Złośliwe oprogramowanie ICS/SCADA może uszkodzić infrastrukturę krytyczną
Stany Zjednoczone ostrzegają, złośliwe oprogramowanie ICS/SCADA może uszkodzić infrastrukturę krytyczną
Wykonana na zamówienie, modułowa struktura ataku ICS może być wykorzystana do zakłócania i niszczenia urządzeń w środowiskach przemysłowych
Departament Energii (DOE), Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), Agencja Bezpieczeństwa Narodowego (NSA) i Federalne Biuro Śledcze (FBI) publikują wspólne oświadczenie w zakresie cyberbezpieczeństwa (CSA), aby ostrzec, przed niezidentyfikowaną grupą APT. Hakerzy mogą uzyskać pełny dostęp systemowy do wielu urządzeń przemysłowych systemów sterowania (ICS)/ SCADA -system informatyczny nadzorujący przebieg procesu technologicznego lub produkcyjnego. Grupa APT stworzyła specjalistyczne narzędzia zdolne do spowodowania poważnych szkód w sterownikach Schneider Electric (PLCs) MODICON i MODICON Nano, w tym TM251, TM241, M258, M238, LMC058 i LMC078. OMRON Sysmac NJ i NX, w tym NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK i R88D-1SN10F-ECT oraz serwerach opartych na platformie Unified Architecture (OPC UA).
” Po ustanowieniu dostępu do sieci OT, narzędzia umożliwiają skanowanie, naruszanie i kontrolowanie urządzeń, których dotyczy problem. Ponadto hakerzy mogą przejąć kontrolę nad inżynierskimi stacjami roboczymi, opartymi o system Windows, znajdującymi się w środowiskach informatycznych (IT) lub OT. Wykorzystywany jest exploit, naruszający sterownik płyty głównej ASRock ze znanymi lukami w zabezpieczeniach „- ostrzegły agencje.
„Utrzymując pełny dostęp do systemu i urządzeń ICS / SCADA, grupa APT może utworzyć konta uprzywilejowane, swobodnie poruszać się w środowisku OT i zakłócać krytyczne urządzenia lub funkcje”.
Prywatna firma Dragos, zajmująca się bezpieczeństwem ICS, wydała osobne oświadczenie dokumentujące to, co jest obecnie siódmym znanym złośliwym oprogramowaniem specyficznym dla przemysłowego systemu kontroli (ICS). „To jest modułowa struktura ataku ICS, którą przeciwnik może wykorzystać do spowodowania zakłóceń, degradacji, a nawet zniszczenia w zależności od celów i środowiska” – wskazał Dragos.
Dragos, który nazywa złośliwe oprogramowanie „PIPEDREAM” wskazał, że połączone komponenty w niestandardowym narzędziu mogą pozwolić atakującym na wyliczenie środowiska przemysłowego, infiltrację inżynieryjnych stacji roboczych, wykorzystanie kontrolerów procesów, strefy bezpieczeństwa i procesów, zasadniczo wyłączyć kontrolery oraz manipulować wykonywaną logiką i programowaniem. „Wszystkie te możliwości mogą prowadzić do utraty bezpieczeństwa, dostępności i kontroli nad środowiskiem przemysłowym, dramatycznie wydłużając czas powrotu do pełnej funkcjonalności, jednocześnie potencjalnie narażając przy tym życie społeczności” – wskazało Dragos.
Amerykańskie agencje rządowe potwierdziły ocenę Dragos, ostrzegając, że narzędzia mają wirtualną konsolę z interfejsem poleceń, który odzwierciedla interfejs docelowego urządzenia ICS / SCADA.
„Grupa APT może wykorzystać moduły do skanowania w poszukiwaniu docelowych urządzeń, prowadzenia rekonesansu uzyskując szczegółowe informacje o urządzeniach, mogą przesyłać złośliwą konfigurację, kod do docelowego urządzenia, tworzyć kopię zapasową lub przywracać zawartości urządzenia oraz modyfikować parametry urządzenia.”
Rząd zauważył również, że narzędzie jest wykorzystywane do użycia znanej podatności na ataki sterownika płyty głównej ASRock, wykorzystując CVE-2020-15368 do wykonania złośliwego kodu w jądrze systemu Windows. „Pomyślne wdrożenie tego narzędzia może pozwolić grupie APT poruszać się w środowisku IT lub OT i zakłócać krytyczne urządzenia lub funkcje” – wskazały agencje.
Zespoły reagowania na bezpieczeństwo powinny wymuszać uwierzytelnianie wieloskładnikowe dla wszystkich zdalnych dostępów do sieci i urządzeń ICS oraz korzystać z rozwiązania do ciągłego monitorowania OT, rejestrowania i ostrzegania o złośliwych wskaźnikach i zachowaniach. Wymagana jest również separacja systemów ICS/SCADA oraz ścisłe i rygorystyczne reguły ruchu sieciowego.