Смоделированная атака была разработана для выявления уязвимостей в системах управления, используемых для работы промышленных объектов, таких как производственные предприятия, водоочистные сооружения и очистные сооружения, а также системы управления зданиями для управления эскалаторами, лифтами и системами отопления, вентиляции и кондиционирования воздуха. Это исследование, которое считается первым, демонстрирующим компрометацию реальных ПЛК с помощью программ-вымогателей, планируется представить 13 февраля на конференции RSA в Сан-Франциско.
Хотя о реальных атаках программ-вымогателей не сообщалось публично на компоненты управления процессами промышленных систем управления, атаки стали серьезной проблемой для данных пациентов в больницах и данных клиентов на предприятиях. Злоумышленники получают доступ к этим системам и шифруют данные, требуя выкуп за предоставление ключа шифрования, который позволяет использовать данные снова.По оценкам, в первом квартале 2016 года программы-вымогатели принесли злоумышленникам около 200 миллионов долларов, и исследователи считают, что взлом критически важных промышленных систем и удержание их для выкупа — лишь вопрос времени.
«Мы ожидаем, что программы-вымогатели пойдут на шаг дальше и выйдут за рамки клиентских данных, чтобы поставить под угрозу сами системы управления», — сказал Дэвид Формби, доктор философии. студент Технической школы Джорджии по электротехнике и компьютерной инженерии. «Это может позволить злоумышленникам удерживать в заложниках критически важные системы, такие как водоочистные сооружения и производственные мощности. Взлом программируемых логических контроллеров (ПЛК) в этих системах — следующий логический шаг для этих злоумышленников».
По словам Рахима Бейя, профессора Фонда Motorola, доцента Школы электротехники и вычислительной техники и научного консультанта Формби, во многих системах управления производством отсутствуют надежные протоколы безопасности. Вероятно, это связано с тем, что эти системы до сих пор не подвергались атакам программ-вымогателей, а их уязвимости могут быть недостаточно понятны операторам.Формби и Бейя использовали специализированную поисковую программу, чтобы найти 1400 ПЛК одного типа, которые были напрямую доступны через Интернет.
Но большинство таких устройств находится за бизнес-системами, которые обеспечивают определенный уровень защиты — до тех пор, пока они не будут взломаны. Как только злоумышленники попадают в бизнес-систему, они могут развернуться, чтобы проникнуть в системы управления, если они не защищены должным образом.«Многие системы управления предполагают, что, получив доступ к сети, вы имеете право вносить изменения в системы управления», — сказал Формби. «У них могут быть очень слабые политики паролей и политики безопасности, которые могут позволить злоумышленникам получить контроль над насосами, клапанами и другими ключевыми компонентами промышленной системы управления».В прошлом системы управления не были предназначены для подключения к Интернету, и многие пользователи систем предполагают, что они не находятся в общедоступной сети и, следовательно, не подвержены атакам.
Системы управления также могут иметь соединения, которые неизвестны операторам, включая точки доступа, установленные для обслуживания, устранения неполадок и обновлений.«Есть распространенные заблуждения о том, что подключено к Интернету, — сказал Формби. «Операторы могут полагать, что их системы имеют воздушные зазоры и что нет возможности получить доступ к контроллерам, но эти системы часто каким-то образом связаны».Чтобы начать исследование, исследователи определили несколько распространенных ПЛК, используемых на промышленных предприятиях.
Они получили три разных устройства и протестировали их настройки безопасности, включая защиту паролем и восприимчивость к изменениям настроек. Затем устройства были объединены с насосами, трубками и резервуарами для создания модели водоочистного сооружения. Вместо хлора, который обычно используется для дезинфекции воды, исследователи использовали йод. Они также добавили крахмал в свой запас воды, который стал ярко-синим, когда имитирующая атака добавила в него йод.
«Мы смогли смоделировать хакера, который получил доступ к этой части системы и держит ее в заложниках, угрожая сбросить большое количество хлора в воду, если оператор не заплатит выкуп», — сказал Формби. «В нужном количестве хлор дезинфицирует воду и делает ее безопасной для питья. Но слишком много хлора может вызвать плохую реакцию, которая сделает воду небезопасной».
Уязвимости в системах управления известны уже более десяти лет, но до появления программ-вымогателей злоумышленники не могли получить финансовую выгоду от компрометации систем. По мере того, как другие цели вымогателей становятся все более сложными, Бейя считает, что злоумышленники могут обратиться к более легким целям в промышленных системах управления.«Вполне вероятно, что операторы национального государства уже знакомы с этим и проводят атаки, которые они могут использовать в политических целях, но обычные злоумышленники не проявляют интереса к этим системам», — сказал он. «Что мы надеемся сделать, так это привлечь внимание к этой проблеме.
Если мы сможем успешно атаковать эти системы управления, это могут сделать и другие с дурными намерениями».По словам Бейя, помимо повышения безопасности паролей и ограничения подключений операторам этих устройств необходимо установить системы мониторинга вторжений, чтобы предупреждать их, если злоумышленники находятся в сетях управления технологическими процессами.
Бейя и Формби основали компанию, чтобы сделать свои стратегии защиты систем общедоступными для операторов систем управления.