Из зараженных АСУ создается ботнет, занимающийся майнингом криптовалюты и взлома паролей.
Не так давно в сети начала появляться реклама инструмента для разблокировки программируемых логических контроллеров (ПЛК). Согласно заявлению авторов, он снимает блокировку и восстанавливает пароли ПЛК и человеко-машинных интерфейсов от Automation Direct, Omron, Siemens, Fuji Electric, Mitsubishi, LG, Vigor, Pro-Face, Allen Bradley, Weintek, ABB и Panasonic.
Реклама инструмента в соцсетях
Однако, все оказалось не так просто. ИБ-специалисты из компании Dragos проанализировали один из киберинцидентов, затронувший ПЛК DirectLogic от Automation Direct, и обнаружили, что инструмент для разблокировки устройства извлекает пароль с помощью известной уязвимости.
Эксплуатация уязвимости для получения пароля в открытом виде
Но за этим скрывалось самое интересное – на фоне инструмент загружал вредонос Sality , который создает одноранговый ботнет, использующий вычислительные мощности зараженных устройств для взлома паролей или добычи криптовалюты.
Специалисты Dragos выяснили , что эксплойт был ограничен последовательной связью. Тем не менее исследователи нашли способ воссоздать его по Ethernet, что увеличило уровень опасности. Изучив ПО, зараженное Sality, Dragos сообщила Automation Direct об уязвимости, и производитель оперативно выпустил для нее исправления. Однако хакерская кампания продолжается, поэтому специалисты рекомендуют администраторам ПЛК от других производителей оставаться начеку.