請查收：針對工業系統的木馬化密碼破解程序

詳 細 內 容

威脅者的目標是工業控制環境中的系統，后門惡意軟件隱藏在假密碼破解工具中。這些工具在各種社交媒體網站上被吹捧出售，可用于恢復工業環境中使用的硬件系統的密碼。

Dragos 的研究人員最近分析了一個這樣的密碼破解產品，發現它包含“Sality”，這是一種舊的惡意軟件工具，它使受感染的系統成為點對點僵尸網絡的一部分，用于加密和密碼破解。

密碼破解工具作為軟件被兜售，它可以幫助 Automation Direct 的 DirectLogic 06 可編程邏輯控制器 (PLC) 的用戶恢復丟失或忘記的密碼。當安裝在 PLC 上時，該軟件并沒有真正“破解”密碼。相反，它利用 PLC 中的漏洞根據命令從系統中恢復密碼，并將其以明文形式發送到用戶連接的工程工作站。Dragos 分析的樣本要求用戶從其工作站直接串行連接到 Automation Direct PLC。然而，安全供應商表示，它能夠開發出更危險的漏洞利用版本，也可以在以太網上運行。 

Dragos 表示已向 Automation Direct 報告了該漏洞 (CVE-2022-2003)，Automation Direct已于 6 月發布了修復程序。

除了找回密碼之外，Dragos 還觀察到所謂的密碼破解工具將 Sality 放到主機系統上，并使其成為僵尸網絡的一部分。Sality 的特定樣本還丟棄了惡意軟件，用于每半秒劫持受感染系統的剪貼板并檢查其加密貨幣地址格式。如果惡意軟件檢測到一個，它會將地址替換為威脅參與者控制的地址。“這種實時劫持是從想要轉移資金的用戶那里竊取加密貨幣的有效方式，并增加了我們對對手有經濟動機的信心，”德拉戈斯在最近的一篇博客中說。

Dragos 沒有立即回應 Dark Reading 的請求，要求澄清此類密碼破解軟件的確切買家是誰，以及為什么他們可能想從社交媒體網站上未經驗證的賣家那里購買這些工具。如果目標純粹是財務上的，那么也不清楚為什么威脅行為者會不厭其煩地為關鍵基礎設施和運營技術環境中的 PLC 開發木馬密碼破解程序。通常，針對工業和 OT 環境中的設備的攻擊還有其他動機，例如監視、數據盜竊和破壞。

Dragos 的研究表明，Automation Direct 的 PLC 的密碼破解程序只是社交媒體網站上提供的許多類似的假密碼檢索器之一。Dragos 研究人員發現了類似的可執行文件，用于從 30 多個 PLC、人機界面 (HMI) 系統和工業環境中的項目文件中檢索密碼。其中包括 6 臺歐姆龍 PLC、2 臺西門子 PLC、4 臺三菱 HMI，以及來自 LG、松下和 Weintek 等其他供應商的產品。

Dragos說它只測試了Automation Direct的DirectLogic PLC的密碼破解程序。然而，對其他工具的初步分析表明它們也包含惡意軟件。“總的來說，這類軟件似乎有一個生態系統。幾個網站和多個社交媒體賬戶都在吹捧他們的密碼‘破解者’，”Dragos 在其博客中說。

近年來，針對 ICS 環境的攻擊的數量和復雜程度都在增加。自 2010 年 Stuxnet 對伊朗納坦茲鈾濃縮設施的攻擊以來，已經出現了許多威脅行為者可以訪問 ICS 和 OT 環境中的關鍵系統并在其上部署惡意軟件的實例。最近的一些值得注意的例子包括惡意軟件，例如Industroyer/Crashoverride、Triton/Trisis 和 BlackEnergy。2022 年 4 月，美國網絡安全和基礎設施局 (CISA) 警告關鍵基礎設施組織要注意三種復雜的惡意軟件工具——統稱為 Incontroller/PipeDream— 定制用于攻擊施耐德電氣、歐姆龍的 PLC 和基于開放平臺通信統一架構 (OPC UA) 標準的系統。