banner large

Peretas menargetkan sistem industri dengan malware

Comment
X
Share
Peretas menargetkan sistem industri dengan malware

Gambar Getty

Dari file apa yang bisa-mungkin-salah datang ini: Seorang insinyur kontrol industri baru-baru ini menjadikan workstation bagian dari botnet setelah secara tidak sengaja menginstal malware yang mengiklankan dirinya sebagai sarana untuk memulihkan kata sandi yang hilang.

Kata sandi yang hilang terjadi di banyak organisasi. Pengontrol logika yang dapat diprogram—digunakan untuk mengotomatisasi proses di dalam pabrik, pembangkit listrik, dan pengaturan industri lainnya—dapat diatur dan sebagian besar dilupakan selama tahun-tahun berikutnya. Ketika seorang insinyur pengganti kemudian mengidentifikasi masalah yang mempengaruhi PLC, mereka dapat menemukan bahwa insinyur asli yang sudah lama tidak pernah meninggalkan kode sandi sebelum meninggalkan perusahaan.

Menurut posting blog dari perusahaan keamanan Dragos, seluruh ekosistem malware mencoba memanfaatkan skenario seperti ini di dalam fasilitas industri. Iklan online seperti di bawah ini mempromosikan cracker kata sandi untuk PLC dan antarmuka manusia-mesin, yang merupakan pekerja keras di dalam lingkungan ini.

Drago

Drago

Ketika sistem industri Anda adalah bagian dari botnet

Dragos—yang membantu perusahaan mengamankan sistem kontrol industri terhadap ransomware, peretas yang disponsori negara, dan penyabot potensial—baru-baru ini melakukan penilaian kerentanan rutin dan menemukan sistem pelanggan telah menjalankan perangkat lunak yang berhasil memulihkan kata sandi plaintext untuk DirectLogic 06, sebuah PLC dijual oleh Automation Direct. Perangkat lunak memulihkan kata sandi, tetapi tidak melalui metode normal untuk memecahkan hash kriptografi. Sebaliknya, perangkat lunak mengeksploitasi kerentanan zero-day di PLC Otomatis Langsung yang mengekspos kode sandi.

Drago

“Penelitian sebelumnya yang menargetkan DirectLogic PLC telah menghasilkan teknik cracking yang sukses,” tulis peneliti Dragos, Sam Hanson. “Namun, Dragos menemukan bahwa eksploitasi ini tidak memecahkan versi kata sandi yang diacak seperti yang terlihat secara historis dalam kerangka kerja eksploitasi populer. Sebaliknya, urutan byte tertentu dikirim oleh penetes malware ke port COM.”

Drago

Kerentanan, dan yang terkait juga ditemukan oleh Hanson, kini telah ditambal dan dilacak sebagai CVE-2022-2033 dan CVE-2022-2004. Kerentanan terakhir dapat memulihkan kata sandi dan mengirimkannya ke peretas jarak jauh, menjadikan peringkat keparahan menjadi 7,5 dari kemungkinan 10.

Selain memulihkan kata sandi, perangkat lunak yang diinstal pada jaringan pelanggan Dragos juga menginstal malware yang dikenal sebagai Sality. Itu membuat sistem yang terinfeksi menjadi bagian dari botnet dan memantau clipboard dari workstation yang terinfeksi setiap setengah detik untuk setiap data yang terkait dengan alamat dompet cryptocurrency.

“Jika dilihat, pembajak mengganti alamat dengan yang dimiliki oleh pelaku ancaman,” kata Hanson. “Pembajakan dalam waktu nyata ini adalah cara yang efektif untuk mencuri cryptocurrency dari pengguna yang ingin mentransfer dana dan meningkatkan keyakinan kami bahwa musuh termotivasi secara finansial.”

Hanson melanjutkan dengan mengatakan bahwa dia telah menemukan cracker kata sandi yang diiklankan secara online untuk berbagai perangkat lunak industri yang dijual oleh perusahaan lain. Mereka termasuk:

Vendor dan Aset Tipe sistem
Otomatisasi DirectLogic Direct 06 PLC
Omron CP1H PLC
Omron C200HX PLC
Omron C200H PLC
Omron CPM2* PLC
Omron CPM1A PLC
Omron CQM1H PLC
Siemens S7-200 PLC
Siemens S7-200 File Proyek (*.mwp)
LOGO Siemens! 0AB6 PLC
Codesys ABB File Proyek (*.pro)
Delta Otomasi DVP, ES, EX, SS2, Seri EC PLC
Fuji Electric POD UG HMI
Fuji Electric Hakko HMI
Mitsubishi Electric FX Series (3U dan 3G) PLC
Mitsubishi Electric Q02 Series PLC
Mitsubishi Electric GT 1020 Series HMI
Mitsubishi Electric GOT F930 HMI
Mitsubishi Electric GOT F940 HMI
Mitsubishi Electric GOT 1055 HMI
Pro-Wajah GP Pro-Wajah HMI
GP Pro-Wajah File Proyek (*.prw)
Semangat VB PLC
Semangat VH PLC
Weintek HMI
Allen Bradley MicroLogix 1000 PLC
Panasonic NAIS F P0 PLC
Seri Fatek FBe dan FBs PLC
IDEC Corporation HG2S-FF HMI
LG K80S PLC
LG K120S PLC

Dragos hanya menguji malware yang menargetkan perangkat DirectLogic, tetapi analisis dasar dari beberapa sampel menunjukkan bahwa mereka juga mengandung malware.

“Secara umum, tampaknya ada ekosistem untuk jenis perangkat lunak ini,” kata Hanson. “Beberapa situs web dan beberapa akun media sosial ada yang menggembar-gemborkan ‘cracker’ kata sandi mereka.

Catatan tersebut mengkhawatirkan karena menggambarkan kelemahan yang terus beroperasi di banyak pengaturan kontrol industri. Penjahat di balik malware yang menginfeksi pelanggan Dragos mengejar uang, tetapi tidak ada alasan lebih banyak peretas jahat yang menyabot bendungan, pembangkit listrik, atau fasilitas serupa tidak dapat melakukan intrusi serupa dengan konsekuensi yang jauh lebih parah.

Leave a Reply

Your email address will not be published. Required fields are marked *