ホットなサイバー戦争。 ハッカーとロケット発射装置

5月末にモスクワで開催されたPHDays Vフォーラムの競争プログラムの最も壮観な要素の1つは、 アドバンテックが発表したコンテストでした。 参加者は、ロケット発射装置に関連する産業用制御システムを制御し、「秘密施設」で発砲しました。

なすべきこと

スタンドは、2軸で回転するタレットとターゲットに配置されたミサイルランチャーでした。 競技者は、制御システムへのアクセスを取得し、ターゲットに向けてインストールを展開し、ヒットする必要がありました（ただし、機器の故障はタスクにつながりませんでした）。



競争中に、クラッカーがすでに組織の外部境界に侵入し、ネットワークのオフィスセグメントに完全にアクセスできる状況がシミュレートされました。 コネクタには、システムの機能を監視できるように、オペレータレベルのログインとパスワードが与えられました。 また、設置されたデバイスのすべてのIPアドレスを示すサインがスタンドにありました。



今年、個々のコンテストはCTFの不可欠な部分でした（ Habrahabrに関する記事で詳しく説明しています ）。 PHDaysといくつかのCTFチームへの40人以上の訪問者がこのコンテストで手を試しました。

技術的な詳細

SCADAステーションは、Advantech TPC-1840WP産業用パネルコンピューターをベースとしたハードウェアベースであり、追加のセキュリティ機能なしでWindows 7 Ultimateオペレーティングシステムを実行していました。



オペレーティングシステムには、競技会の開始時にすべての定期的な更新プログラムが用意されていました。 Windowsファイアウォールが有効になっています。 SCADAはAdvantech WebAccess 8.0ソフトウェアに実装されました。



このソフトウェアにはエクスプロイトが存在する未解決の脆弱性が含まれている可能性があるため、オペレータにはコントローラ内のプロセスの視覚化へのアクセスのみが許可されました。 コントローラータグは読み取り専用ステータスであったため、タグを書き換えても機器のパフォーマンスに影響はありませんでした。 管理者権限を取得すると、システムの構造と内部アドレスの説明が記載されたクラッカーのページが開きました。







SCADAシステムとPLC間の通信は、擬似レジスタを使用したModbus TCPプロトコルを使用して実行されました（読み取りは、入出力モジュールからではなく、コントローラープログラムのメモリセルから実行されました）。



通常、SCADAシステムWebAccessへのクライアントと管理者の両方のアクセスは、標準のWindowsディストリビューションの一部であるIISを使用するHTML4プロトコルを使用して、Internet Explorerブラウザーを通じて実行されます。 デフォルトでは、ユーザー認証はSCADAシステム自体によって実行されます。



物理的には、SCADAステーションとPLC間の通信は、従来のファストイーサネットを使用して、Advantech EKI-7659C管理のL2スイッチを介して実行されました。 同じスイッチを介して、競技者はEKI-4654Rを介して有線で、またはEKI-6351を介してWi-Fiを介して接続されました。 スイッチは、VLANの実装やMACアドレスフィルタとしては使用されませんでしたが、実際には使用されました。 さらに、ラップトップがサブネットに接続され、スタンドを管理しました。







PLC機能は、WinCE5オペレーティングシステムを実行しているARMプロセッサに基づいたデバイスであるAdvantech APAX-5620KW PACコントローラーに実装されました。 コントローラーは、タイマー（制御された技術プロセスの条件付き技術プログラム）でロケットランチャーを回す作業サイクルを実行します。 これを行うために、KW Softwareによって作成され、カーネルレベルのタスクとして実行されるProConOsソフトロジックカーネルを使用しました。 実際の移動プログラムは、KW Multiprogパッケージを使用して、ラダーロジックでスタンド作成者によって実装されました。 プログラムサイクルは50ミリ秒です。







このコントローラーには、3つの標準接続方法があります。 1つ-ローカルVGAおよびUSBコネクタを介して-競合他社は利用できませんでした。 2番目-リモートデスクトップ経由-はパスワードで保護されていました。 3番目-IEC 61131言語の開発システムから-softlogic-subsystemを管理してデバッグできます。



物理的には、コントローラーには2つのLANポートがあり、そのうちの1つはSCADAシステム（オフィスサブネット）に、もう1つはI / Oモジュール（フィールドサブネット）に接続されていました。 ネットワークポートは、異なるサブネットからアドレス指定されました。 したがって、負荷分散とアクセスの共有のタスクは解決されました。



I / Oには、ADAM-6050モジュール（軸方向端部位置センサーからのディスクリート入力用）およびADAM-6260（リレー制御用）を使用しました。 これらのモジュールには、GCL言語での分散プログラミング機能があり、緊急保護機能の実装に使用されました。 特に、トレーラーに衝突すると、DIモジュールはこの事実をDOモジュールに報告し、DOモジュールは対応するモーターを3秒間逆転させます。 通信が中断した場合、ウォッチドッグがインストールされ、すべての出力が無効になりました。 ミサイル発射ドライブ制御ユニットでは、専用の内部変数に論理「1」を書き込むことでロックをバイパスする機能が特別に残されていました（このため、内部サブネット内のModbusレジスタへの書き込み機能を実行する必要がありました）。



物理的には、ADAM-6260のデイジーチェーンテクノロジーを使用して、外部スイッチを使用せずにモジュール間の通信を実行しました。



砲塔自体は、独立した5 VDCユニットから電力を供給され、3つのモーター（垂直軸と水平軸の周りを回転し、ミサイルを発射します）を装備していました。 回転モーターの逆転、および電源の短絡に対するゼロレベルの保護を実行するために、リレー回路が使用されました。 さらに、ロケット発射装置には、最終位置（左、右、上、下、一斉射撃）の5つの圧力センサーが装備されていました。



システムのすべてのコンポーネント（可能な場合）に、ラテン語の大文字と小文字、数字、句読点を含む、8〜10文字の長さの非辞書（生成）パスワードがインストールされました。

戦闘進行

このコンテストは、Positive Hack Daysフォーラムの2日間にわたって開催されました。

初日

初日、参加者は主に外部サブネットの構造を理解し、SCADAを通じてシステムに影響を与えようとしました。 ハッカーは、ファイアウォールを含むオペレーティングシステムサービスをオフにし、新しいユーザーを「フック」して（管理者レベルではない）、コンピューターを2回再起動することができました。







WindowsエクスプロイトとSCADAシステムを使用している何人かの人々は、WebAccessへの管理者アクセスを取得し、タグの説明に精通し、システムのカーネルを停止する機会を得ました。 ただし、システムはタグを書き換えようとしても応答せず、Windowsスケジューラを使用してカーネルが自動的に再起動しました。 夕方、疲れ果てたハッカーはシステムのページの1つにサインを残し、朝までその試みを延期しました。

二日目

2日目の半分は、制御信号のソースを探して通過しました。 参加者の1人がWinCE5でオープンなエクスプロイトを発見しましたが、使用できませんでした。



14時、競技者には、コントローラーの外部セグメントが読み取り専用ステータスであるというヒントが与えられ、コントローラーを「通過」する必要があります。







この時点で、CTFチームRDotがスタンドの作業に参加しました。 チームメンバーは1時間半以内に、APAX-5620リモートデスクトップにアクセスし、softlogicタスクを「強制終了」して実行し、ネットワークアダプターのパラメーターを操作することができました。



また、出場者の1人は、返信パケットを受信せずにLAN1からLAN2にパケットを転送できると主張しました。 ただし、Modbusのイデオロギーでは、この機会を破壊的な行動に使用することはできませんでした。



15時、スタンドに機械的な問題が現れました。 競技者は、コントローラでKW Multiprog作業パッケージを聞く機会を得ました-停止、コントローラの再起動、デバッグモードの有効化、コントローラのメモリセルに関連する強制機能の使用。 しかし、出場者は受け取った情報の使用を実証しませんでした。



16時、参加者にはAPAXおよびADAMモジュールのソースコードが提供され、通常のプログラムを実行する可能性が検索されました。 RDotチームは、プログラムをコントローラーから読み戻すことに成功し（この機能はKW Softwareのパスワードで慎重に保護されていなかった）、デバッグモードをオンにし、コントローラーレジスタの動作を監視することに成功しました。



午後5時、ユーザーは内部サブネットに入ることが許可されました。 実際、緊急保護システムに対するDDoS攻撃は、システムを無効にしようとする試みから始まりました。







コンテストが午後6時に終了するまでに、モジュールのファームウェアへの影響の痕跡はありましたが、GCLプログラムを停止したり、特定の目的のために出力を制御したりすることはできませんでした。 モジュールの機能の修復は、修理センターの状態ではないものの、スタンドの外ですでに実行されました。



賞品は「ポイント単位」で配布されました。

• 私は、APAXコントローラーのリモートデスクトップを開くためのRdotチームのArthur G.、IEC61131のソースコードでの成功した仕事、
• II位-Pavel I.彼がSCADAシステムインターフェイスへの管理者アクセスを最初に取得し、優雅に扱ったという事実。
• III位-Alexander Y.へ。APAXコントローラーのポート間でパケットを転送し、総労力を費やします。

慰めの賞-ソーシャルエンジニアリング手法を使用した（管理者のラップトップでSCADAプロジェクトのバックアップを発見し、そこから管理者パスワードを取得した）Alexey P.

おわりに

コンテストの結果に続いて、主催者は次の重要な結論を出しました。

• 産業管理システムは、ほとんどの侵入者にとって一般的に新しいものです。 これらの方法は、主に強制的に使用される（ポート攻撃）か、システムの詳細を考慮しない（Wiresharkを使用してModbusトラフィックを監視する）ものです。 ただし、十分な動機があれば、システムの構造とその通常の使用方法を理解できます。
• 最も脆弱な要素は、オペレータインターフェースに近い要素-SCADAクライアントログイン、リモートデスクトップです。 Windowsベースのシステムでは、コンピューター自体（ファイアウォール）と通信チャネル（暗号化）の両方に追加のソフトウェア保護が必要です。
• エンタープライズバスとフィールドバスは、少なくとも2つのネットワークカードを備えたデバイスによって物理的に分離されている必要があります。 VLANの使用は、スイッチのWebインターフェースの脆弱性のため、常に効果的とはほど遠いものです。