Bir tehdit aktörü, programlanabilir mantık denetleyicileri (PLC’ler) için parola “kırma” yazılımı aracılığıyla bir botnet oluşturmak üzere endüstriyel kontrol sistemlerine (ICS) bulaşıyor.
Çeşitli sosyal medya platformlarında reklamı yapılan şifre kurtarma araçları, Automation Direct, Omron, Siemens, Fuji Electric, Mitsubishi, LG, Vigor, Pro-Face, Allen Bradley, Weintek, PLC ve HMI (insan-makine arayüzü) terminallerinin kilidini açmayı vaat ediyor. ABB ve Panasonic.
Endüstriyel siber güvenlik şirketi Dragos’taki güvenlik araştırmacıları, Automation Direct’in DirectLogic PLC’lerini etkileyen bir olayı analiz etti ve “kırma” yazılımının parolayı çıkarmak için cihazdaki bilinen bir güvenlik açığından yararlandığını keşfetti.
Ancak perde arkasında araç, daha hızlı tamamlanması için dağıtılmış bilgi işlemin gücünü gerektiren çeşitli görevler (örneğin şifre kırma, kripto para madenciliği) için eşler arası bir botnet oluşturan bir kötü amaçlı yazılım parçası olan Sality’yi de düşürdü.
Dragos araştırmacıları bulundu kötü niyetli program tarafından kullanılan istismarın yalnızca seri iletişimlerle sınırlı olduğunu. Bununla birlikte, ciddiyeti artıran Ethernet üzerinden yeniden oluşturmanın bir yolunu da buldular.
Dragos, Sality-bağcıklı yazılımı inceledikten sonra, Automation Direct’i güvenlik açığı ve satıcı hakkında bilgilendirdi. uygun hafifletmeler yayınladı.
Yine de tehdit aktörünün kampanyası devam ediyor ve diğer satıcıların PLC yöneticileri, ICS ortamlarında şifre kırma yazılımı kullanma riskinin farkında olmalıdır.
Bunları kullanma nedeni ne kadar meşru olursa olsun, operasyonel teknoloji mühendisleri, özellikle kaynakları bilinmiyorsa, şifre kırma araçlarından kaçınmalıdır.
Bir parolayı kurtarmanın gerekli olduğu senaryolar için (unuttuğunuz veya parolaya sahip olan kişinin artık iş arkadaşınız olmadığı için), Dragos, talimatlar ve rehberlik için onlarla veya cihaz satıcısıyla iletişime geçmenizi önerir.
Sality P2P botnet
Sality, süreçleri sonlandırmasına, uzak sitelere bağlantılar açmasına, ek yükler indirmesine veya ana bilgisayardan veri çalmasına izin veren özelliklerle gelişmeye devam eden eski bir kötü amaçlı yazılım parçasıdır.
Kötü amaçlı yazılım ayrıca kendisini çalışan işlemlere enjekte edebilir ve kendisini diğer sistemlere taşıyabilecek ağ paylaşımlarına, harici sürücülere ve çıkarılabilir depolama aygıtlarına kopyalamak için Windows otomatik çalıştırma işlevini kötüye kullanabilir.
Dragos tarafından analiz edilen spesifik örnek, kripto para birimini çalmaya odaklanmış gibi görünüyor. Araştırmacılar, kötü amaçlı yazılımın, kripto para birimi işlemlerini yönlendirmek için panodaki içeriği ele geçiren bir yük eklediğini söylüyor.
Ancak, daha gelişmiş bir saldırgan, operasyonları kesintiye uğratarak daha ciddi hasar oluşturmak için bu giriş noktasını kullanabilir.
Bu özel durumda, CPU kullanım seviyesi %100’e yükseldiği ve Windows Defender birden fazla tehdit uyarısı verdiği için, kurban kötü amaçlı yazılımı çalıştırdıktan sonra şüphelenmeye başladı.