System SCADA, służący do kontroli urządzeń mechanicznych w elektrowniach, fabrykach np. zaworów został wystawiony online. Oczywiście – nie była to prawdziwa instancja realnego systemu, a jej zadaniem było przeanalizowanie liczby ataków oraz wektora ataku każdego z nich. Jako że ostatnie lata przyniosły kilka udanych ataków na tego typu systemy (stuxnet, duqu i inne), specjalista od reverse engineeringu tych systemów postanowił stworzyć Honeypot imitujący realny system, wystawiony w sieci.
Oczywiście serwis nie był “mocno rozmuchany” w sieci. Twórca upewnił się jednak, że Google go indeksuje,a serwis będzie się prezentował jako faktyczny system SCADA jednego z przedsiębiorstw.
ŚRODOWISKO
Architektura systemu stworzonego przez Kyle’a Wilhoit składała się z trzech maszyn, posiadających trzy różne publiczne adresy IP. Jeden z hostów był wirtualną instancją Ubuntu, który udawał sterownik PLC. Kolejny host był serwerem www, który wydawał się być interfejsem między systemem produkcyjnym a sterownikiem. Ostatni honeypot był imitacją urządzenia kontrolującego temperaturę w przedsiębiorstwie.
Zadbano o to, aby wszystkie systemy posiadały podatności i były one łatwe do znalezienia. Imitowane urządzenia były na liście najbardziej podatnych: routerów, drukarek i serwerów. Kiedy takie urządzenie zostanie wykryte, wystarczy użyć systemu Metasploit, aby dokonać całej serii ataków – powiedział Josh Corman (specjalista ds. bezpieczeństwa).
Wszelkie próby ataku były logowane: dostęp do zabezpieczonych stref, logowanie na konto administratora, zmienianie nagłówków pakietów dla protokołu Modbus/TCP. Wykorzystano w tym celu m.in. narzędzia Snort, honeyd, tcpdump.
24 godziny później ..
Wystarczyło tak naprawdę 18 godzin, aby zanotować pierwsze próby włamań na systemy Honeypot.
Statystyki pokazują, że w ciągu 28 dni zanotowano 39 ataków z 14-stu róznych krajów. Dwanaście z nich było unikalnych (były to ataki skierowane na konkretne urządzenie), zaś 13-ście ataków było podobnych, z tym że zostały rozciągnięte w czasie.
W trakcie ataku próbowano wgrywać malware do systemu, zmieniać prędkość wentylatora w procesorze, wyciągać poufne dane, logować się jako administrator.
Zebrano cztery próbki podejrzanego oprogramowania. Według twórcy raportu 35% ataków pochodziło z Chin, zaś 19% z samych Stanów.
Analiza została powierzona firmie Trendmicro. Obszerny dokument znajduje się tutaj:
