CLP com vírus
Quando ouvimos falar a respeito de invasões hackers na indústria o alvo geralmente é o CLP, por conta do acesso direto a certos processos e procedimentos da linha de produção, esse cenário tem mudado aos poucos e recentemente foi descoberto alguns casos de invasão no qual o CLP agia como o “cérebro” da ação hacker, ao invés de ser o alvo. Vamos entender um pouco mais sobre esse novo método que já está dando o que falar em alguns países. A técnica foi apelidada de “Evil PLC”, traduzindo para o português fica CLP do Mal.
Um exemplo recente, no ano de 2020 Israel sofreu um ataque cibernético em uma empresa de distribuição de água, os invasores tentaram aumentar a concentração de cloro na água que seria distribuída em algumas regiões do país, um caso extremamente perigoso pois poderia colocar a vida de muitas pessoas em risco, a técnica que os Hackers utilizaram para efetuar o ataque foi a mesma técnica no qual estamos abordando neste artigo, utilizar o CLP para obter acessos à rede e computadores ligados ao setor da engenharia, para assim controlar e manipular toda a cadeia de sistemas que estão conectados aos computadores e controladores do setor.
O objetivo é transformar o Controlador como ferramenta de ataque e propagação de vírus, que muitas das vezes são os temidos Ransoware que são capazes de “sequestrar” os dados das estações de trabalho.
Como funciona a técnica Evil PLC
Segundo o Team82 da Claroty, responsável pela pesquisa “O truque seria atrair um engenheiro para se conectar a um PLC comprometido; a maneira mais rápida é causar uma falha no PLC. Esse é um cenário típico ao qual um engenheiro responderia e se conectaria usando seu aplicativo de estação de trabalho de engenharia como uma ferramenta de solução de problemas.”, fizeram também uma importante observação “É importante observar que todas as vulnerabilidades que encontramos estavam no software da estação de trabalho de engenharia e não no firmware do PLC. Na maioria dos casos, as vulnerabilidades existem porque o software confia totalmente nos dados provenientes do PLC sem realizar verificações de segurança extensas.”
Os CLPs que recebem esse tipo de ataque estão expostos às redes que não possuem segurança ou segurança frágil e também CLPs que estão conectados à internet e possuem fragilidades de segurança, em alguns casos é possível até encontrar informações que seriam sigilosas e que podem ser utilizadas para invadir o CLP utilizando técnicas simples de análise de redes.
Como prevenir o ataque do Evil PLC
Quando abordamos o tema de redes e comunicação é necessário compreender muito bem do assunto para que não seja instalado em uma indústria/fábrica algum meio de conexão com a internet que possa existir “furos”, por isso sempre é recomendado a contratação de pessoas capacitadas e com experiência em Redes Industriais.
Aquela velha história, utilizar antivírus em seus computadores e firewall é essencial e também é importante ficar atento sempre quando algum alerta de atividade suspeita acontece. O antivírus não analisa o CLP, mas pode analisar o computador e proteger em caso de invasões vindas do CLP ou de outros dispositivos.
Verifique se seus dispositivos não estão aparecendo em listas de Shodan e Censys, se estiverem nestas listas você está correndo um grande risco!
A técnica de Honeypot também pode ser utilizada para a proteção do CLP, não só dele, mas de outros dispositivos conectados em rede, é uma técnica complexa e capaz de interceptar os invasores.
Integradores de sistemas e fabricantes de CLP estão à disposição para ajudar em situações de riscos.