Trusselaktører retter sig mod systemer i industrielle kontrolmiljøer med bagdørs-malware skjult i falske adgangskodeknækningsværktøjer. Værktøjerne, der bliver udråbt til salg på en række sociale medier-websteder, tilbyder at gendanne adgangskoder til hardwaresystemer, der bruges i industrielle miljøer.
Forskere fra Dragos analyserede for nylig et sådant kodeordskrækningsprodukt og fandt ud af, at det indeholder "Sality", et gammelt malwareværktøj, der gør inficerede systemer til en del af et peer-to-peer-botnet til kryptominering og adgangskodeknækning.
Værktøjet til at knække adgangskode blev brugt som software, der kunne hjælpe brugere af Automation Directs DirectLogic 06 programmerbare logiske controllere (PLC'er) med at gendanne mistede eller glemte adgangskoder. Når den blev installeret på PLC'en, "knækkede" softwaren ikke rigtig adgangskoden. Snarere det udnyttede en sårbarhed i PLC'en at gendanne adgangskoden fra systemet på kommando og sende den i klartekst til brugerens tilsluttede tekniske arbejdsstation. Prøven, som Dragos analyserede, krævede, at brugeren havde en direkte seriel forbindelse fra deres arbejdsstation til Automation Direct PLC'en. Sikkerhedsleverandøren sagde dog, at den var i stand til at udvikle en mere farlig version af udnyttelsen, der også fungerer over Ethernet.
Dragos sagde, at den rapporterede sårbarheden (CVE-2022-2003) til Automation Direct, som udstedte en rettelse til det i juni.
Udover at hente adgangskoden, observerede Dragos, at det såkaldte password-cracking-værktøj droppede Sality på værtssystemet og gjorde det til en del af botnettet. Den specifikke prøve af Sality droppede også malware for at kapre det inficerede systems udklipsholder hvert halve sekund og tjekke det for cryptocurrency-adresseformater. Hvis malwaren opdagede en, erstattede den adressen med en trusselsaktør-kontrolleret adresse. "Denne kapring i realtid er en effektiv måde at stjæle kryptovaluta fra brugere, der ønsker at overføre penge, og øger vores tillid til, at modstanderen er økonomisk motiveret," sagde Dragos i en nylig blog.
Spændende strategi
Dragos reagerede ikke umiddelbart på en Dark Reading-anmodning om afklaring af, hvem der præcist ville være købere til sådan adgangskodeknækkende software, og hvorfor de måske ønsker at købe disse værktøjer fra uverificerede sælgere på sociale medier-websteder. Det var heller ikke klart, hvorfor trusselsaktører ville gøre sig besværet med at udvikle trojanske password-crackere til PLC'er i kritiske infrastruktur- og driftsteknologiske miljøer, hvis målet er rent økonomisk. Ofte har angreb rettet mod udstyr i industri- og OT-miljøer andre motiver såsom overvågning, datatyveri og sabotage.
Dragos' forskning viste, at adgangskodeknækkeren til Automation Directs PLC'er blot er en af mange lignende falske adgangskodehentere, der er tilgængelige på sociale mediers hjemmesider. Dragos-forskere fandt lignende eksekverbare filer til at hente adgangskoder fra mere end 30 PLC'er, human-machine interface (HMI) systemer og projektfiler i industrielle omgivelser. Blandt dem var seks PLC'er fra Omron, to PLC'er fra Siemens, fire HMI'er fra Mitsubishi og produkter fra et udvalg af andre leverandører, herunder LG, Panasonic og Weintek.
Dragos sagde, at det kun testede password-crackeren til Automation Directs DirectLogic PLC. En indledende analyse af de andre værktøjer viste dog, at de også indeholdt malware. "Generelt ser det ud til, at der er et økosystem for denne type software. Der eksisterer adskillige websteder og adskillige sociale mediekonti, som alle udråber deres adgangskode 'crackere',” sagde Dragos i sin blog.
Angreb rettet mod ICS-miljøer er vokset i antal og sofistikerede i de seneste år. Siden Stuxnet-angrebet i 2010 på Irans uranberigelsesanlæg i Natanz har der været adskillige tilfælde, hvor trusselsaktører har fået adgang til kritiske systemer i ICS- og OT-miljøer og installeret malware på dem. Nogle af de nyere bemærkelsesværdige eksempler inkluderer malware som f.eks Industroyer/Crashoverride, Triton/Trisis og BlackEnergy. I april 2022 advarede US Cybersecurity and Infrastructure Agency (CISA) kritiske infrastrukturorganisationer om at være på udkig efter tre sofistikerede malware-værktøjer - samlet refereret til som Incontroller/PipeDream — specialbygget til at angribe PLC'er fra Schneider Electric, Omron og systemer baseret på Open Platform Communications Unified Architecture (OPC UA)-standarden.
