Um trojan está sendo enviado para funcionários de sistemas industriais embutidos em software para CLPs (controladores lógicos programáveis), Interface Homem-Máquina (HMI) e para quebra de senha de arquivos de projeto. Os anúncios, que estão sendo feitos em uma boa variedade de redes sociais, dizem que os compradores podem recuperar senhas esquecidas rodando um executável fornecido pelo vendedor que visa um sistema industrial específico.
Veja isso
Dragos recebe aporte série D: US$ 200 milhões
Empresas de infraestrutura crítica falham na segurança IIoT/OT
Os pesquisadores da Dragos confirmaram que o “cracker” vendido é um ‘dropper’ de malware mas recupera com sucesso a senha do CLP DirectLogic 06 da Automation Direct em uma conexão serial. Do ponto de vista do usuário, ele simplesmente precisa ter uma conexão da máquina Windows com o PLC, especificar a porta COM para se comunicar e clicar no botão “READPASS”.
A Dragos testou apenas o malware direcionado ao DirectLogic. No entanto, a análise dinâmica inicial de algumas outras amostras indica que elas também contêm malware. Em geral, parece que existe um ecossistema para esse tipo de software. Existem vários sites e várias contas de mídia social divulgando seus “crackers” de senha.
A Automation Direct está longe de ser o único fornecedor afetado. Na verdade, a Dragos afirma estar ciente de que esse agente de ameaças específico anuncia software de “cracking” para vários PLCs, IHMs e arquivos de projeto listados na tabela a seguir:
Vendor and Asset | System Type |
Automation Direct DirectLogic 06 | PLC |
Omron CP1H | PLC |
Omron C200HX | PLC |
Omron C200H | PLC |
Omron CPM2* | PLC |
Omron CPM1A | PLC |
Omron CQM1H | PLC |
Siemens S7-200 | PLC |
Siemens S7-200 | Project File (*.mwp) |
Siemens LOGO! 0AB6 | PLC |
ABB Codesys | Project File (*.pro) |
Delta Automation DVP, ES, EX, SS2, EC Series | PLC |
Fuji Electric POD UG | HMI |
Fuji Electric Hakko | HMI |
Mitsubishi Electric FX Series (3U and 3G) | PLC |
Mitsubishi Electric Q02 Series | PLC |
Mitsubishi Electric GT 1020 Series | HMI |
Mitsubishi Electric GOT F930 | HMI |
Mitsubishi Electric GOT F940 | HMI |
Mitsubishi Electric GOT 1055 | HMI |
Pro-Face GP Pro-Face | HMI |
Pro-Face GP | Project File (*.prw) |
Vigor VB | PLC |
Vigor VH | PLC |
Weintek | HMI |
Allen Bradley MicroLogix 1000 | PLC |
Panasonic NAIS F P0 | PLC |
Fatek FBe and FBs Series | PLC |
IDEC Corporation HG2S-FF | HMI |
LG K80S | PLC |
LG K120S | PLC |
O relatório completo está em “https://www.dragos.com/blog/the-trojan-horse-malware-password-cracking-ecosystem-targeting-industrial-operators/”