針對工業(yè)系統(tǒng)的木馬化密碼破解程序

威脅者的目標是工業(yè)控制環(huán)境中的系統(tǒng)，后門惡意軟件隱藏在假密碼破解工具中。這些工具在各種社交媒體網(wǎng)站上被吹捧出售，可用于恢復工業(yè)環(huán)境中使用的硬件系統(tǒng)的密碼。

Dragos 的研究人員最近分析了一個這樣的密碼破解產(chǎn)品，發(fā)現(xiàn)它包含“Sality”，這是一種舊的惡意軟件工具，它使受感染的系統(tǒng)成為點對點僵尸網(wǎng)絡的一部分，用于加密和密碼破解。

密碼破解工具作為軟件被兜售，它可以幫助 Automation Direct 的 DirectLogic 06 可編程邏輯控制器 (PLC) 的用戶恢復丟失或忘記的密碼。當安裝在 PLC 上時，該軟件并沒有真正“破解”密碼。相反，它利用 PLC 中的漏洞根據(jù)命令從系統(tǒng)中恢復密碼，并將其以明文形式發(fā)送到用戶連接的工程工作站。Dragos 分析的樣本要求用戶從其工作站直接串行連接到 Automation Direct PLC。然而，安全供應商表示，它能夠開發(fā)出更危險的漏洞利用版本，也可以在以太網(wǎng)上運行。

Dragos 表示已向 Automation Direct 報告了該漏洞 (CVE-2022-2003)，Automation Direct已于 6 月發(fā)布了修復程序。

除了找回密碼之外，Dragos 還觀察到所謂的密碼破解工具將 Sality 放到主機系統(tǒng)上，并使其成為僵尸網(wǎng)絡的一部分。Sality 的特定樣本還丟棄了惡意軟件，用于每半秒劫持受感染系統(tǒng)的剪貼板并檢查其加密貨幣地址格式。如果惡意軟件檢測到一個，它會將地址替換為威脅參與者控制的地址。“這種實時劫持是從想要轉移資金的用戶那里竊取加密貨幣的有效方式，并增加了我們對對手有經(jīng)濟動機的信心，”德拉戈斯在最近的一篇博客中說。

Dragos 沒有立即回應 Dark Reading 的請求，要求澄清此類密碼破解軟件的確切買家是誰，以及為什么他們可能想從社交媒體網(wǎng)站上未經(jīng)驗證的賣家那里購買這些工具。如果目標純粹是財務上的，那么也不清楚為什么威脅行為者會不厭其煩地為關鍵基礎設施和運營技術環(huán)境中的 PLC 開發(fā)木馬密碼破解程序。通常，針對工業(yè)和 OT 環(huán)境中的設備的攻擊還有其他動機，例如監(jiān)視、數(shù)據(jù)盜竊和破壞。

Dragos 的研究表明，Automation Direct 的 PLC 的密碼破解程序只是社交媒體網(wǎng)站上提供的許多類似的假密碼檢索器之一。Dragos 研究人員發(fā)現(xiàn)了類似的可執(zhí)行文件，用于從 30 多個 PLC、人機界面 (HMI) 系統(tǒng)和工業(yè)環(huán)境中的項目文件中檢索密碼。其中包括 6 臺歐姆龍 PLC、2 臺西門子 PLC、4 臺三菱 HMI，以及來自 LG、松下和 Weintek 等其他供應商的產(chǎn)品。

Dragos說它只測試了Automation Direct的DirectLogic PLC的密碼破解程序。然而，對其他工具的初步分析表明它們也包含惡意軟件。“總的來說，這類軟件似乎有一個生態(tài)系統(tǒng)。幾個網(wǎng)站和多個社交媒體賬戶都在吹捧他們的密碼‘破解者’，”Dragos 在其博客中說。

近年來，針對 ICS 環(huán)境的攻擊的數(shù)量和復雜程度都在增加。自 2010 年 Stuxnet 對伊朗納坦茲鈾濃縮設施的攻擊以來，已經(jīng)出現(xiàn)了許多威脅行為者可以訪問 ICS 和 OT 環(huán)境中的關鍵系統(tǒng)并在其上部署惡意軟件的實例。最近的一些值得注意的例子包括惡意軟件，例如Industroyer/Crashoverride、Triton/Trisis 和 BlackEnergy。2022 年 4 月，美國網(wǎng)絡安全和基礎設施局 (CISA) 警告關鍵基礎設施組織要注意三種復雜的惡意軟件工具——統(tǒng)稱為 Incontroller/PipeDream— 定制用于攻擊施耐德電氣、歐姆龍的 PLC 和基于開放平臺通信統(tǒng)一架構 (OPC UA) 標準的系統(tǒng)。

來源：E安全