Исследователи CRITIFENCE и SCADA/ICS Cyber Threats Research Group представили новый PoC-код вымогательского ПО для программируемых логических контроллеров (ПЛК). ClearEnergy может стирать релейные диаграммы ПЛК и способен заразить целый ряд моделей устройств от крупнейших производителей АСУ ТП и SCADA-систем. В частности, к атакам с использованием вымогателя уязвимы ПЛК от Schneider Electric (с версиями Unity OS 2.6 и выше),GE и Allen-Bradley (MicroLogix).
Принцип действия ClearEnergy такой же, как и у привычного вымогательского ПО, но с одним большим отличием. Если обычные вымогатели шифруют хранящиеся на компьютере данные и требуют у жертвы выкуп за их расшифровку, то ClearEnergy ориентирован на АСУ ТП и SCADA-системы на электростанциях, водоочистных станциях и других предприятиях критической инфраструктуры.
Попав на систему, вымогатель сканирует ее на наличие уязвимых ПЛК с целью получить релейную диаграмму и отправить ее на удаленный сервер. ClearEnergy эксплуатирует известные уязвимости CVE-2017-6032 и CVE-2017-6034 в протоколе UMAS, используемом в продуктах Schneider Electric. Проблема связана с ненадежными ключами сессии и позволяет обойти механизмы аутентификации.
Вымогатель запускает таймер, активирующий процесс удаления релейной диаграммы со всех ПЛК. Если в течение часа жертва не заплатит требуемую сумму, начнется удаление.
Атаки на объекты критической инфраструктуры с использованием вымогательского ПО чреваты такими серьезными последствиями, как отключение электро-, тепло- и водоснабжения в целых населенных пунктах. По словам экспертов, критическая инфраструктура является одной из наиболее привлекательных целей для террористов, разного рода активистов, преступников и вражеских государств, поскольку атаки на предприятия будут иметь наибольший эффект.
Напомним, в феврале текущего года исследователи Технологического института Джорджии (США) разработали PoC-код вымогательского ПО, способный изменять параметры ПЛК.
Источник: Новости - SecurityLab.ru
