محققان امنیت سایبری گزارشی را منتشر کردهاند که بر طبق آن تجهیزات Programmable Logic Controller – به اختصار PLC – را جهت نفوذ اولیه به کامپیوترهای متصل به آنها و متعاقباً حمله به پروسههای کنترلی بهویژه نرمافزارها و سختافزارهای موسوم به OT (فناوری عملیاتی) مورد سوءاستفاده قرار دادهاند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، چکیدهای از این گزارش مورد بررسی قرار گرفته است.
این تکنیک که Evil PLC لقب گرفته، بر نرمافزارهای مهندسی همچون Rockwell Automation ،Schneider Electric ،GE ،B&R ،Xinje ،OVARRO و Emerson تأثیر میگذارد.
تجهیزات PLC جزء مهمی از دستگاههای صنعتی هستند که فرآیندهای تولید را در بخشهای زیرساختی حیاتی کنترل میکنند. این تجهیزات علاوه بر مدیریت فرامین خودکار، اجرا و توقف فرآیندها، اعلام هشدارها را نیز تحت کنترل خود دارند.
در دنیای واقعی تجهیزات PLC، دریچهها، موتورها، پمپها، حسگرها، آسانسورها، پلههای برقی، ورودیهای ولتاژ، زمانسنجها، سیستمهای تهویه و بسیاری از سیستمهای مکانیکی دیگر را کنترل میکنند.
تجهیزات PLC که در موقعیتهای مختلف پراکندهاند خود نیز از طریق نرمافزارهای SCADA که معمولاً بر روی یک کامپیوتر معمولی نصب شدهاند توسط راهبر یا بصورت خودکار کنترل و پیکربندی میشوند.
از این رو، تعجبآور نیست که دسترسی ارائه شده از طریق تجهیزات PLC، برای بیش از یک دهه ماشینها را با هدف ایجاد اختلالات فیزیکی، از Stuxnet گرفته تا PIPEDREAM (معروف به INCONTROLLER) به کانون حملات پیچیده تبدیل کرده است.
مهاجمان سعی میکنند با بهرهجویی از تجهیزات PLC، نرمافزارها و ایستگاههای کاری مهندسی که آنها را نظارت میکنند تحت کترل خود گرفته و باعث بروز اختلال، آسیب فیزیکی و تهدیدات امنیتی شوند. سامانههای OT اغلب دارای دهها PLC هستند که بر فرایندهای صنعتی نظارت میکنند. مهاجمی که میخواهد فرآیندی را به طور فیزیکی مختل کند، باید ابتدا PLC آسیبپذیر را پیدا کند. این نرمافزارها و ایستگاههای کاری مهندسی نیز اغلب پلی بین شبکههای OT و شبکههای سازمانی میباشند. مهاجمی که از این آسیبپذیریها بهرهجویی میکند، میتواند به راحتی به شبکه داخلی راه پیدا کند و آلودگی را بین سیستمهای مجاور در شبکه گسترش دهد و به دیگر تجهیزات PLC و سیستمهای حساس دسترسی پیدا کند.
توجه به این نکته مهم است که اکثر آسیبپذیریهایی که در اینجا مورد بهرهجویی قرار میگیرد، در سمت نرمافزارهای مهندسی بوده و نه در میانافزار PLC. در بیشتر موارد، آسیبپذیریها وجود دارند زیرا نرمافزار بدون انجام بررسیهای امنیتی کامل، کاملاً به دادههای دریافتی از PLC اعتماد میکند.
تجهیزات PLC متصل به اینترنت عموماً فاقد سازوکارهای حفاظتی کافی مانند احراز هویت هستند و این درگاههای باز از طریق موتور جستجوگر Shodan (Shodan.IO) و Censys قابل شناسایی هستند. مهاجمی که از این طریق به یک PLC دسترسی پیدا کند، میتواند پارامترها یا رفتار و منطق آنها را از طریق دانلود کدهای مخرب تغییر دهد.
همچنین دستگاههای موسوم به Industrial Control System – به اختصار ICS – که در معرض دسترس عموم قرار میگیرند، معمولاً از هیچ گونه حفاظت امنیتی برخوردار نیستند و در نتیجه امکان تغییر منطق را برای مهاجم از طریق دانلود پروسههای مخرب فراهم میکنند.
در تکنیک Evil PLC، تجهیزات PLC به عنوان وسیلهای برای رسیدن به هدف عمل نموده و به مهاجم اجازه میدهد تا به یک ایستگاه کاری نفوذ نموده، به تمام تجهیزات PLC دیگر در شبکه دسترسی داشته باشد و حتی کنترلرهای منطقی (Controller Logic) را دستکاری کند.
ترفند مهاجم این است که عمداً یک PLC متصل به اینترنت را دستکاری میکند. این اقدام باعث میشود یک راهبر ناآگاه جهت عیبیابی با استفاده از نرمافزار مهندسی به PLC آلوده متصل شود.
در فاز بعدی، مهاجم با سوءاستفاده از ضعفهای امنیتی، کدهای مخرب را در ایستگاه کاری اجرا میکند تا زمانی که عملیات بارگذاری یک کپی از منطق PLC موجود توسط راهبر انجام شود.
محققان خاطرنشان کردهاند این واقعیت که PLC انواع دیگری از دادههایی را که توسط نرمافزارهای مهندسی و نه خود PLC استفاده میکند، ذخیره کرده و سناریویی را ایجاد میکند که در آن دادههای بلااستفاده ذخیرهشده در PLC میتوانند برای دستکاری نرمافزارهای مهندسی بکارگرفته شوند.
در سناریویی دیگر، Evil PLC همچنین میتواند بهعنوان honeypot جهت فریب مهاجم برای اتصال به یک طعمه از نوع PLC مورد استفاده قرار گیرد و منجر به تسخیر ماشین مهاجم شود. این روش می تواند برای شناسایی حملات مهاجمان در مراحل اولیه مورد استفاده قرار گیرد و همچنین ممکن است مهاجمان را از هدف قرار دادن تجهیزات PLC متصل به اینترنت منصرف کند زیرا آنها باید خود را در برابر هدفی که قصد حمله به آنها را داشته ایمن کنند.
به منظور کاهش چنین حملاتی، توصیه میشود دستیابی به تجهیزات PLC را محدود نموده به صورتی که فقط راهبران و اپراتورهای مجاز شبکه به آنها دسترسی داشته باشند. همچنین از مکانیسمهای احراز هویت جهت اعتبارسنجی تجهیزات PLC استفاده نموده و سامانههای OT را برای شناسایی هرگونه فعالیت و ترافیک غیرعادی نظارت نمایند و وصلهها را به موقع اعمال کنند.
جزئیات بیشتر این گزارش در نشانیهای زیر قابل مطالعه و دریافت میباشد:
https://claroty.com/team82/research/evil-plc-attack-using-a-controller-as-predator-rather-than-prey
منبع:
https://thehackernews.com/2022/08/new-evil-plc-attack-weaponizes-plcs-to.html