نفوذ به فرآیندهای صنعتی با استفاده از یک روت‌کیت PLC غیرقابل‌شناسایی

۱۸۷۷دو محقق امنیتی طی تحقیقات خود یک روت‌کیت PLC غیرقابل‌شناسایی را طراحی کرده‌اند که در همایش Black Hat Europe سال ۲۰۱۶ از آن رونمایی خواهد شد.

امروزه صنایع انرژی بطور مداوم مورد حملات مجازی هستند و از طرف دیگر مجرمان فضای مجازی و همچنین نفوذگران مورد حمایت دولت‌های مختلف، به حملات خود علیه شرکت‌های این حوزه ادامه می‌دهند.

به‌عنوان مثال، استاکس‌نت طی فعالیت‌های خود به گروه‌های فعال در حوزه فناوری اطلاعات نشان داده است که حملات مجازی در این حوزه تا چه حد می‌توانند خطرناک باشند و عوامل خطر به چه شکل می‌توانند کدهای مخرب را به منظور ایجاد اختلال در زیرساخت‌های حیاتی، منتشر کنند.

در این همایش در مورد یک نوع حمله که به‌صورت پنهان کنترل فرآیندهای شبکه‌ صنعتی را در دست می‌گیرند، اطلاعاتی بیان خواهد شد.

در همین راستا، دو محقق امنیتی با نام‌های علی عباسی، دانشجوی مقطع دکتری در امنیت سامانه‌های توکار و توزیع‌شده در دانشگاه توانته هلند و همچنین مجید هاشمی، یک محقق امنیتی مستقل، به‌تازگی یک روت‌کیت PLC۱ غیرقابل‌شناسایی را طراحی کرده‌اند. این دو محقق امنیتی از طرح خود در همایش Black Hat Europe که ماه نوامبر در لندن برگزار می‌شود، رونمایی خواهند کرد.

عباسی و هاشمی علاوه بر این، نسخه‌ای از حملات PLC را نمایش خواهند داد که از کد پوسته استفاده می‌کند. عنوان مقاله این دو محقق امنیتی در همایش Black Hat Europe، «طراحی یک روت‌کیت کنترل‌کننده منطقی قابل‎برنامه‌ریزی» خواهد بود.

این دو محقق معتقدند که این روت‌کیت از کرم مخرب استاکس‌نت خطرناک‌تر خواهد بود، زیرا به صورت پنهانی فعالیت می‌کند و به صورت مستقیم و متفاوت از استاکس‌نت به PLC حمله می‌کند. کرم استاکس‌نت تنها به منظور حمله به سامانه‌های SCADA در معماری ویندوز استفاده می‌شد. احتمال کشف این روت‌کیت کم است، زیرا در سطوح پایینی سامانه قرار می‌گیرد.

این روت‌کیت به منظور نفوذ به بخش‌های سطوح پایینی یک سامانه PLC طراحی شده است و می‌توان آن را نوعی تهدید PLC بین بستری قلمداد کرد، زیرا می‌تواند به انواع PLC های تولیدی شرکت‌های مختلف حمله کند.

عباسی در مصاحبه با وبگاه DarkReading در خصوص نحوه فرار این روت‌کیت از شناسایی می‌گوید: «امروزه تمامی تلاش‌ها برای نفوذ به سطوح پایینی است. هرکسی به سطوح بالایی دسترسی دارد (عملیات‌های SCADA). نفوذگران در آینده نیز بیشتر به فکر حمله در سطوح پایینی خواهند بود.»

نفوذ مستقیم به یک سامانه PLC برای طراحان عوامل ویروسی آسان‌تر است، زیرا چنین دستگاه‌هایی مکانیسم‌های شناسایی زیادی ندارند. این مسئله به این معنی است که یک PLC با سامانه‌عامل بلادرنگ می‌تواند بیشتر در معرض حملات سایبری باشد.

در آگوست نیز گروهی از محققان در همایش Black Hat USA در مطالعه‌ای، یک کرم PLC با نام PLC-Blaster را نمایش دادند که در میان PLC ها پخش می‌شد.

عباسی و هاشمی در توضیح بیشتر در مورد طرح خود اذعان کردند که روت‌کیت PLC آن‌ها برخلاف دیگر عوامل مشابه، به کد منطقی PLC حمله نمی‌کند و همین ویژگی شناسایی روت‌کیت را دشوارتر می‌کند.

علاوه بر این، این دو محقق اعلام کردند که فعالیت این روت‌کیت حتی در سامانه‌هایی که میزان مصرف توان PLC را بررسی می‌کنند نیز ناشناس خواهد ماند. عباسی در این خصوص بیان کرد: «مقدار سربار ناشی از حمله انجام‌شده توسط این روت‌کیت در خارج از هسته کمتر از ۱ درصد است. این مسئله نشان می‌دهد که حتی روش‌هایی که در آن میزان توان استفاده‌شده توسط PLC به منظور شناسایی نفوذ، مورد استفاده قرار می‌گیرد، در مورد این روت‌کیت کارساز نخواهند بود.»

این بدافزار در ارتباط بین واحد منطق و اجرای PLC با دستگاه‌های ورودی خروجی جانبی تداخل ایجاد می‌کند. بدافزار مذکور در حافظه پویای مؤلفه‌ی صنعتی قرار می‌گیرد و فرآیندهای ورودی/خروجی و فرآیندهای PLC را دستکاری می‌کند. این مهم در حالی رخ می‌دهد که PLC با بخش ورودی خروجی در حال ارتباط است. منظور از این بخش پین‌های خروجی است که کنترل فیزیکی فرآیند را بر عهده دارند.

PLC سیگنال‌هایی را از PIN های ورودی دریافت می‌کند (مانند سطح مایع موجود در یک لوله) و فرآیند را با استفاده از محرک‌هایی که دستورالعمل‌های خود را از PIN های خروجی PLC دریافت می‌کنند، کنترل می‌کند (مانند یک شیرفلکه).

با دستکاری مناسب سیگنال‌‌های ورودی و خروجی می‌توان به صورت پنهانی در فرآیند صنعتی تداخل ایجاد کرد. در حقیقت، ‌این کاری است که روت‌کیت PLC انجام می‌دهد. عباسی در این خصوص یادآور شد: «حمله انجام‌شده توسط این روت‌کیت ارتباط میان واحد زمان اجرای PLC و منطق آن با دستگاه‌های جانبی ورودی/خروجی را هدف قرار می‌دهد. در PLC ها، عملیات ورودی/خروجی ازجمله مهم‌ترین عملیات‌های موجود به شمار می‌روند.»

حمله انجام‌شده توسط این روت‌کیت بنا به ادعای طراحان آن، به دلیل نبود وقفه سخت‌افزاری۲ در SoC امکان‌پذیر است. علاوه بر این عدم توانایی زیرسامانه‌های کنترل Pin در شناسایی پیکربندی Pin در سطح سخت‌افزاری این حمله را تشدید می‌کند.

شایان‌ذکر است که عباسی و هاشمی در حال حاضر اقدامات متقابل دفاعی را به منظور شناسایی و محافظت از PLC ها در برابر چنین خطراتی مورد مطالعه قرار می‌دهند.

۱. Programmable Logic Controller
۲. Hardware interrupt

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap