Команда исследователей из Технологического института Джорджии создала proof-of-concept вымогателя, который способен подменять параметры программируемых логических контроллеров (Programmable Logic Controller, PLC). Свои наработки специалисты продемонстрировали на конференции RSA в Сан-Франциско.

Программируемые логические контроллеры — это настоящее сердце сетей АСУ (Автоматизированная система управления) и SCADA (Supervisory Control and Data Acquisition или «Диспетчерское управление и сбор данных»). Эти устройства получают информацию от физических систем, передают полученные данные в компьютерную сеть предприятия и преобразуют команды, поступающие от операторов, в механические движения или электрические сигналы. PLC-устройства контролируют моторы, помпы, сенсоры, лифты и эскалаторы, таймеры, входное напряжение, HVAC-системы и многое, многое другое.

В Технологическом институте Джорджии сумели создать экспериментальную малварь LogicLocker, которая умеет определять, если она запущена на компьютере с установленным PLC-софтом. В таком случае вредонос не только блокирует зараженное устройство, но также тайно изменяет параметры логического контроллера.

Гипотетический сценарий атаки в данном случае будет выглядеть так: злоумышленники заражают сеть водоочистного сооружения, изменяют параметры, чтобы в питьевую воду попало больше хлора или других химикатов, сделав воду непригодной, а затем требуют огромный выкуп за разблокировку компьютеров и восстановление PLC. Далее все зависит от количества пострадавших PLC-устройств и времени, которое потребуется на их перезагрузку вручную. Во многих случаях предприятию будет «удобнее» выполнить требования атакующих и оплатить выкуп, прежде чем отравленная вода дойдет до потребителей.

К счастью, на практике пока не было обнаружено ни одного подобного вредоноса, но исследователи убеждены, что их появление — лишь вопрос времени. По их мнению, вирусописатели вскоре переключатся с пользовательских данных на компрометацию самих контрольных систем.

«Это позволит атакующим “брать в заложники” критические системы, к примеру, водоочистные сооружения или промышленные предприятия. Компрометация программируемых логических контроллеров в таких системах – это логичный следующий шаг для злоумышленников», — говорят эксперты.

Все подробности о LogicLocker можно найти в официальном докладе группы (PDF). Исследователи пишут, что вымогатель использует API «родных» сокетов (native socket) на Schneider Modicon M241 для обнаружения уязвимых целей, а именно – логических контроллеров Allen Bradley MicroLogix 1400 и Schneider Modicon M221. Затем вредонос обходит «слабый механизм аутентификации» этих устройств, блокирует легитимных пользователей и подбрасывает им «логическую бомбу».

Также исследователи разместили на YouTube видео, демонстрирующее атаку. Ролик можно увидеть ниже.

Оставить мнение

Check Also

Промежуточные сертификаты позволяют следить за пользователями Firefox

Исследователь Александр Клинк установил, что промежуточные сертификаты можно использовать …