Noll
Ett test av ett säkerhetsföretag som har visat precis hur snabbt dåligt säkrade industriella styrsystem (ICS) kan falla offer för hackare.
Forskare vid Cybereason ställ upp en skål med honung som maskerats som en power transmission transformatorstation av en större el-leverantör och analyserat åtgärder för angripare.
It-attacker som tog ut Ukrainas kraftnät har visat att den skadas, vilket kan göras genom att hackare tillgång till kritisk infrastruktur.
Cybereason är honeypot inrättades för att replikera information och operativ teknik (OT) miljöer i ett industriellt styrsystem, tillsammans med ett gränssnitt som skyddas av en brandvägg och som är ansluten till två och får människor att använda både miljöer.
För att locka angripare, forskare gjort att systemet innehöll gemensamma sårbarheter som finns i ICS miljöer, såsom internet inför servrar, remote access services och svaga lösenord – alla med ett registrerat DNS-system som gjorde det ser ut som om nätverket tillhörde en äkta el-leverantör.
Se även: Cyberkrig: En guide till den skrämmande framtiden för online-konflikten
Skål med honung som gick live den 17 juli och det tog bara två dagar innan en hacker hade etablerat sig själva på nätet och hade installerat skadliga verktyg som gav åtkomst och kontroll. Den svarta marknaden säljaren som avslöjade skål med honung webbplats finns det samtidigt genomför slumpmässiga internet spaning.
Medan attacker mot denna typ av kritisk infrastruktur är ofta ses som den domän av nationalstaten angripare, honeypot var uppenbarligen upptäckte av en standard för it-relaterad brottslighet grupp – en med specialintresse i industriella kontrollsystem, men inte nödvändigtvis förmågan att ta full fördel av vad de fått tillgång till.
“Säljaren var kan kompromissa en enda maskin i skål med honung och postat det till försäljning på en svart marknad som kallas xDedic, tillsammans med nätverket kännetecken av att äventyras miljö, som avslöjade dess sannolika tillhörighet med en stor leverantör av allmännyttiga tjänster,” Cybereason CISO Israel Barak sa till ZDNet.
Angriparen lyckats kompromissa remote desktop miljö på ett sådant sätt att det innebar att två användare kan vara inloggade på samma gång, framför allt som tillåter en hackare att fortsätta tillgång till systemet utan att bli sparkade när en legitim användare loggar in – och vice versa.
I tillägg till detta, hacker vill utnyttja skål med honung genom att installera bakdörrar i systemet, tillåta fortsatt åtkomst till systemen.
Så småningom ägande verkade förändras händer, för efter en vecka av tystnad, den 27 juli en ny ägare åt det genom bakdörren.
Forskare säger att denna nya inkräktare försöker att navigera hela ICS miljö och sina första steg var att avaktivera security-system – som var installerade för att vara enkel att ta bort, men också testa angriparens färdigheter.
“Det största misstaget de gjorde var att vara alltför aggressiva i sina försök att undvika övervakning. De används för det konto som de köpt för att avinstallera programvara för säkerhet på den första äventyras server. Detta inte bara omedelbart drog vår uppmärksamhet, men vill uppmärksamma någon säkerhet team,” Ross Rustici, senior chef för underrättelsetjänsten på Cybereason berättade ZDNet.
Ändå, när du är inne i den miljön, är denna angripare bara fokuserat på ICS och såg på hur att köra distans endpoints – de hade inget intresse av att alla andra aspekter av systemet.
De var inte i stånd att fullt ut få tillgång verksamheten nätverk, men att brist på skicklighet kunde ha varit ännu farligare.
“Brist på elegans gör deras eventuella tillgång till OT nätverket mer om. Ett misstag i att miljön kan leda till oavsiktliga verkliga världen effekter,” sade Rustici.
Organisationer kan skydda sig mot detta genom ett proaktivt förhållningssätt till deras säkerhet och inte bara ansluter poster till internet och glömma bort dem – starka lösenord, säkra system och övervakning av nätet kan förhindra denna typ av attack som händer.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Cyberkrig: Vad händer när en stat cyber attack dödar?Homeland Security skapar anti-hacking center för att skydda industrin [MAG]EN kritisk säkerhetsbrist i populära industriell programvara sätta kraftverk på riskMassive nationalstaten malware attack stängs av industriell anläggning [TechRepublic]Hackare attackerar kraftbolag, stjäla kritisk data: Här är hur de gör det
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0