INCONTROLLER: Công cụ tấn công đa mục tiêu mới nhắm vào các hệ thống điều khiển công nghiệp (ICS)

Vào đầu năm 2022, các nhà nghiên cứu tại Mandiant đã hợp tác với Schneider Electric để điều tra, phân tích một bộ công cụ tấn công mới hướng mục tiêu đến các hệ thống điều khiển công nghiệp với tên gọi INCONTROLLER (tên khác là PIPEDREAM). Công cụ này được thiết kế tinh vi để có thể tương tác với các thiết bị điều khiển công nghiệp khác nhau, được sử dụng trong nhiều ngành công nghiệp. Đến nay, môi trường hoạt động cụ thể của công cụ này vẫn chưa được xác định rõ.

Incontroller gồm ba công cụ chính là: TAGRUN, CODECALL và OMSHELL, tác động đến nhiều thành phần trong ICS như máy chủ OPC, các bộ điều khiển Schneider Electric Modicon (M251, M258, M221 Nano), các bộ điều khiển Omron (NX1P2, NJ501) và biến tần Servo R88D-1SN10F-ECT.

Hình 1: Tổng quan về bộ công cụ INCONTROLLER.

Trong đó:

TAGRUN: có chức năng:

+ tìm kiếm các máy chủ OPC UA,

+ đọc cấu trúc của máy chủ OPC,

+ Đọc/ghi giá trị của các tag dữ liệu trên máy chủ OPC,

+ Bruteforce thông tin đăng nhập,

+ Trích xuất các file nhật ký,

Các máy chủ OPC được sử dụng để thu thập và lưu trữ dữ liệu từ các thiết bị ICS đến từ nhiều hãng khác nhau. Việc truy cập vào các dữ liệu này giúp kẻ tấn công có cái nhìn tổng quan về hệ thống sản xuất, đồng thời cũng cho phép thay đổi giá trị của các tag (các biến lưu dữ liệu của quá trình sản xuất) từ đó xóa dấu vết của cuộc tấn công vào các quy trình sản xuất.

CODECALL:

Khả năng:

+ Nhận dạng các thiết bị Scheider Electric và các thiết bị hỗ trợ Modbus trên mạng.

+ Kết nối với các thiết bị cụ thể qua Modbus hoặc CodeSys

+ Đọc/Ghi vào các thanh ghi của thiết bị hỗ trợ Modbus

+ Yêu cầu ID thiết bị thông qua câu lệnh Modbus

+ Xác định, kết xuất hoặc load các tệp lệnh Macro

+ Thực thi các lệnh cụ thể của thiết bị trên Codesys như: Bruteforce thông tin đăng nhập, Upload/Download file đến thiết bị PLC, Truy xuất danh sách file/folder, xóa file, Ngắt kết nối các phiên khỏi PLC, DDoS, Crash thiết bị bằng các gói tin đặc biệt, thêm tuyến kết nối IP đến các thiết bị tồn tại trên giao diện khác, v.v.

CODECALL giao tiếp với các thiết bị ICS bằng giao thức Modbus, mang lại khả năng giao tiếp với các thiết bị từ nhiều hãng sản xuất khác nhau. Tuy nhiên, module này có khả năng quét và tấn công các PLC Modicon M251 của Schneider thông qua Codesys (Codesys là giao thức được sử dụng thông qu)

OMSHELL:

Module này được thiết kế để có quyền truy cập shell vào các PLC Omron, Servo Drive Omron và có thể là các thiết bị khác thuộc dòng sản phẩm NJ/NX. Công cụ này chủ yếu hoạt động bằng HTTP và Omron-FINS (giao thức độc quyền của hãng, dựa trên UDP) để quét và nhận diện thiết bị. Khả năng của OMSHELL gồm:

+ Quét và xác định các thiết bị Omron trên mạng

+ Xóa bộ nhớ chương trình của thiết bị và Reset thiết bị

+ Upload dữ liệu backup từ thiết bị hoặc download bản backup xuống thiết bị.

+ Kích hoạt daemon telnet trên thiết bị.

+ Kết nối với backdoor tồn tại trên thiết bị và cung cấp khả năng thực thi lệnh tùy ý.

