Los ingenieros y operadores industriales son el objetivo de una nueva campaña que aprovecha el software de descifrado de contraseñas para tomar el control de los controladores lógicos programables (PLC) y cooptar las máquinas a una red de bots.
El software «explotó una vulnerabilidad en el firmware que le permitió recuperar la contraseña a pedido», dijo el investigador de seguridad de Dragos, Sam Hanson. dijo. «Además, el software era un lanzador de malware que infectaba la máquina con el Salidad malware y convertir el host en un par en la botnet peer-to-peer de Sality».
La firma de ciberseguridad industrial dijo que el exploit de recuperación de contraseña incrustado en el cuentagotas de malware está diseñado para recuperar la credencial asociada con Automation Direct. DirectLOGIC 06 PLC.
El exploit, rastreado como CVE-2022-2003 (puntaje CVSS: 7.7), ha sido descrito como un caso de transmisión de datos confidenciales en texto sin cifrar que podría conducir a la divulgación de información y cambios no autorizados. el problema era dirigido en la versión de firmware 2.72 lanzada el mes pasado.
Los contagios culminan con el despliegue de los Salidad malware para llevar a cabo tareas como la extracción de criptomonedas y el descifrado de contraseñas de forma distribuida, al tiempo que toma medidas para permanecer sin ser detectado al finalizar el software de seguridad que se ejecuta en las estaciones de trabajo comprometidas.
Además, el artefacto desenterrado por las funciones de Dragos arroja una carga útil de crypto-clipper que roba criptomonedas durante una transacción al sustituir la dirección de la billetera original guardada en el portapapeles con la dirección de la billetera del atacante.
Automation Direct no es el único proveedor afectado, ya que la herramienta afirma abarcar varios PLC, HMI, interfaz hombre-máquina (IHM), y archivos de proyecto que abarcan Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Schneider Electric’s Pro-face, Vigor PLC, Weintek, Rockwell Automation’s Allen-Bradley, Panasonic, Fatek, IDEC Corporation y LG.
Esto está lejos de ser la primera vez que el software troyanizado ha seleccionado redes de tecnología operativa (OT). En octubre de 2021, Mandiant revelado cómo los binarios ejecutables portátiles legítimos se ven comprometidos por una variedad de malware como Sality, Virut y Ramnit, entre otros.