تستهدف الجهات الفاعلة في مجال التهديد الأنظمة في بيئات التحكم الصناعي التي تحتوي على برامج ضارة مخفية في أدوات تكسير كلمات المرور المزيفة. الأدوات ، التي يتم الترويج لها للبيع على مجموعة متنوعة من مواقع التواصل الاجتماعي ، تعرض استعادة كلمات المرور لأنظمة الأجهزة المستخدمة في البيئات الصناعية.
قام باحثون من Dragos مؤخرًا بتحليل أحد منتجات تكسير كلمات المرور ووجدوا أنه يحتوي على "Sality" ، وهي أداة برمجية ضارة قديمة تجعل الأنظمة المصابة جزءًا من الروبوتات من نظير إلى نظير لتشفير التشفير وتكسير كلمات المرور.
تم الترويج لأداة تكسير كلمات المرور كبرنامج يمكن أن يساعد مستخدمي وحدات التحكم المنطقية القابلة للبرمجة (PLC) الخاصة بـ Automation Direct على استعادة كلمات المرور المفقودة أو المنسية. عند تثبيته على PLC ، لم يقم البرنامج بالفعل "بكسر" كلمة المرور. بدلا من ذلك استغل نقطة ضعف في PLC لاستعادة كلمة المرور من النظام عند الأمر وإرسالها بنص واضح إلى محطة العمل الهندسية المتصلة للمستخدم. تتطلب العينة التي حللها دراغوس أن يكون لدى المستخدم اتصال تسلسلي مباشر من محطة العمل الخاصة به إلى أتمتة Direct PLC. ومع ذلك ، قال بائع الأمن إنه كان قادرًا على تطوير نسخة أكثر خطورة من الاستغلال تعمل عبر الإيثرنت أيضًا.
قالت Dragos إنها أبلغت عن الثغرة الأمنية (CVE-2022-2003) إلى Automation Direct ، والتي أصدر إصلاحًا له في يونيو.
بالإضافة إلى استرداد كلمة المرور ، لاحظ دراغوس أن ما يسمى بأداة تكسير كلمة المرور تسقط Sality على النظام المضيف وتجعلها جزءًا من الروبوتات. أسقطت العينة المحددة من Sality أيضًا برامج ضارة لاختطاف حافظة النظام المصاب كل نصف ثانية والتحقق منها بحثًا عن تنسيقات عناوين العملة المشفرة. إذا اكتشف البرنامج الضار واحدًا ، فإنه يستبدل العنوان بعنوان تهديد يتحكم فيه الممثل. قال دراغوس في مدونة حديثة: "يعتبر هذا الاختطاف في الوقت الفعلي طريقة فعالة لسرقة العملات المشفرة من المستخدمين الراغبين في تحويل الأموال ويزيد من ثقتنا بأن الخصم له دوافع مالية".
استراتيجية فضول
لم يستجب Dragos على الفور لطلب Dark Reading لتوضيح من هم بالضبط المشترون لبرنامج تكسير كلمات المرور هذا ولماذا قد يرغبون في شراء هذه الأدوات من بائعين لم يتم التحقق منهم على مواقع التواصل الاجتماعي. لم يكن من الواضح أيضًا سبب قيام الجهات الفاعلة بالتهديد بمشكلة تطوير برامج تكسير كلمة مرور طروادة في PLCs في البنية التحتية الحيوية وبيئات التكنولوجيا التشغيلية إذا كان الهدف ماليًا بحتًا. غالبًا ما يكون للهجمات التي تستهدف المعدات في البيئات الصناعية و OT دوافع أخرى مثل المراقبة وسرقة البيانات والتخريب.
أظهر بحث Dragos أن أداة تكسير كلمات المرور الخاصة بـ Automation Direct's PLCs هي مجرد واحدة من العديد من أدوات استرداد كلمات المرور المزيفة المشابهة المتوفرة على مواقع التواصل الاجتماعي. وجد باحثو Dragos ملفات تنفيذية مماثلة لاسترداد كلمات المرور من أكثر من 30 PLCs وأنظمة واجهة الإنسان والآلة (HMI) وملفات المشروع في الإعدادات الصناعية. من بينها ستة PLCs من Omron ، واثنتان من شركة Siemens ، وأربعة HMIs من Mitsubishi ، ومنتجات من مجموعة متنوعة من البائعين الآخرين بما في ذلك LG و Panasonic و Weintek.
قال Dragos إنه اختبر فقط أداة تكسير كلمات المرور لـ DirectLogic PLC الخاص بـ Automation Direct. ومع ذلك ، أظهر تحليل أولي للأدوات الأخرى أنها تحتوي على برامج ضارة أيضًا. "بشكل عام ، يبدو أن هناك نظامًا بيئيًا لهذا النوع من البرامج. قالت دراغوس في مدونتها إن العديد من المواقع الإلكترونية وحسابات وسائل التواصل الاجتماعي المتعددة تروج جميعها لـ "مفرقعات" كلمات المرور الخاصة بهم.
الهجمات التي تستهدف بيئات ICS نمت من حيث العدد والتعقيد في السنوات الأخيرة. منذ هجوم 2010 Stuxnet على منشأة تخصيب اليورانيوم الإيرانية في نطنز ، كانت هناك حالات عديدة تمكن فيها المهاجمون من الوصول إلى أنظمة مهمة في بيئات ICS و OT ونشروا برامج ضارة عليها. تتضمن بعض الأمثلة الأحدث والأكثر شهرة البرامج الضارة مثل Industroyer / Crashoverride و Triton / Trisis و BlackEnergy. في أبريل 2022 ، حذرت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) مؤسسات البنية التحتية الحيوية من البحث عن ثلاث أدوات برمجية ضارة معقدة - يشار إليها مجتمعة كما Incontroller / PipeDream - مصمم خصيصًا لمهاجمة PLCs من Schneider Electric و Omron والأنظمة القائمة على معيار Open Platform Communications Unified Architecture (OPC UA).
