Contenidos
De los archivos que podrían salir mal surge esto: un ingeniero de control industrial creó recientemente una estación de trabajo que forma parte de una red de bots después de instalar sin darse cuenta malware que se anunciaba a sí mismo como un medio para recuperar contraseñas perdidas.
Las contraseñas perdidas ocurren en muchas organizaciones. Un controlador lógico programable, utilizado para automatizar procesos dentro de fábricas, sistemas eléctricos y otros entornos industriales, puede instalarse y olvidarse en gran medida en años posteriores. Cuando un técnico de reemplazo identifica más tarde un problema que afecta al PLC, es posible que descubra que el ingeniero original, que se fue hace mucho tiempo, nunca dejó el código de acceso antes de dejar la empresa.
Según una publicación de blog de la firma de seguridad Dragos, todo un ecosistema de malware intenta aprovechar escenarios como este dentro de las instalaciones industriales. Los anuncios en línea como los que se muestran a continuación promueven el descifrado de contraseñas de PLC y las interfaces hombre-máquina, que son los caballos de batalla dentro de estos entornos.
Cuando su sistema industrial es parte de una botnet
Dragos, que ayuda a las empresas a proteger los sistemas de control industrial del ransomware, piratas informáticos patrocinados por el estado y saboteadores potenciales, realizó recientemente una evaluación de vulnerabilidad de rutina y descubrió que el sistema de un cliente había ejecutado un software que podía recuperar la contraseña clara para DirectLogic 06, un PLC vendido por Automatización Directa. El software recuperó la contraseña, pero no mediante el método normal de descifrado de hash criptográfico. En cambio, el software aprovechó una vulnerabilidad de día cero en los PLC automatizados directos que expusieron el código de acceso.
“La investigación previa sobre los PLC DirectLogic ha llevado a técnicas de craqueo exitosas”, escribió el investigador de Dragos, Sam Hanson. “Sin embargo, Dragos descubrió que este exploit no descifra una versión cifrada de la contraseña como se ha visto históricamente en los marcos de explotación populares. En cambio, el cuentagotas de malware envía una secuencia específica de bytes a un puerto COM”.
La vulnerabilidad, y la vulnerabilidad relacionada que también encontró Hanson, ahora se han solucionado y se rastrean como CVE-2022-2033 y CVE-2022-2004. La última vulnerabilidad puede recuperar contraseñas y enviarlas a un pirata informático remoto, lo que eleva la calificación de gravedad a 7.5 de un máximo de 10.
Además de recuperar la contraseña, el software instalado en la red del cliente de Dragos también instaló un malware conocido como Sality. Hizo que el sistema infectado formara parte de una botnet y supervisó el portapapeles de la estación de trabajo infectada cada medio segundo en busca de datos relacionados con las direcciones de las billeteras de criptomonedas.
“Si se ve, el secuestrador reemplaza la dirección con una propiedad del actor de amenazas”, dijo Hanson. “Este secuestro en tiempo real es una forma efectiva de robar criptomonedas de los usuarios que desean transferir fondos y aumenta nuestra confianza en que el oponente tiene una motivación financiera”.
Hanson continuó diciendo que encontró crackers de contraseñas anunciados en línea para una amplia gama de software industrial vendido por otras compañías. Incluyen:
vendedor y bueno | Tipo de sistema |
DirectLogic Automatización directa 06 | SOCIEDAD ANÓNIMA |
Omron CP1H | SOCIEDAD ANÓNIMA |
Omron C200HX | SOCIEDAD ANÓNIMA |
Omron C200H | SOCIEDAD ANÓNIMA |
Omron CPM2 * | SOCIEDAD ANÓNIMA |
Omron CPM1A | SOCIEDAD ANÓNIMA |
Omron CQM1H | SOCIEDAD ANÓNIMA |
siemens s7-200 | SOCIEDAD ANÓNIMA |
siemens s7-200 | Archivo de proyecto (* .mwp) |
LOGOTIPO Siemens! 0AB6 | SOCIEDAD ANÓNIMA |
Codesys de ABB | Archivo de proyecto (* .pro) |
Serie Delta Automation DVP, ES, EX, SS2, EC | SOCIEDAD ANÓNIMA |
Gafas de sol Fuji Electric POD | IHM |
Fuji eléctrico Hakko | IHM |
Serie Mitsubishi Electric FX (3U y 3G) | SOCIEDAD ANÓNIMA |
Serie Mitsubishi Electric Q02 | SOCIEDAD ANÓNIMA |
Serie Mitsubishi Electric GT 1020 | IHM |
Mitsubishi Electric tiene F930 | IHM |
Mitsubishi Electric tiene F940 | IHM |
Mitsubishi Electric anotó 1055 | IHM |
Pro-Face GP Pro-Face | IHM |
GP Pro-Face | Archivo de proyecto (* .prw) |
fuerza VB | SOCIEDAD ANÓNIMA |
fuerza VH | SOCIEDAD ANÓNIMA |
Weintek | IHM |
Allen-Bradley MicroLogix 1000 | SOCIEDAD ANÓNIMA |
Panasonic NAIS F P0 | SOCIEDAD ANÓNIMA |
Serie Fatek FBe y FB | SOCIEDAD ANÓNIMA |
Corporación IDEC HG2S-FF | IHM |
LG K80S | SOCIEDAD ANÓNIMA |
LG K120S | SOCIEDAD ANÓNIMA |
Dragos solo probó malware dirigido a dispositivos DirectLogic, pero un análisis rudimentario de algunas muestras indicó que también contenían malware.
“En general, parece haber un ecosistema para este tipo de software”, dijo Hanson. “Hay varios sitios web y varias cuentas de redes sociales que anuncian su contraseña de ‘cracker'”.
El informe es preocupante porque ilustra la laxitud que sigue operando en muchos contextos de control industrial. Los delincuentes detrás del malware que infectó al cliente de Dragos buscaban dinero, pero no hay razón por la que hackers más maliciosos con la intención de sabotear una presa, central eléctrica o instalación similar no pudieran llevar a cabo una intrusión similar con consecuencias mucho más graves.