Специалисти разкриха нов метод за компрометиране на мрежата на критични инфраструктури

0
26


Специалисти по информационна защита нерядко повтарят, че има няколко неща, които не трябва да получават мрежов достъп, като оръжията и критично важната инфраструктура. Макар и да има множество доказателства за това, че киберпрестъпни групировки и обикновени хакери ентусиасти са прониквали в мрежите на критично важни обекти, засега няма и да се надяваме никога да не чуем за инцидент довел до смъртен случай. Един от най-често привежданите случаи за пробив в системите на подобен обект е атаката към ядрените мощности в Натанц, Иран преди десетина години. Зловредният код обаче, който бива доставен към Натанц и обърква въртенето на центрoфугите, обогатяващи уран е доставен локално, тъй като те са били лишени от мрежов достъп. Все по-често обаче водни, електрически и друг тип централи получават мрежова свързаност. Специалисти като Евгений Касперски не престават да тръбят за опасностите от възможността киберпрестъпници да причинят немислими щети чрез доставянето на зловреден код към тях. Любопитен момент е, че именно атаката към Натанц изиграва ролята на червена лампа за индустрията, която до този момент смята подобна възможност за спекулативна измислица, за което свидетелства и Ким Зетър в книгата си Count Down to Zero Day. Тази седмица дойде потвърждение за този род опасности от група академични специалисти – възможността интернет червей да си пробие път към глобални ключови инфраструктури и техните доставчици.

Въпросната атака, за която съобщават Ралф Спенеберг, Марк Брюгеман и Хендрик Швартке от OpenSource Security, германска компания, предоставяща консултантски услуги в областта на информационната сигурност, засяга атака посредством червей насочен към програмируеми логически контролери (programmable logic controller, PLC). За разлика от Stuxnet – червея, с който бе атакуван Натанц – и който беше изпуснат, атакувайки потребителски системи в Азия и Европа – пропуск, който доведе до откриването му, програмата на специалистите не засяга други компютърни устройства. „Нашият PLC червей сканира за и компрометира версии 1 до 3 на PLC системи от модела Siemens Simatic S7-1200 без външна намеса – няма нужда от допълнителен хардуер или PC за доставката му”, споделят те в доклада си. Според тях това ще направи изключително трудно засичането на заплахата и задържането ѝ от това да се разпространи към други сходни системи. Става дума за зловреден код, който е въведен предварително в PLC система – като бекдор функционалност – при производството ѝ или по пътя на доставката ѝ.

„Един такъв червей представлява опасност от нов тип за индустриалните мрежи. Традиционно тези мрежи са защитени от атаки отвън. Посредством инсталирането на вече компрометирана PLC система, контролерът става източник на атаката, а не просто мишена. Инфектирани контролери могат да бъдат доставени    посредством доставка на индустриален компонент или по време на доставката на този компонент. След това червеят може да се разпространи в мрежата, като при целия процес не се изисква намесата на сървър или стандартен персонален компютър. Следователно няма да бъде засечен от антивирусен продукт”, споделят авторите на доклада.

Пълните разкрития на изследването може да откриете тук (pdf).

ДОБАВИ КОМЕНТАР

Коментирай това преди всички други

Извести ме за
avatar