Pelaku ancaman menargetkan sistem di lingkungan kontrol industri dengan malware backdoor yang tersembunyi di alat pembobol kata sandi palsu. Alat, yang disebut-sebut untuk dijual di berbagai situs media sosial, menawarkan untuk memulihkan kata sandi untuk sistem perangkat keras yang digunakan di lingkungan industri.
Para peneliti dari Dragos baru-baru ini menganalisis salah satu produk peretas kata sandi tersebut dan menemukannya mengandung โSality,โ alat malware lama yang membuat sistem yang terinfeksi menjadi bagian dari botnet peer-to-peer untuk cryptomining dan peretasan kata sandi.
Alat peretas kata sandi sedang dijajakan sebagai perangkat lunak yang dapat membantu pengguna DirectLogic 06 programmable logic controller (PLC) Automation Direct memulihkan kata sandi yang hilang atau terlupakan. Ketika diinstal pada PLC, perangkat lunak tidak benar-benar "memecahkan" kata sandi. Sebaliknya, itu mengeksploitasi kerentanan di PLC untuk memulihkan kata sandi dari sistem berdasarkan perintah dan mengirimkannya dalam bentuk teks yang jelas ke workstation teknik pengguna yang terhubung. Sampel yang dianalisis Dragos mengharuskan pengguna untuk memiliki koneksi serial langsung dari stasiun kerja mereka ke PLC Otomatisasi Langsung. Namun, vendor keamanan mengatakan bahwa mereka dapat mengembangkan versi eksploitasi yang lebih berbahaya yang bekerja melalui Ethernet juga.
Dragos mengatakan telah melaporkan kerentanan (CVE-2022-2003) ke Automation Direct, yang mengeluarkan perbaikan untuk itu pada bulan Juni.
Selain mengambil kata sandi, Dragos mengamati apa yang disebut alat peretas kata sandi menjatuhkan Sality pada sistem host dan menjadikannya bagian dari botnet. Sampel spesifik Sality juga menjatuhkan malware karena membajak clipboard sistem yang terinfeksi setiap setengah detik dan memeriksanya untuk format alamat cryptocurrency. Jika malware mendeteksinya, alamat tersebut diganti dengan alamat yang dikendalikan oleh aktor ancaman. โPembajakan dalam waktu nyata ini adalah cara yang efektif untuk mencuri cryptocurrency dari pengguna yang ingin mentransfer dana dan meningkatkan kepercayaan kami bahwa musuh termotivasi secara finansial,โ kata Dragos dalam blog baru-baru ini.
Strategi yang Menarik
Dragos tidak segera menanggapi permintaan Dark Reading untuk klarifikasi tentang siapa sebenarnya pembeli perangkat lunak peretas kata sandi tersebut dan mengapa mereka mungkin ingin membeli alat ini dari penjual yang tidak terverifikasi di situs web media sosial. Juga tidak jelas mengapa pelaku ancaman akan bersusah payah mengembangkan cracker kata sandi Trojanized untuk PLC dalam infrastruktur kritis dan lingkungan teknologi operasional jika tujuannya murni finansial. Seringkali serangan yang menargetkan peralatan di lingkungan industri dan PL memiliki motivasi lain seperti pengawasan, pencurian data, dan sabotase.
Penelitian Dragos menunjukkan bahwa pemecah kata sandi untuk PLC Automation Direct hanyalah salah satu dari banyak pemecah kata sandi palsu yang tersedia di situs web media sosial. Peneliti Dragos menemukan executable serupa untuk mengambil kata sandi dari lebih dari 30 PLC, sistem human-machine interface (HMI), dan file proyek dalam pengaturan industri. Diantaranya adalah enam PLC dari Omron, dua PLC dari Siemens, empat HMI dari Mitsubishi, dan produk dari berbagai vendor lain termasuk LG, Panasonic, dan Weintek.
Dragos mengatakan hanya menguji cracker kata sandi untuk DirectLogic PLC Automation Direct. Namun, analisis awal dari alat lain menunjukkan bahwa mereka juga mengandung malware. โSecara umum, tampaknya ada ekosistem untuk perangkat lunak jenis ini. Beberapa situs web dan beberapa akun media sosial ada yang menggembar-gemborkan kata sandi 'cracker' mereka,โ kata Dragos dalam blognya.
Serangan yang menargetkan lingkungan ICS telah berkembang dalam jumlah dan kecanggihan dalam beberapa tahun terakhir. Sejak serangan Stuxnet 2010 di fasilitas pengayaan uranium Iran di Natanz, ada banyak contoh di mana pelaku ancaman telah mendapatkan akses ke sistem kritis di lingkungan ICS dan OT dan menyebarkan malware ke dalamnya. Beberapa contoh yang lebih baru dan terkenal termasuk malware seperti Industroyer/Crashoverride, Triton/Trisis, dan BlackEnergy. Pada April 2022, Badan Keamanan Siber dan Infrastruktur AS (CISA) memperingatkan organisasi infrastruktur penting untuk waspada terhadap tiga alat malware canggih โ yang secara kolektif disebut sebagai Incontroller/PipeDream โ dibuat khusus untuk menyerang PLC dari Schneider Electric, Omron, dan sistem berdasarkan standar Open Platform Communications Unified Architecture (OPC UA).
