Mit Sality-Malware infiziertes Passwort Cracking-Tool für Industrie-Steuerungen/Leitsysteme verteilt

[English]Cyberkriminelle bewerben in sozialen Netzwerken wohl ein Tool, mit denen Kennwörter in Industriesteuerungen (ICS, PLCs) geknackt werden können. Sicherlich ganz hilfreich für Techniker, wenn sie an Steuerungen (PLCs, Programmable Logic Controllers) oder Leitsysteme (Industrial Control Systems, ICS) heran müssen, die Zugangsdaten aber nicht mehr bekannt sind. Das Problem: Das beworbene Passwort Cracking-Tool ist mit der Sality-Malware verseucht, und die Angreifer verwenden diese, um die PLCs oder ICS zu infizieren.

Das Internet bietet Betrügern und Cyber-Kriminellen unendlich viele Möglichkeiten, auf illegale Weise Geld zu verdienen. Üblicherweise fällt einem Ransomware, Kompromittierung von Geschäfts-E-Mails, Internetbetrug und Phishing ein, Risiken, die die Informationssicherheit bedrohen. Aber es geht viel mehr.

Passwort Cracking-Tool mit Malware

Bei einer routinemäßigen Schwachstellenanalyse entdeckten die Sicherheitsforscher von Dragos eine Angriffstechnik, die auf Techniker und Ingenieure abzielt, die Industriesteuerungen und Leitsysteme betreuen. Die Sicherheitsforscher von Dragos haben diesen Fall im Blog-Beitrag The Trojan Horse Malware & Password "Cracking" Ecosystem Targeting Industrial Operators dokumentiert.

Anzeige für Passwort Cracking Tool

Den Sicherheitsforschern ist aufgefallen, dass auf auf Social-Media-Websites mittels verschiedener Konten für Software zum Knacken von Passwörtern für speicherprogrammierbare Steuerungen (SPS), Mensch-Maschine-Schnittstellen (HMI) und Projektdateien geworben wird. Mittels eines kostenfreien Tools sollen sich vergessene Passwörter für diese ICS und SPS ermitteln lassen. Die Anzeigen bieten das Tool für verschiedene Systeme von Mitsubishi, Siemens und viele andere Hersteller an (die komplette Liste findet sich hier).

Sicherheitsexperten stellen sich bei so was natürlich die Haar zu Berge, es kann nicht genügend vor dem Herunterladen und Ausführen von Software von einer nicht vertrauenswürdigen Quelle gewarnt werden. Aber die Leute im Feld, die plötzlich vor dem Problem stehen, auf eine Industriesteuerung zuzugreifen, das aber wegen eines fehlenden Passworts nicht können, werfen ggf. alle Vorsicht über Bord. Man könnte es ja mal probieren, kostet ja nix, und was soll schon passieren – die Software wird ja auf einem PC ausgeführt.

Dragos hat sich ein solches beworbenes Tool zum Knacken von Passwörtern angesehen und analysiert. Das Tool war im konkreten Fall in der Lage, über die angegebene COM-Schnittstelle vom PC auf das DirectLogic 06 PLC-System von Automation zuzugreifen und meldete auch ein Passwort zurück (siehe obige Abbildung).

Beim Reverse-Engineering der Passwort-"Knack"-Software stellte sich aber heraus, dass diese Software das Passwort gar nicht knackte. Vielmehr nutzte das Tool eine Schwachstelle in der Firmware der betreffenden Steuerung bzw. den Kontrollsystems aus, um das Passwort auszulesen. Bei Ausführung des Tools wurde aber nebenbei ein Malware-Dropper aktiv, der den Computer mit der Sality-Malware infizierte und diesen in einen Teilnehmer des Peer-to-Peer-Botnetzes von Sality verwandelte.

Sality ist ein Peer-to-Peer-Botnet für verteilte Rechenaufgaben wie das Knacken von Passwörtern und das Schürfen von Kryptowährungen. Eine Sality-Infektion könnte den Fernzugriff auf ein Konfigurationssystem (Engineering Work Station,EWS) durch einen unbekannten Angreifer ermöglichen. Dragos schätzt, dass der Angreifer zwar in der Lage ist, industrielle Prozesse zu stören. Angreifer dürften finanziell motiviert sein und haben möglicherweise keine direkten Auswirkungen auf Prozesse, die von den PLCs oder ICS gesteuert oder geregelt und überwacht werden.

Die vielen Details wurden durch die Sicherheitsforscher im Blog-Beitrag The Trojan Horse Malware & Password "Cracking" Ecosystem Targeting Industrial Operators dokumentiert. Der Fall zeigt erneut, dass sich die Leute, wenn sie nicht entsprechende Vorsicht walten lassen, die Infektionen selbst auf ihre Anlagen holen. (via)