- Oprogramowanie wykorzystywało lukę w oprogramowaniu, która pozwalała na odzyskanie hasła na polecenie – powiedział badacz bezpieczeństwa, Dragos Sam Hanson, dodając: — Co więcej, oprogramowanie było dropperem złośliwego oprogramowania, infekującym komputer złośliwym oprogramowaniem Sality i przekształcającym hosta w peera w botnecie peer-to-peer Sality. [od red.: Sality to klasyfikacja rodziny złośliwego oprogramowania (malware), które infekuje pliki w systemach Microsoft Windows.] Firma zajmująca się cyberbezpieczeństwem przemysłowym stwierdziła, że exploit odzyskiwania hasła osadzony w dropperze szkodliwego oprogramowania ma na celu odzyskanie poświadczeń związanych ze sterownikiem Automation Direct DirectLOGIC 06 PLC. Exploit, oznaczony jako CVE-2022-2003 (wynik CVSS: 7,7), został opisany jako przypadek przesyłania poufnych danych w postaci zwykłego tekstu, który może prowadzić do ujawnienia informacji i nieautoryzowanych zmian. Problem został rozwiązany w oprogramowaniu układowym w wersji 2.72 wydanej dwa miesiące temu.
Punktem kulminacyjnym infekcji jest wdrożenie złośliwego oprogramowania Sality do wykonywania zadań, takich jak wydobywanie kryptowalut i łamanie haseł w sposób rozproszony, a także podejmowanie kroków, aby pozostać niewykrytym przez zamknięcie oprogramowania zabezpieczającego działającego na zaatakowanych stacjach roboczych.
Co więcej, artefakt wydobyty przez Dragosa upuszcza ładunek krypto-clippera, który kradnie kryptowalutę podczas transakcji, zastępując oryginalny adres portfela zapisany w schowku adresem portfela atakującego.
Automation Direct nie jest jedynym dostawcą, na który ma to wpływ, ponieważ narzędzia twierdzą, że obejmują kilka sterowników PLC, interfejsy człowiek-maszyna (HMI) i pliki projektów obejmujące Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Proface Schneider Electric, Vigor PLC, Weintek, Allen-Bradley z Rockwell Automation, Panasonic, Fatek, IDEC Corporation i LG.
- Ogólnie rzecz biorąc, wygląda na to, że istnieje ekosystem dla tego typu oprogramowania – zauważył Hanson, przypisując ataki przeciwnikowi o prawdopodobnie motywacji finansowej. — Istnieje kilka stron internetowych i wiele kont w mediach społecznościowych, które promują „łamacze haseł” — dodał. Nie jest to pierwszy przypadek, w którym strojanizowane oprogramowanie wyodrębniło sieci technologii operacyjnej (OT). W październiku 2021 roku Mandiant ujawnił, w jaki sposób legalne, przenośne, wykonywalne pliki binarne są zagrożone przez różne złośliwe oprogramowanie, takie jak m.in. Sality, Virut i Ramnit.
Na podstawie: Hackers Distributing Password Cracking Tool for PLCs and HMIs to Target Industrial Systems, Ravie Lakshmanan, publikacja 18.07.2022, The Hacker News, Screen: Hackers Distributing Password Cracking Tool for PLCs and HMIs to Target Industrial Systems, Ravie Lakshmanan.
