Tysiące sterowników PLC Rockwell dostępnych z internetu zwiększają ryzyko ataków irańskich grup APT

Wprowadzenie do problemu

Ekspozycja systemów OT i ICS do publicznego internetu pozostaje jednym z najpoważniejszych problemów bezpieczeństwa przemysłowego. Najnowsze ustalenia wskazują, iż tysiące sterowników PLC Rockwell Automation i Allen-Bradley przez cały czas odpowiadają na zapytania z sieci publicznej, co znacząco ułatwia rozpoznanie infrastruktury oraz wybór celów przez zaawansowane grupy powiązane z Iranem.

W praktyce oznacza to, iż elementy odpowiedzialne za sterowanie procesami przemysłowymi mogą być identyfikowane zdalnie bez konieczności wcześniejszego naruszenia sieci ofiary. Taka sytuacja zwiększa ryzyko sabotażu, zakłóceń operacyjnych oraz incydentów wpływających na ciągłość działania infrastruktury krytycznej.

W skrócie

Badacze zidentyfikowali 5 219 publicznie dostępnych hostów odpowiadających na protokół EtherNet/IP i identyfikujących się jako urządzenia Rockwell Automation lub Allen-Bradley. Zdecydowana większość z nich znajduje się w Stanach Zjednoczonych, co podnosi poziom ryzyka dla operatorów infrastruktury krytycznej.

• Wykryto tysiące publicznie dostępnych urządzeń PLC Rockwell.
• Ostrzeżenia wskazują na aktywność irańskich operatorów APT wobec środowisk OT.
• Ataki mogą obejmować manipulację plikami projektowymi oraz danymi prezentowanymi w HMI i SCADA.
• Dodatkowe usługi, takie jak VNC, Telnet czy Modbus, zwiększają powierzchnię ataku.

Kontekst i historia

Problem publicznie dostępnych urządzeń sterowania przemysłowego nie jest nowy, jednak obecna fala ostrzeżeń pokazuje zmianę charakteru zagrożenia. W przeszłości ekspozycja PLC była często skutkiem błędnej segmentacji, wygodnych mechanizmów zdalnego utrzymania lub wykorzystania łączy komórkowych w rozproszonych lokalizacjach.

Dziś taki stan rzeczy jest postrzegany jako bezpośredni wektor wejścia dla grup państwowych oraz operatorów APT, którzy nie ograniczają się już wyłącznie do cyberszpiegostwa. Coraz częściej mowa o działaniach mogących wywołać realne zakłócenia procesów fizycznych w sektorach takich jak gospodarka wodno-ściekowa, energetyka czy administracja publiczna.

Analiza techniczna

Kluczowym elementem problemu jest protokół EtherNet/IP, szeroko stosowany w środowiskach przemysłowych opartych o urządzenia Rockwell. Hosty nasłuchujące na porcie 44818 mogą zwracać informacje identyfikacyjne pozwalające ustalić typ urządzenia, rodzinę produktu, a niekiedy także wersję systemu układowego. Co istotne, taka identyfikacja często nie wymaga uwierzytelnienia.

Z punktu widzenia atakującego znacząco upraszcza to fingerprinting i budowanie listy priorytetowych celów. Nie trzeba najpierw uzyskać pełnego dostępu do sieci ofiary, aby określić, jakie sterowniki są wystawione do internetu i które z nich mogą być szczególnie cenne lub podatne.

Szczególnie niepokojące jest współwystępowanie dodatkowych usług zdalnych. W części przypadków obok EtherNet/IP widoczne były również usługi takie jak VNC, Telnet czy Modbus. Taka kombinacja tworzy wielowarstwową ekspozycję, w której przejęcie jednego elementu może ułatwić dostęp do kolejnych komponentów środowiska OT.

Dodatkowym czynnikiem ryzyka jest charakter wdrożeń terenowych. Urządzenia obserwowane przez sieci komórkowe mogą znajdować się w rozproszonych lokalizacjach, takich jak obiekty wodociągowe, stacje energetyczne czy inne zdalne instalacje. W takich miejscach egzekwowanie polityk bezpieczeństwa, monitoring i zarządzanie poprawkami bywają trudniejsze niż w klasycznych zakładach przemysłowych.

Na poziomie skutków technicznych ostrzeżenia wskazują na możliwość manipulacji plikami projektowymi oraz zmian danych prezentowanych operatorom w interfejsach HMI i systemach SCADA. To wyjątkowo groźny scenariusz, ponieważ może prowadzić nie tylko do modyfikacji parametrów procesu, ale również do wprowadzenia operatora w błąd co do rzeczywistego stanu instalacji.

