Hacker phát tán công cụ bẻ khóa mật khẩu PLC và HMI

 Các kỹ sư và nhân viên vận hành hệ thống công nghiệp đang là mục tiêu của một chiến dịch mới, trong đó hacker sử dụng phần mềm bẻ khóa mật khẩu để chiếm quyền kiểm soát bộ điều khiển Programmable Logic Controller (PLC) và biến chúng thành một mắt xích trong mạng botnet.


Nhà nghiên cứu Sam Hanson của Dragos cho biết phần mềm khai thác một lỗ hổng trong firmware, cho phép lấy lại mật khẩu khi được yêu cầu. Không những thế, đây còn là phần mềm thả mã độc, làm lây lan mã độc Sality và biến máy nạn nhân thành một máy ngang hàng trong mạng botnet của Sality.

WH1.jpg

Theo Dragos, mã khai thác nhúng trong mã độc được thiết kế để khôi phục thông tin đăng nhập liên quan đến bộ điều khiển DirectLOGIC 06 PLC của Automation Direct.

CVE-2022-2003 (điểm CVSS: 7,7), là lỗi truyền dữ liệu nhạy cảm dưới dạng cleartext, có thể dẫn đến tiết lộ và thay đổi thông tin trái phép. Lỗ hổng đã được giải quyết trong phiên bản firmware 2.72 được phát hành vào tháng trước.

Đỉnh điểm của chiến dịch tấn công lần này là hacker triển khai mã độc Sality để thực hiện các nhiệm vụ như khai thác tiền điện tử và bẻ khóa mật khẩu, đồng thời thực hiện các bước để không bị phát hiện bằng cách tắt phần mềm đang chạy trong các máy trạm bị xâm phạm.

Automation Direct không phải là nhà cung cấp duy nhất bị ảnh hưởng do các công cụ của hacker còn nhắm đến nhiều bộ điều khiển PLC, giao diện người-máy (HMI) và các tệp dự án của Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Pro-face (Schneider Electric), Vigor PLC, Weintek, Allen-Bradley (Rockwell Automation), Panasonic, Fatek, IDEC Corporation và LG.

“Nhìn chung, có vẻ như có một hệ sinh thái cho loại phần mềm này” - nhà nghiên cứu cho biết và quy các cuộc tấn công là do một hacker có động cơ tài chính.

إرسال تعليق

0 تعليقات