Engenheiros e operadores industriais são o alvo de uma nova campanha que aproveita o software de quebra de senha para assumir o controle de controladores lógicos programáveis (PLCs) e cooptar as máquinas para uma botnet.

O software “explorou uma vulnerabilidade no firmware que permitiu recuperar a senha sob comando”, disse o pesquisador de segurança da Dragos, Sam Hanson. “Além disso, o software era um dropper de malware, infectando a máquina com o malware Sality e transformando o host em um ponto na botnet ponto a ponto da Sality”.

A empresa de segurança cibernética industrial disse que a exploração de recuperação de senha incorporada no dropper de malware foi projetada para recuperar a credencial associada ao Automation Direct DirectLOGIC 06 PLC.

A exploração, rastreada como CVE-2022-2003 (pontuação CVSS: 7,7), foi descrita como um caso de transmissão em texto simples de dados confidenciais que podem levar à divulgação de informações e alterações não autorizadas. O problema foi resolvido na versão de firmware 2.72 lançada no mês passado.

As infecções culminam na implantação do malware Sality para realizar tarefas como mineração de criptomoedas e quebra de senhas de forma distribuída, além de tomar medidas para permanecer indetectável encerrando o software de segurança em execução nas estações de trabalho comprometidas.

Além disso, o artefato desenterrado por Dragos descarta uma carga útil de cripto-clipper que rouba criptomoeda durante uma transação, substituindo o endereço da carteira original salvo na área de transferência pelo endereço da carteira do invasor.

A Automation Direct não é o único fornecedor impactado, pois as ferramentas afirmam abranger vários PLCs, interfaces homem-máquina (HMIs) e arquivos de projeto abrangendo Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Schneider Electric’s Pro-face , Vigor PLC, Weintek, Allen-Bradley da Rockwell Automation, Panasonic, Fatek, IDEC Corporation e LG.

“Em geral, parece que existe um ecossistema para esse tipo de software”, observou Hanson, atribuindo os ataques a um provável adversário motivado financeiramente. “Existem vários sites e várias contas de mídia social divulgando seus ‘crackers’ de senhas.”

Esta está longe de ser a primeira vez que o software trojanizado destacou as redes de tecnologia operacional (OT). Em outubro de 2021, a Mandiant divulgou como os binários executáveis ​​portáteis legítimos estão sendo comprometidos por uma variedade de malwares, como Sality, Virut e Ramnit, entre outros.

Conheça o octoplant! Esteja protegido contra essas ameaças: https://hsinet.com.br/octoplant/

Fonte: Hackers Distributing Password Cracking Tool for PLCs and HMIs to Target Industrial Systems

Related Posts