-
09/04/2020
-
85
-
553 bài viết
Kỹ thuật tấn công Evil PLC lợi dụng các PLC để xâm phạm mạng OT và mạng doanh nghiệp
Các nhà nghiên cứu an ninh mạng đã phát triển một kỹ thuật tấn công mới nhằm vũ khí hóa các bộ điều khiển logic có thể lập trình (PLC) để giành được quyền kiểm soát ban đầu trong các máy trạm kỹ thuật và sau đó xâm nhập vào các mạng OT.
Được gọi là tấn công "Evil PLC" bởi công ty an ninh mạng Claroty, các cuộc tấn công này ảnh hưởng đến phần mềm máy trạm kỹ thuật từ Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO và Emerson.
PLC là một thành phần quan trọng của các thiết bị công nghiệp kiểm soát quá trình sản xuất trong các lĩnh vực cơ sở hạ tầng quan trọng. Bên cạnh việc sắp xếp các nhiệm vụ tự động hóa, PLC còn được cấu hình để bắt đầu và dừng các quy trình cũng như tạo ra các cảnh báo.
Do đó, không có gì ngạc nhiên khi quyền truy cập cố định do PLC cung cấp đã khiến máy móc trở thành tâm điểm của các cuộc tấn công ngày càng tinh vi trong hơn một thập kỷ qua, bắt đầu từ Stuxnet đến PIPEDREAM (hay còn gọi là INCONTROLLER), với mục tiêu gây gián đoạn vật lý.
Claroty cho biết: “Các ứng dụng máy trạm này thường là cầu nối giữa mạng công nghệ vận hành và mạng công ty. Một khi đã xâm nhập và khai thác được các lỗ hổng trong một máy trạm kỹ thuật, kẻ tấn công có thể dễ dàng di chuyển vào mạng nội bộ, di chuyển ngang giữa các hệ thống và truy cập sâu hơn vào các PLC và hệ thống nhạy cảm khác”.
Với tấn công Evil PLC, bộ điều khiển hoạt động như một phương tiện để truy cập đến mọi thiết bị trong hệ thống, cho phép tác nhân đe dọa xâm phạm máy trạm, truy cập vào tất cả các PLC khác trên mạng và thậm chí giả mạo logic bộ điều khiển.
Nói cách khác, ý tưởng là "sử dụng PLC như một điểm xoay trục để tấn công các kỹ sư có nhiệm vụ lập trình và phân tích, trước khi truy cập sâu hơn vào mạng OT", các nhà nghiên cứu cho biết.
Toàn bộ trình tự diễn ra như sau: Một hacker gây ra sự cố trên PLC có tiếp xúc với internet. Khi đó, một kỹ sư (nếu không có thông tin về cuộc tấn công), sẽ không nghi ngờ mà kết nối đến PLC đã bị lây nhiễm bằng phần mềm máy trạm kỹ thuật để xử lý sự cố.
Trong giai đoạn tiếp theo, kẻ xấu tận dụng các lỗ hổng chưa được phát hiện trong nền tảng để thực thi mã độc hại trên máy trạm khi kỹ sư thực hiện thao tác tải lên để lấy bản sao hoạt động của logic PLC hiện có.
Các nhà nghiên cứu chỉ ra rằng "Việc PLC lưu trữ các loại dữ liệu bổ sung được sử dụng bởi phần mềm kỹ thuật chứ không phải chính PLC" tạo ra một kịch bản trong đó loại dữ liệu này có thể được sửa đổi để thao tác phần mềm kỹ thuật.
"Trong hầu hết các trường hợp, các lỗ hổng tồn tại do phần mềm hoàn toàn tin cậy dữ liệu đến từ PLC mà không thực hiện kiểm tra an ninh sâu hơn”.
Evil PLC cũng có thể được sử dụng làm honeypots để thu hút các tác nhân đe dọa kết nối với một PLC mồi nhử, dẫn đến sự xâm phạm máy của kẻ tấn công.
