Из зараженных АСУ создается ботнет, занимающийся майнингом криптовалюты и взлома паролей.
https://www.securitylab.ru/upload/ib...b05395565d.jpg
Не так давно в сети начала появляться реклама инструмента для разблокировки программируемых логических контроллеров (ПЛК). Согласно заявлению авторов, он снимает блокировку и восстанавливает пароли ПЛК и человеко-машинных интерфейсов от Automation Direct, Omron, Siemens, Fuji Electric, Mitsubishi, LG, Vigor, Pro-Face, Allen Bradley, Weintek, ABB и Panasonic.
https://lh4.googleusercontent.com/ZX...mbbVy8kgTgsj2M
Реклама инструмента в соцсетях
Однако, все оказалось не так просто. ИБ-специалисты из компании Dragos проанализировали один из киберинцидентов, затронувший ПЛК DirectLogic от Automation Direct, и обнаружили, что инструмент для разблокировки устройства извлекает пароль с помощью известной уязвимости.
https://lh6.googleusercontent.com/x6...UbbpuqYFbWuT60
Эксплуатация уязвимости для получения пароля в открытом виде
Но за этим скрывалось самое интересное – на фоне инструмент загружал вредонос Sality , который создает одноранговый ботнет, использующий вычислительные мощности зараженных устройств для взлома паролей или добычи криптовалюты.
Специалисты Dragos выяснили , что эксплойт был ограничен последовательной связью. Тем не менее исследователи нашли способ воссоздать его по Ethernet, что увеличило уровень опасности. Изучив ПО, зараженное Sality, Dragos сообщила Automation Direct об уязвимости, и производитель оперативно выпустил для нее исправления. Однако хакерская кампания продолжается, поэтому специалисты рекомендуют администраторам ПЛК от других производителей оставаться начеку.