{"id":6887,"date":"2022-07-25T08:19:31","date_gmt":"2022-07-25T11:19:31","guid":{"rendered":"http:\/\/hsinet.com.br\/?p=6887"},"modified":"2022-08-01T09:43:56","modified_gmt":"2022-08-01T12:43:56","slug":"hackers-estao-distribuindo-ferramentas-de-quebra-de-senha-para-plcs-e-ihms","status":"publish","type":"post","link":"https:\/\/hsinet.com.br\/en\/2022\/07\/25\/hackers-estao-distribuindo-ferramentas-de-quebra-de-senha-para-plcs-e-ihms\/","title":{"rendered":"Hackers est\u00e3o distribuindo ferramentas de quebra de senha para PLCs e IHMs"},"content":{"rendered":"\n

Engenheiros e operadores industriais s\u00e3o o alvo de uma nova campanha que aproveita o software de quebra de senha para assumir o controle de controladores l\u00f3gicos program\u00e1veis (PLCs) e cooptar as m\u00e1quinas para uma botnet.<\/p>\n\n\n\n

O software “explorou uma vulnerabilidade no firmware que permitiu recuperar a senha sob comando”, disse o pesquisador de seguran\u00e7a da Dragos, Sam Hanson. \u201cAl\u00e9m disso, o software era um dropper de malware, infectando a m\u00e1quina com o malware Sality e transformando o host em um ponto na botnet ponto a ponto da Sality\u201d.<\/p>\n\n\n\n

A empresa de seguran\u00e7a cibern\u00e9tica industrial disse que a explora\u00e7\u00e3o de recupera\u00e7\u00e3o de senha incorporada no dropper de malware foi projetada para recuperar a credencial associada ao Automation Direct DirectLOGIC 06 PLC.<\/p>\n\n\n\n

A explora\u00e7\u00e3o, rastreada como CVE-2022-2003 (pontua\u00e7\u00e3o CVSS: 7,7), foi descrita como um caso de transmiss\u00e3o em texto simples de dados confidenciais que podem levar \u00e0 divulga\u00e7\u00e3o de informa\u00e7\u00f5es e altera\u00e7\u00f5es n\u00e3o autorizadas. O problema foi resolvido na vers\u00e3o de firmware 2.72 lan\u00e7ada no m\u00eas passado.<\/p>\n\n\n\n

As infec\u00e7\u00f5es culminam na implanta\u00e7\u00e3o do malware Sality para realizar tarefas como minera\u00e7\u00e3o de criptomoedas e quebra de senhas de forma distribu\u00edda, al\u00e9m de tomar medidas para permanecer indetect\u00e1vel encerrando o software de seguran\u00e7a em execu\u00e7\u00e3o nas esta\u00e7\u00f5es de trabalho comprometidas.<\/p>\n\n\n\n

Al\u00e9m disso, o artefato desenterrado por Dragos descarta uma carga \u00fatil de cripto-clipper que rouba criptomoeda durante uma transa\u00e7\u00e3o, substituindo o endere\u00e7o da carteira original salvo na \u00e1rea de transfer\u00eancia pelo endere\u00e7o da carteira do invasor.<\/p>\n\n\n\n

A Automation Direct n\u00e3o \u00e9 o \u00fanico fornecedor impactado, pois as ferramentas afirmam abranger v\u00e1rios PLCs, interfaces homem-m\u00e1quina (HMIs) e arquivos de projeto abrangendo Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Schneider Electric’s Pro-face , Vigor PLC, Weintek, Allen-Bradley da Rockwell Automation, Panasonic, Fatek, IDEC Corporation e LG.<\/p>\n\n\n\n

“Em geral, parece que existe um ecossistema para esse tipo de software”, observou Hanson, atribuindo os ataques a um prov\u00e1vel advers\u00e1rio motivado financeiramente. “Existem v\u00e1rios sites e v\u00e1rias contas de m\u00eddia social divulgando seus ‘crackers’ de senhas.”<\/p>\n\n\n\n

Esta est\u00e1 longe de ser a primeira vez que o software trojanizado destacou as redes de tecnologia operacional (OT). Em outubro de 2021, a Mandiant divulgou como os bin\u00e1rios execut\u00e1veis \u200b\u200bport\u00e1teis leg\u00edtimos est\u00e3o sendo comprometidos por uma variedade de malwares, como Sality, Virut e Ramnit, entre outros.<\/p>\n\n\n\n

Conhe\u00e7a o octoplant! Esteja protegido contra essas amea\u00e7as: https:\/\/hsinet.com.br\/octoplant\/<\/a><\/p>\n\n\n\n

\"\"<\/a><\/figure><\/div>\n\n\n\n

Fonte: <\/a>Hackers Distributing Password Cracking Tool for PLCs and HMIs to Target Industrial Systems<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Engenheiros e operadores industriais s\u00e3o o alvo de uma nova campanha que aproveita o software de quebra de senha para assumir o controle de controladores l\u00f3gicos program\u00e1veis (PLCs) e cooptar as m\u00e1quinas para uma botnet. O software “explorou uma vulnerabilidade no firmware que permitiu recuperar a senha sob comando”, disse o pesquisador de seguran\u00e7a da […]<\/p>\n","protected":false},"author":4,"featured_media":6888,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-6887","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"_links":{"self":[{"href":"https:\/\/hsinet.com.br\/en\/wp-json\/wp\/v2\/posts\/6887","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hsinet.com.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hsinet.com.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hsinet.com.br\/en\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/hsinet.com.br\/en\/wp-json\/wp\/v2\/comments?post=6887"}],"version-history":[{"count":5,"href":"https:\/\/hsinet.com.br\/en\/wp-json\/wp\/v2\/posts\/6887\/revisions"}],"predecessor-version":[{"id":6973,"href":"https:\/\/hsinet.com.br\/en\/wp-json\/wp\/v2\/posts\/6887\/revisions\/6973"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hsinet.com.br\/en\/wp-json\/wp\/v2\/media\/6888"}],"wp:attachment":[{"href":"https:\/\/hsinet.com.br\/en\/wp-json\/wp\/v2\/media?parent=6887"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hsinet.com.br\/en\/wp-json\/wp\/v2\/categories?post=6887"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hsinet.com.br\/en\/wp-json\/wp\/v2\/tags?post=6887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}