0
0
Um agente de ameaças tem como alvo engenheiros e operadores industriais com software trojanizado de quebra de senhas para controladores lógicos programáveis (PLCs) e interfaces homem-máquina (HMIs), explorando suas necessidades prementes de transformar estações de trabalho industriais em bots perigosos.
Segundo os pesquisadores da Dragos , o adversário parece não estar interessado em interromper os processos industriais, mas em ganhar dinheiro. O software de quebra de senha também carrega um conta-gotas que infecta a máquina com o malware Sality, que:
- Usa injeção de processo e infecção de arquivo para obter persistência
- Identifica produtos de segurança (AVs, firewalls) e os encerra
- Abusa da funcionalidade de execução automática do Windows para espalhar cópias de si mesmo por USBs, compartilhamentos de rede e unidades de armazenamento externas
- Torna os hosts comprometidos parte de um botnet ponto a ponto que se envolve em quebra de senha e mineração de criptomoeda
- Elimina malware de seqüestro de área de transferência
Software que esconde malware
Baixar software de quebra de senha criado por um terceiro desconhecido e não confiável raramente (ou nunca!) é uma boa ideia. Infelizmente, a necessidade muitas vezes compele as pessoas a tomar más decisões.
Assim, os engenheiros industriais que não podem acessar o software de programação do CLP ou uma IHM porque não sabem a senha correta ocasionalmente recorrem à Internet para encontrar uma ferramenta para ajudá-los a decifrá-la.
Vários sites e várias contas de mídia social estão divulgando softwares de quebra de senha para PLCs, HMIs e arquivos de projeto, descobriram os pesquisadores da Dragos. Estes parecem ser feitos sob medida para trabalhar em PLCs e HMIs por AutomationDirect , Omron, Siemens, ABB, Delta Automation, Fuji Electric, Mitsubishi Electric, Pro-Face, Vigor Electric, Weintek, Allen-Bradley, Panasonic, Fatek, IDEC Corp. ., e LG.
“A Dragos testou apenas o malware direcionado ao DirectLogic [Automation Direct]. No entanto, a análise dinâmica inicial de algumas outras amostras indica que elas também contêm malware”, observaram os pesquisadores .
O cracker de senha que eles analisaram parece funcionar como anunciado, na medida em que é capaz de recuperar a senha do CLP DirectLogic 06 da Automation Direct – mas não por cracking. Em vez disso, ele explora uma vulnerabilidade para recuperá-lo em formato de texto simples.
Infelizmente, o dropper que ele cai em segundo plano e o malware Sality que o dropper baixa são notícias muito ruins para qualquer sistema, muito menos para um que faz parte de uma rede de tecnologia de operação (OT) (ou pode alcançá-lo diretamente).
A única boa notícia aqui é que, apesar de alguns de seus modos furtivos, a presença de Sality em um host não pode ser completamente escondida. “Os níveis da Unidade Central de Processamento (CPU) atingiram 100% e vários alertas do Windows Defender foram acionados”, e foi assim que o engenheiro que usou o cracker de senha foi alertado sobre sua potencial natureza maliciosa.
Dragos aconselha os engenheiros que precisam recuperar uma senha perdida a não recorrer à internet para obter ajuda, mas entrar em contato com eles ou com os fornecedores do equipamento.
FONTE: HELPNET SECURITY