Ransomware e phishing sono tra metodi più utilizzati per colpire uno specifico target. I ricercatori di Dragos hanno scoperto però un tipo di attacco poco diffuso, ma molto pericoloso. Ignoti cybercriminali hanno preso di mira i sistemi di controllo industriale (PLC in particolare) di vari produttori per creare una botnet con il malware Sality. La sua installazione avviene tramite un tool per il recupero della password.
Cavallo di troia per installare Sality
Su diversi social media viene pubblicizzato un tool che permette di recuperare la password per l’accesso al software dei PLC DirectLogic 06 di Automation Direct. Questo software sfrutta in realtà una vulnerabilità del firmware, non solo per trovare la password, ma anche per installare il malware Sality che trasforma il computer Windows collegato al PLC in un bot.
Il tool richiede una connessione seriale (porta COM) tra PC e PLC per recuperare la password analizzando il traffico. I ricercatori di Dragos hanno sviluppato un exploit che sfrutta anche la connessione Ethernet, incrementando la gravità della vulnerabilità. Automation Direct ha già rilasciato un aggiornamento del firmware che risolve il problema di sicurezza.
Sality è una botnet peer-to-peer che viene principalmente utilizzata per il cracking delle password e il mining delle criptovalute, ma può essere sfruttata anche per interrompere i processi industriali. Il malware cerca di rimanere nascosto disattivando antivirus e firewall. Tuttavia la sua presenza viene rilevata da molte soluzioni di sicurezza e dall’uso del 100% della CPU.
Gli esperti di Dragos hanno scoperto tool di recupero password per i PLC di altri produttori, tra cui Omron, Siemens, Fuji Electric, Mitsubishi, LG, Vigor, Pro-Face, Allen Bradley, Weintek, ABB e Panasonic.