛК, которые позволяют атаковать их при помощи консоли управления TIA Portal. Два из них связаны с программными компонентами Knowhow Protection и Copy Protection, ответственными за защиту паролей и серийных номеров. У этих функций отсутствует защита целостности, что позволяет атакующему считывать, записывать и модифицировать блоки кода, в которых хранятся хешированные пароли и серийные номера. Таким образом атакующий способен обойти программную защиты TIA Portal и загрузить червя в сеть.

«Эта проблема касается не только одной только Siemens. Все эти компании, производящие АСУ, делают вещи также как и 30 лет назад. Им следует взглянуть на проблемы безопасности новым современным взглядом, только так они смогут сделать производимые ими устройства безопаснее», — подытожил эксперт.