新闻动态

News information

升级版Stuxnet式PLC恶意软件,可以针对关键基础设施进行破坏

<<返回

2024年03月21日 08:00

越来越多的工业控制系统里的“大脑”——可编程逻辑控制器(PLC),都开始用上了嵌入式Web服务器。这本是为了方便远程监控和管理,但没想到也给那些想搞破坏的攻击者提供了机会。他们可以通过网络远程攻击这些PLC,就像对工业控制系统“下黑手”一样,而且一旦攻击成功,后果可能是灾难性的。


为了让大家明白这种威胁有多严重,佐治亚理工学院的一个研究团队专门制作了一种恶意软件。这种软件能让攻击者远程“黑”进PLC里的嵌入式Web服务器,然后悄悄对工厂里的机器动手脚。他们可以用这个软件控制机器的动作,让机器做出错误的反应;还能改变传感器的读数,让工人误以为一切正常;更可怕的是,他们还能关掉安全系统,让整个工厂处于危险之中。一旦攻击成功,后果不堪设想,可能会造成机器损坏、生命损失等严重后果。


640.jpg


PLC就像是工业控制系统(ICS)里的一名“指挥官”,它负责指挥工厂里的各种机器和物理过程。PLC会从各种传感器和其他设备那里接收信息,然后根据预先编好的命令来控制这些机器。但是,如果有人专门针对PLC制作恶意软件,那么这个“指挥官”就可能被“黑”掉,导致它发出的命令出错,进而影响整个生产流程。

过去,要攻击PLC和ICS系统,攻击者通常得亲自到现场或者通过网络进行一些操作,而且这种恶意软件往往只适用于某一种特定的机器,一旦被发现,通常恢复出厂设置就能解决。但佐治亚理工学院的研究人员发现了一种全新的攻击方式,这种基于Web的PLC恶意软件与之前的很不一样,它让攻击者能够远程攻击PLC,而且更难被发现和清除。

大多数 PLC 恶意软件通常会感染控制器的固件或控制逻辑,而新的基于 Web 的恶意软件会使用恶意 JavaScript 攻击 PLC 中的前端 Web 层,从而消除了此类恶意代码过去面临的一些限制。研究人员表明:“与现有的PLC恶意软件技术(控制逻辑和固件)相比,这种方法具有显着的优势,例如平台独立性,易于部署和更高水平的持久性。

但是,新菌株的网络攻击结果与其他成功的PLC攻击相同。例如,在价值10亿美元的Stuxnet运动中 - 一些人将其归咎于美国和以色列政府 - 攻击者以西门子PLC为目标,导致伊朗纳坦兹铀浓缩设施的高速离心机旋转得如此之快,以至于基本上将自己撕裂。

还有几次攻击事件让大家看到了黑客对控制工业设备的系统能造成多大的破坏。比如,2016年,俄罗斯的黑客就用了一种叫BlackEnergy的恶意软件,使得乌克兰的电网瘫痪了;在沙特阿拉伯的石化工厂,黑客用Triton/Trisis恶意软件攻击了施耐德的安全系统;另外,还有一套叫INCONTROLLER的恶意软件工具,专门用来攻击施耐德和欧姆龙的PLC。这些事件都告诉我们,黑客对工业控制系统的攻击越来越厉害,我们必须加强防范,保护这些重要的基础设施。

究人员为了测试这种新的网络攻击方式,设置了一个模拟场景。在这个场景里,他们像Stuxnet那样攻击了一种常用的PLC,这个PLC负责控制一个工业电机,就像铀浓缩过程中用来驱动离心机的那种电机。这种PLC和其他很多现代的PLC一样,都有一个基于Web的界面,可以用来远程监控、编程和配置。

在这个测试场景里,研究人员假设PLC所在的地方有一个工作站,这个工作站同时连接着业务网络和工业网络。他们还假设攻击者对这个PLC控制的物理过程有一些基本的了解,以及一些关于环境的其他非特定信息。

在论文里,研究者解释了攻击者是如何通过一些方法,把恶意代码远程注入到PLC的Web服务器里的。他们利用Web服务器的一些合法功能,也就是应用程序编程接口(API),来破坏底层的机器,从而得到对PLC的初步控制权。其中一个测试场景是这样的:攻击者骗ICS的操作员去访问一个恶意的网页,这个网页会自动把PLC恶意软件下载到PLC的Web应用程序里。这个恶意软件利用了研究者在Web应用程序里发现的三个之前没被发现的漏洞。

研究者开发的这种基于Web的PLC恶意软件,能让攻击者破坏PLC控制的工业电机,滥用管理设置来进一步搞破坏,还能窃取数据用于工业间谍活动。

研究者表明:“我们的Web PLC恶意软件是藏在PLC的内存里的,但最后是由ICS环境里各种有浏览器的设备在客户端执行的。恶意软件会利用这些设备浏览器的凭据,和PLC的合法Web API进行交互,来攻击底层的真实世界的机器。”他们说,这种恶意软件更容易部署和控制,而且大多数时候,跟机器型号关系不大。


六方云提醒用户警惕工业“大脑”遭恶意软件攻击
后果不堪设想!



在这个数字化飞速发展的时代,工业领域的“大脑”——可编程逻辑控制器(PLC),正扮演着越来越重要的角色。它们就像工厂里的“指挥官”,负责协调各种设备和机器,确保生产线的顺畅运行。然而,近年来,随着嵌入式Web服务器的广泛应用,PLC也面临着前所未有的安全威胁。

想象一下,如果工厂的“大脑”被恶意软件“入侵”,后果会有多严重?这些恶意软件就像狡猾的“黑客”,悄无声息地潜入PLC,操控着机器的运行。它们可以篡改执行器的输出信号,让机器做出错误的动作;它们还可以伪造传感器读数,让操作员误判实际情况;更可怕的是,它们还能禁用安全系统,让工厂陷入危险之中。一旦PLC受到攻击,整个生产线都可能陷入混乱。而且这些恶意软件还可能窃取PLC中存储的重要数据。这些数据是企业的核心机密,一旦被泄露,企业的竞争优势将荡然无存。而且,这些数据还可能被用于工业间谍活动,给企业的未来发展埋下隐患。

因此,六方云提醒工业互联网用户应高度重视PLC的安全问题。作为企业和个人,我们应该加强网络安全意识,了解潜在的安全威胁,并采取相应的防范措施,提升PLC的安全防护能力,确保它们能够抵御恶意软件的攻击。

在这个充满挑战和机遇的时代,我们不能让恶意软件成为工业领域的“隐形杀手”。让我们一起行动起来,守护好工业“大脑”的安全,为企业的稳健发展和社会的和谐稳定贡献力量!

信息来源:https://www.darkreading.com/ics-ot-security/improved-stuxnet-like-plc-malware-disrupt-critical-infrastructure



—【 THE END 】—