enero 16, 2025

El malware que circula en línea convierte los sistemas industriales en una botnet

El malware que circula en línea convierte los sistemas industriales en una botnet

imágenes falsas

De los archivos que podrían salir mal surge esto: un ingeniero de control industrial creó recientemente una estación de trabajo que forma parte de una red de bots después de instalar sin darse cuenta malware que se anunciaba a sí mismo como un medio para recuperar contraseñas perdidas.

Las contraseñas perdidas ocurren en muchas organizaciones. Un controlador lógico programable, utilizado para automatizar procesos dentro de fábricas, sistemas eléctricos y otros entornos industriales, puede instalarse y olvidarse en gran medida en años posteriores. Cuando un técnico de reemplazo identifica más tarde un problema que afecta al PLC, es posible que descubra que el ingeniero original, que se fue hace mucho tiempo, nunca dejó el código de acceso antes de dejar la empresa.

Según una publicación de blog de la firma de seguridad Dragos, todo un ecosistema de malware intenta aprovechar escenarios como este dentro de las instalaciones industriales. Los anuncios en línea como los que se muestran a continuación promueven el descifrado de contraseñas de PLC y las interfaces hombre-máquina, que son los caballos de batalla dentro de estos entornos.

dragos

dragos

Cuando su sistema industrial es parte de una botnet

Dragos, que ayuda a las empresas a proteger los sistemas de control industrial del ransomware, piratas informáticos patrocinados por el estado y saboteadores potenciales, realizó recientemente una evaluación de vulnerabilidad de rutina y descubrió que el sistema de un cliente había ejecutado un software que podía recuperar la contraseña clara para DirectLogic 06, un PLC vendido por Automatización Directa. El software recuperó la contraseña, pero no mediante el método normal de descifrado de hash criptográfico. En cambio, el software aprovechó una vulnerabilidad de día cero en los PLC automatizados directos que expusieron el código de acceso.

dragos

“La investigación previa sobre los PLC DirectLogic ha llevado a técnicas de craqueo exitosas”, escribió el investigador de Dragos, Sam Hanson. “Sin embargo, Dragos descubrió que este exploit no descifra una versión cifrada de la contraseña como se ha visto históricamente en los marcos de explotación populares. En cambio, el cuentagotas de malware envía una secuencia específica de bytes a un puerto COM”.

dragos

La vulnerabilidad, y la vulnerabilidad relacionada que también encontró Hanson, ahora se han solucionado y se rastrean como CVE-2022-2033 y CVE-2022-2004. La última vulnerabilidad puede recuperar contraseñas y enviarlas a un pirata informático remoto, lo que eleva la calificación de gravedad a 7.5 de un máximo de 10.

Además de recuperar la contraseña, el software instalado en la red del cliente de Dragos también instaló un malware conocido como Sality. Hizo que el sistema infectado formara parte de una botnet y supervisó el portapapeles de la estación de trabajo infectada cada medio segundo en busca de datos relacionados con las direcciones de las billeteras de criptomonedas.

“Si se ve, el secuestrador reemplaza la dirección con una propiedad del actor de amenazas”, dijo Hanson. “Este secuestro en tiempo real es una forma efectiva de robar criptomonedas de los usuarios que desean transferir fondos y aumenta nuestra confianza en que el oponente tiene una motivación financiera”.

Hanson continuó diciendo que encontró crackers de contraseñas anunciados en línea para una amplia gama de software industrial vendido por otras compañías. Incluyen:

vendedor y bueno Tipo de sistema
DirectLogic Automatización directa 06 SOCIEDAD ANÓNIMA
Omron CP1H SOCIEDAD ANÓNIMA
Omron C200HX SOCIEDAD ANÓNIMA
Omron C200H SOCIEDAD ANÓNIMA
Omron CPM2 * SOCIEDAD ANÓNIMA
Omron CPM1A SOCIEDAD ANÓNIMA
Omron CQM1H SOCIEDAD ANÓNIMA
siemens s7-200 SOCIEDAD ANÓNIMA
siemens s7-200 Archivo de proyecto (* .mwp)
LOGOTIPO Siemens! 0AB6 SOCIEDAD ANÓNIMA
Codesys de ABB Archivo de proyecto (* .pro)
Serie Delta Automation DVP, ES, EX, SS2, EC SOCIEDAD ANÓNIMA
Gafas de sol Fuji Electric POD IHM
Fuji eléctrico Hakko IHM
Serie Mitsubishi Electric FX (3U y 3G) SOCIEDAD ANÓNIMA
Serie Mitsubishi Electric Q02 SOCIEDAD ANÓNIMA
Serie Mitsubishi Electric GT 1020 IHM
Mitsubishi Electric tiene F930 IHM
Mitsubishi Electric tiene F940 IHM
Mitsubishi Electric anotó 1055 IHM
Pro-Face GP Pro-Face IHM
GP Pro-Face Archivo de proyecto (* .prw)
fuerza VB SOCIEDAD ANÓNIMA
fuerza VH SOCIEDAD ANÓNIMA
Weintek IHM
Allen-Bradley MicroLogix 1000 SOCIEDAD ANÓNIMA
Panasonic NAIS F P0 SOCIEDAD ANÓNIMA
Serie Fatek FBe y FB SOCIEDAD ANÓNIMA
Corporación IDEC HG2S-FF IHM
LG K80S SOCIEDAD ANÓNIMA
LG K120S SOCIEDAD ANÓNIMA

Dragos solo probó malware dirigido a dispositivos DirectLogic, pero un análisis rudimentario de algunas muestras indicó que también contenían malware.

“En general, parece haber un ecosistema para este tipo de software”, dijo Hanson. “Hay varios sitios web y varias cuentas de redes sociales que anuncian su contraseña de ‘cracker'”.

El informe es preocupante porque ilustra la laxitud que sigue operando en muchos contextos de control industrial. Los delincuentes detrás del malware que infectó al cliente de Dragos buscaban dinero, pero no hay razón por la que hackers más maliciosos con la intención de sabotear una presa, central eléctrica o instalación similar no pudieran llevar a cabo una intrusión similar con consecuencias mucho más graves.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *