A fenyegető szereplők olyan ipari vezérlőkörnyezetekben lévő rendszereket céloznak meg, amelyek hamis jelszófeltörő eszközökben rejtett hátsó ajtós kártevőket tartalmaznak. A különféle közösségi média webhelyeken eladásra kínált eszközök az ipari környezetben használt hardverrendszerek jelszavainak visszaállítását kínálják.
A Dragos kutatói a közelmúltban elemeztek egy ilyen jelszófeltörő terméket, és megállapították, hogy tartalmazza a „Sality” nevű régi rosszindulatú szoftvert, amely a fertőzött rendszereket egy peer-to-peer botnet részévé teszi kriptominálás és jelszófeltörés céljából.
A jelszó-feltörő eszközt olyan szoftverként használták fel, amely segíthet az Automation Direct DirectLogic 06 programozható logikai vezérlőinek (PLC) felhasználóinak az elveszett vagy elfelejtett jelszavak helyreállításában. A PLC-re telepítve a szoftver nem igazán „törte fel” a jelszót. Inkább azt kihasználta a PLC biztonsági rését parancsra visszaállítani a jelszót a rendszerből, és elküldeni tiszta szöveggel a felhasználó csatlakoztatott mérnöki munkaállomására. A Dragos által elemzett minta megkövetelte, hogy a felhasználó közvetlen soros kapcsolatot létesítsen a munkaállomása és az Automation Direct PLC között. A biztonsági gyártó azonban azt mondta, hogy ki tudta fejleszteni a kizsákmányolás veszélyesebb változatát, amely Etherneten keresztül is működik.
Dragos azt mondta, hogy jelentette a sérülékenységet (CVE-2022-2003) az Automation Directnek, amely júniusban kiadott egy javítást.
A jelszó lekérése mellett Dragos megfigyelte, hogy az úgynevezett jelszófeltörő eszköz eldobta a Sality-t a gazdagépen, és a botnet részévé tette. A Sality konkrét mintája emellett kidobott egy rosszindulatú programot is, amely fél másodpercenként eltérítette a fertőzött rendszer vágólapját, és ellenőrizte a kriptovaluta címformátumait. Ha a rosszindulatú program ilyet észlelt, a címet egy fenyegetőszereplő által irányított címre cserélte. "Ez a valós idejű eltérítés hatékony módja annak, hogy kriptovalutát lopjunk el azoktól a felhasználóktól, akik pénzt akarnak átutalni, és növeli a bizalmunkat, hogy az ellenfél pénzügyileg motivált" - mondta Dragos egy nemrégiben megjelent blogban.
Érdekes stratégia
Dragos nem válaszolt azonnal a Dark Reading felvilágosítást kérő kérésére arról, hogy pontosan kik lennének az ilyen jelszófeltörő szoftverek vásárlói, és miért érdemes megvásárolni ezeket az eszközöket nem ellenőrzött eladóktól a közösségi oldalakon. Az sem volt világos, hogy a fenyegetés szereplői miért vesznek fáradságot, hogy trójai jelszavakat fejlesszenek PLC-k számára kritikus infrastruktúrában és működési technológiai környezetekben, ha a cél pusztán pénzügyi. Az ipari és OT környezetekben lévő berendezéseket célzó támadásoknak gyakran más motivációi is vannak, például megfigyelés, adatlopás és szabotázs.
Dragos kutatása kimutatta, hogy az Automation Direct PLC-ihez használható jelszótörő csak egy a sok hasonlóan hamis jelszó-visszakereső közül, amelyek elérhetők a közösségi oldalakon. A Dragos kutatói hasonló végrehajtható fájlokat találtak több mint 30 PLC-ből, ember-gép interfész (HMI) rendszerből és projektfájlokból ipari környezetben. Köztük volt hat PLC az Omrontól, két PLC a Siemenstől, négy HMI a Mitsubishitől, valamint számos más gyártó termékei, köztük az LG, a Panasonic és a Weintek.
Dragos azt mondta, hogy csak az Automation Direct DirectLogic PLC-jének jelszótörőjét tesztelte. A többi eszköz kezdeti elemzése azonban azt mutatta, hogy azok is tartalmaztak rosszindulatú programokat. „Általában úgy tűnik, létezik egy ökoszisztéma az ilyen típusú szoftvereknek. Számos webhely és több közösségi médiafiók létezik, amelyek mindegyike "feltörő jelszót" hirdet" - mondta Dragos a blogjában.
Az elmúlt években az ICS-környezeteket célzó támadások száma és kifinomultsága nőtt. Az iráni natanzi urándúsító létesítmény elleni 2010-es Stuxnet támadás óta számos olyan eset volt, amikor a fenyegetés szereplői hozzáfértek az ICS- és OT-környezetek kritikus rendszereihez, és rosszindulatú programokat telepítettek rájuk. A legújabb, figyelemre méltó példák közé tartoznak a rosszindulatú programok, mint pl Industroyer/Crashoverride, Triton/Trisis és BlackEnergy. 2022 áprilisában az Egyesült Államok Kiberbiztonsági és Infrastruktúra Ügynöksége (CISA) figyelmeztette a kritikus infrastruktúrával foglalkozó szervezeteket, hogy figyeljenek három kifinomult kártevő-eszközre – együttesen: mint Incontroller/PipeDream – egyedi tervezésű a Schneider Electric, az Omron és az Open Platform Communications Unified Architecture (OPC UA) szabványon alapuló PLC-k és rendszerek támadására.
