Riesgos de Ciberseguridad en los softwares de recuperación de contraseñas de PLCs y HMI

Fecha de publicación
Cateogría del artículo Actualidad Industrial
Visualizaciones del artículo Leído  2046  veces

Dragos ha investigado y analizado una serie de softwares que descifran las contraseñas de PLCs y HMI y las consecuencias que puede tener a nivel de seguridad de las maquinas e instalaciones

Riesgos de Ciberseguridad en los softwares de recuperación de contraseñas de PLCs y HMI

Internet ofrece infinitas posibilidades para que los estafadores y ciberdelincuentes ganen dinero de forma ilegítima. Los sospechosos habituales: ransomware, compromiso de correo electrónico comercial, fraude en Internet y phishing son bien conocidos por la comunidad de seguridad de la información. Sin embargo, durante una evaluación de vulnerabilidad de rutina, los investigadores de Dragos descubrieron una técnica de menor escala dirigida a ingenieros y operadores industriales.

La historia de Troya y el caballo de Troya que "descifra" la contraseña

Múltiples cuentas en una variedad de sitios web de redes sociales anuncian softwares que permiten descifrar al contraseña de archivos de proyectos de PLCs y terminales HMI . Los compradores pueden recuperar las contraseñas olvidadas con un ejecutable proporcionado por el vendedor que apunta a un sistema industrial específico.

Un anuncio como este plantea la pregunta: "¿Quién compraría esto?" Cualquier profesional de la seguridad de la información advertiría contra la descarga y ejecución de software de una parte que no sea de confianza. Tome lo siguiente como ejemplo: un ingeniero llamado Troy acaba de ser ascendido a ingeniero senior cuando su antiguo colega, Héctor, se jubiló después de servir 30 años en una empresa de servicios eléctricos. Troy necesita actualizar parte del programa Ladder que Hector escribió en DirectLogic 06 PLC de Automation Direct. Después de iniciar el software de programación de PLC, DirectSOFT, aparece una solicitud de contraseña.

Troy no sabe la contraseña y Héctor se fue hace unos meses y ahora está de vacaciones en un barco sin servicio por tiempo indefinido. Troy busca respuestas Online y, al ver un anuncio de software para descifrar contraseñas de PLC, decide intentarlo. Cassandra, la compañera de trabajo consciente de la seguridad de Troy, advierte contra la introducción de este riesgo innecesario en su entorno OT. Pero Troy insiste en que esta es una tarea urgente. Compra el software y lo ejecuta en su estación de trabajo de ingeniería.

Troy recupera con éxito la contraseña del PLC, pero un par de minutos después descubre que el sistema de la estación de trabajo de ingeniería está actuando de manera extraña.

Recuperación de contraseña y una infección de malware Sality

Troy llamó a Dragos para realizar ingeniería inversa en el software de "descifrado" de contraseñas y determinó que no descifró la contraseña en absoluto, sino que explotó una vulnerabilidad en el firmware que le permitió recuperar la contraseña cuando se le ordenó. Además, el software era un lanzador de malware, infectaba la máquina con el malware Sality y convertía al host en un par en la red de bots peer-to-peer de Sality.

El Exploit

Los investigadores de Dragos confirmaron que el exploit de recuperación de contraseña incrustado en el cuentagotas de malware recupera con éxito la contraseña del PLC DirectLogic 06 de Automation Direct a través de una conexión en serie. Desde la perspectiva de un usuario, simplemente necesitan tener una conexión desde la máquina de Windows al PLC, luego especificar el puerto COM para comunicarse y hacer clic en el botón "READPASS". Uno o dos segundos después, la contraseña se muestra al usuario como se ve en la Figura 1.

Las investigaciones anteriores dirigidas a los PLC DirectLogic dieron como resultado técnicas de craqueo exitosas. Sin embargo, Dragos descubrió que este exploit no descifra una versión codificada de la contraseña como se ha visto históricamente en los marcos de explotación populares. En su lugar, el malware envía una secuencia de bytes específica a un puerto COM.

La captura del tráfico SERIE enviado por el exploit permitió a los investigadores de Dragos recrearlo fuera del malware. El malware contiene una versión solo en serie del exploit, lo que requiere que el usuario tenga una conexión en serie directa desde una estación de trabajo de ingeniería (EWS) al PLC. Los investigadores de Dragos pudieron recrear con éxito el exploit a través de Ethernet, aumentando significativamente la gravedad de esta vulnerabilidad. A esta vulnerabilidad se le asignó CVE-2022-2003 y se comunicó responsablemente a Automation Direct. Han lanzado una actualización de firmware para solucionar este problema [fuente: Aviso de ICS-CERT (ICSA-22-167-03), Aviso de ICS-CERT (ICSA-22-167-02)].

El malware Sality

Sality es una botnet peer-to-peer para tareas informáticas distribuidas, como el descifrado de contraseñas y la minería de criptomonedas. Una infección de Sality podría poner en riesgo el acceso remoto a un EWS por parte de un adversario desconocido. Dragos evalúa con confianza moderada al adversario, si bien tiene la capacidad de interrumpir los procesos industriales, tiene una motivación financiera y es posible que no afecte directamente los procesos de tecnología operativa (OT).

Sality emplea la inyección de procesos y la infección de archivos para mantener la persistencia en el host. Abusa de la funcionalidad de ejecución automática de Windows para distribuir copias de sí mismo a través de Universal Serial Bus (USB), recursos compartidos de red y unidades de almacenamiento externas. Esta muestra específica de Sality también elimina el malware de secuestro del portapapeles que, cada medio segundo, verifica el portapapeles en busca de un formato de dirección de criptomoneda. Si se ve, el secuestrador reemplaza la dirección con una propiedad del actor de amenazas. Este secuestro en tiempo real es una forma efectiva de robar criptomonedas de los usuarios que desean transferir fondos y aumenta nuestra confianza en que el adversario tiene una motivación financiera.

Para permanecer sin ser detectado, Sality suelta un controlador de kernel e inicia un servicio para identificar cualquier producto de seguridad potencial, como sistemas antivirus o firewalls, y los finaliza. De acuerdo con varios informes en línea, Sality puede realizar el filtrado del Protocolo de Internet (IP) contra las URL relacionadas con el antivirus y eliminará cualquier paquete saliente que contenga palabras clave específicas que se sabe que están conectadas a sitios web de proveedores de antivirus.

Esto podría tener implicaciones regulatorias: dado que Sality bloquea cualquier conexión saliente, los sistemas antivirus no podrán recibir actualizaciones que violen el estándar de confiabilidad CIP-007-6. Si bien Sality hace varios intentos de permanecer oculto, es bastante claro que se está produciendo una infección. Los niveles de la unidad de procesamiento central (CPU) aumentan al 100 % y se activaron varias alertas de Windows Defender.

El ecosistema de "craqueo" de contraseñas

Automation Direct está lejos de ser el único proveedor afectado. De hecho, Dragos es consciente de que este actor de amenazas específico anuncia software de "craqueo" para varios PLC, HMI y archivos de proyecto que se enumeran en la siguiente tabla:

 

Dragos solo probó el malware dirigido a DirectLogic. Sin embargo, el análisis dinámico inicial de un par de otras muestras indica que también contienen malware. En general, parece que hay un ecosistema para este tipo de software. Existen varios sitios web y múltiples cuentas de redes sociales que promocionan sus "crackers" de contraseñas.




Descargas