{"id":270562,"date":"2022-07-16T10:37:59","date_gmt":"2022-07-16T08:37:59","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=270562"},"modified":"2022-07-16T10:51:19","modified_gmt":"2022-07-16T08:51:19","slug":"mit-sality-malware-infiziertes-passwort-cracking-tool-fr-industrie-steuerungen-leitsysteme-verteilt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/07\/16\/mit-sality-malware-infiziertes-passwort-cracking-tool-fr-industrie-steuerungen-leitsysteme-verteilt\/","title":{"rendered":"Mit Sality-Malware infiziertes Passwort Cracking-Tool für Industrie-Steuerungen\/Leitsysteme verteilt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Cyberkriminelle bewerben in sozialen Netzwerken wohl ein Tool, mit denen Kennw\u00f6rter in Industriesteuerungen (ICS, PLCs) geknackt werden k\u00f6nnen. Sicherlich ganz hilfreich f\u00fcr Techniker, wenn sie an Steuerungen (PLCs, Programmable Logic Controllers) oder Leitsysteme (Industrial Control Systems, ICS) heran m\u00fcssen, die Zugangsdaten aber nicht mehr bekannt sind. Das Problem: Das beworbene Passwort Cracking-Tool ist mit der Sality-Malware verseucht, und die Angreifer verwenden diese, um die PLCs oder ICS zu infizieren.<\/p>\n

<\/p>\n

\"\"Das Internet bietet Betr\u00fcgern und Cyber-Kriminellen unendlich viele M\u00f6glichkeiten, auf illegale Weise Geld zu verdienen. \u00dcblicherweise f\u00e4llt einem Ransomware, Kompromittierung von Gesch\u00e4fts-E-Mails, Internetbetrug und Phishing ein, Risiken, die die Informationssicherheit bedrohen. Aber es geht viel mehr.<\/p>\n

Passwort Cracking-Tool mit Malware<\/h2>\n

Bei einer routinem\u00e4\u00dfigen Schwachstellenanalyse entdeckten die Sicherheitsforscher von Dragos eine Angriffstechnik, die auf Techniker und Ingenieure abzielt, die Industriesteuerungen und Leitsysteme betreuen. Die Sicherheitsforscher von Dragos haben diesen Fall im Blog-Beitrag The Trojan Horse Malware & Password \"Cracking\" Ecosystem Targeting Industrial Operators<\/a> dokumentiert.<\/p>\n

\"AD
\nAnzeige f\u00fcr Passwort Cracking Tool<\/p>\n

Den Sicherheitsforschern ist aufgefallen, dass auf auf Social-Media-Websites mittels verschiedener Konten f\u00fcr Software zum Knacken von Passw\u00f6rtern f\u00fcr speicherprogrammierbare Steuerungen (SPS), Mensch-Maschine-Schnittstellen (HMI) und Projektdateien geworben wird. Mittels eines kostenfreien Tools sollen sich vergessene Passw\u00f6rter f\u00fcr diese ICS und SPS ermitteln lassen. Die Anzeigen bieten das Tool f\u00fcr verschiedene Systeme von Mitsubishi, Siemens und viele andere Hersteller an (die komplette Liste findet sich hier<\/a>).<\/p>\n

Sicherheitsexperten stellen sich bei so was nat\u00fcrlich die Haar zu Berge, es kann nicht gen\u00fcgend vor dem Herunterladen und Ausf\u00fchren von Software von einer nicht vertrauensw\u00fcrdigen Quelle gewarnt werden. Aber die Leute im Feld, die pl\u00f6tzlich vor dem Problem stehen, auf eine Industriesteuerung zuzugreifen, das aber wegen eines fehlenden Passworts nicht k\u00f6nnen, werfen ggf. alle Vorsicht \u00fcber Bord. Man k\u00f6nnte es ja mal probieren, kostet ja nix, und was soll schon passieren – die Software wird ja auf einem PC ausgef\u00fchrt.<\/p>\n

\"Get<\/p>\n

Dragos hat sich ein solches beworbenes Tool zum Knacken von Passw\u00f6rtern angesehen und analysiert. Das Tool war im konkreten Fall in der Lage, \u00fcber die angegebene COM-Schnittstelle vom PC auf das DirectLogic 06 PLC-System von Automation zuzugreifen und meldete auch ein Passwort zur\u00fcck (siehe obige Abbildung).<\/p>\n

Beim Reverse-Engineering der Passwort-\"Knack\"-Software stellte sich aber heraus, dass diese Software das Passwort gar nicht knackte. Vielmehr nutzte das Tool eine Schwachstelle in der Firmware der betreffenden Steuerung bzw. den Kontrollsystems aus, um das Passwort auszulesen. Bei Ausf\u00fchrung des Tools wurde aber nebenbei ein Malware-Dropper aktiv, der den Computer mit der Sality-Malware infizierte und diesen in einen Teilnehmer des Peer-to-Peer-Botnetzes von Sality verwandelte.<\/p>\n

Sality ist ein Peer-to-Peer-Botnet f\u00fcr verteilte Rechenaufgaben wie das Knacken von Passw\u00f6rtern und das Sch\u00fcrfen von Kryptow\u00e4hrungen. Eine Sality-Infektion k\u00f6nnte den Fernzugriff auf ein Konfigurationssystem (Engineering Work Station,EWS) durch einen unbekannten Angreifer erm\u00f6glichen. Dragos sch\u00e4tzt, dass der Angreifer zwar in der Lage ist, industrielle Prozesse zu st\u00f6ren. Angreifer d\u00fcrften finanziell motiviert sein und haben m\u00f6glicherweise keine direkten Auswirkungen auf Prozesse, die von den PLCs oder ICS gesteuert oder geregelt und \u00fcberwacht werden.<\/p><\/blockquote>\n

Die vielen Details wurden durch die Sicherheitsforscher im Blog-Beitrag The Trojan Horse Malware & Password \"Cracking\" Ecosystem Targeting Industrial Operators<\/a> dokumentiert. Der Fall zeigt erneut, dass sich die Leute, wenn sie nicht entsprechende Vorsicht walten lassen, die Infektionen selbst auf ihre Anlagen holen. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Cyberkriminelle bewerben in sozialen Netzwerken wohl ein Tool, mit denen Kennw\u00f6rter in Industriesteuerungen (ICS, PLCs) geknackt werden k\u00f6nnen. Sicherlich ganz hilfreich f\u00fcr Techniker, wenn sie an Steuerungen (PLCs, Programmable Logic Controllers) oder Leitsysteme (Industrial Control Systems, ICS) heran m\u00fcssen, die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-270562","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270562","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=270562"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270562\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=270562"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=270562"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=270562"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}