Codice malevolo attacca alcuni sistemi ICS e SCADA, per estrarre informazioni ma anche per prendere il controllo delle infrastrutture OT
Il CSIRT italiano ha rilanciato un alert già emesso da diverse agenzie di sicurezza e cyber security statunitensi - tra cui CISA, NSA e FBI - e riguardante la presenza in rete di attacchi mirati contro sistemi OT. Nel dettaglio, spiega lo CSIRT, sembrerebbe che siano stati sviluppati strumenti ad hoc, anche altamente automatizzati, che scansionano una rete-bersaglio, identificano specifici sistemi OT e cercano di violarli per poterli controllare da remoto.
Gli attacchi, che probabilmente sono un effetto collaterale del conflitto cyber tra Russia e Ucraina, riguardano vari sistemi ICS e SCADA. Tra quelli identificati come vulnerabili ci sono PLC Schneider Electric delle linee Modicon e Modicon Nano, controller di automazione Omron delle linee Sysmac NJ e NX, generiche unità server negli ambienti OPC Unified Architecture (OPC UA).
Per tutti questi bersagli potenziali, il codice sviluppato dagli attaccanti mira a raccogliere informazioni sul singolo sistema, simulare la sua console di controllo, modificare le sue configurazioni, iniettare altro codice malevolo, eseguire e ripristinare backup. Il codice ostile creato per attaccare i server OPC UA li identifica e li viola utilizzando credenziali predefinite o precedentemente compromesse.
Il codice che attacca i dispositivi Schneider Electric li identifica in rete e li viola trovando le loro password con un attacco brute-force, oppure causando il reset delle sessioni per acquisire le loro credenziali utente. Può anche mettere fuori uso i PLC con attacchi DoS o inviando pacchetti dati malformati. È anche in grado di inviare in rete comandi Modbus.
I controller industriali Omron vengono identificati in rete e analizzati sino a conoscere il loro indirizzo MAC e la topologia delle periferiche ad essi collegate. I PLC possono essere violati per caricarvi file arbitrari e agenti dannosi con funzionalità aggiuntive. Come anche per estrarre informazioni dai PLC stessi.
Sono in corso anche attacchi più tradizionali in grado di violare workstation OT Windows sfruttando una vulnerabilità nota in un driver utilizzato dalle schede madri della famiglia ASRock, che potrebbe permettere l’esecuzione di codice nel kernel di Windows. "Ottenuto l’accesso ai dispositivi interessati, gli attaccanti avrebbero quindi la possibilità di elevare i propri privilegi, effettuare movimenti laterali e compromettere eventuali ulteriori dispositivi relativi a funzioni critiche presenti nella rete", spiega lo CSIRT.