Actorii amenințărilor vizează sistemele din mediile de control industrial cu programe malware de tip backdoor ascunse în instrumente false de spargere a parolelor. Instrumentele, fiind vândute pe o varietate de site-uri de social media, oferă recuperarea parolelor pentru sistemele hardware utilizate în mediile industriale.
Cercetătorii de la Dragos au analizat recent un astfel de produs de spargere a parolelor și au descoperit că conține „Sality”, un instrument malware vechi care face ca sistemele infectate să facă parte dintr-o rețea botnet peer-to-peer pentru criptomining și spargerea parolelor.
Instrumentul de spargere a parolelor a fost comercializat ca software care ar putea ajuta utilizatorii controlerelor logice programabile (PLC) DirectLogic 06 de la Automation Direct să recupereze parolele pierdute sau uitate. Când a fost instalat pe PLC, software-ul nu a „crapat” parola. Mai degrabă, ea a exploatat o vulnerabilitate în PLC pentru a recupera parola de la sistem la comandă și a o trimite în text clar către stația de lucru de inginerie conectată a utilizatorului. Eșantionul pe care Dragoș l-a analizat a cerut utilizatorului să aibă o conexiune serială directă de la stația sa de lucru la Automation Direct PLC. Cu toate acestea, furnizorul de securitate a spus că a fost capabil să dezvolte o versiune mai periculoasă a exploit-ului care funcționează și prin Ethernet.
Dragoș a declarat că a raportat vulnerabilitatea (CVE-2022-2003) către Automation Direct, care a emis o remediere pentru aceasta în iunie.
Pe lângă recuperarea parolei, Dragoș a observat că așa-numitul instrument de spargere a parolei arunca Sality pe sistemul gazdă și îl făcea parte a rețelei bot. Eșantionul specific de Sality a eliminat, de asemenea, programe malware pentru deturnarea clipboard-ului sistemului infectat la fiecare jumătate de secundă și pentru verificarea formatelor de adrese criptomonede. Dacă malware-ul a detectat unul, a înlocuit adresa cu o adresă controlată de actorul amenințării. „Acest deturnare în timp real este o modalitate eficientă de a fura criptomonede de la utilizatorii care doresc să transfere fonduri și ne mărește încrederea că adversarul este motivat financiar”, a spus Dragoș într-un blog recent.
Strategie intrigantă
Dragoș nu a răspuns imediat unei solicitări Dark Reading de clarificare cu privire la cine ar fi exact cumpărătorii unui astfel de software de spargere a parolelor și de ce ar putea dori să cumpere aceste instrumente de la vânzători neverificați de pe site-urile de socializare. De asemenea, nu era clar de ce actorii amenințărilor s-ar dezbate să dezvolte instrumente troiene de spargere a parolelor pentru PLC-uri în infrastructura critică și medii tehnologice operaționale, dacă scopul este pur financiar. Adesea, atacurile care vizează echipamentele din medii industriale și OT au alte motivații, cum ar fi supravegherea, furtul de date și sabotajul.
Cercetările lui Dragos au arătat că dispozitivul de spargere a parolelor pentru automatele automate de la Automation Direct este doar unul dintre multele instrumente de recuperare a parolelor false care sunt disponibile pe site-urile de social media. Cercetătorii Dragos au găsit executabile similare pentru recuperarea parolelor de la peste 30 de PLC-uri, sisteme de interfață om-mașină (HMI) și fișiere de proiect în setări industriale. Printre acestea se numărau șase PLC-uri de la Omron, două PLC-uri de la Siemens, patru HMI-uri de la Mitsubishi și produse de la o gamă largă de alți furnizori, inclusiv LG, Panasonic și Weintek.
Dragoș a spus că a testat doar declanșarea parolelor pentru PLC-ul DirectLogic de la Automation Direct. Cu toate acestea, o analiză inițială a celorlalte instrumente a arătat că acestea conțineau și programe malware. „În general, se pare că există un ecosistem pentru acest tip de software. Există mai multe site-uri web și mai multe conturi de rețele sociale care își propună „crackeri” parolei”, a spus Dragoș pe blogul său.
Atacurile care vizează mediile ICS au crescut ca număr și sofisticare în ultimii ani. De la atacul Stuxnet din 2010 asupra instalației de îmbogățire a uraniului a Iranului din Natanz, au existat numeroase cazuri în care actorii amenințărilor au obținut acces la sisteme critice în mediile ICS și OT și au implementat malware pe acestea. Unele dintre exemplele mai recente și notabile includ programe malware, cum ar fi Industroyer/Crashoverride, Triton/Trisis și BlackEnergy. În aprilie 2022, Agenția de Infrastructură și Securitate Cibernetică din SUA (CISA) a avertizat organizațiile cu infrastructură critică să caute trei instrumente malware sofisticate - la care se face referire colectiv. ca Incontroller/PipeDream — personalizat pentru a ataca PLC-urile de la Schneider Electric, Omron și sistemele bazate pe standardul Open Platform Communications Unified Architecture (OPC UA).
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
