Aggiornamenti recenti Agosto 13th, 2025 11:24 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e sospetti di backdoor
- Ondata di attacchi brute-force contro le VPN Fortinet, poi FortiManager
- Un invito Google Calendar bastava per prendere il controllo di Gemini
- CERT-AGID 2 – 8 agosto: rubati documenti d’identità a clienti di hotel italiani
- SonicWall: Akira non sfrutta uno zero-day, ma una falla del 2024
Password cracker installa malware in sistemi di controllo industriale
Alcuni strumenti che sostengono di aiutare le organizzazioni a recuperare le password perse per i sistemi di controllo industriale sono in realtà dropper per malware
I ricercatori di Dragos hanno scoperto una tecnica di cyber attacco che prende di mira ingegneri e operatori dei sistemi industriali. Diversi account su vari siti pubblicizzano software per il cracking di password di controllori logici programmabili (PLC), interfacce uomo-macchina (HMI) e file di progetto.
Gli acquirenti possono recuperare le password dimenticate eseguendo un eseguibile fornito dal venditore e destinato a uno specifico sistema di controllo industriale. Dragos ha effettuato il reverse engineering di uno di questi software.
Ha così stabilito che non cercava di fare il “cracking” della password ricostruendola mediante l’utilizzo di informazioni che sono state immagazzinate o trasmesse dalla macchina, ma sfruttava una vulnerabilità nel firmware per recuperarla.
Inoltre, il software era un dropper che infettava il computer con il malware Sality. Inseriva inoltre l’host in una botnet peer-to-peer di Sality, mirata ad attività di calcolo distribuito come il cracking di password e il mining di criptovalute.
I ricercatori hanno confermato che l’exploit per il recupero della password incorporato nel dropper recupera con successo la password del PLC DirectLogic 06 di Automation Direct tramite una connessione seriale.
Dal punto di vista dell’utente, è sufficiente una connessione dal computer Windows al PLC, quindi specificare la porta COM su cui comunicare e fare clic sul pulsante “READPASS” per ottenere la password in chiaro. Dragos però dichiara di aver sviluppato una versione più pericolosa dell’exploit che funziona anche su Ethernet.
A questa vulnerabilità è stata assegnato il codice CVE-2022-2003 ed è stata comunicata a Automation Direct che ha rilasciato un aggiornamento del firmware per risolvere il problema.
Un’infezione da Sality comporta il rischio di accesso remoto al sistema ma Dragos valuta con moderata sicurezza che questo cyber criminale, pur avendo la capacità di interrompere i processi industriali, ha motivazioni finanziarie e potrebbe non avere un impatto diretto sui processi di tecnologia operativa (OT).
Sality utilizza l’iniezione di processi e l’infezione di file per mantenere la persistenza sull’host. Abusa della funzionalità di esecuzione automatica di Windows per diffondere copie di sé stesso su Universal Serial Bus (USB), condivisioni di rete e unità di archiviazione esterne.
Automation Direct non è l’unico produttore colpito. Infatti, Dragos è a conoscenza del fatto che questo specifico pirata pubblicizza software di “cracking” per diversi altri strumenti che riporta in una tabella nel report citato.
Condividi l'articolo
Stytch introduce un approccio più moderno alle password
Acronis: fare cyber security partendo dalla sicurezza del dato
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e... Le tensioni tra Stati Uniti e Cina si spostano sul... -
Ondata di attacchi brute-force contro le VPN Fortinet, poi... Una nuova campagna di attacchi informatici sta prendendo di... -
Un invito Google Calendar bastava per prendere il controllo... Una vulnerabilità in Google Calendar consentiva a un... -
CERT-AGID 2 – 8 agosto: rubati documenti d’identità a... La scorsa settimana il CERT-AGID ha rilevato e analizzato... -
SonicWall: Akira non sfrutta uno zero-day, ma una falla del... SonicWall ha smentito l’ipotesi che i recenti attacchi...
Ransomware: la serie
No posts found.