Unter dem Vorwand, Passwörter für speicherprogrammierbare Steuerungen (SPS) in industriellen Steuerungssystemen wiederherzustellen, kapert ein Hacker die Maschinen, um ein Botnetz zu erstellen.
Dies wurde dann zum Mining von Kryptowährungen verwendet, obwohl er Zugriff darauf hat, um sie vollständig zu schließen. Der Hacker macht auf verschiedenen Social-Media-Plattformen Werbung für sein Tool zum Knacken von Passwörtern, um potenzielle Opfer zu finden.
ICS als Ziel für die Prägung von Kryptowährungen
Wie Forscher bei Dragos feststellten, Bei einem Unternehmen für industrielle Cybersicherheit hat ein unbekannter Hacker die ICS-Administratoren im Visier, um deren Systeme für seine eigenen Zwecke zu kapern. Der Hacker verspricht, die Passwörter ihrer speicherprogrammierbaren Steuerungen (SPS) zu knacken und infiziert deren industrielle Steuerungssysteme (ICS) mit Sality-Malware.
Durch Missbrauch der Autostart-Funktion von Windows kann sich Sality auf Netzwerkfreigaben, externen Laufwerken und sogar Wechselspeichergeräten ausführen lassen, um es auf andere Systeme übertragen zu können.
Der Schädling fungiert als Hintertür und kann zusätzliche Nutzdaten herunterladen, Verbindungen zu Remote-Sites öffnen, Daten stehlen und sogar Prozesse beenden, die für das Funktionieren der Branche von entscheidender Bedeutung sind.
Daher, Forscher warnen Systemadministratoren vor der Verwendung von Tools zum Knacken von Passwörtern, insbesondere wenn diese von unzuverlässigen Anbietern stammen. In diesem Fall macht der Hacker auf verschiedenen Social-Media-Plattformen Werbung für sein Tool zum Knacken von Passwörtern (das mit der Schadsoftware Sality verseucht ist) und zielt dabei auf SPS von Automation Direct, Omron, Siemens, Fuji Electric, Mitsubishi, LG, Vigor, Pro-Face, Allen Bradley, Weintek, ABB und Panasonic ab.
Dragos demonstrierte ein Beispiel mit DirectLogic PLC von Automation Direct, bei dem das Hacker-Tool eine bekannte Schwachstelle ausnutzt, um das Passwort zu extrahieren und gleichzeitig im Hintergrund die Sality-Malware abzulegen.
In dieser Kampagne sieht man, wie er die kompromittierten Maschinen zum Mining von Kryptowährungen verwendet, obwohl er auch andere größere Aufgaben mit höherem Gewinn ausführen kann. Dragos riet den Systemadministratoren, sich bei Bedarf an sie oder den betreffenden ICS-Anbieter zu wenden, um die Passwörter zu knacken, es jedoch nicht selbst mit verdächtigen Tools zu versuchen.
