מהי מתקפת Evil PLC ומדוע היא מסכנת את המערכות התפעוליות?
דניאל ארנרייך, יועץ ומרצה ויו"ר כנס ICS-CYBERSEC 2022 שיערך בנובמבר הקרוב בהפקת אנשים ומחשבים, מסביר על הטכניקה החדשנית שנחשפה באחרונה על ידי חוקרי קלארוטי הישראלית
החוקרים של חברת קלארוטי (Claroty) בישראל זיהו לאחרונה טכניקה חדשנית שנקראת Evil PLC Attack, המאפשרת לבקרים מתוכנתים (PLC) לסכן את התפקוד של המערכת, כך שיתרחש תהליך ההתקפה נגד תחנת עבודה הנדסית. ברגע שתוקף מקבל גישה למחשב ההנדסה, הוא יכול לגרום נזקים למערכת הבקרה התעשייתית (ICS).
מצב מסוכן כזה יכול לקרות מכיוון שבארגונים רבים אין בעלי מומחיות בתחום זה וחייבים לערב קבלני משנה, אשר לעתים קרובות מתחזקים מערכות בקרה רבות
המחקר המסוים מתייחס למספר ספקים מובילים של מערכות תפעוליות כמו Rockwell Automation, Schneider Electric, GE, Emerson וכדומה. המאמר מתאר בבירור תהליך שבו מהנדסי שירות של מערכות בקרה מאבחנים פעולה לא שגרתית של בקרי PLC וכך מתחילה התקיפה.
תיאור וקטור ההתקפה
החוקרים של קלארוטי גם הסבירו שבהתקפה הספציפית הזו, נגד מערכת תפעולית ICS, במקום למקדת את הפגיעה בבקר PLC, התקיפה הופכת למעשה את הבקר לכלי תקיפה(!). בהמשך, הבקר ה'תוקף' מאפשר גישה לכל בקר במערכת ולכל המחשבים המקושרים לרשת הבקרה ומצב זה מאפשר תנועה רוחבית בתוך הרשת. כאשר זה קרה, איש השירות היה מתחבר אל לתחנת העבודה ההנדסית, כדי לנתח את הבעיה. התקפה זו אפשרית מכיוון שהנתונים המגיעים מהבקר נחשבים למהימנים ובשל העובדה שרשתות הבקרה הן 'בלתי מאובטחות בתכנון'.
יתר על כן, ברשתות בקרה רבות אשר חשופות גם לאינטרנט יש מחשבים ובהם חסרות פונקציות של אימות והרשאה. כתוצאה מכך, תוקף שיצליח לגשת למערכת ולבקר מסוים עלול לשנות את הפרמטרים שלו ואת כל תהליך הפעולה. התקיפה עבור תחנות עבודה מסחרית, יכולה להיות קלה יותר. לאחר השלמת הגישה, התוקפים עלולים ליצור קוד זדוני שונה לכל PLC.
חוקרי קלארוטי הגיעו גם למסקנה שבאמצעות תהליך כזה תוקפים יכולים לכוון גם אינטגרטור של מערכות וספקי שירותים, כיוון שאלה ניגשים לעתים קרובות לתחנת ההנדסה לצורך עדכוני תוכניות. מצב מסוכן כזה יכול לקרות מכיוון שבארגונים רבים אין בעלי מומחיות בתחום זה וחייבים לערב קבלני משנה, אשר לעתים קרובות מתחזקים מערכות בקרה רבות.
תוקפים יצירתיים שעורכים מחקרים 'מחוץ לקופסה'
כדי להקטין סיכון זה, תקן ISA/IEC 62443 ממליץ על הפרדה חזקה בין רשת מערכות מידע שחשופה לאינטרנט וגם ממליץ להגביל את הגישה רק לקבוצה קטנה של בקרים ותחנות עבודה הנדסיות. שימוש באימות חזק מאפשר לאמת את המחשב המתחבר ואת איש השירות, מה שמקטין באופן ניכר את משטח ההתקפה ואת האפשרות של חדירה לרשת הבקרה.
אנו נחשפים כל הזמן לתוקפים יצירתיים שעורכים מחקרים 'מחוץ לקופסה' ועל ידי כך מזהים נקודות תורפה חדשות. מומחי אבטחת סייבר למערכות תפעוליות מצפים לגידול בכמות וקטורי תקיפה, וספקים רבים יידרשו להתמודד עם המצב הזה.
חשוב לדאוג לעדכון תקופתי עבור כל המוצרים והתוכנות, ולפרוס הפרדה ואמצעי הגנה משלימים. הצוותים המקצועיים בארגונים שעוסקים בהגנת סייבר על תהליכים תפעוליים חייבים לשתף עם כלל הגורמים בארגון, במטרה להבטיח את האמינות והתפוקה (SRP) ולמנוע יצירת סיכוני סייבר חמורים.
הכנס השביעי הבינלאומי Cybersec 2022 OT IIoT ICS של אנשים ומחשבים, יתמקד באופן פרטני בנושאים אלה ויכלול מרצים וצופים מישראל ומחו"ל. הכנס מתוכנן להתקיים בלאגו ראשל"צ ב-20 בנובמבר הקרוב.
הכותב הוא יועץ ומרצה ויו"ר כנס ICS-CYBERSEC 2022
תגובות
(0)