Evil PLC という攻撃シナリオ:武器化した PLC から OT/IT ネットワークを侵害

New Evil PLC Attack Weaponizes PLCs to Breach OT and Enterprise Networks

2022/08/16 TheHackerNews — サイバーセキュリティ研究者たちが作り上げたのは、PLC (programmable logic controllers) を武器にしてエンジニアリング・ワークステーションに最初の足場を築き、その後に OT (operational technology) ネットワークに侵入するという新しくて精巧な攻撃手法である。 産業用セキュリティ企業の Claroty が Evil PLC 攻撃と名付けた、この課題は、Rockwell Automation/Schneider Electric/GE/B&R/Xinje/OVARRO/Emerson などのエンジニアリング。ワークステーション・ソフトウェアに影響を与えるものである。

PLC は、重要なインフラ分野の製造プロセスを制御する、産業用機器における重要なコンポーネントである。PLC は、自動されたタスクを指揮するほか、プロセスの開始/停止や、アラームの発生などを行うよう設定されている。

したがって、PLC が提供する確立されたアクセスを狙って、物理的な混乱を目的とした、Stuxnet から PIPEDREAM (別名 INCONTROLLER) にいたる攻撃において、 10 年以上にわたり攻撃の焦点となってきたことに驚くべきことはない。

Claroty は、「これらのワークステーション・アプリケーションは、多くの場合において、OT ネットワークと IT ネットワークの橋渡し役となっている。したがって、エンジニアリング・ワークステーションの脆弱性の悪用に成功した攻撃者は、簡単に内部ネットワークへと移動し、システム間を横方向に移動し、他の PLC などへとアクセス範囲を広げていく」と述べている。

今回の Evil PLC を用いた攻撃では、コントローラが手段として機能し、脅威者はワークステーションに侵入した後に、ネットワーク上の他の全ての PLC にアクセスし、それらの制御ロジックを改ざんできる。

研究者たちは、「つまり、PLC を基点として、PL Cのプログラミングや診断を行うエンジニアを攻撃し、OT ネットワークの深部へアクセスすることが狙いだ」と述べている。

一連の流れは、以下のようになる。このシナリオで敵対者は、インターネットに公開された PLC に故意に故障を誘発する。この動作により、疑いを持たないエンジニアは、トラブルシューティング・ツールとしてエンジニアリング・ワークステーションのソフトウェアを使用し、感染した PLC に接続するように促される。

次の段階でエンジニアは、既存の PLC ロジックの作業コピーを取得するために、アップロード操作を行う。すると、悪意の行為者は、そのプラットフォームで特定された未発見の欠陥を利用し、ワークステーション上で悪質なコードを実行する。

研究者たちは、「PLC 自体ではなく、エンジニアリング・ソフトウェアが使用する、追加のタイプのデータを PLC が保存することになる。したがって、PLC に保存された未使用のデータを変更することで、エンジニアリング・ソフトウェアを操作できるというシナリオが作成される。大半のケースにおいて、PLC からのデータが完全に信頼されるが、ソフトウェアによる広範なセキュリティチェックは行われていない。したがって、そこに存在する脆弱性が悪用される」と指摘している。

別の理論的な攻撃シナリオでは、Evil PLC をハニーポットとして使用することも可能だ。脅威者をおとり PLC への接続に誘い出し、攻撃者のマシンを危険な状況へと導くこともできるという。

さらに Claroty は、インターネットに露出する産業用制御システム (ICS : industrial control system)にはセキュリティ保護がないため、脅威アクターによる不正なダウンロードなどで、簡単にロジックを変更できることも指摘している。

このような攻撃を軽減するためには、PLC に対する物理的アクセスとネットワーク・アクセスを、許可されたエンジニアとオペレーターに限定することが推奨される。また、エンジニアステーションを検証するための認証メカニズムを導入すること、OT ネットワーク・トラフィックの監視により異常な活動を確認すること、タイムリーにパッチを適用することなども推奨される。

OT キルチェーンの研究が進んできましたね。6月1日には「R4IoT キルチェーン実証概念:IoT/IT からの侵入と OT へのランサムウェア攻撃を簡潔に証明」という記事もありました。また、具体的な攻撃経路としては、6月18日の「PLC/HMI パスワード・クラッキング・ツールによるマルウェア配信とは?」があります。よろしければ、カテゴリ ICS も、ご利用ください。

%d bloggers like this: