Imitacja systemu scada online przyciągneła wielu hackerów

System SCADA, służący do kontroli urządzeń mechanicznych w elektrowniach, fabrykach np. zaworów został wystawiony online. Oczywiście – nie była to prawdziwa instancja realnego systemu, a jej zadaniem było przeanalizowanie liczby ataków oraz wektora ataku każdego z nich. Jako że ostatnie lata przyniosły kilka udanych ataków na tego typu systemy (stuxnet, duqu i inne),  specjalista od reverse engineeringu tych systemów postanowił stworzyć Honeypot imitujący realny system, wystawiony w sieci.

Oczywiście serwis nie był “mocno rozmuchany” w sieci. Twórca upewnił się jednak, że Google go indeksuje,a serwis będzie się prezentował jako faktyczny system SCADA jednego z przedsiębiorstw.

ŚRODOWISKO

Architektura systemu stworzonego przez Kyle’a Wilhoit składała się z trzech maszyn, posiadających trzy różne publiczne adresy IP. Jeden z hostów był wirtualną instancją Ubuntu, który udawał sterownik PLC. Kolejny host był serwerem www, który wydawał się być interfejsem między systemem produkcyjnym a sterownikiem. Ostatni honeypot był imitacją urządzenia kontrolującego temperaturę w przedsiębiorstwie.

Zadbano o to, aby wszystkie systemy posiadały podatności i były one łatwe do znalezienia. Imitowane urządzenia były na liście najbardziej podatnych: routerów, drukarek i serwerów. Kiedy takie urządzenie zostanie wykryte, wystarczy użyć systemu Metasploit, aby dokonać całej serii ataków – powiedział Josh Corman (specjalista ds. bezpieczeństwa).

Wszelkie próby ataku były logowane: dostęp do zabezpieczonych stref, logowanie na konto administratora, zmienianie nagłówków pakietów dla protokołu Modbus/TCP. Wykorzystano w tym celu m.in. narzędzia Snort, honeyd, tcpdump.

24 godziny później ..

Wystarczyło tak naprawdę 18 godzin, aby zanotować pierwsze próby włamań na systemy Honeypot.

Statystyki pokazują, że w ciągu 28 dni zanotowano 39 ataków z 14-stu róznych krajów. Dwanaście z nich było unikalnych (były to ataki skierowane na konkretne urządzenie), zaś 13-ście ataków było podobnych, z tym że zostały rozciągnięte w czasie.

W trakcie ataku próbowano wgrywać malware do systemu, zmieniać prędkość wentylatora w procesorze, wyciągać poufne dane, logować się jako administrator.

Zebrano cztery próbki podejrzanego oprogramowania. Według twórcy raportu 35% ataków pochodziło z Chin, zaś 19% z samych Stanów.

Analiza została powierzona firmie Trendmicro. Obszerny dokument znajduje się tutaj:

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-whos-really-attacking-your-ics-equipment.pdf

Facebook - komentarze