威胁者的目标是工业控制环境中的系统,后门恶意软件隐藏在假密码破解工具中。 这些工具在各种社交媒体网站上被吹捧出售,可用于恢复工业环境中使用的硬件系统的密码。
Dragos 的研究人员最近分析了一个这样的密码破解产品,发现它包含“Sality”,这是一种旧的恶意软件工具,它使受感染的系统成为点对点僵尸网络的一部分,用于加密和密码破解。
密码破解工具作为软件被兜售,它可以帮助 Automation Direct 的 DirectLogic 06 可编程逻辑控制器 (PLC) 的用户恢复丢失或忘记的密码。 当安装在 PLC 上时,该软件并没有真正“破解”密码。 而是它 利用PLC中的漏洞 根据命令从系统中恢复密码并将其以明文形式发送到用户连接的工程工作站。 Dragos 分析的样本要求用户从其工作站直接串行连接到 Automation Direct PLC。 然而,安全供应商表示,它能够开发出更危险的漏洞利用版本,也可以在以太网上运行。
Dragos 表示已将漏洞 (CVE-2022-2003) 报告给 Automation Direct,后者 在 XNUMX 月份对其进行了修复.
除了找回密码之外,Dragos 还观察到所谓的密码破解工具将 Sality 放到主机系统上,并使其成为僵尸网络的一部分。 Sality 的特定样本还丢弃了恶意软件,用于每半秒劫持受感染系统的剪贴板并检查其加密货币地址格式。 如果恶意软件检测到一个,它会将地址替换为威胁参与者控制的地址。 “这种实时劫持是从想要转移资金的用户那里窃取加密货币的有效方式,并增加了我们对对手有经济动机的信心,”德拉戈斯在最近的一篇博客中说。
有趣的策略
Dragos 没有立即回应 Dark Reading 的请求,要求澄清此类密码破解软件的确切买家是谁,以及为什么他们可能想从社交媒体网站上未经验证的卖家那里购买这些工具。 如果目标纯粹是财务上的,那么也不清楚为什么威胁行为者会不厌其烦地为关键基础设施和运营技术环境中的 PLC 开发木马密码破解程序。 通常,针对工业和 OT 环境中的设备的攻击还有其他动机,例如监视、数据盗窃和破坏。
Dragos 的研究表明,Automation Direct 的 PLC 的密码破解程序只是社交媒体网站上提供的许多类似的假密码检索器之一。 Dragos 研究人员发现了类似的可执行文件,用于从 30 多个 PLC、人机界面 (HMI) 系统和工业环境中的项目文件中检索密码。 其中包括 XNUMX 台欧姆龙 PLC、XNUMX 台西门子 PLC、XNUMX 台三菱 HMI,以及来自 LG、松下和 Weintek 等其他供应商的产品。
Dragos说它只测试了Automation Direct的DirectLogic PLC的密码破解程序。 然而,对其他工具的初步分析表明它们也包含恶意软件。 “总的来说,这类软件似乎有一个生态系统。 几个网站和多个社交媒体账户都在兜售他们的密码“破解者”,”德拉戈斯在其博客中说。
近年来,针对 ICS 环境的攻击的数量和复杂程度都在增加。 自 2010 年 Stuxnet 对伊朗纳坦兹铀浓缩设施的攻击以来,已经出现了许多威胁行为者访问 ICS 和 OT 环境中的关键系统并在其上部署恶意软件的实例。 一些较新的、值得注意的例子包括恶意软件,例如 Industroyer/Crashoverride、Triton/Trisis 和 BlackEnergy. 2022 年 XNUMX 月,美国网络安全和基础设施局 (CISA) 警告关键基础设施组织要注意三种复杂的恶意软件工具——统称为 作为 Incontroller/PipeDream — 定制用于攻击施耐德电气、欧姆龙的 PLC 和基于开放平台通信统一架构 (OPC UA) 标准的系统。
