Les ingénieurs et opérateurs industriels sont la cible d’une nouvelle campagne qui exploite un logiciel de craquage de mots de passe pour prendre le contrôle des automates programmables (PLC) et coopter les machines à un botnet. Le logiciel « a exploité une vulnérabilité dans le micrologiciel qui lui a permis de récupérer le mot de passe sur commande », a déclaré Sam Hanson, chercheur en sécurité chez Dragos. « De plus, le logiciel était un dropper de malware, infectant la machine avec le malware Sality et transformant l’hôte en pair dans le botnet peer-to-peer de Sality. » La société de cybersécurité industrielle a déclaré que l’exploit de récupération de mot de passe intégré dans le compte-gouttes de logiciels malveillants est conçu pour récupérer les informations d’identification associées à Automation Direct DirectLOGIC 06 PLC. L’exploit, identifié comme CVE-2022-2003 (score CVSS : 7,7), a été décrit comme un cas de transmission en clair de données sensibles pouvant entraîner la divulgation d’informations et des modifications non autorisées. Le problème a été résolu dans la version 2.72 du micrologiciel publiée le mois dernier

Les infections aboutissent au déploiement du logiciel malveillant Sality pour effectuer des tâches telles que l’extraction de crypto-monnaie et le craquage de mots de passe de manière distribuée, tout en prenant des mesures pour ne pas être détecté en mettant fin au logiciel de sécurité exécuté sur les postes de travail compromis. De plus, l’artefact mis au jour par les fonctions de Dragos laisse tomber une charge utile de crypto-clipper qui vole la crypto-monnaie lors d’une transaction en remplaçant l’adresse de portefeuille d’origine enregistrée dans le presse-papiers par l’adresse de portefeuille de l’attaquant. Automation Direct n’est pas le seul fournisseur concerné, car les outils prétendent englober plusieurs API, interfaces homme-machine (IHM) et fichiers de projet couvrant Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Schneider Electric’s Pro-face , Vigor PLC, Weintek, Allen-Bradley de Rockwell Automation, Panasonic, Fatek, IDEC Corporation et LG. « En général, il semble qu’il existe un écosystème pour ce type de logiciel », a noté Hanson, attribuant les attaques à un adversaire probablement motivé financièrement. « Il existe plusieurs sites Web et plusieurs comptes de médias sociaux vantant tous leurs « crackers » de mots de passe. » C’est loin d’être la première fois qu’un logiciel protégé par un cheval de Troie pointe du doigt les réseaux de technologie opérationnelle (OT). En octobre 2021, Mandiant a révélé comment des binaires exécutables portables légitimes étaient compromis par une variété de logiciels malveillants tels que Sality, Virut et Ramnit, entre autres.