Opinion Brawte nfaq 0 Comments

PCをクラッキングする手間は?PLCにマルウェアを発見…完了。産業用制御ネットワークが乗っ取られる

Table of Contents

PCをクラッキングする手間は?PLCにマルウェアを発見…完了。産業用制御ネットワークが乗っ取られる

セキュリティ研究者は、エアギャップ型産業用制御システム ネットワークをハッキングするための新しい手法を実証し、その研究が SCADA ベースのシステムに対するより強固な防御の開発を促進することを期待しています。

エアギャップ型の産業用ネットワークは、インターネットや企業のITネットワークから隔離されているため、ハッキングは不可能ではないにしても困難だと考えられています。しかし実際には、ベンダーの更新メカニズムを侵害したり、メンテナンスのためにネットワークに直接接続するサードパーティの請負業者のUSBドライブやラップトップに感染したりするなど、攻撃者がこのようなネットワークにマルウェアを展開する方法は複数存在します。

先週、英国ロンドンで開催された Black Hat Europe カンファレンスでのプレゼンテーションで、Cyber​​X の研究者らは、マルウェアの初期展開を伴うシナリオを説明した。このマルウェアは、エアギャップ ネットワークのトポロジ、システムに接続された産業用デバイスの特定の種類 (2016 年のウクライナのグリッド攻撃で使用された CrashOverride マルウェアなど)、そしておそらくその過程で悪意のあるコードが収集する機密文書を発見するものである。

この偵察段階がうまくいったとしても、ハッカーにはこの機密情報をどうやって入手するかという難しい問題が残ります。

広範囲にわたる記念日ハッキングで、犯罪者がウクライナの電力を遮断

続きを読む

これまでの研究では、PCから発信されるRF信号を用いて、隔離されたネットワークからデータを盗み出す方法が示されています。しかし、PCベースのマルウェアは永続的に検出される可能性が高いため、これは理想的ではありません。

Cyber​​Xチームは、産業用制御システムの構成要素であるプログラマブルロジックコントローラ(PLC)への感染に焦点を当て、全く異なる方向からこの問題に取り組みました。PLCはCPU/メモリ容量が限られており、組み込みのリアルタイムオペレーティングシステムで動作します。

Cyber​​Xは、シーメンスS7-1200 PLCに特別に作成されたラダーロジックコードを注入する方法を実演しました。このコードはメモリコピー操作を用いて、AM帯域(340kHz~420kHz)よりわずかに低い周波数変調RF信号を生成します。変調はエンコードされたデータを表します。

放出される RF 信号は、特定の方法で PLC メモリに繰り返し書き込むことによって生じる副産物です。

送信された信号は近くのアンテナで受信され、その後、低価格のソフトウェア無線(SDR)とPCを使ってデコードされます。Cyber​​Xによると、「受信装置は施設のすぐ外に設置することも、上空を飛行するドローンに搭載することもできます」とのことです。

電力網システム

Cyber​​X SCADAハッキングリグ

データ窃取の手法は、シーメンスPLCの脆弱性や設計上の欠陥を利用するものではありません。この特定のモデルとブランドが選ばれたのは、業界で広く使用されているためです。他の機器でも同様のアプローチが機能する可能性がありますが、検証は行われていません。Cyber​​Xは、この潜在的な攻撃を軽減するための方法についてアドバイスを提供しています。

Black Hatのプレゼンテーション「エアギャップ型ICS/SCADAネットワークからの偵察データの抽出」では、ライブデモが行われました。デモでは、数ビット/秒という非常に低いデータレートしか達成されませんでした。質疑応答において、Cyber​​Xの研究者は、伝送帯域幅を増やすために設計された高調波やその他の技術を用いることで、このデータレートを向上させることができると述べました。

サイバーXのデイビッド・アッチ氏とジョージ・ラシェンコ氏が発表したこの研究は、潜在的な攻撃の1つの段階である、隔離された産業用制御ネットワークへの侵入に成功した後に偵察データを盗み出す方法に焦点を当てていた。

Cyber​​Xによると、「攻撃者がエアギャップネットワークに偵察マルウェアを展開する方法は複数あります。ウォーターホール攻撃によるベンダー更新メカニズムの侵害(信頼できるICSベンダー3社がHavexトロイの木馬によってソフトウェア更新を侵害されたオリジナルのDragonfly/Havexキャンペーンのように)、メンテナンス目的でエアギャップネットワークに直接接続するサードパーティ請負業者のUSBドライブやラップトップへの感染(Stuxnetのように)、または、開発時間を節約したいエンジニアがダウンロードできる悪意のあるラダーロジックコードをコード共有リポジトリに投稿する方法などが含まれます。」

「Industroyer/CrashOverrideは、マルウェアが設置機器のモデルや構成など、環境に関する偵察データを自律的に収集できるようになったことも示した」と付け加えた。®

Opinion

Smart Recommendations

Discover More