Um agente de ameaças está infectando sistemas de controle industrial (ICS) para criar um botnet por meio de software de “quebra” de senha para controladores lógicos programáveis (PLCs). De acordo com pesquisadores, uma ferramenta de recuperação de senha infecta sistemas industriais com malware Sality.
Anunciado em várias plataformas de mídia social, as ferramentas de recuperação de senha prometem desbloquear terminais PLC e HMI (interface homem-máquina) da Automation Direct, Omron, Siemens, Fuji Electric, Mitsubishi, LG, Vigor, Pro-Face, Allen Bradley, Weintek, ABB e Panasonic.
Pesquisadores de segurança da empresa de segurança cibernética industrial Dragos analisaram um incidente que afetou os PLCs DirectLogic da Automation Direct e descobriram que o software de “cracking” estava explorando uma vulnerabilidade conhecida no dispositivo para extrair a senha.
Mas nos bastidores, a ferramenta também abandonou o Sality, um malware que cria uma botnet ponto a ponto para várias tarefas que exigem o poder da computação distribuída para serem concluídas mais rapidamente (por exemplo, quebra de senhas, mineração de criptomoedas).
Os pesquisadores da Dragos descobriram que o exploit usado pelo programa malicioso estava limitado a comunicações somente seriais. No entanto, eles também encontraram uma maneira de recriá-lo pela Ethernet, o que aumenta a gravidade.
Depois de examinar o software com Sality, Dragos informou a Automation Direct sobre a vulnerabilidade e o fornecedor lançou as mitigações apropriadas.
Ferramenta de recuperação de senha infecta sistemas industriais com malware Sality
A campanha do agente da ameaça está em andamento, porém, e os administradores de PLC de outros fornecedores devem estar cientes do risco de usar software de quebra de senha em ambientes ICS.
Independentemente de quão legítimo seja o motivo para usá-los, os engenheiros de tecnologia operacional devem evitar ferramentas de quebra de senha, especialmente se sua origem for desconhecida.
Para cenários em que há a necessidade de recuperar uma senha (porque você a esqueceu ou a pessoa que a possuía não é mais seu colega), Dragos recomenda entrar em contato com eles ou com o fornecedor do dispositivo para obter instruções e orientações.
Sality é um malware antigo que continua a evoluir com recursos que permitem encerrar processos, abrir conexões com sites remotos, baixar cargas adicionais ou roubar dados do host.
O malware também pode se injetar em processos em execução e abusar da função de execução automática do Windows para se copiar em compartilhamentos de rede, unidades externas e dispositivos de armazenamento removíveis que podem transportá-lo para outros sistemas.
A amostra específica analisada por Dragos parece estar focada em roubar criptomoedas. Os pesquisadores dizem que o malware adicionou uma carga útil que sequestrou o conteúdo da área de transferência para desviar as transações de criptomoeda.
No entanto, um invasor mais avançado pode usar esse ponto de entrada para criar danos mais sérios ao interromper as operações.
Nesse caso específico, a vítima ficou desconfiada depois de executar o software malicioso porque o nível de uso da CPU aumentou para 100% e o Windows Defender emitiu vários alertas de ameaças.