+ Bắt các gói tin mạng

+ Tùy ý kill process đang chạy trên thiết bị

+ Chuyển tập tin sang thiết bị

+ Kết nối và giao tiếp với các servo drive

Kỹ thuật tấn công sử dụng:

INCONTROLLER có các tác nhân tấn công APT nhắm vào các thiết bị của từng hãng cung cấp khác nhau:

–         Công cụ APT cho các thiết bị điện của Schneider Electric:

  • Chạy quét nhanh để xác định tất cả các PLC của Schneider trên mạng cục bộ thông qua các gói tin UDP multicast với cổng đích là 27127 (Lưu ý: UDP 27127 là quét khám phá tiêu chuẩn được các máy trạm kỹ thuật sử dụng để khám phá PLC và có thể không phải là dấu hiệu của hoạt động độc hại);
  • Brute-force mật khẩu PLC Schneider sử dụng CODESYS và các giao thức thiết bị khả dụng khác thông qua cổng UDP 1740 so với giá trị mặc định hoặc danh sách trong từ điển;
  • Tiến hành tấn công từ chối dịch vụ để ngăn chặn kết nối mạng đến PLC;
  • Kết nối máy chủ, yêu cầu người dùng xác thực lại với PLC, có khả năng tạo điều kiện nắm bắt thông tin đăng nhập;
  • Tiến hành một cuộc tấn công ‘packet of death’ để làm crash PLC cho đến khi tiến hành khôi phục cấu hình và khởi động lại;
  • Gửi các lệnh Modbus tùy chỉnh (Lưu ý: khả năng này có thể hoạt động với Modbus khác với PLC của Schneider Electric).

–         Công cụ APT cho OMRON:

  • Quét thiết bị OMRON bằng giao thức FINS của OMRON;
  • Phân tích cú pháp phản hồi HTTP từ các thiết bị OMRON;
  • Truy xuất địa chỉ MAC của thiết bị;
  • Thăm dò các thiết bị cụ thể được kết nối với PLC;
  • Sao lưu/khôi phục các tệp tùy ý đến/từ PLC;
  • Load một tác nhân độc hại tùy chỉnh trên PLC OMRON để có thêm khả năng hướng đến kẻ tấn công.
  • Ngoài ra, các mô-đun OMRON có thể tải lên một tác nhân cho phép tác nhân mạng kết nối và bắt đầu các lệnh—chẳng hạn như thao tác tệp, chụp gói và thực thi mã—thông qua HTTP và/hoặc Bảo mật Giao thức Truyền Siêu văn bản (HTTPS).

–         Công cụ APT cho OPC UA:

  • Công cụ dành cho OPC UA của các tác nhân APT có các mô-đun có chức năng định máy chủ OPC UA và để kết nối với máy chủ OPC UA bằng thông tin xác thực mặc định hoặc đã bị xâm phạm trước đó. Máy khách có thể đọc cấu trúc OPC UA từ máy chủ và có khả năng ghi các giá trị thẻ có sẵn qua OPC UA.

Giảm thiểu: Một số biện pháp kỹ thuật được đưa ra bao gồm:

  • Phân đoạn thích hợp các mạng CNTT và OT để hỗ trợ ngăn chặn những kẻ tấn công chuyển từ mạng công ty sang môi trường công nghiệp.
  • Cho phép liệt kê các thiết bị master/slave, mẫu hành vi và lệnh được chấp nhận để hỗ trợ thiết lập baseline và phát hiện sự bất thường với sự trợ giúp của giám sát mạng.
  • Triển khai tường lửa công nghiệp với tính năng kiểm tra gói tin sâu để hỗ trợ kiểm soát quyền truy cập và các khả năng đã được phê duyệt.
  • Triển khai các hệ thống bảo vệ chống xâm nhập nhận biết ICS để hỗ trợ giám sát các function code từ các nguồn độc hại tiềm tàng.
  • Giám sát và chặn lưu lượng truy cập bên ngoài đến các cổng OPC UA khi có thể, để hỗ trợ phát hiện lưu lượng truy cập bất thường và ngăn kết nối từ bên ngoài hướng đến các cổng OPC UA.
  • Kích hoạt và tổng hợp audit logs cho các máy chủ và máy khách OPC.

Nguồn tham khảo

https://www.mandiant.com/resources/blog/incontroller-state-sponsored-ics-tool

https://www.omron-cxone.com/security/2019-12-06_PLC_EN.pdf