Um agente de ameaças foi detectado visando Sistemas de Controle Industrial (ICS) para criar uma rede de botnet. O invasor está fazendo isso promovendo software de quebra de senha para PLCs e HMIs por meio de várias contas de mídia social.

A campanha oferece o desbloqueio de terminais PLC e HMI da Automation Direct, Siemens, Fuji Electric, Mitsubishi, Weintek, ABB e muito mais.

O exploit ( CVE-2022-2003 ) usado pelo programa malicioso foi limitado apenas a comunicações seriais. Isso requer uma conexão serial direta de uma estação de trabalho de engenharia (EWS) ao PLC.

Em segundo plano, a ferramenta descarta um malware que cria um botnet ponto a ponto para diferentes tarefas, chamado Sality.

Sality é um malware antigo que requer uma arquitetura de computação distribuída para concluir tarefas, como mineração de criptografia e quebra de senha, mais rapidamente.

Embora ainda esteja evoluindo , seus recursos incluem encerrar processos em execução, baixar cargas adicionais, estabelecer conexões com sites remotos e roubar dados do host.

A campanha ainda está ativa e os administradores do PLC devem estar atentos a tais ameaças. Para proteção, os engenheiros de tecnologia operacional são recomendados a não usar nenhuma ferramenta de quebra de senha.

Em vez disso, os especialistas sugerem entrar em contato com o fornecedor do dispositivo para obter orientações e instruções adicionais, caso haja uma necessidade genuína de quebrar alguma senha.