Tehdit aktörleri, sahte parola kırma araçlarında gizlenmiş arka kapı kötü amaçlı yazılımlarıyla endüstriyel kontrol ortamlarındaki sistemleri hedef alıyor. Çeşitli sosyal medya web sitelerinde satışa sunulan araçlar, endüstriyel ortamlarda kullanılan donanım sistemleri için şifreleri kurtarmayı teklif ediyor.
Dragos’tan araştırmacılar kısa süre önce böyle bir şifre kırma ürününü analiz ettiler ve bunun, virüslü sistemleri kripto madenciliği ve şifre kırma için eşler arası bir botnetin parçası yapan eski bir kötü amaçlı yazılım aracı olan “Sality” içerdiğini buldular.
Parola kırma aracı, Automation Direct’in DirectLogic 06 programlanabilir mantık denetleyicilerinin (PLC’ler) kullanıcılarının kaybolan veya unutulan parolaları kurtarmasına yardımcı olabilecek bir yazılım olarak pazarlanıyordu. PLC’ye kurulduğunda, yazılım şifreyi gerçekten “kırmadı”. daha doğrusu PLC’deki bir güvenlik açığından yararlandı komutla sistemden parolayı kurtarmak ve bunu kullanıcının bağlı mühendislik iş istasyonuna düz metin olarak göndermek için. Dragos’un analiz ettiği örnek, kullanıcının iş istasyonundan Automation Direct PLC’ye doğrudan seri bağlantısı olmasını gerektiriyordu. Ancak güvenlik sağlayıcısı, istismarın Ethernet üzerinden de çalışan daha tehlikeli bir sürümünü geliştirebildiğini söyledi.
Dragos, güvenlik açığını (CVE-2022-2003) Automation Direct’e bildirdiğini söyledi. Haziran ayında bunun için bir düzeltme yayınladı.
Dragos, şifreyi almanın yanı sıra, sözde şifre kırma aracının Sality’yi ana sisteme bıraktığını ve onu botnet’in bir parçası haline getirdiğini gözlemledi. Spesifik Sality örneği, virüslü sistemin panosunu her yarım saniyede bir ele geçirmek ve kripto para birimi adres biçimlerini kontrol etmek için kötü amaçlı yazılım da bıraktı. Kötü amaçlı yazılım bir tane tespit ederse, adresi tehdit aktörü tarafından kontrol edilen bir adresle değiştirir. Dragos yakın tarihli bir blogda, “Bu gerçek zamanlı korsanlık, para transferi yapmak isteyen kullanıcılardan kripto para çalmanın etkili bir yolu ve düşmanın finansal olarak motive olduğuna dair güvenimizi artırıyor” dedi.
İlgi Çekici Strateji
Dragos, bu tür şifre kırma yazılımlarının alıcılarının tam olarak kim olacağı ve bu araçları neden sosyal medya web sitelerindeki doğrulanmamış satıcılardan satın almak isteyebilecekleri konusunda bir Karanlık Okuma talebine hemen yanıt vermedi. Hedef tamamen finansal ise, tehdit aktörlerinin kritik altyapı ve operasyonel teknoloji ortamlarında PLC’ler için Truva atlı şifre kırıcıları geliştirme zahmetine neden gireceği de açık değildi. Genellikle endüstriyel ve OT ortamlarındaki ekipmanı hedefleyen saldırıların gözetim, veri hırsızlığı ve sabotaj gibi başka motivasyonları vardır.
Dragos’un araştırması, Automation Direct’in PLC’leri için şifre kırıcının, sosyal medya web sitelerinde bulunan benzer birçok sahte şifre alıcıdan sadece biri olduğunu gösterdi. Dragos araştırmacıları, endüstriyel ortamlarda 30’dan fazla PLC’den, insan-makine arayüzü (HMI) sistemlerinden ve proje dosyalarından şifre almak için benzer yürütülebilir dosyalar buldu. Bunlar arasında Omron’dan altı PLC, Siemens’ten iki PLC, Mitsubishi’den dört HMI ve LG, Panasonic ve Weintek gibi çeşitli diğer satıcılardan ürünler vardı.
Dragos, yalnızca Automation Direct’in DirectLogic PLC’si için şifre kırıcıyı test ettiğini söyledi. Ancak, diğer araçların ilk analizi, bunların da kötü amaçlı yazılım içerdiğini gösterdi. Dragos, blogunda “Genel olarak, bu tür yazılımlar için bir ekosistem var gibi görünüyor. Birkaç web sitesi ve birden fazla sosyal medya hesabı, şifrelerini ‘kırıcılar’ olarak ilan ediyor” dedi.
ICS ortamlarını hedefleyen saldırıların sayısı ve karmaşıklığı son yıllarda arttı. İran’ın Natanz’daki uranyum zenginleştirme tesisine yapılan 2010 Stuxnet saldırısından bu yana, tehdit aktörlerinin ICS ve OT ortamlarındaki kritik sistemlere erişim sağlayıp üzerlerine kötü amaçlı yazılım yerleştirdiği sayısız örnek oldu. Daha yeni, dikkate değer örneklerden bazıları Industroyer/Crashoverride, Triton/Trisis ve BlackEnergy gibi kötü amaçlı yazılımları içerir. Nisan 2022’de ABD Siber Güvenlik ve Altyapı Ajansı (CISA), kritik altyapı kuruluşlarını, Schneider Electric, Omron ve sistemlerden PLC’lere saldırmak için özel olarak oluşturulmuş, topluca Incontroller/PipeDream olarak adlandırılan üç gelişmiş kötü amaçlı yazılım aracı arayışında olmaları konusunda uyardı. Açık Platform İletişimleri Birleşik Mimarisi (OPC UA) standardını temel alır.