Γερμανοί ερευνητές από την OpenSource Security (OSS) έχουν δημιουργήσει ένα proof-of-concept worm που στοχεύει programmable logic controllers (PLCs), κρίσιμο ICS/SCADA εξοπλισμό.
Η έρευνά τους βασίζεται σε προηγούμενη εργασία από Γερμανούς συναδέλφους ερευνητές, οι οποίοι παρουσίασαν στο Black Hat USA συνέδριο πέρυσι μια θύρα σαρωτή (port scanner) που μπορεί να εντοπίσει -προσβάσιμα μέσω Διαδικτύου– PLCs.
Η ομάδα της OSS με επικεφαλή τον Ralf Spenneberg έχει δημιουργήσει ένα wοrm, έναν αυτο-πολλαπλασιαζόμενο ιό υπολογιστών, που μπορεί να ζήσει στις μικρές μνήμες των PLC συσκευών, να σαρώσει το τοπικό δίκτυο και να εξαπλωθεί και σε άλλες παρόμοιες συσκευές.
Στον proof-of-concept κώδικά τους, οι ερευνητές δημιούργησαν έναν ιό που μπορεί να μολύνει τα Siemens SIMATIC S7-1200 PLCs. Με το παρατσούκλι PLC-Blaster, το wοrm αυτό θα σαρώσει το τοπικό δίκτυο μέσω της θύρας 102, από κοινού με τις συσκευές της Siemens και το Inter-Control Center Communications Protocol (ICCP), ώστε να βρει νέους στόχους για να αντιγράψει τον εαυτό του.
Μετά τον εντοπισμό ενός νέου στόχου, ο ιός τύπου worm κλείνει τη συσκευή, αντιγράφει τον κώδικα και κάνει επανεκκίνηση. Οι ερευνητές λένε ότι η ίδια η διαδικασία μόλυνσης λειτουργεί επειδή το worm μιμείται τη Siemens TIA-Portal και επίσης αξιοποιεί μια ευπάθεια που έχει ήδη επιδιορθωθεί από τη Siemens.
Οι ερευνητές λένε ότι αυτό το είδος των επιθέσεων θα χρειαστούν τον κακόβουλο δράστη να έχει πρόσβαση στο ευάλωτο δίκτυο ή να θέσει σε κίνδυνο τα PLCs πριν τα αποστείλει στους πελάτες τους.
Μόλις εγκατασταθεί σε ένα βιομηχανικό δίκτυο, το PLC-Blaster εκτελείται, εξαπλώνεται σε άλλες συσκευές και στη συνέχεια, μπορεί να εκτελέσει και άλλα είδη κακόβουλου κώδικα που μπορεί να βλάψουν τον εξοπλισμό SCADA ή να δημιουργήσουν ένα DoS (Denial of Service) στον κρίσιμο εξοπλισμό.
Οι ερευνητές αναφέρουν επίσης ότι το worm τους μπορεί εύκολα να τροποποιηθεί ώστε να στοχεύσει και άλλους τύπους PLCs, αλλά ότι είναι και εύκολο να ανιχνευθούν, χάρη στην υποχρεωτική διακοπή των δέκα δευτερολέπτων που απαιτούνται ώστε το worm να αντιγράψει τον εαυτό του.
Αποκαθιστώντας τη συσκευή SCADA όπου το PLC έχει αναπτυχθεί δεν θα βοηθήσει μιας και το worm είναι αποθηκευμένο στον ίδιο τον controller. Η μόνη μέθοδος για την απομάκρυνση της απειλής είναι να εκτελεστεί επαναφορά των εργοστασιακών ρυθμίσεων.
Περισσότερες λεπτομέρειες σχετικά με τη λειτουργία PLS-Blocker λειτουργίας μπορούν να βρεθούν στο research paper και στην Black Hat Asia 2016 παρουσίαση.
