В рамках конференции Black Hat USA исследователи из OpenSource Security представили PoC-код червя, который поражает автоматизированные системы управления производством. PLC-Blaster способен автоматически обнаруживать и инфицировать программируемые логические контроллеры (ПЛК).
Червь предназначен для заражения ПЛК Siemens SIMATIC S7-1200. Согласно заверению представителей Siemens, PLC-Blaster не эксплуатирует уязвимости в продуктах компании. Как сообщил ИБ-эксперт из OpenSource Security Майк Брюггеман (Maik Brüggemann), подобное вредоносное ПО является угрозой для любых промышленных сетей.
«Такие угрозы являются новыми для использующих промышленные контроллеры компаний, которые, как правило, защищены от внешних атак. Нет ничего невероятного в том, что червь для ПЛК может распространяться поставщиком компонентов или внутренне, поэтому беспокоиться следует не только Siemens. Черви представляют собой новую угрозу для любых промышленных сетей», - цитирует Брюггемана издание Threatpost.
В ходе Black Hat USA эксперт продемонстрировал, как злоумышленник с физическим или сетевым доступом к ПЛК может инфицировать сеть червем и осуществить целый ряд различных атак. Хакер также может запрограммировать зараженные ПЛК таким образом, чтобы они автоматически подключались к подконтрольному ему C&C-серверу, и управлять контроллерами удаленно (в случае, если они подключены к интернету).Атаки с использованием PLC-Blaster возможны из-за уязвимостей в консоли управления ПЛК под названием TIA Portal. Две из них затрагивают функции Knowhow Protection и Copy Protection, используемые для управления паролями доступа и серийными номерами. Благодаря уязвимостям злоумышленник может читать и модифицировать блоки кода, связанного с хешированными паролями и серийными номерами, обойти механизмы защиты TIA Portal и загрузить PLC-Blaster.
Червь предназначен для заражения ПЛК Siemens SIMATIC S7-1200. Согласно заверению представителей Siemens, PLC-Blaster не эксплуатирует уязвимости в продуктах компании. Как сообщил ИБ-эксперт из OpenSource Security Майк Брюггеман (Maik Brüggemann), подобное вредоносное ПО является угрозой для любых промышленных сетей.
«Такие угрозы являются новыми для использующих промышленные контроллеры компаний, которые, как правило, защищены от внешних атак. Нет ничего невероятного в том, что червь для ПЛК может распространяться поставщиком компонентов или внутренне, поэтому беспокоиться следует не только Siemens. Черви представляют собой новую угрозу для любых промышленных сетей», - цитирует Брюггемана издание Threatpost.
В ходе Black Hat USA эксперт продемонстрировал, как злоумышленник с физическим или сетевым доступом к ПЛК может инфицировать сеть червем и осуществить целый ряд различных атак. Хакер также может запрограммировать зараженные ПЛК таким образом, чтобы они автоматически подключались к подконтрольному ему C&C-серверу, и управлять контроллерами удаленно (в случае, если они подключены к интернету).Атаки с использованием PLC-Blaster возможны из-за уязвимостей в консоли управления ПЛК под названием TIA Portal. Две из них затрагивают функции Knowhow Protection и Copy Protection, используемые для управления паролями доступа и серийными номерами. Благодаря уязвимостям злоумышленник может читать и модифицировать блоки кода, связанного с хешированными паролями и серийными номерами, обойти механизмы защиты TIA Portal и загрузить PLC-Blaster.
