Evil PLC Attack convierte el PLC en el depredador

Fecha de publicación
Cateogría del artículo Actualidad Industrial
Visualizaciones del artículo Leído  2757  veces
Tags del artículo

El ataque se dirige a los ingenieros que trabajan todos los días en redes industriales, configurando y solucionando problemas de PLC para garantizar la seguridad y confiabilidad de los procesos en industrias 

Evil PLC Attack convierte el PLC en el depredador

La ciberseguridad en el entorno de la automatización industrial cada día es mas importante, el estudio de Claroty explica nuevas formas de comprometer la ciberseguridad de los sistemas de control industriales poniendo su punto de mira en los PLCs y los intetradores y programadores de estos dispositivos.

Los controladores lógicos programables (PLC) han sido durante más de una década el foco de ataques avanzados. Desde Stuxnet hasta la plataforma Incontroller/Pipedream recientemente descubierta, los actores de amenazas intentan alcanzar y controlar los PLC para modificar los procesos que supervisan, causar interrupciones, daños físicos y amenazar la seguridad personal.

Pero, ¿qué pasaría si un atacante pudiera cambiar ese escenario y convertir al PLC en el depredador en lugar de la presa? ¿Qué pasaría si hubiera una forma de armar los PLC para explotar las estaciones de trabajo de ingeniería, las poderosas plataformas que se utilizan para configurar y mantener los PLC?

Estas aplicaciones de estaciones de trabajo suelen ser un puente entre las redes de tecnología operativa y las redes corporativas. Un atacante que sea capaz de comprometer y explotar vulnerabilidades en una estación de trabajo de ingeniería podría pasar fácilmente a la red interna, moverse lateralmente entre sistemas y obtener más acceso a otros PLC y sistemas sensibles.

Team82 ha publicado documento de investigación que describe un ataque novedoso de este tipo, al que ha denominado Evil PLC Attack.

El ataque se dirige a los ingenieros que trabajan todos los días en redes industriales, configurando y solucionando problemas de PLC para garantizar la seguridad y confiabilidad de los procesos en industrias críticas como servicios públicos, electricidad, agua y aguas residuales, industria pesada, manufactura y automotriz, entre otras.

La investigación Evil PLC Attack dio como resultado exploits de prueba de concepto contra siete empresas de automatización líderes en el mercado: Rockwell Automation, Schneider Electric, GE, B&R, XINJE, OVARRO y Emerson. La mayoría de las empresas afectadas remediaron o mitigaron las vulnerabilidades descubiertas por Team82 en sus respectivos productos, como puede ver en la tabla a continuación.

¿En que consiste el ataque Evil PLC ?

Las redes OT pueden tener docenas de PLC que supervisan los procesos industriales; un atacante que desee interrumpir físicamente un proceso primero necesitaría realizar una enumeración extensa de esos controladores para encontrar el objetivo correcto.

El Evil PLC Attack convierte a los PLC en la herramienta en lugar del objetivo. Al armar un PLC, un atacante puede, a su vez, comprometer la estación de trabajo del ingeniero, que es la mejor fuente de información relacionada con el proceso y tendría acceso a todos los demás PLC en la red. Con este acceso e información, el atacante puede alterar fácilmente la lógica en cualquier PLC.

El truco sería atraer a un ingeniero para que se conecte a un PLC comprometido; la forma más rápida es causar una falla en el PLC. Ese es un escenario típico al que un ingeniero respondería y se conectaría utilizando su aplicación de estación de trabajo de ingeniería como herramienta de resolución de problemas.

Este fue el enfoque de Team82 cuando decidió investigar este nuevo vector de ataque, al encontrar vulnerabilidades en cada una de las siete plataformas de estaciones de trabajo de ingeniería que  permitieron armar el PLC de manera que cuando se realiza un procedimiento de carga, los procedimientos de carga implican la transferencia de metadatos. , configuraciones y código de texto del PLC a la estación de trabajo de ingeniería: nuestras piezas de datos auxiliares específicamente diseñadas harían que la estación de trabajo de ingeniería ejecutara nuestro código malicioso.

Esta técnica arma el PLC con datos que no son necesariamente parte de un archivo de proyecto estático/offline normal, y permite la ejecución de código en un procedimiento de carga/conexión de ingeniería. A través de este vector de ataque, el objetivo no es el PLC, como lo fue, por ejemplo, con el notorio malware Stuxnet que cambiaba sigilosamente la lógica del PLC para causar daños físicos. En su lugar, queremos utilizar el PLC como punto de pivote para atacar a los ingenieros que lo programan y diagnostican y obtener un acceso más profundo a la red OT.

Es importante tener en cuenta que todas las vulnerabilidades que se encontraron estaban en el lado del software de la estación de trabajo de ingeniería y no en el firmware del PLC. En la mayoría de los casos, las vulnerabilidades existen porque el software confiaba plenamente en los datos provenientes del PLC sin realizar controles de seguridad exhaustivos.

Los atacantes oportunistas identifican los PLC con acceso a Internet, se conectan a ellos mediante un software de estación de trabajo de ingeniería comercial y cargan el proyecto actual, que incluye el código y la configuración del PLC. Luego, los atacantes modificarán la lógica del proyecto y realizarán un procedimiento de descarga para cambiar la lógica del PLC con sus modificaciones. Un ejemplo de tal incidente fue el ataque de 2020 al suministro de agua de Israel, donde los atacantes explotaron los PLC accesibles e intentaron inundar el suministro de agua con cloro.

La investigación de Claroty sugiere que los atacantes podrían usar los PLC orientados a Internet como un punto de pivote para infiltrarse en toda la red OT. En lugar de simplemente conectarse a los PLC expuestos y modificar la lógica, los atacantes podrían armar estos PLC y causar deliberadamente una falla que atraiga a un ingeniero hacia ellos. El ingeniero, como método de diagnóstico, realizará un procedimiento de carga que comprometerá su máquina. Los atacantes ahora tienen su punto de apoyo en la red OT.

Atacando a los integradores itinerantes

La administración moderna de OT a menudo involucra a ingenieros y contratistas externos que interactúan con muchas redes y PLC diferentes. En este escenario de ataque, el integrador del sistema es el punto de pivote entre el PLC y la estación de trabajo de ingeniería que supervisa numerosas redes OT.

El ataque se vería así: un atacante ubicaría un PLC en una instalación remota y menos segura que se sabe que está administrada por un contratista o integrador de sistemas. El atacante luego armará el PLC y deliberadamente causará una falla en el PLC. Al hacerlo, el ingeniero víctima será atraído al PLC para diagnosticarlo. A través del proceso de diagnóstico, el integrador realizará un procedimiento de carga y comprometerá su máquina. Después de obtener acceso a la máquina del integrador, que por diseño puede acceder a muchos otros PLC, los atacantes podrían a su vez atacar e incluso armar los PLC recién accesibles dentro de otras organizaciones, ampliando aún más su control.

Recomendaciones

Usando nuestros métodos de investigación exhaustivos, se puedo encontrar vulnerabilidades no reportadas previamente que nos permitieron armar los PLC afectados y atacar las estaciones de trabajo de ingeniería cada vez que ocurría un procedimiento de carga. Todos los hallazgos se informaron a los siete proveedores afectados de acuerdo con la política de divulgación coordinada de Team82.

Aquí puedes descargar el informe de Claroty https://claroty.com/resources/reports/evil-plc-attack-weaponizing-plcs 

Para estar al día de las noticias en Ciberseguridad Industrial puedes seguir nuestro canal




Descargas