La elaborada pink Honeypot &#39Manufacturing unit&#39 golpeó con …



Una empresa industrial ficticia con personas, sitios website y PLC falsos empleados en una purple de fábrica simulada engañó a piratas informáticos maliciosos, y alarmó al menos a un investigador de sombrero blanco que se topó con él.

CONFERENCIA S4x20 – Miami – Durante siete meses, los investigadores de Development Micro dirigieron una compañía de prototipos industriales falsos de aspecto legítimo con una red interactiva avanzada de honeypot para atraer a los posibles atacantes.

El objetivo era crear una crimson de aspecto convincente que los atacantes no reconocerían como un honeypot para que los investigadores pudieran rastrear y estudiar los ataques contra la fábrica falsa con el fin de reunir información sobre las amenazas reales para el sector del sistema de control industrial (ICS) en la actualidad. .

La pink de fábrica de la compañía falsa, que configuraron a propósito con algunos puertos expuestos a Online desde mayo hasta diciembre del año pasado, se vio afectada principalmente por los mismos tipos de amenazas que enfrentan las redes de TI: ransomware, troyanos de acceso remoto (RAT), criptojacking malicioso y el fraude en línea, así como el malware de balizamiento estilo botnet que infectó su estación de trabajo de robótica para un posible movimiento lateral.

Pero también hubo algunos incidentes más alarmantes con matices de intención más específica. En un ataque el 25 de agosto de 2019, por ejemplo, un atacante se abrió camino alrededor del sistema de robótica, cerró la aplicación HMI y luego apagó el sistema. Más tarde ese mismo mes, un atacante pudo iniciar la red de fábrica, detener la cinta transportadora falsa y luego apagar la purple de fábrica. Los atacantes a través de la HMI cerraron la fábrica y bloquearon la pantalla, mientras que otro abrió la vista de registro del ojo óptico del robot.

«Sí, sus fábricas serán atacadas si están conectadas directamente a Web», dice Stephen Hilt, quien presentará los hallazgos de Trend Micro de la investigación aquí hoy. Pero la mayoría de los ataques e incidentes que sufrió la fábrica ficticia fueron las mismas amenazas que enfrentaban otras industrias, señala Hilt, quien trabajó anteriormente en un honeypot para Craze Micro llamado GasPot en 2015 que se creó para simular un gasoline sistema de monitoreo de tanque para estudiar qué ataques afectarían a esos sistemas de tanques de fuel.

«Desde nuestro punto de vista, las amenazas tradicionales de TI son lo que vimos, así de easy», dice Hilt. Pero, dice que el equipo no puede estar seguro de que no se enfrentaron a ninguna amenaza específica de ICS que no llegó muy lejos. De cualquier manera, está muy lejos del honeypot de servicios públicos de agua de Development Micro 2013 que contó 39 ataques, 12 de los cuales fueron identificados como objetivos.

La crimson de fábrica falsa estaba compuesta por hardware ICS actual y una combinación de hosts físicos y máquinas virtuales, incluidos dos PLC Allen-Bradley Micrologix 1100, un PLC Siemens S7-1200 y un PLC Omron CP1L. La estación de trabajo de ingeniería se mantuvo dentro de la crimson de la fábrica, pero los investigadores utilizaron la misma contraseña administrativa para la HMI y la estación de trabajo de robótica, que quedaron expuestas en Online público, un mistake común cometido en entornos ICS, como señuelo.

Los PLC se configuraron para ejecutar las tareas de la «planta»: agitador, command de quemador, control de cinta transportadora y paletizador para apilar paletas utilizando un brazo robótico. Hilt dice que los PLC fueron programados para variar el arranque y la parada de un motor, por ejemplo, para emular procesos reales. La crimson de la planta incluía tres máquinas virtuales: una HMI para controlar la fábrica, una estación de trabajo robótica para controlar el paletizador y una estación de trabajo de ingeniería para programar la lógica de los PLC. El servidor de archivos se ejecutó en una máquina física.

Después de aproximadamente un mes, abrieron los puertos de Protocolo de escritorio remoto y Conexión de purple digital, así como EtherNet / IP, para atraer a los posibles atacantes a la falsa compañía de prototipos industriales, llamada MeTech, que en su sitio world wide web dijo que sirve a grandes aviones militares. y clientes de fabricación.

Uno de los primeros ataques que Hilt y sus colegas investigadores de Pattern Micro, Federico Maggi, Charles Perine, Lord Remorin, Martin Rösler y Rainer Vosseler, descubrieron fue una RAT, pero resultó ser para la minería de criptomonedas Monero, no un ciberataque de estado-nación . Aun así, el ataque de cryptojacking agotó fuertemente la capacidad del servidor.

