黑客通过 PLC 窃取气隙工业网络数据 已证实西门子易遭攻击
翻译:360代码卫士团队
研究人员发现一种方法可供黑客偷偷删除气隙工业网络中的数据,他们只需操控由可编程逻辑控制器 (PLC) 发出的射频信号即可。
攻击者可能能够通过受攻陷的更新机制或受感染的USB驱动等方法在一个隔离网络中植入恶意软件,不过要通过这款恶意软件将有价值的数据发送到组织机构外还是存在挑战的。
几年前,以色列研究人员就已经发现可用于攻击气隙网络的多种方法,包括通过经由红外照相机、扫描器、路由器上的LED灯和硬盘、热量散发、无线信号以及硬盘和风扇发出的噪音等。他们发布的PoC恶意软件AirHopper通过利用计算机显卡发出的电磁信号将数据传输到一个附近的接收器中。
致力于保护工控系统 (ICS) 的公司CyberX发现一种能够将类似数据删除方法应用到气隙工业网络中的方法。这个方法首次披露于SecurityWeek媒体举办的ICS网络安全大会上。
这种技术依靠的是PLC及其发出的射频。研究人员在流行的西门子S7-1200 PLC上进行了测试,不过专家认为攻击可能也适用于其它供应商的产品中。
CyberX发现的这种删除方法并不会利用PLC中的任何漏洞或者设计缺陷。专家还指出,它并不涉及设备本身的任何射频功能。相反,设备发出的射频信号是以某种特定方式重复写入PLC内存中的一个副产品。
研究人员分析了来自这些系统的无线电波后发现,当把数据写入设备的内存后,频率就会改变。如果攻击者能够操纵这种频率,那么就能利用它来一个比特一个比特地删除数据,这个频率代表 “0” 比特而另外一种频率代表 “1” 比特。该信号还能被附近的天线捕获并通过软件定义的无线电解码。
通过将特别构造的阶梯图上传到设备的方法就能以某种周期写入PLC内存,从而导致射频信号的改变。阶梯图可通过阶梯逻辑(一种用于为PLC开发软件的程序语言)创建。
攻击者如果能访问目标组织机构的系统,尤其是其工业控制器,那么就能将恶意阶梯图上传到PLC中并用于删除敏感数据。
在所进行的测试中,CyberX设法通过一根现成天线以1比特/每秒的速度在约为1米的距离外成功传输数据。然而,专家认为使用质量更好的天线能将距离拉大,并且如果改进信号处理算法,也有助于提高传输速度。
可通过多种方法捕获被删数据,如在飞过站点的无人机上捆绑一根天线,或者竞争对手假装成清洁工在口袋里装上天线。
虽然数据删除的几率可能看似很低,但专家认为这种方法对于窃取在攻击侦察阶段收集的小规模信息而言是有用的。这些攻击由复杂组织发动,包括网络拓扑、协议和设备、存储在HMI和historian中的知识财产以及工作计划。
研究人员警告称,由于PLC上没有运行任何安全解决方案,因此这种类型的攻击难以检测。另外,一旦设备遭攻陷,恶意代码就会持续很长的时间,因为它们很少格式化。
研究人员指出,组织机构能够通过持续监控和异常行为监测来阻止这类攻击的发生。例如,这种方法能够立即检测到进行数据删除的网络侦察阶段(如扫描网络的设备和查询配置信息的设备),还能检测到对PLC阶梯逻辑代码的未授权更新用以部署生成编码射频信号的特别构造的代码。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
http://www.securityweek.com/hackers-can-steal-data-air-gapped-industrial-networks-plcs