 |
Operadores e ingenieros industriales son el objetivo de una nueva campaña que aprovecha el software de descifrado de contraseñas para hacerse con el control de los controladores lógicos programables (PLC) e incorporar las máquinas a una red de bots. |
El software "explotaba una vulnerabilidad en el firmware que le permitía recuperar la contraseña mediante un comando", dijo el investigador de seguridad de Dragos Sam Hanson. "Además, el software era un dropper de malware, infectando la máquina con el malware de Sality y convirtiendo el host en un peer en la red de bots peer-to-peer de Sality".
La empresa de ciberseguridad industrial dijo que el exploit de recuperación de contraseña incrustado en el dropper de malware está diseñado para recuperar la credencial asociada a Automation Direct DirectLOGIC 06 PLC.
El exploit, rastreado como CVE-2022-2003 (puntuación CVSS: 7,7), se ha descrito como un caso de transmisión en texto claro de datos sensibles que podría conducir a la divulgación de información y a cambios no autorizados. El problema se solucionó en la versión 2.72 del firmware publicada el mes pasado.
Las infecciones culminan con el despliegue del malware Sality para llevar a cabo tareas como la minería de criptodivisas y el descifrado de contraseñas de forma distribuida, al tiempo que se toman medidas para no ser detectados mediante la terminación del software de seguridad que se ejecuta en las estaciones de trabajo comprometidas.
Además, el artefacto descubierto por Dragos incluye una carga útil de criptoclipper que roba criptomonedas durante una transacción, sustituyendo la dirección de la cartera original guardada en el portapapeles por la dirección de la cartera del atacante.
Automation Direct no es el único proveedor afectado, ya que las herramientas dicen abarcar varios PLC, interfaces hombre-máquina (HMI) y archivos de proyecto que abarcan Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Pro-face de Schneider Electric, Vigor PLC, Weintek, Allen-Bradley de Rockwell Automation, Panasonic, Fatek, IDEC Corporation y LG.
"En general, parece que existe un ecosistema para este tipo de software", señaló Hanson, atribuyendo los ataques a un probable delincuente con motivación financiera. "Existen varios sitios web y múltiples cuentas en las redes sociales que promocionan sus "descifradores" de contraseñas".
Esta no es ni mucho menos la primera vez que un software con troyanos se dirige a las redes de tecnología operativa (OT). En octubre de 2021, Mandiant reveló cómo los binarios ejecutables portátiles legítimos están siendo comprometidos por una variedad de malware como Sality, Virut y Ramnit, entre otros.
Fuente: https://amp.thehackernews.com/thn/2022/07/hackers-distributing-password-cracking.html