Crysis
La pink fue golpeada con el infame ransomware Crysis en septiembre, y todo el proceso de negociación con los atacantes en el rescate mantuvo la purple inactiva durante cuatro días. Hilt dice que es un ejemplo de lo devastador que podría ser el ransomware diario para una crimson ICS real. «El sistema estuvo inactivo durante una semana porque (el malware) se propagó», dice. Si bien los PLC no se vieron afectados, perdieron visibilidad en las operaciones de la planta mientras los atacantes bloquearon los archivos HMI.

«Una pérdida de producción durante cuatro días es realmente mala. Teníamos copias de seguridad a las que podíamos restaurar, así que restauramos nuestras máquinas virtuales y tuvimos que reconstruir nuestro servidor de archivos», dice. Pero pudieron documentar todos los pasos del ataque, así como la negociación de rescate de ida y vuelta, donde los investigadores de Craze se hicieron pasar por uno de los empleados falsos en el sitio world-wide-web de MeTech, Mike Wilson, quien envió un correo electrónico a los atacantes con el línea de asunto que decía: «MeTech: ESTO NO ES FRESCO» y se lamentaba: «No es genial, estamos ejecutando una ejecución de producción de algo para un cliente importante y no podemos usar nuestro robot sin esa máquina, también todos nuestros archivos en nuestro servidor de archivos «y» devuélvanos nuestros archivos «.

Hilt dice que negociaron el rescate de $ 10,000 en bitcoins a $ 6,000 en el intercambio de correo electrónico, pero en realidad no pagaron el rescate. Pudieron restablecer los sistemas a través de sus copias de seguridad y erradicar el malware.

Hubo un segundo ataque de ransomware más tarde ese mes, esta vez con la variante de Crysis Phobos, y luego en noviembre, un ataque de ransomware «falso» que básicamente fue un ataque de destrucción de datos. En ese ataque posterior, el hacker escribió scripts dirigidos a la carpeta ABB Robotics de MeTech, renombrándolos y exigiendo rescate. «Lo que encontré fue más interesante cuando no lo pagamos», dice Hilt, señalando que el atacante eliminó toda la carpeta, «luego escribió un script para que al iniciar, abra un montón de navegadores a sitios pornográficos». «

La teoría de Hilt era que el atacante esperaba revender el acceso a la purple en Dim World wide web, y que cuando no se pagó el rescate, el atacante perdió algunos ingresos potenciales y decidió destruir los datos.

Sombrero blanco al rescate
No es raro que los investigadores se encuentren con otros investigadores en las trincheras de sus honeypots u otro trabajo, y la purple falsa y no segura de ICS de Development Micro llamó la atención del investigador Dan Tentler, también conocido como @Viss en Twitter, quien es conocido por encontrar equipo ICS expuesto a través de búsquedas de Shodan. Tentler había informado de sus hallazgos de equipos ICS expuestos al ICS-CERT y «a todas las partes apropiadas», según Trend Micro en un informe sobre el honeypot publicado hoy.

Hilt dice que él y su equipo se pusieron en contacto con Tentler para informarle sobre su operación y para «retirarse», señalando que su informe sobre el problema es cómo se debe manejar un evento de ICS actual.

«Parte de la razón por la que vemos menos ataques que en honeypots anteriores es que hay personas como Dan que hacen un buen trabajo para eliminar los dispositivos críticos expuestos en la crimson», dice Hilt.

Las preocupaciones de posibles amenazas a la infraestructura crítica aumentaron a principios de este año a raíz de la acción militar de los EE. UU. En Bagdad, con la Agencia de Seguridad Cibernética e Infraestructura (CISA) del Departamento de Seguridad Nacional de los EE. UU. Los grupos de piratería de la nación-estado iraní «también han demostrado su voluntad de ampliar los límites de sus actividades, que incluyen malware destructivo de limpiaparabrisas y, potencialmente, ataques cinéticos habilitados por ciberseguridad», dijo CISA en su aviso a principios de enero.

Qué no hacer
Hilt dice que la pink de MeTech es una lección sobre cómo no proteger un entorno ICS.

Entre los no-no: el VNC se dejó abierto en línea sin contraseña y la falta de contraseñas de menor privilegio, compartidas y reutilizadas en todos los sistemas, y sin implementar la función de confianza en enrutadores industriales, que especifica qué hosts pueden pasar por el dispositivo.

Sin embargo, la red honeypot de ICS podría resucitar: Hilt planea alentar a la comunidad de ICS a unir fuerzas con Development Micro para expandir el proyecto de investigación.

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Dark Looking through para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Con el aumento de las tensiones internacionales, el riesgo cibernético se está calentando para todas las empresas».

Kelly Jackson Higgins es la Editora Ejecutiva de Dim Reading. Es una galardonada periodista veterana en tecnología y negocios con más de dos décadas de experiencia en informes y edición para varias publicaciones, incluidas Network Computing, Protected Organization … Ver biografía completa

Más suggestions





Enlace a la noticia unique