عوامل تهدید سیستمها را در محیطهای کنترل صنعتی با بدافزارهای درپشتی پنهان شده در ابزارهای جعلی شکستن رمز عبور هدف قرار میدهند. این ابزارها که برای فروش در انواع وب سایت های رسانه های اجتماعی تبلیغ می شوند، امکان بازیابی رمزهای عبور سیستم های سخت افزاری مورد استفاده در محیط های صنعتی را ارائه می دهند.
محققان Dragos اخیراً یکی از این محصولات رمزگشایی را تجزیه و تحلیل کردند و دریافتند که حاوی "Sality" یک ابزار بدافزار قدیمی است که سیستمهای آلوده را بخشی از یک باتنت همتا به همتا برای رمزنگاری و شکستن رمز عبور میکند.
ابزار شکستن رمز عبور به عنوان نرم افزاری که می تواند به کاربران کنترل کننده منطقی قابل برنامه ریزی DirectLogic 06 (PLC) Automation Direct کمک کند رمزهای عبور گم شده یا فراموش شده را بازیابی کند، مورد استفاده قرار گرفت. هنگام نصب بر روی PLC، نرم افزار واقعا رمز عبور را "شکست" نکرد. بلکه آن را از یک آسیب پذیری در PLC سوء استفاده کرد برای بازیابی رمز عبور از سیستم بر اساس فرمان و ارسال آن به صورت متنی واضح به ایستگاه کاری مهندسی متصل کاربر. نمونه ای که دراگوس تجزیه و تحلیل کرد، کاربر را ملزم به اتصال سریال مستقیم از ایستگاه کاری خود به Automation Direct PLC می کرد. با این حال، فروشنده امنیتی گفت که می تواند نسخه خطرناک تری از این اکسپلویت را توسعه دهد که از طریق اترنت نیز کار می کند.
دراگوس گفت که این آسیبپذیری (CVE-2022-2003) را به Automation Direct گزارش کرده است. در ژوئن برای آن اصلاحیه صادر کرد.
دراگوس علاوه بر بازیابی رمز عبور، ابزار به اصطلاح شکستن رمز عبور را مشاهده کرد که Sality را روی سیستم میزبان رها کرد و آن را به بخشی از بات نت تبدیل کرد. نمونه خاص سالیتی همچنین بدافزاری را برای ربودن کلیپبورد سیستم آلوده در هر نیم ثانیه و بررسی آن برای قالبهای آدرس ارزهای دیجیتال حذف کرد. اگر بدافزار یکی را شناسایی کند، آدرس را با یک آدرس کنترل شده توسط عامل تهدید جایگزین می کند. دراگوس در وبلاگ اخیر خود گفت: «این ربودن بلادرنگ روشی مؤثر برای سرقت ارزهای دیجیتال از کاربرانی است که میخواهند وجوه انتقال دهند و اطمینان ما را از انگیزه مالی دشمن افزایش میدهد.
استراتژی جذاب
دراگوس فوراً به درخواست Dark Reading برای توضیح در مورد اینکه دقیقاً خریداران چنین نرم افزارهای شکستن رمز عبور و چرا ممکن است بخواهند این ابزارها را از فروشندگان تأیید نشده در وب سایت های رسانه های اجتماعی خریداری کنند، پاسخ نداد. همچنین مشخص نیست که اگر هدف صرفاً مالی باشد، چرا عاملان تهدید برای توسعه شکافهای رمز عبور تروجانیزه شده برای PLCها در زیرساختهای حیاتی و محیطهای فناوری عملیاتی به دردسر میافتند. اغلب حملاتی که تجهیزات را در محیط های صنعتی و OT هدف قرار می دهند، انگیزه های دیگری مانند نظارت، سرقت اطلاعات و خرابکاری دارند.
تحقیقات دراگوس نشان داد که رمز عبور برای PLC های Automation Direct تنها یکی از بسیاری از بازیابی رمزهای جعلی مشابهی است که در وب سایت های رسانه های اجتماعی موجود است. محققان Dragos فایل های اجرایی مشابهی برای بازیابی رمزهای عبور از بیش از 30 PLC، سیستم های رابط انسان و ماشین (HMI) و فایل های پروژه در تنظیمات صنعتی پیدا کردند. در میان آنها شش PLC از Omron، دو PLC از زیمنس، چهار HMI از Mitsubishi، و محصولاتی از مجموعهای از فروشندگان دیگر از جمله LG، Panasonic و Weintek بودند.
دراگوس گفت که فقط رمز عبور را برای DirectLogic PLC Automation Direct آزمایش کرده است. با این حال، تجزیه و تحلیل اولیه سایر ابزارها نشان داد که آنها نیز حاوی بدافزار هستند. "به طور کلی، به نظر می رسد اکوسیستمی برای این نوع نرم افزار وجود دارد. دراگوس در وبلاگ خود گفت: چندین وبسایت و چندین حساب رسانههای اجتماعی وجود دارند که همه رمز عبور خود را «ترککننده» تبلیغ میکنند.
حملاتی که محیطهای ICS را هدف قرار میدهند در سالهای اخیر از نظر تعداد و پیچیدگی افزایش یافتهاند. از زمان حمله استاکسنت در سال 2010 به تأسیسات غنیسازی اورانیوم ایران در نطنز، موارد متعددی وجود داشته است که عوامل تهدید به سیستمهای حیاتی در محیطهای ICS و OT دسترسی پیدا کردهاند و بدافزار را روی آنها مستقر کردهاند. برخی از نمونه های قابل توجه اخیر شامل بدافزارهایی مانند Industroyer/Crashoverride، Triton/Trisis و BlackEnergy. در آوریل 2022، آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) به سازمانهای زیرساخت حیاتی هشدار داد که مراقب سه ابزار بدافزار پیچیده باشند. به عنوان کنترلر/PipeDream - ساخته شده برای حمله به PLC های اشنایدر الکتریک، Omron و سیستم های مبتنی بر استاندارد معماری یکپارچه ارتباطات پلتفرم باز (OPC UA).