Ohutegijad sihivad tööstuslike juhtimiskeskkondade süsteeme, mille tagaukse pahavara on peidetud võltsitud paroolide murdmise tööriistadesse. Tööriistad, mida reklaamitakse müügiks mitmesugustel sotsiaalmeedia veebisaitidel, pakuvad tööstuskeskkonnas kasutatavate riistvarasüsteemide paroole.
Dragose teadlased analüüsisid hiljuti üht sellist paroolimurdmise toodet ja leidsid, et see sisaldab "Sality" - vana pahavara tööriista, mis muudab nakatunud süsteemid krüptomineerimise ja paroolimurdmise jaoks peer-to-peer botneti osaks.
Paroolimurdmise tööriista hakati kasutama tarkvarana, mis võiks aidata Automation Directi DirectLogic 06 programmeeritavate loogikakontrollerite (PLC) kasutajatel kaotatud või unustatud paroole taastada. PLC-le installimisel ei murdnud tarkvara tegelikult parooli. Pigem see kasutas ära PLC haavatavust käsu peale süsteemist parooli taastamiseks ja selge tekstina kasutaja ühendatud inseneritööjaama saatmiseks. Dragose analüüsitud proov nõudis kasutajalt otsest jadaühendust oma tööjaamast Automation Direct PLC-ga. Siiski ütles turbemüüja, et ta suutis välja töötada ohtlikuma versiooni, mis töötab ka Etherneti kaudu.
Dragos teatas, et teatas haavatavusest (CVE-2022-2003) Automation Directile, mis väljastas selle jaoks paranduse juunis.
Lisaks parooli hankimisele jälgis Dragos, et niinimetatud paroolimurdmise tööriist kukutas Sality hostsüsteemi ja muutis selle botneti osaks. Konkreetne Sality näidis loobus ka pahavarast, mis kaaperdas iga poole sekundi järel nakatunud süsteemi lõikepuhvri ja kontrollis seda krüptovaluuta aadressivormingute suhtes. Kui pahavara sellise tuvastas, asendas see aadressi ohus osaleja kontrollitud aadressiga. "See reaalajas kaaperdamine on tõhus viis krüptovaluutat varastada kasutajatelt, kes soovivad raha üle kanda, ja suurendab meie kindlustunnet, et vastane on rahaliselt motiveeritud," ütles Dragos hiljutises ajaveebis.
Intrigeeriv strateegia
Dragos ei vastanud kohe Dark Readingi palvele selgitada, kes täpselt sellise paroolimurdmise tarkvara ostjad oleksid ja miks nad võiksid neid tööriistu sotsiaalmeedia veebisaitidelt kinnitamata müüjatelt osta. Samuti ei olnud selge, miks ohustajad näevad vaeva, et töötada välja troojastatud paroolimurdjad PLC-dele kriitilises infrastruktuuris ja töötehnoloogia keskkondades, kui eesmärk on puhtalt rahaline. Sageli on tööstus- ja OT-keskkondade seadmetele suunatud rünnakutel muud põhjused, nagu jälgimine, andmete vargus ja sabotaaž.
Dragose uuringud näitasid, et Automation Directi PLC-de paroolimurdja on vaid üks paljudest sarnaselt võltsparoolide otsijatest, mis on saadaval sotsiaalmeedia veebisaitidel. Dragose teadlased leidsid sarnaseid käivitatavaid faile paroolide hankimiseks enam kui 30 PLC-st, inim-masina liidese (HMI) süsteemidest ja projektifailidest tööstuslikes seadetes. Nende hulgas oli kuus Omroni PLC-d, kaks Siemensi PLC-d, neli Mitsubishi HMI-d ja tooteid paljudelt teistelt müüjatelt, sealhulgas LG, Panasonic ja Weintek.
Dragos ütles, et see testis ainult Automation Directi DirectLogic PLC paroolimurdjat. Teiste tööriistade esialgne analüüs näitas aga, et need sisaldasid ka pahavara. „Üldiselt näib, et seda tüüpi tarkvara jaoks on olemas ökosüsteem. On olemas mitu veebisaiti ja mitu sotsiaalmeediakontot, mis kõik reklaamivad oma paroolikrakkereid, ”ütles Dragos oma ajaveebis.
ICS-keskkondadele suunatud rünnakute arv ja keerukus on viimastel aastatel kasvanud. Alates 2010. aasta Stuxneti rünnakust Iraani uraani rikastamise rajatisele Natanzis on olnud arvukalt juhtumeid, kus ohus osalejad on saanud juurdepääsu kriitilistele süsteemidele ICS- ja OT-keskkondades ning juurutanud neis pahavara. Mõned hiljutised märkimisväärsed näited hõlmavad pahavara, näiteks Industroyer/Crashoverride, Triton/Trisis ja BlackEnergy. 2022. aasta aprillis hoiatas USA küberjulgeoleku ja infrastruktuuri agentuur (CISA) kriitilise infrastruktuuri organisatsioone, et nad peaksid otsima kolme keerukat pahavaratööriista – ühiselt viidatud kui Incontroller/PipeDream — kohandatud ründama Schneider Electricu, Omroni PLC-sid ja Open Platform Communications Unified Architecture (OPC UA) standardil põhinevaid süsteeme.
