Sality P2P botnet
A Dragos biztonsági kutatói elemeztek egy, az Automation Direct-től származó DirectLogic PLC-ket érintő incidenst és felfedezték, hogy egy nyilvánosan letölthető szoftver az eszközök egy ismert sebezhetőségét használja ki a jelszó megszerzésére.
A Dragos egy példán keresztül ismerteti a hibát: A nyugdíjba vonuló mérnök utódja nem ismeri az összes jelszót a DirectLogic 06 PLC-khez, ezért az interneten keres megoldást, ami egy PLC-jelszó-feltörő szoftver ad ki találatként. Az új mérnök megvásárolja a szoftvert és telepíti a saját munkaállomásán, amin rendszergazdai jogosultságokat futtat. A jelszót sikerül elérni, azonban a számítógépe „furcsán” kezd működni, a processzor 100%-on fut, a helyi vírusírtó pedig hibákat jelez. Az új mérnök a Dragost keresi meg, amely kideríti, hogy az alkalmazás kártékony kódokat tartalmazott.
A Dragos kutatói megerősítették, hogy a malware dropperbe beágyazott jelszó-visszakereső exploit sikeresen helyreállítja a DirectLogic 06 PLC jelszavát soros kapcsolaton keresztül. A felhasználó szemszögéből egyszerűen csak csatlakozni kell a Windows és a PLC között, majd meg kell adni a szükséges COM-portot, és a READPASS frissítésével megjelenik a jelszó.
A Dragos csak a DirectLogic PLC-ket vizsgálta, de találtak a Automation Direct termékei között egyéb termékek feltörésére alkalmazható eszközöket, amelyek szintén hasonló trójai alkalmazásokat használnak.
A Sality egy régóta ismert rosszindulatú program, de még mindig fejlesztik olyan funkciókkal, amelyek lehetővé teszik egyes folyamatok leállítását, a távoli kapcsolatok megnyitását, a letöltését vagy az adatok ellopását a gazdagéptől.