image

VS: industriële systemen Schneider Electric en Omron doelwit aanvallen

donderdag 14 april 2022, 11:08 door Redactie, 0 reacties

Verschillende APT-groepen hebben speciale tooling ontwikkeld om industriële ICS- en SCADA-systemen van Schneider Electric en Omron Sysmac aan te vallen, zo waarschuwt de Amerikaanse overheid. Zodra de aanvallers toegang tot het operationele technologie (OT)-netwerk hebben kunnen ze de systemen scannen, compromitteren en besturen, aldus de waarschuwing van onder andere de FBI en NSA.

Door volledige controle over de ICS- en SCADA-systemen te krijgen kunnen de aanvallers vitale apparaten en functies verstoren. De FBI en NSA roepen organisaties in de vitale infrastructuur op, en dan met name energiebedrijven, om detectie- en mitigatiemaatregelen door te voeren en hun ICS- en SCADA-systemen verder te beveiligen.

De tools waarvoor de Amerikaanse overheidsinstanties waarschuwen zijn ontwikkeld voor PLC's (programmable logic controllers) van Schneider Electric en Omron Sysmac. PLC's worden gebruikt om controlesystemen van industriële machines (ICS) aan te sturen. Daarnaast beschikken de aanvallers ook over tools om OPC Unified Architecture (OPC UA)-servers aan te vallen. OPC is een verzameling van standaarden en specificaties voor industriele telecommunicatie.

"De tools van de aanvallers hebben een modulaire architectuur en laten de aanvallers geautomatiseerde exploits tegen aangevallen apparaten uitvoeren", zo stellen de FBI en NSA. Ook beschikken de tools over een virtuele console met een command-interface die identiek is aan de interface van het aangevallen ICS- of SCADA-systeem. Hierdoor kunnen minder ervaren aanvallers over de mogelijkheden van meer ervaren aanvallers beschikken, aldus de waarschuwing.

Via de tools zijn verschillende aanvallen mogelijk, zoals bruteforce-aanvallen om toegang te krijgen of het uitvoeren van dos-aanvallen om te voorkomen dat netwerkverkeer de PLC bereikt. Ook kunnen de tools de verbinding met de PLC verbreken, zodat gebruikers opnieuw moeten inloggen, vermoedelijk om zo inloggegevens te bemachtigen. Verder is het mogelijk om via de tools een "packet of death" te versturen waardoor de PLC crasht en pas weer werkt na het uit- en aanzetten en het herstellen van de configuratie.

Om dergelijke aanvallen te voorkomen krijgen vitale organisaties het advies om ICS- en SCADA-systemen van zakelijke netwerken en het internet te isoleren, multifactorauthenticatie voor remote toegang tot ICS-netwerken te gebruiken, het beperken van het aantal workstations dat toegang tot ICS- en SCADA-systemen heeft en het monitoren van systemen op het laden van ongewone drivers, en dan met name drivers van ASRock als die normaal niet op het systeem worden gebruikt. De aanvallers maken namelijk gebruik van een kwetsbare driver voor ASRock-moederborden waarmee ze Windows-gebaseerde engineering workstations weten te compromitteren.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.