Để giảm thiểu các cuộc tấn công như vậy, bạn nên giới hạn quyền truy cập vật lý và mạng vào PLC cho các kỹ sư và nhà khai thác được ủy quyền, thực thi cơ chế xác thực để xác thực trạm kỹ thuật, giám sát lưu lượng mạng OT để tìm hoạt động bất thường và áp dụng các bản vá kịp thời.
Được gọi là tấn công "Evil PLC" bởi công ty an ninh mạng Claroty, các cuộc tấn công này ảnh hưởng đến phần mềm máy trạm kỹ thuật từ Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO và Emerson.
PLC là một thành phần quan trọng của các thiết bị công nghiệp kiểm soát quá trình sản xuất trong các lĩnh vực cơ sở hạ tầng quan trọng. Bên cạnh việc sắp xếp các nhiệm vụ tự động hóa, PLC còn được cấu hình để bắt đầu và dừng các quy trình cũng như tạo ra các cảnh báo.
Do đó, không có gì ngạc nhiên khi quyền truy cập cố định do PLC cung cấp đã khiến máy móc trở thành tâm điểm của các cuộc tấn công ngày càng tinh vi trong hơn một thập kỷ qua, bắt đầu từ Stuxnet đến PIPEDREAM (hay còn gọi là INCONTROLLER), với mục tiêu gây gián đoạn vật lý.
Claroty cho biết: “Các ứng dụng máy trạm này thường là cầu nối giữa mạng công nghệ vận hành và mạng công ty. Một khi đã xâm nhập và khai thác được các lỗ hổng trong một máy trạm kỹ thuật, kẻ tấn công có thể dễ dàng di chuyển vào mạng nội bộ, di chuyển ngang giữa các hệ thống và truy cập sâu hơn vào các PLC và hệ thống nhạy cảm khác”.
Với tấn công Evil PLC, bộ điều khiển hoạt động như một phương tiện để truy cập đến mọi thiết bị trong hệ thống, cho phép tác nhân đe dọa xâm phạm máy trạm, truy cập vào tất cả các PLC khác trên mạng và thậm chí giả mạo logic bộ điều khiển.
Nói cách khác, ý tưởng là "sử dụng PLC như một điểm xoay trục để tấn công các kỹ sư có nhiệm vụ lập trình và phân tích, trước khi truy cập sâu hơn vào mạng OT", các nhà nghiên cứu cho biết.
Toàn bộ trình tự diễn ra như sau: Một hacker gây ra sự cố trên PLC có tiếp xúc với internet. Khi đó, một kỹ sư (nếu không có thông tin về cuộc tấn công), sẽ không nghi ngờ mà kết nối đến PLC đã bị lây nhiễm bằng phần mềm máy trạm kỹ thuật để xử lý sự cố.
Trong giai đoạn tiếp theo, kẻ xấu tận dụng các lỗ hổng chưa được phát hiện trong nền tảng để thực thi mã độc hại trên máy trạm khi kỹ sư thực hiện thao tác tải lên để lấy bản sao hoạt động của logic PLC hiện có.
Các nhà nghiên cứu chỉ ra rằng "Việc PLC lưu trữ các loại dữ liệu bổ sung được sử dụng bởi phần mềm kỹ thuật chứ không phải chính PLC" tạo ra một kịch bản trong đó loại dữ liệu này có thể được sửa đổi để thao tác phần mềm kỹ thuật.
"Trong hầu hết các trường hợp, các lỗ hổng tồn tại do phần mềm hoàn toàn tin cậy dữ liệu đến từ PLC mà không thực hiện kiểm tra an ninh sâu hơn”.
Evil PLC cũng có thể được sử dụng làm honeypot
Để giảm thiểu các cuộc tấn công như vậy, bạn nên giới hạn quyền truy cập vật lý và mạng vào PLC cho các kỹ sư và nhà khai thác được ủy quyền, thực thi cơ chế xác thực để xác thực trạm kỹ thuật, giám sát lưu lượng mạng OT để tìm hoạt động bất thường và áp dụng các bản vá kịp thời.
Nguồn: The Hacker News