Industrieingenieure und Bediener sind das Ziel einer neuen Kampagne, die Passwort-Knack-Software einsetzt, um die Kontrolle über speicherprogrammierbare Steuerungen (SPS) zu übernehmen und die Maschinen in ein Botnetz einzubinden.
Die Software „nutzte eine Schwachstelle in der Firmware aus, die es ihr ermöglichte, das Passwort auf Kommando abzurufen“, so Sam Hanson, Sicherheitsforscher bei Dragos. „Außerdem war die Software ein Malware-Dropper, der die Maschine mit der Sality-Malware infizierte und den Host in einen Teilnehmer des Peer-to-Peer-Botnetzes von Sality verwandelte.“
Das Unternehmen für industrielle Cybersicherheit erklärte, dass der in den Malware-Dropper eingebettete Exploit zum Abrufen von Passwörtern dazu dient, die Anmeldedaten für Automation Direct DirectLOGIC 06 PLC wiederherzustellen.
Der Exploit mit der Bezeichnung CVE-2022-2003 (CVSS-Score: 7.7) wurde als ein Fall von Klartextübertragung sensibler Daten beschrieben, der zur Offenlegung von Informationen und unbefugten Änderungen führen kann. Das Problem wurde in der Firmware-Version 2.72 behoben, die letzten Monat veröffentlicht wurde.
Die Infektionen gipfeln in der Verbreitung der Sality-Malware, die Aufgaben wie das Mining von Kryptowährungen und das Knacken von Passwörtern auf verteilte Weise durchführt und gleichzeitig Maßnahmen ergreift, um unentdeckt zu bleiben, indem sie die Sicherheitssoftware auf den kompromittierten Arbeitsplätzen beendet.
Darüber hinaus enthält das von Dragos entdeckte Artefakt einen Krypto-Clipper, der während einer Transaktion Kryptowährungen stiehlt, indem er die ursprüngliche Wallet-Adresse in der Zwischenablage durch die Wallet-Adresse des Angreifers ersetzt.
Automation Direct ist nicht der einzige Anbieter, der betroffen ist, denn das Tool umfasst nach eigenen Angaben mehrere SPS, HMIs, Mensch-Maschine-Schnittstellen (HMI) und Projektdateien von Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Schneider Electric’s Pro-face, Vigor PLC, Weintek, Rockwell Automation’s Allen-Bradley, Panasonic, Fatek, IDEC Corporation und LG.
Dies ist bei weitem nicht das erste Mal, dass trojanisierte Software Netzwerke der Betriebstechnik (OT) ins Visier genommen hat. Im Oktober 2021 deckte Mandiant auf, wie legitime tragbare ausführbare Binärdateien durch eine Vielzahl von Malware wie Sality, Virut und Ramnit kompromittiert werden.