Imitacja systemu scada online przyciągneła wielu hackerów

///Imitacja systemu scada online przyciągneła wielu hackerów

Imitacja systemu scada online przyciągneła wielu hackerów

scadaSystem SCADA, służący do kontroli urządzeń mechanicznych w elektrowniach, fabrykach np. zaworów został wystawiony online. Oczywiście – nie była to prawdziwa instancja realnego systemu, a jej zadaniem było przeanalizowanie liczby ataków oraz wektora ataku każdego z nich. Jako że ostatnie lata przyniosły kilka udanych ataków na tego typu systemy (stuxnet, duqu i inne),  specjalista od reverse engineeringu tych systemów postanowił stworzyć Honeypot imitujący realny system, wystawiony w sieci.

Oczywiście serwis nie był “mocno rozmuchany” w sieci. Twórca upewnił się jednak, że Google go indeksuje,a serwis będzie się prezentował jako faktyczny system SCADA jednego z przedsiębiorstw.

ŚRODOWISKO

Architektura systemu stworzonego przez Kyle’a Wilhoit składała się z trzech maszyn, posiadających trzy różne publiczne adresy IP. Jeden z hostów był wirtualną instancją Ubuntu, który udawał sterownik PLC. Kolejny host był serwerem www, który wydawał się być interfejsem między systemem produkcyjnym a sterownikiem. Ostatni honeypot był imitacją urządzenia kontrolującego temperaturę w przedsiębiorstwie.

Zadbano o to, aby wszystkie systemy posiadały podatności i były one łatwe do znalezienia. Imitowane urządzenia były na liście najbardziej podatnych: routerów, drukarek i serwerów. Kiedy takie urządzenie zostanie wykryte, wystarczy użyć systemu Metasploit, aby dokonać całej serii ataków – powiedział Josh Corman (specjalista ds. bezpieczeństwa).

Wszelkie próby ataku były logowane: dostęp do zabezpieczonych stref, logowanie na konto administratora, zmienianie nagłówków pakietów dla protokołu Modbus/TCP. Wykorzystano w tym celu m.in. narzędzia Snort, honeyd, tcpdump.

24 godziny później ..

Wystarczyło tak naprawdę 18 godzin, aby zanotować pierwsze próby włamań na systemy Honeypot.

Statystyki pokazują, że w ciągu 28 dni zanotowano 39 ataków z 14-stu róznych krajów. Dwanaście z nich było unikalnych (były to ataki skierowane na konkretne urządzenie), zaś 13-ście ataków było podobnych, z tym że zostały rozciągnięte w czasie.

W trakcie ataku próbowano wgrywać malware do systemu, zmieniać prędkość wentylatora w procesorze, wyciągać poufne dane, logować się jako administrator.

Zebrano cztery próbki podejrzanego oprogramowania. Według twórcy raportu 35% ataków pochodziło z Chin, zaś 19% z samych Stanów.

Analiza została powierzona firmie Trendmicro. Obszerny dokument znajduje się tutaj:

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-whos-really-attacking-your-ics-equipment.pdf

Skomentuj wpis

komentarzy

By | 2013-03-20T11:26:03+00:00 Marzec 20th, 2013|Newsy ze świata IT|2 komentarze

About the Author:

2 komentarze

  1. antyqń 22-03-2013 at 14:31

    idealnie widać na tej grafice, skoki ciśnienia w jelicie grubym

  2. Marcin Przybysz 22-03-2013 at 14:32

    istotnie Watsonie.

Leave A Comment