Des outils annoncés comme capables de craquer les mots de passe d'IHM, d'API et d'autres produits industriels exploitent une vulnérabilité de type "zero-day" et des acteurs de menace les utilisent pour diffuser des logiciels malveillants.

Les ingénieurs responsables des systèmes industriels d'une entreprise peuvent un jour se retrouver dans une situation où un automate, une IHM ou un fichier de projet qui doit être mis à jour est protégé par un mot de passe qu'ils ne connaissent pas - le mot de passe peut avoir été oublié ou défini par une personne qui a quitté l'entreprise.

En cherchant une solution sur le web, les ingénieurs peuvent tomber sur des sites web proposant des outils conçus pour craquer les mots de passe de produits industriels spécifiques

Une analyse menée par l'entreprise de cybersécurité industrielle Dragos montre que ces outils de craquage de mots de passe peuvent également transmettre des logiciels malveillants.

Dragos a étudié un outil conçu pour les automates DirectLogic d'AutomationDirect, mais le même acteur de la menace propose également des logiciels de craquage de mots de passe pour plusieurs autres produits d'Omron, Siemens, ABB, Delta Automation, Fuji Electric, Mitsubishi Electric, Pro-face (Schneider Electric), Vigor, Allen-Bradley (Rockwell Automation), Panasonic, LG, Fatek et IDEC.

Une brève analyse suggère que ces autres outils délivrent probablement aussi des logiciels malveillants et M. Dragos a noté que des outils similaires ont également été proposés par d'autres.

L'outil de piratage de l'automate DirectLogic a permis de récupérer le mot de passe de l'appareil en exploitant une vulnérabilité inconnue jusqu'alors. La faille, connue sous le nom de CVE-2022-2003, peut être exploitée pour amener l'automate à fournir son mot de passe en texte clair en réponse à une requête spécialement conçue envoyée par Ethernet ou par le port série.

AutomationDirect a corrigé cette vulnérabilité ainsi qu'une vulnérabilité DoS après avoir été informé par Dragos.

L'outil de craquage de mots de passe analysé par Dragos a fourni le célèbre malware Sality, qui existe depuis deux décennies et qui est souvent utilisé par les cybercriminels à des fins financières.

Si les acteurs de la menace pourraient en théorie utiliser l'accès fourni par Sality pour perturber les processus industriels, la société de cybersécurité estime que le groupe qui distribue ces outils est motivé par des raisons financières et qu'il tente de réaliser des bénéfices en volant des crypto-monnaies.

Bien qu'il ne cible pas directement les systèmes de technologie opérationnelle (OT), Sality est connu pour bloquer les ressources liées aux produits antimalwares et cela pourrait avoir des implications réglementaires dans le cas des organisations industrielles.

"Puisque Sality bloque toute connexion sortante, les systèmes antivirus ne pourront pas recevoir de mises à jour, violant ainsi la norme de fiabilité CIP-007-6", explique Dragos.