Un grupo de investigadores de la Facultad de Ingeniería de Georgia Tech ha desarrollado un malware de controlador lógico programable (PLC) basado en web capaz de atacar a la mayoría de los PLC producidos por los principales fabricantes.
“Nuestro malware de PLC basado en web (WB) reside en la memoria del PLC, pero finalmente se ejecuta en el lado del cliente mediante varios dispositivos equipados con navegador en todo el entorno ICS. A partir de ahí, el malware utiliza credenciales ambientales basadas en el navegador para interactuar con las API web legítimas del PLC para atacar la maquinaria subyacente del mundo real”, explicaron los investigadores.
¿Qué son los PLC?
Los controladores lógicos programables (PLC) son componentes de sistemas de control industrial (ICS) que se utilizan para controlar las funciones de un sistema físico. Reciben datos de sensores, los procesan y, basándose en los datos y su lógica preprogramada, entregan resultados a los actuadores que controlan los procesos del mundo real.
Los PLC cuentan con una capa de firmware que, en los últimos años, también ha comenzado a incluir un servidor web integrado que sirve para facilitar la configuración y el control (a través de aplicaciones web personalizables y API basadas en web). Desafortunadamente, también puede permitir la entrada de atacantes remotos.
«Mientras que los ataques anteriores a los PLC infectan la lógica de control o las partes del firmware del cálculo del PLC, nuestro malware propuesto infecta exclusivamente la aplicación web alojada en los servidores web integrados emergentes dentro de los PLC», señalaron los investigadores.
Las ventajas del malware para PLC basado en web
Los PLC que tienen servidores web integrados significan que los atacantes no necesitan acceso físico o a la red para distribuir el malware; simplemente pueden atraer a un operador de ICS para que vea un sitio web controlado por el atacante que explota una vulnerabilidad de configuración incorrecta de intercambio de recursos entre orígenes (CORS) para transferir un página web con código JavaScript malicioso al servidor web.
El ciclo de vida del malware WB PLC (Fuente: Instituto de Tecnología de Georgia)
«Además, los dos niveles de acceso utilizados por el malware PLC tradicional (de red y físico) también son niveles de acceso viables para el malware PLC de WB», señalaron los investigadores.»Por ejemplo, se puede descargar una [página web definida por el usuario] maliciosa a través de un protocolo ICS o se puede instalar una GUI maliciosa basada en web a través de una tarjeta SD».Otra ventaja del malware WB PLC es que, dado que se ejecuta sólo en los navegadores web, puede funcionar en muchos PLC diferentes sin tener que personalizarlo específicamente.
Probando posibles ataques
Para demostrar la viabilidad de un ataque de malware a través de este vector, crearon su propio malware WB (“IronSpider”) y probaron cómo se puede utilizar para comprometer un modelo de PLC popular en un banco de pruebas ICS del mundo real.Descubrieron que podían explotar canales legítimos para enviar código de interfaz al PLC o explotar vulnerabilidades en las aplicaciones web del portal de administración del PLC.El malware se descargaría sin ninguna notificación al usuario ni intervención del firewall, dijeron, y señalaron que incluso se puede «resucitar» una y otra vez para asegurar la persistencia a largo plazo y la ejecución continua en el entorno, o limpiar el PLC de todos los rastros. de la infección (y, por tanto, obstaculizar las investigaciones forenses).El daño final que pueden causar los atacantes depende de los procesos físicos que controle el PLC objetivo.
