È venuta alla luce un’ingegnosa campagna che mira a infiltrare malware nei computer di ingegneri e operatori che lavorano nelle industrie, con i principali marchi globali che producono controllori industriali tra i bersagli.
La campagna è stata scoperta da Dragos, società di ricerca e soluzioni di cybersecurity industriale, dopo che un dipendente di un ingegnere l’ha contattata. Dopo aver effettuato il reverse engineering della campagna, Dragos ha reso pubblici i risultati della sua ricerca all’inizio di questo mese.
La campagna viene eseguita con il pretesto di vendere un software che decifra le password dei controllori logici programmabili (PLC), dispositivi ad alta tecnologia utilizzati nelle macchine industriali per le prestazioni automatizzate. Il Free Press Journal ha riportato il 3 luglio come i PLC, comunemente noti come controllori industriali, siano vulnerabili all’hacking e all’acquisizione ostile come i computer e i telefoni cellulari.
Diversi siti web e pagine di social media offrono software di questo tipo, che vengono utilizzati abitualmente in quanto le password dei PLC vengono impostate anni fa al momento dell’installazione, non aggiornate e presto dimenticate. Di conseguenza, la necessità di recuperare tali password si presenta costantemente nelle industrie e gli ingegneri o gli operatori si rivolgono a tali software.
Secondo Dragos, l’ingegnere che si è rivolto a loro ha utilizzato uno di questi cracker di password scaricandolo su un computer e collegandolo al PLC. Mentre la password è stata effettivamente recuperata, il computer ha iniziato a mostrare segni di malfunzionamento.
“Troy (l’ingegnere, il cui nome è stato cambiato) ha chiesto a Dragos di effettuare un reverse engineering del software di “cracking” della password e ha scoperto che non la decifrava affatto; piuttosto, sfruttava una vulnerabilità nel firmware che gli consentiva di recuperare la password a comando. Inoltre, il software era un malware dropper, che infettava il computer con il malware Sality e trasformava l’host in un peer nella botnet peer-to-peer di Sality“, ha dichiarato Sam Hanson, un analista di vulnerabilità di Dragos, nel suo aggiornamento sul sito web ufficiale dell’azienda.
Sality è un potente malware in grado di rubare tutte le password dal computer di destinazione. Ma la cosa più preoccupante è che può rilevare il software antivirus e disabilitarlo, lasciando il dispositivo vulnerabile a qualsiasi altra minaccia. Una “botnet” è una rete di bot o macchine violate. Un malware raccoglie milioni di bot di questo tipo per lunghi periodi di tempo, espandendo la rete di bot man mano che infetta le macchine.
Nelle sue ricerche successive, Dragos ha scoperto che lo stesso gruppo che aveva venduto il presunto cracker di password all’ingegnere aveva anche pubblicizzato servizi simili per 29 diversi PLC, prodotti da marchi come Siemens, Fuji, Mitsubishi e Panasonic.
“L’analisi dinamica iniziale di un paio di altri campioni indica che anch’essi contengono malware. In generale, sembra che esista un ecosistema per questo tipo di software. Esistono diversi siti web e molteplici account sui social media che pubblicizzano i loro “cracker” di password“, ha dichiarato Hanson.