Бомба замедленного действия: промышленные веб-интерфейсы становятся новой мишенью хакеров

Учёные из Технологического института Джорджии представили новый метод разработки вредоносного ПО для программируемых логических контроллеров ( ПЛК ), который оказывается куда более гибким, устойчивым и влиятельным, чем любые текущие решения.

Схема позволяет вредоносному ПО скрытно атаковать реальную технику с использованием легитимных интерфейсов веб-приложений, предоставляемых административным порталом.

Такие атаки включают фальсификацию показаний датчиков, отключение сигналов безопасности и манипулирование физическими актуаторами. Исследование показало, что предложенная атака актуальна для любых ПЛК, произведённых крупными производителями.

Данный подход имеет значительные преимущества перед существующими методами атак на ПЛК, такими как независимость от платформы, простота развёртывания и более высокие уровни устойчивости.

«В то время как предыдущие атаки на ПЛК заражали либо контрольную логику, либо прошивку, наше вредоносное ПО заражает исключительно веб-приложение, размещённое на встроенных веб-серверах в ПЛК», — сообщили исследователи.

«Мы считаем, что это совершенно новый класс вредоносного ПО для ПЛК, который только предстоит исследовать. Мы называем его веб-ориентированным вредоносным ПО», — сказал в заявлении для прессы Райан Пикрен, аспирант кафедры электротехники и компьютерной инженерии Технологического института Джорджии.

Исследователи также объяснили, что само появление веб-технологий в промышленных системах управления вводит совершенно новые проблемы безопасности, о которых никто даже не думал раньше.

«В зависимости от того, насколько ПЛК управляет производственным процессом, наша атака потенциально может привести к катастрофическим инцидентам или даже гибели людей», — сообщают исследователи.

Разработанный подход куда проще в развёртывании, чем типичные атаки на промышленные или инфраструктурные системы, которые обычно требуют некоторого уровня доступа или физического присутствия.

Кроме того, использование веб-интерфейсов сильно затрудняет обнаружение атаки и даже позволяет хакерам стирать все следы своего присутствия. Вредоносное ПО также может самовосстанавливаться, если операторы решат сбросить контроллеры или заменить оборудование из-за выявленного сбоя.

Исследователи также предложили несколько рекомендаций по защите от веб-ориентированного вредоносного ПО для ПЛК, включая шаги, которые могут предпринять разработчики браузеров для предотвращения публичного доступа к частным сетям, и изменения архитектуры веб-серверов. Они также очертили шаги, которые могут предпринять сами производители ПЛК для защиты своих устройств от этого нового вида атак.

«Нам нужно пересмотреть архитектуры, протоколы, развёртывание, которые у нас есть: как мы можем сделать их более безопасными, не отказываясь от тех преимуществ, которые даёт нам веб-взаимодействие», — сказал соавтор исследования Саман Зонуз.

«Интернет — это огромное поле для атак, но ведь это не значит, что мы должны отключить Интернет. Это означает, что мы должны сделать его более безопасным. То же самое справедливо и для сферы промышленных ПЛК», — подытожили исследователи.