Incontroller - Sát thủ mới nhất đối với hệ thống mạng công nghiệp

[nktung]

Hãng thiết bị công nghiệp Mandiant và Schneider đã phân tích phần mềm độc hại Incontroller, nhằm vào các thiết bị điều khiển Omron và Schneider và máy chủ OPC-UA. Các thiết bị và máy chủ kể trên được triển khai rộng rãi trong nhiều ngành công nghiệp.

Incontroller là một tập hợp các công cụ mà kẻ tấn công sử dụng để xác định mục tiêu tấn công các máy chủ Windows. Mandiant tin rằng Incontroller rất có thể là dạng mã độc được phát triển dưới sự bảo trợ của một chính phủ nước ngoài nào đó.

​

Incontroller là một bộ gồm năm công cụ​

• Một thành phần có thể phát hiện và làm hỏng các thiết bị PLC Schneider bằng thư viện Codesys. Công cụ CodeSys hỗ trợ việc lập trình cho PLC và bộ điều khiển công nghiệp. Hàng trăm thiết bị của hơn 250 nhà sản xuất tự động hóa có thể được lập trình với công cụ này. CodeSys bao gồm các trình biên dịch tích hợp, cấu hình fieldbus, trình soạn thảo code trực quan, phần mở rộng điều khiển tùy chọn và nhiều tính năng khác.
• Thành phần có thể khám phá và thao tác các PLC Omron và ổ đĩa servo
• Công cụ có thể giao tiếp với máy chủ OPC-UA để thực hiện liệt kê, đọc / ghi dữ liệu tại nút và thực hiện các cuộc tấn công brute-force để đoán thông tin đăng nhập
• Bộ cấy từ xa (remote implant) được tùy chỉnh để thực hiện trinh sát và hoạt động như một máy chủ điều khiển và ra lệnh.
• Công cụ thực thi trên Windows khai thác một driver có lỗ hổng, từ đó cấy vào một driver chưa được kiểm duyệt khác.

Cách thức hoạt động​

Khi khởi chạy, Incontroller sẽ dò quét các giao thức không an toàn là HTTP và Telnet. Các giao thức này được sử dụng bởi các thiết bị khi giao tiếp với bộ điều khiển công nghiệp PLC. Nếu phát hiện ra các phiên này, công cụ sẽ thực hiện brute-force để lấy được mật khẩu. Sau khi lấy được mật khẩu, nó sẽ gửi lệnh (được lập trình trên CodeSys) để phát hiện chủng loại thiết bị, ra lệnh điều khiển. Để đi xa hơn, Incontroller có thể “cấy” mã độc backdoor vào driver của thiết bị hoặc thậm chí thay thế driver đó. Bằng việc này, Incontroller đã kiểm soát hoàn toàn thiết bị.

Qua đánh giá từ các chuyên gia, Incontroller sử dụng 83% các chiến thuật trong ma trận MITER ATT & CK ICS, một nền tảng kiến thức về các chiến thuật của kẻ tấn công.

Sở dĩ Incontroller sử dụng tới 12/14 kỹ thuật khác nhau bởi vì mạng OT thường không kết nối trực tiếp ra bên ngoài. Để xâm nhập vào mạng này thì kẻ gian thường bắt đầu từ việc xâm nhập vào mạng IT, sau đó leo thang sang mạng OT. Quá trình này đòi hỏi thực hiện qua nhiều bước.

Các mục tiêu bộ điều khiển được xác định là có thể bị tấn công là:

• Schneider: Modicon M251, Modicon M258 và Modicon M221 Nano PLC
• Omron: PLC NX1P2 và NJ501 cũng như ổ đĩa servo R88D-1SN10F-ECT

Ngoài ra thư viện Codesys được sử dụng bởi Incontroller cũng có thể được sử dụng để tấn công các bộ điều khiển khác.

Cách phát hiện và giảm thiểu thiệt hại do Incontroller gây ra​

Phương pháp chung, đó là cần “nhìn thấy” và “nhìn sâu” những tài sản mà ta đang quản lý, cụ thể ở đây là các thiết bị công nghiệp đang hoạt động, và thông tin chi tiết về model thiết bị, thông tin về các giao thức truyền thông mà thiết bị đang sử dụng, phiên bản firmware. Khi nắm rõ các thông tin về những tài sản này thì khi được cảnh báo về những lỗ hổng bảo mật của thiết bị, ta sẽ biết được những tài sản đó có bị ảnh hưởng hay không và nếu bị thì sẽ có phương pháp xử lý.

Bên cạnh đó, như đã phân tích ở trên, do Incontroller dò quét 2 giao thức HTTP và Telnet nên cần có hệ thống phát hiện hành vi dò quét này. Snort là một hệ thống tốt để thực hiện việc này (với các luật được cộng đồng gợi ý để phát hiện). Hiện nay rule có SID là 59587-59596, 59598-59599, and 59601-59605 đang được khuyến nghị để phát hiện hành vi dò quét này.