Μια ομάδα ερευνητών ανέπτυξε κακόβουλο λογισμικό σχεδιασμένο για επιθέσεις σε σύγχρονα προγραμματιζόμενα logic controllers (PLC malware) με σκοπό να δείξει ότι μπορούν να πραγματοποιηθούν απομακρυσμένες επιθέσεις τύπου Stuxnet εναντίον τέτοιων βιομηχανικών συστημάτων ελέγχου (ICS).
Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware
Οι ερευνητές από το Ινστιτούτο Τεχνολογίας της Γεωργίας δημοσίευσαν ένα άρθρο που αναλύει το συγκεκριμένο έργο ασφάλειας του ICS.
Στην περίπτωση των παραδοσιακών PLCs, ένας εισβολέας μπορεί να επικεντρωθεί σε επίπεδο control logic ή στο επίπεδο του firmware. Οι επιθέσεις στο firmware μπορούν να παρέχουν υψηλό επίπεδο ελέγχου συσκευών και είναι δύσκολο να ανιχνευθούν, αλλά ο κακόβουλος κώδικας μπορεί να είναι δύσκολος στην εφαρμογή του. Ο κακόβουλος κώδικας control logic είναι πιο εύκολος στην εφαρμογή, αλλά επίσης ευκολότερος στην ανίχνευση. Και τα δύο αυτά σενάρια απαιτούν από τον επιτιθέμενο να έχει προνομιακή πρόσβαση στο βιομηχανικό δίκτυο του στοχευμένου οργανισμού.
Στην περίπτωση των σύγχρονων PLCs, πολλά περιλαμβάνουν έναν διακομιστή web που μπορεί να ρυθμιστεί, να ελεγχθεί και να παρακολουθηθεί απομακρυσμένα, μέσω αφιερωμένων APIs και ενός κανονικού προγράμματος περιήγησης στο web που λειτουργεί ως human-machine interface (HMI).
Αν και αυτά τα σύγχρονα PLC μπορούν να προσφέρουν πολλά οφέλη για τις επιχειρήσεις, οι ερευνητές του Georgia Tech προειδοποιούν ότι μπορούν επίσης να διευρύνουν σημαντικά την επιφάνεια επίθεσης των ICS.
Δείτε ακόμα: Τα “TicTacToe Dropper” χρησιμοποιούνται για τη διανομή malware
Για να επιδείξουν τους κινδύνους, οι ερευνητές ανέπτυξαν αυτό που αποκαλούν malware PLC βασισμένο στο web, το οποίο βρίσκεται στη μνήμη του ελεγκτή, αλλά εκτελείται στην πλευρά του πελάτη από τις συσκευές που διαθέτουν περιηγητή στο περιβάλλον ICS. Το malware μπορεί να καταχραστεί τις νόμιμες web APIs του PLC για να προκαλέσει διαταραχή στις βιομηχανικές διαδικασίες ή ζημιά στα μηχανήματα.
Αυτό το νέο PLC malware μπορεί να είναι εύκολο στην εφαρμογή και δύσκολο να ανιχνευθεί. Η αρχική μόλυνση μπορεί να πραγματοποιηθεί μέσω φυσικής ή δικτυακής πρόσβασης στον στοχευμένο δικτυακό διαχειριστή human-machine interface (HMI), αλλά το κακόβουλο λογισμικό μπορεί επίσης να εφαρμοστεί απευθείας μέσω του Διαδικτύου με την παραβίαση του HMI χρησιμοποιώντας ευπάθειες διασταυρόμενης προέλευσης.
Για εδραίωση της επιμονής, αυτός ο νέος τύπος PLC malware εκμεταλλεύεται τους εργαζομένους υπηρεσιών, οι οποίοι επιτρέπουν στον κώδικα JavaScript να εισχωρήσει στη μνήμη cache του προγράμματος περιήγησης και να εκτελείται ανεξάρτητα από την ιστοσελίδα που το εγκατέστησε. Μόλις έχει εγκατασταθεί, οι δυνατότητες του malware εξαρτώνται από τη δύναμη των νόμιμων web-based APIs που χρησιμοποιούνται, και μερικά από αυτά τα APIs είναι πολύ ισχυρά.
Οι ερευνητές ανέφεραν ότι το κακόβουλο λογισμικό μπορεί επίσης να έχει σύνδεση command and control (C&C), ακόμα κι αν το επιθυμητό PLC βρίσκεται σε ένα απομονωμένο δίκτυο.
Δείτε επίσης: Mobile malware: Ένας μεγάλος κίνδυνος για τις επιχειρήσεις
Μία σημαντική στρατηγική πρόληψης malware, όπως του PLC malware, είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι χρήστες πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με αναξιόπιστους ιστότοπους, τη λήψη αρχείων από αναξιόπιστες πηγές και το άνοιγμα συνημμένων από άγνωστους αποστολείς. Τέλος, η χρήση διαχειριστών κωδικών πρόσβασης και η εφαρμογή δυνατών πρακτικών διαχείρισης κωδικών πρόσβασης μπορεί να βοηθήσει στην προστασία των συσκευών από την πρόσβαση από το malware.
Πηγή: securityweek
.){kind=link}