Stampanti intelligenti e apparecchiature operative sono i nuovi bersagli della campagna di hacking che si basa su una variante del malware Lemon_Duck PowerShell. Sfruttando le vulnerabilità dei dispostivi connessi, sta prendendo di mira siti produttivi di tutto il mondo.

I ricercatori di TrapX Labs hanno identificato per la prima volta questo tipo di attacco nell'ottobre 2019 contro produttori latinoamericani. Da allora la campagna ha continuato ad espandersi, con un picco a dicembre 2019. La crescita ha interessato diverse regioni, tra cui Nord America, Africa e Medio Oriente. Secondo gli esperti i cyber criminali intendono mietere il maggior numero possibile di vittime.

Il veicolo di infezione

Alla base dell’infezione è un downloader a diffusione automatica. Lemon_Duck è stato sviluppato come cryptominer. Il malware è stato personalizzato successivamente per eseguire funzionalità oltre al mining di criptovalute. Questa particolare variante analizza una rete alla ricerca di potenziali target, compresi i dispositivi con servizi SMB (445) o MSSQL (1433) aperti.

Quando ne trova uno, il malware esegue più thread con diverse funzionalità. Tenta di forzare i servizi con un attacco brute force per ottenere l'accesso, scaricare e diffondere il malware tramite SMB o MSSQL. Un'altra delle sue funzionalità è quella di eseguire un Invoke-Mimkatz per ottenere l’autenticazione tramite NTLM, scaricare e diffondere il malware.
Se questi ultimi falliscono, Lemon_Duck tenta di utilizzare l’exploit EternalBlue SMB per ottenere l'accesso al sistema. Il malware persiste tramite attività pianificate, che eseguono script PowerShell per scaricare ulteriormente gli script Lemon_Duck PowerShell.

Gli attacchi sono molto insidiosi. Può essere difficile rimuovere il malware e una volta rimosso, il dispositivo può essere reinfettato. L’installazione delle patch inoltre è più difficile da portare avanti rispetto a un ambiente IT tradizionale.

Le conseguenze dell’attacco

Un attacco come quello descritto sfrutta le vulnerabilità dei dispositivi integrati e si rivolge in modo specifico ai siti di produzione. I dispositivi infetti possono comportare rischi per la sicurezza dei dipendenti, l'interruzione della supply chain e la perdita di dati.

Gli aggressori utilizzano diverse metodologie per entrare nei siti produttivi. La prima è la classica email di phishing. Se funziona, il cyber criminale può sfruttare protocolli di vulnerabilità, password deboli, eccetera, per diffondersi all'interno dell'azienda. Il secondo è un'infezione alla supply chain. Basta compromettere un dispositivo in un’azienda collegata a quella target per diffondere il malware. Gli attacchi di questo tipo rappresentano l'80% delle infezioni di questa particolare campagna. Il rischio è altissimo. Ci sono molti modi per proteggere dalle e-mail di phishing, ma ne esistono pochi per combattere le minacce alla supply chain.

Come molte delle campagne incentrate sull'IoT, l’attenzione non è sul tipo di dispositivo infettato. Quello che importa è la rete su cui il dispositivo è attivo. In ogni caso, fra i prodotti infettati ci sono le stampanti multifunzione DesignJet SD Pro, usate come punti di accesso nelle reti target. In un altro caso i cyber criminali hanno infettato un veicolo a guida automatica (AGV) usato per trasportare materiali in ambienti industriali. L’ incidente ha causato confusione sulla linea di produzione, con possibili danni alle persone e ai prodotti assemblati dagli AGV.