Konsekwencje i ryzyko

Ryzyko wynikające z ekspozycji PLC do internetu ma zarówno wymiar cybernetyczny, jak i fizyczny. W lżejszym scenariuszu dochodzi do rozpoznania infrastruktury i przygotowania gruntu pod przyszły atak. W poważniejszych przypadkach możliwe są zakłócenia procesów, zatrzymanie usług, utrata integralności danych procesowych, manipulacja wizualizacją operatorską, a choćby uszkodzenie urządzeń.

Największe zagrożenie dotyczy sektorów, w których choćby krótkotrwała niedostępność systemów może mieć istotne skutki społeczne lub ekonomiczne. Dotyczy to zwłaszcza wodociągów, oczyszczalni ścieków, energetyki oraz infrastruktury komunalnej. jeżeli sterownik PLC jest dostępny bez odpowiedniej segmentacji i silnych mechanizmów ochronnych, staje się atrakcyjnym celem nie tylko dla grup państwowych, ale także dla cyberprzestępców i operatorów ransomware.

Sama obecność urządzenia w internecie nie oznacza jeszcze natychmiastowego kompromitowania, ale znacząco obniża próg wejścia dla atakującego. o ile dodatkowo urządzenie działa na starszym firmware, korzysta z domyślnych konfiguracji lub współistnieje z niezaszyfrowanymi usługami administracyjnymi, poziom ryzyka rośnie bardzo szybko.

Rekomendacje

Podstawowym działaniem obronnym powinno być usunięcie sterowników PLC i interfejsów HMI z bezpośredniej ekspozycji do internetu. jeżeli zdalny dostęp jest konieczny, powinien być realizowany wyłącznie przez kontrolowaną architekturę pośrednią, na przykład VPN z uwierzytelnianiem wieloskładnikowym, bastion administracyjny lub wydzielony segment zarządzający.

• Przeprowadzić pełną inwentaryzację publicznie dostępnych zasobów OT oraz połączeń komórkowych.
• Zweryfikować, które urządzenia odpowiadają na EtherNet/IP, Modbus, VNC, Telnet i inne protokoły administracyjne.
• Wyłączyć lub ograniczyć wszystkie zbędne usługi zdalne.
• Zaktualizować firmware oraz oprogramowanie inżynierskie tam, gdzie jest to bezpieczne operacyjnie.
• Sprawdzić logi pod kątem nietypowych połączeń, zmian konfiguracji i operacji na plikach projektowych.
• Odseparować stacje inżynierskie od sieci biurowej i internetu.
• Wdrożyć pasywny monitoring ruchu OT oraz alertowanie dotyczące zmian w logice sterowania.
• Przetestować procedury reagowania na incydenty obejmujące także środowiska ICS i SCADA.

Z perspektywy strategicznej organizacje powinny traktować internet jako środowisko wrogie dla urządzeń sterowania. W infrastrukturze krytycznej bezpieczeństwo operacyjne musi mieć pierwszeństwo przed wygodą administracji i szybkością zdalnego dostępu.

Podsumowanie

Wykrycie ponad pięciu tysięcy publicznie dostępnych urządzeń Rockwell Automation pokazuje, iż podstawowe błędy architektoniczne w środowiskach OT przez cały czas występują na dużą skalę. Jednocześnie ostrzeżenia dotyczące aktywności irańskich grup APT potwierdzają, iż problem nie jest już wyłącznie teoretyczny, ale może prowadzić do realnych zakłóceń operacyjnych.

Połączenie publicznej ekspozycji PLC, możliwości zdalnego fingerprintingu bez uwierzytelnienia oraz obecności dodatkowych usług zdalnych tworzy warunki sprzyjające skutecznym operacjom zakłócającym. Dla operatorów infrastruktury krytycznej to wyraźny sygnał, iż redukcja powierzchni ataku i przegląd wszystkich kanałów dostępu do systemów przemysłowych powinny stać się priorytetem.

Źródła

1. Censys: Iranian-Affiliated APT Targeting of Rockwell/Allen-Bradley PLCs — https://censys.com/blog/iranian-affiliated-apt-targeting-rockwell-allen-bradley-plcs/
2. Security Affairs: Censys finds 5,219 devices exposed to attacks by Iranian APTs, majority in U.S. — https://securityaffairs.com/190646/ics-scada/censys-finds-5219-devices-exposed-to-attacks-by-iranian-apts-majority-in-u-s.html
3. CISA: Iranian-Affiliated Cyber Actors Exploit Programmable Logic Controllers Across US Critical Infrastructure — https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a