Os controladores lógicos programáveis (PLCs, Programmable Logic Controllers) têm sido utilizados por cibercriminosos como forma de modificar os processos que eles supervisionam, causar interrupções, danos físicos e ameaçar a segurança pessoal. Mas um novo método de exploração dessa tecnologia pode torná-la uma vulnerabilidade ainda pior.
Pesquisadores do Claroty Team82, braço de pesquisas da Claroty, estudaram uma nova forma de ataque, denominada por eles de Ataque Evil PLC. Geralmente, os PLCs são a ponte entre as redes de tecnologia operacional e as redes corporativas. Um invasor, capaz de comprometer e explorar vulnerabilidades em uma estação de trabalho de engenharia, pode facilmente passar para a rede interna, mover-se lateralmente entre os sistemas e obter mais acesso a outros PLCs e sistemas sensíveis.
O ataque tem como alvo engenheiros que trabalham diariamente em redes industriais, configurando e solucionando problemas de PLCs para garantir a segurança e a confiabilidade dos processos em setores críticos, como serviços públicos, de eletricidade, água e esgoto, indústria pesada, manufatura e automotivo, entre outros.
A pesquisa sobre o Ataque Evil PLC resultou em explorações de prova de conceito em sete empresas de automação líderes de mercado, incluindo Rockwell Automation, Schneider Electric, GE, B&R, XINJE, OVARRO e Emerson. A maioria das empresas afetadas corrigiu ou mitigou as vulnerabilidades descobertas pelo Claroty Team82 em seus respectivos produtos, conforme listagem publicada no site do Claroty Team82.
Explicando o Ataque Evil PLC
As redes OT podem ter dezenas de PLCs supervisionando os processos industriais. Assim, um invasor que queira interromper fisicamente um processo precisaria primeiro realizar uma extensa enumeração desses controladores, para identificar qual deles seria o alvo ideal.
O Ataque Evil PLC transforma os PLCs em ferramentas e não em alvo. Ao armar um PLC, um invasor pode comprometer a estação de trabalho de engenharia, que é a melhor fonte de informação relacionada ao processo e, portanto, teria acesso a todos os outros PLCs na rede. Com esse acesso e informação, o invasor pode facilmente alterar a lógica de qualquer PLC.
O truque seria atrair um engenheiro para se conectar com um PLC comprometido, sendo que o modo mais rápido seria a causa de uma falha no PLC. Esse é um cenário típico, ao qual um engenheiro responderia e se conectaria, usando o seu aplicativo de estação de trabalho de engenharia como uma ferramenta de solução de problemas.
Essa foi a abordagem do Claroty Team82. Quando os pesquisadores decidiram pesquisar o novo vetor de ataque, encontrando vulnerabilidades em cada uma das sete plataformas de estação de trabalho de engenharia que permitiram armar o PLC de uma maneira que, quando um procedimento de upload fosse realizado, ele envolveria a transferência de metadados, configurações e código de texto do PLC para a estação de trabalho de engenharia.
Dessa forma, os dados auxiliares, especificamente criados, fariam com que a estação de trabalho de engenharia executasse o código malicioso.
