Когато OT е целта. Иранско-асоциирана активност нарушава работата на PLC системи

Иранско-асоциирани заплахи таргетират интернет-достъпни програмируеми логически контролери (PLC) в критична инфраструктура в САЩ.

Според Federal Bureau of Investigation, атаките водят до оперативни смущения, манипулация на индустриални процеси и финансови щети.

Какво се случва

Атаката е насочена към OT системи, които управляват реални процеси.

Засегнати са:

• водоснабдителни системи
• енергийни системи
• държавни съоръжения

Атакуващите манипулират PLC проектни файлове и данни в HMI и SCADA интерфейси.

Как работи атаката

Атаката използва директен достъп до exposed PLC устройства.

След достъп:

• се използват легитимни инструменти за конфигурация
• се извличат данни
• се променя логиката на системата

Наблюдавано е:

• използване на Dropbear (SSH)
• контрол чрез порт 22

Таргетирани системи

Атаките включват:

• Rockwell Automation
• Allen-Bradley PLC

включително:

• CompactLogix
• Micro850

Защо това е важно

Това не е стандартна IT атака.

Това е атака върху физически процеси.

1. Exposure = риск
2. Легитимните инструменти се използват като прикритие
3. Ефектът е реален, не само дигитален

DIAMATIX Perspective

Границата между IT и OT вече не съществува на теория.

Тя е operational.

Рискът не идва от сложност.

Той идва от достъп.

След като достъпът е налице, атакуващият работи вътре в системата.

Това изисква различен подход:

• OT системите не трябва да са директно достъпни
• достъпът трябва да се контролира
• видимостта трябва да обхваща и индустриалните системи
• трябва да се откриват нетипични действия

Заключение

Критичната инфраструктура е активна цел.

Рискът вече не е само в данните.

Той е в системите, които поддържат реалния свят.

Източници

Federal Bureau of Investigation. Advisory on PLC targeting activity
Public threat intelligence reporting on OT-focused campaigns