17 февраля 2017

Создан proof-of-concept вымогателя для систем SCADA и АСУ

Команда исследователей из Технологического института Джорджии создала proof-of-concept вымогателя, который способен подменять параметры программируемых логических контроллеров (Programmable Logic Controller, PLC). Свои наработки специалисты продемонстрировали на конференции RSA в Сан-Франциско.

Программируемые логические контроллеры — это настоящее сердце сетей АСУ (Автоматизированная система управления) и SCADA (Supervisory Control and Data Acquisition или «Диспетчерское управление и сбор данных»). Эти устройства получают информацию от физических систем, передают полученные данные в компьютерную сеть предприятия и преобразуют команды, поступающие от операторов, в механические движения или электрические сигналы. PLC-устройства контролируют моторы, помпы, сенсоры, лифты и эскалаторы, таймеры, входное напряжение, HVAC-системы и многое, многое другое.

В Технологическом институте Джорджии сумели создать экспериментальную малварь LogicLocker, которая умеет определять, если она запущена на компьютере с установленным PLC-софтом. В таком случае вредонос не только блокирует зараженное устройство, но также тайно изменяет параметры логического контроллера.

Гипотетический сценарий атаки в данном случае будет выглядеть так: злоумышленники заражают сеть водоочистного сооружения, изменяют параметры, чтобы в питьевую воду попало больше хлора или других химикатов, сделав воду непригодной, а затем требуют огромный выкуп за разблокировку компьютеров и восстановление PLC. Далее все зависит от количества пострадавших PLC-устройств и времени, которое потребуется на их перезагрузку вручную. Во многих случаях предприятию будет «удобнее» выполнить требования атакующих и оплатить выкуп, прежде чем отравленная вода дойдет до потребителей.

К счастью, на практике пока не было обнаружено ни одного подобного вредоноса, но исследователи убеждены, что их появление — лишь вопрос времени. По их мнению, вирусописатели вскоре переключатся с пользовательских данных на компрометацию самих контрольных систем.

«Это позволит атакующим “брать в заложники” критические системы, к примеру, водоочистные сооружения или промышленные предприятия. Компрометация программируемых логических контроллеров в таких системах – это логичный следующий шаг для злоумышленников», — говорят эксперты.

Все подробности о LogicLocker можно найти в официальном докладе группы (PDF). Исследователи пишут, что вымогатель использует API «родных» сокетов (native socket) на Schneider Modicon M241 для обнаружения уязвимых целей, а именно – логических контроллеров Allen Bradley MicroLogix 1400 и Schneider Modicon M221. Затем вредонос обходит «слабый механизм аутентификации» этих устройств, блокирует легитимных пользователей и подбрасывает им «логическую бомбу».

Также исследователи разместили на YouTube видео, демонстрирующее атаку. Ролик можно увидеть ниже.


Источник: «Хакер»