Специалисты опубликовали исследование с описанием различных методов атак на производственные предприятия.
В прошлом году из-за вредоносного ПО немецкий машиностроительный концерн Rheinmetall Automotive некоторое время терял по $4 млн в неделю. Инцидент является ярким примером того, как вредоносное ПО может сорвать производство, однако многие владельцы промышленных предприятий по-прежнему относятся к киберугрозам как к чему-то абстрактному и не верят, что нечто-подобное может произойти и с ними.
Главный исследователь ИБ-компании Trend Micro Федерико Магги (Federico Maggi) решил опровергнуть это заблуждение и совместно с коллегами представил 60-страничное исследование с описанием различных методов атак на производственные предприятия. Целью работы было доказать, что причиной атаки не обязательно является какая-либо одна уязвимость или система – для заражения сетей предприятия вредоносным ПО смекалистый хакер может воспользоваться множеством различных способов.
В частности, исследователи представили атаку на оборудование, используемое для сверления отверстий в игрушечных телефонах. Они показали, как с помощью атаки на цепочку поставок можно повлиять на систему контроля температуры и вызвать аварийный режим. Для заражения производственного оборудования вредоносным ПО исследователи использовали библиотеки.
Магги начал с популярного магазина приложений от швейцарского техногиганта ABB, куда инженеры загружают коды для промышленных роботов. Исследователь обнаружил в нем уязвимость (в настоящее время проблема уже исправлена), позволившую ему загрузить собственный код. Как только код был установлен на инженерную рабочую станцию, Магги смог собрать нужные данные о ней. Поскольку песочница отсутствовала, исследователь мог просматривать и похищать файлы с помощью простого плагина.
Магги также использовал «цифрового близнеца» — оцифрованную копию заводского оборудования или процесса, применяемую на производстве для проверки производительности. Исследователь обнаружил уязвимость в ПО для управления «цифровым близнецом» и показал, как злоумышленник может манипулировать кодом. Теоретически, злоумышленник может заставить оборудование производить продукцию по некорректным инженерным проектам.
Отчет исследователей содержит несколько рекомендаций по безопасности для смягчения атак, включая проверку программного обеспечения рабочих станций. Однако для защиты от некоторых представленных в нем атак на цепочки поставок потребуется довольно много времени.