Uma equipe de pesquisadores do Georgia Institute of Technology nos EUA desenvolveu um malware projetado para atingir controladores lógicos programáveis (PLCs) modernos, em um esforço para demonstrar que ataques remotos do tipo Stuxnet podem ser lançados contra esses sistemas de controle industrial (ICS). O Stuxnet é um worm de computador projetado especificamente para atacar o sistema operacional SCADA desenvolvido pela Siemens e usado para controlar sistemas industriais.
Os pesquisadores publicaram um artigo detalhando este projeto de segurança do ICS. No caso de PLCs tradicionais, um invasor pode atingir a camada lógica de controle ou a camada de firmware. Os ataques de firmware podem fornecer um alto nível de controle do dispositivo e são difíceis de detectar, mas a implantação do malware pode ser difícil. O malware de lógica de controle é mais fácil de implantar, mas também mais fácil de se detectar. Ambos os cenários exigem que o invasor tenha acesso privilegiado à rede industrial da organização visada.
No caso de PLCs modernos, muitos incluem um servidor web e podem ser configurados, controlados e monitorados remotamente através de APIs (interfaces de programação de aplicações) dedicadas e um navegador web regular que serve como interface homem-máquina (HMI).
Embora esses PLCs modernos possam proporcionar muitos benefícios às organizações, os investigadores da Georgia Tech alertam que também podem expandir significativamente a superfície de ataque dos ICS.
Para demonstrar os riscos, os pesquisadores desenvolveram o que chamam de malware PLC baseado na web, que reside na memória do controlador, mas é executado no lado do cliente pelos dispositivos equipados com navegador presentes no ambiente ICS. O malware pode explorar as APIs web legítimas do PLC para causar interrupções nos processos industriais ou causar danos às máquinas.
Esse novo malware PLC pode ser fácil de implantar e difícil de detectar. A infecção inicial pode ser feita através de acesso físico ou de rede à HMI baseada na web alvo, mas o malware também pode ser implantado diretamente pela internet, sequestrando a HMI usando vulnerabilidades de origem cruzada.
Depois de implantado, os recursos do malware dependem do poder das APIs legítimas baseadas na web usadas, e algumas dessas APIs são muito poderosas. Por exemplo, eles podem ser aproveitados para substituir diretamente valores de entrada/saída, abusar de entradas de HMI, alterar pontos de ajuste e configurações de segurança, falsificar a exibição de HMI, atualizar configurações de administrador e até mesmo para exfiltração de dados em tempo real.
Os pesquisadores disseram que o malware também pode ter uma conexão de comando e controle (C&C), mesmo se o PLC alvo estiver em uma rede isolada.
Depois que o operador da ameaça executa as tarefas desejadas, ele pode encobrir seus rastros fazendo com que o malware se destrua, substitua a carga maliciosa por uma carga benigna, cancele o registro de todos os service workers e, potencialmente, até mesmo realize uma redefinição de fábrica do dispositivo.
Veja isso
PLCs em todo o mundo afetados por falhas RCE no Codesys V3
Siemens faz alerta sobre proteção fraca em chave de PLCs
Os pesquisadores demonstraram seu trabalho desenvolvendo um malware chamado IronSpider, que eles projetaram para atingir PLCs Wago. O ataque simulado envolveu a exploração de vulnerabilidades anteriormente desconhecidas para implantar o malware quando o operador visado olhava para um banner publicitário especialmente criado. O malware pode sabotar um motor industrial e causar danos enquanto falsifica a tela da HMI para exibir valores normais e evitar levantar suspeitas. O IronSpider foi comparado ao notório malware Stuxnet, que teve como alvo o programa nuclear do Irão há mais de uma década.
“O Stuxnet sabotou as instalações nucleares iranianas ao modificar o sinal de saída analógico para unidades de frequência variável que controlavam centrífugas de enriquecimento de urânio. Um resultado direto desta sabotagem foi a destruição física de mais de 1.000 centrífugas e uma redução de 30% na capacidade operacional das instalações”, afirmaram os investigadores no artigo.
Embora o ataque tenha sido demonstrado contra um produto Wago, os pesquisadores afirmam que esse tipo de malware também pode ser usado contra PLCs da Siemens, Emerson, Schneider Electric, Mitsubishi Electric e Allen Bradley. Os ataques contra esses controladores envolvem a exploração de vulnerabilidades recentemente descobertas ou previamente conhecidas. Em alguns casos, são necessárias senhas de FTP, protocolos inseguros ou informações internas para um ataque.
Para acessar o artigo dos pesquisadores do Georgia Institute of Technology na íntegra (em inglês) clique aqui.