Промышленные контроллеры по-прежнему уязвимы к Stuxnet-атакам

Специалисты из подразделения Airbus CyberSecurity обнаружили уязвимость в программируемых логических контроллерах (ПЛК) Schneider Electric, эксплуатация которой позволяет киберпреступникам осуществить «Stuxnet-подобную» атаку. Продукты других поставщиков также могут быть уязвимы к данным атакам.

Stuxnet – вредоносная программа, нацеленная на компьютеры на базе операционной системы Microsoft Windows. Напомним, Stuxnet был использован в ходе тайной операции, известной как Olympic Games («Олимпийские Игры»), направленной на замедление развития ядерной программы Ирана. Операция представляла собой в основном совместную миссию стран США и Израиля, в которой участвовали АНБ, ЦРУ, Моссад, министерство обороны Израиля и израильское национальное подразделение SIGINT (эквивалент израильского АНБ).

Stuxnet стал первым компьютерным червем, который способен перехватывать и модифицировать поток данных между программируемыми логическими контроллерами марки SIMATIC S7 и рабочими станциями SCADA-системы SIMATIC WinCC фирмы Siemens. Вредоносная программа может использоваться злоумышленниками для несанкционированного сбора данных и диверсий в АСУ ТП промышленных предприятий, электростанций, аэропортов и пр.

Исследователи проанализировали ПЛК Schneider Electric Modneon M340 на предмет уязвимости к подобным атакам. Они смогли осуществить атаку с помощью инженерного программного обеспечения Schneider EcoStruxure Control Expert, ранее известного как Unity Pro.

Обнаруженную в ходе анализа опасную уязвимость (CVE-2020-7475) можно использовать для загрузки вредоносного кода в ПЛК Modicon M340 и M580 путем замены одной из DLL-библиотек, связанных с программным обеспечением для инженерных разработок. Stuxnet-атака может иметь серьезные последствия, в том числе нарушение производственных процессов и другие виды повреждений.

«Что еще интереснее с точки зрения IT, злоумышленник может превратить ПЛК в прокси-сервер. Это позволило бы ему отправлять запросы и общаться с сетью, к которой подключен ПЛК. Например, он может получить доступ к внутренней корпоративной сети для кражи интеллектуальной собственности или запуска атак на другие подключенные системы», — отметили эксперты.

Для осуществления атаки преступнику сначала необходимо получить доступ к периметру АСУ ТП целевой организации и иметь возможность подключиться к целевым ПЛК. Затем злоумышленнику нужно загрузить программу автоматизации из ПЛК. Это можно сделать со скомпрометированной инженерной станции или, если для ПЛК доступна любая система, по сети и без аутентификации. Затем злоумышленник должен перекомпилировать программу автоматизации и создать вредоносную программу, встраиваемую в законное программное обеспечение для автоматизации.

Наконец, необходимо загрузить измененную программу в ПЛК и запустить ее, но для этого необходимо остановить и запустить программное обеспечение для автоматизации. По словам экспертов, данная операция может быть замечена.

Schneider Electric выпустила исправление для EcoStruxure Control Expert и обновления прошивки для контроллеров Modicon M340 и M580. Как отметила компания, данная уязвимость также затрагивает продукты других поставщиков, однако их названия не были указаны.