Лоши пракси во минатото и несогледување на целата идна ситуација може да бидат сериозен проблем во дел од автоматизираните погони. Софтвер за хакирање на програмабилни логички контролери (PLC) прави многу повеќе од намената за која го „рекламираат“. Безбедносните експерти од Dragos открија дека софтверот освен што ја открива лозинката си креира и ботнет мрежа.
Програмабилни логички контролери се индустриски компјутери кои се користат за контрола, управување, надзор, сигнализација во производни процеси. Се користат на производни линии, роботи, различни машини и слично. Како што навестува и името, контролерите се програмабилни, а може да бидат од уреди со десетина влезови и излези, до поголеми контролери со илјадници влезови и излези.
Ако се прашувате зошто на некој воопшто би му бил потребен софтвер за хакирање на овие уреди, одговорот е едноставен. Дел од овие системи се поставени одамна. Лозинките за контролерите, ако некогаш биле запишани, сега може да се заборавени, инженерот кој ги поставил може да е пензиониран. За пристап до софтверот на контролерот е потребно да се внесе лозинка.
Во примерот кој го сподели Dragos, алатката која на инженерот треба да му помогне да ја ресетира лозинката, за да може со софтверот за PLC програмирање да направи ажурирање на програмата, направила повеќе штета. Софтверот искористил пропуст за да ја открие лозинката, но истовремено го заразил контролерот со Sality малициозен код. Уредот во тој момент станал дел од поголема peer-to-peer бот-мрежа.
Софтверот работи едноставно. Корисникот се поврзува преку сериски кабел од десктоп на PLC и со притискање на копчето „прочитај лозинка“ ја добива лозинката. Со употреба на пропуст софтверот доаѓа до лозинката, и ја прикажува.
Sality е peer-to-peer мрежа за дистрибуирање на компјутерски пресметки на пример пробивање на лозинки или копање на криптовалути. Она што е загрижувачко е дека софтверот може и да ја наруши работата на постројката. За среќа, се чини дека групата сепак има финансиска мотивација, а не некаква диверзија.
Безбедносниот пропуст во Automation Direct DirectLogic 06 овозможува лозинката да биде „повлечена“ преку сериска врска. Зa искористување на пропустот е потребно напаѓачот да има директен физички контакт со контролерот. Сепак истражувачите на Dragos успеале да го реплицираат нападот преку Ethernet што значително ја зголемува сериозноста на пропустот. Пропустот и уште еден поврзан со него се одбележани како CVE-2022-2033 и CVE-2022-2004. Производителот речиси веднаш издаде безбедносна закрпа, но прашање е колку брзо, ако воопшто, оваа закрпа стигне до системите.
Dragos пронајде 31, PLC и Human Machine Interface (HMC) уреди за кои се продава софтвер за хакирање на лозинките. За жал секој беше заразен со малициозен код.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
