0
0
Os agentes de ameaças visam sistemas em ambientes de controle industrial com malware de backdoor oculto em ferramentas falsas de quebra de senha. As ferramentas, que estão sendo vendidas em diversos sites de mídia social, oferecem a recuperação de senhas para sistemas de hardware usados em ambientes industriais.
Pesquisadores da Dragos analisaram recentemente um desses produtos de quebra de senha e descobriram que ele contém “Sality”, uma antiga ferramenta de malware que torna os sistemas infectados parte de uma botnet ponto a ponto para mineração de criptografia e quebra de senha.
A ferramenta de quebra de senha estava sendo anunciada como um software que poderia ajudar os usuários dos controladores lógicos programáveis (PLCs) DirectLogic 06 da Automation Direct a recuperar senhas perdidas ou esquecidas. Quando instalado no CLP, o software realmente não “quebrou” a senha. Em vez disso, explorou uma vulnerabilidade no PLC para recuperar a senha do sistema sob comando e enviá-la em texto não criptografado para a estação de trabalho de engenharia conectada do usuário. A amostra analisada pela Dragos exigia que o usuário tivesse uma conexão serial direta de sua estação de trabalho com o PLC Automation Direct. No entanto, o fornecedor de segurança disse que foi capaz de desenvolver uma versão mais perigosa do exploit que também funciona na Ethernet.
Dragos disse que relatou a vulnerabilidade (CVE-2022-2003) à Automation Direct, que emitiu uma correção para ela em junho .
Além de recuperar a senha, Dragos observou a chamada ferramenta de quebra de senha soltando Sality no sistema host e tornando-o parte da botnet. A amostra específica do Sality também descartou malware por seqüestrar a área de transferência do sistema infectado a cada meio segundo e verificar se há formatos de endereço de criptomoeda. Se o malware detectou um, ele substituiu o endereço por um endereço controlado por um agente de ameaça. “Esse sequestro em tempo real é uma maneira eficaz de roubar criptomoedas de usuários que desejam transferir fundos e aumenta nossa confiança de que o adversário está motivado financeiramente”, disse Dragos em um blog recente.
Estratégia intrigante
Dragos não respondeu imediatamente a um pedido de esclarecimento da Dark Reading sobre quem exatamente seriam os compradores de tal software de quebra de senha e por que eles poderiam querer comprar essas ferramentas de vendedores não verificados em sites de mídia social. Também não ficou claro por que os agentes de ameaças se dariam ao trabalho de desenvolver crackers de senha trojanizados para PLCs em infraestrutura crítica e ambientes de tecnologia operacional se o objetivo for puramente financeiro. Muitas vezes, os ataques direcionados a equipamentos em ambientes industriais e OT têm outras motivações, como vigilância, roubo de dados e sabotagem.
A pesquisa de Dragos mostrou que o cracker de senhas para os PLCs da Automation Direct é apenas um dos muitos recuperadores de senhas falsos semelhantes que estão disponíveis em sites de mídia social. Os pesquisadores da Dragos encontraram executáveis semelhantes para recuperar senhas de mais de 30 PLCs, sistemas de interface homem-máquina (IHM) e arquivos de projeto em ambientes industriais. Entre eles estavam seis PLCs da Omron, dois PLCs da Siemens, quatro HMIs da Mitsubishi e produtos de vários outros fornecedores, incluindo LG, Panasonic e Weintek.
Dragos disse que só testou o cracker de senha para o PLC DirectLogic da Automation Direct. No entanto, uma análise inicial das outras ferramentas mostrou que elas também continham malware. “Em geral, parece que existe um ecossistema para esse tipo de software. Existem vários sites e várias contas de mídia social divulgando seus ‘crackers’ de senha”, disse Dragos em seu blog.
Os ataques direcionados a ambientes ICS cresceram em número e sofisticação nos últimos anos. Desde o ataque do Stuxnet em 2010 às instalações de enriquecimento de urânio do Irã em Natanz, houve vários casos em que os agentes de ameaças obtiveram acesso a sistemas críticos em ambientes ICS e OT e implantaram malware neles. Alguns dos exemplos mais recentes e notáveis incluem malware como Industroyer/Crashoverride, Triton/Trisis e BlackEnergy . Em abril de 2022, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou as organizações de infraestrutura crítica para ficarem atentas a três ferramentas de malware sofisticadas – coletivamente chamadas de Incontroller/PipeDream— personalizados para atacar PLCs da Schneider Electric, Omron e sistemas baseados no padrão Open Platform Communications Unified Architecture (OPC UA).
FONTE: DARK READING