Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Lug 19, 2022 Redazione news Attacchi, News, RSS 0
I ricercatori di Dragos hanno scoperto una tecnica di cyber attacco che prende di mira ingegneri e operatori dei sistemi industriali. Diversi account su vari siti pubblicizzano software per il cracking di password di controllori logici programmabili (PLC), interfacce uomo-macchina (HMI) e file di progetto.
Gli acquirenti possono recuperare le password dimenticate eseguendo un eseguibile fornito dal venditore e destinato a uno specifico sistema di controllo industriale. Dragos ha effettuato il reverse engineering di uno di questi software.
Ha così stabilito che non cercava di fare il “cracking” della password ricostruendola mediante l’utilizzo di informazioni che sono state immagazzinate o trasmesse dalla macchina, ma sfruttava una vulnerabilità nel firmware per recuperarla.
Inoltre, il software era un dropper che infettava il computer con il malware Sality. Inseriva inoltre l’host in una botnet peer-to-peer di Sality, mirata ad attività di calcolo distribuito come il cracking di password e il mining di criptovalute.
I ricercatori hanno confermato che l’exploit per il recupero della password incorporato nel dropper recupera con successo la password del PLC DirectLogic 06 di Automation Direct tramite una connessione seriale.
Dal punto di vista dell’utente, è sufficiente una connessione dal computer Windows al PLC, quindi specificare la porta COM su cui comunicare e fare clic sul pulsante “READPASS” per ottenere la password in chiaro. Dragos però dichiara di aver sviluppato una versione più pericolosa dell’exploit che funziona anche su Ethernet.
A questa vulnerabilità è stata assegnato il codice CVE-2022-2003 ed è stata comunicata a Automation Direct che ha rilasciato un aggiornamento del firmware per risolvere il problema.
Un’infezione da Sality comporta il rischio di accesso remoto al sistema ma Dragos valuta con moderata sicurezza che questo cyber criminale, pur avendo la capacità di interrompere i processi industriali, ha motivazioni finanziarie e potrebbe non avere un impatto diretto sui processi di tecnologia operativa (OT).
Sality utilizza l’iniezione di processi e l’infezione di file per mantenere la persistenza sull’host. Abusa della funzionalità di esecuzione automatica di Windows per diffondere copie di sé stesso su Universal Serial Bus (USB), condivisioni di rete e unità di archiviazione esterne.
Automation Direct non è l’unico produttore colpito. Infatti, Dragos è a conoscenza del fatto che questo specifico pirata pubblicizza software di “cracking” per diversi altri strumenti che riporta in una tabella nel report citato.
Mar 08, 2023 0
Gen 24, 2023 0
Nov 22, 2022 0
Set 27, 2022 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...