Nul
En test af et vagtselskab har vist, hvor hurtigt dårligt sikret industrielle kontrolsystemer (ICS) kan falde bytte for hackere.
Forskere ved Cybereason oprette en honeypot maskeret som en power transmission transformerstation af et større el-leverandør og analyseret handlinger angribere.
Cyber-angreb, der fandt ud af, Ukraine elnettet har vist, at de skader, som kan ske ved, at hackere at få adgang til kritisk infrastruktur.
Cybereason er honeypot var sat op til at kopiere oplysninger og operationelle teknologi (OT) miljøer af en industriel kontrol system, sammen med en grænseflade, der er beskyttet af en firewall, som er tilsluttet de to og tillod folk at bruge begge miljøer.
For at tiltrække hackere, forskere sørget for systemet fremhævede fælles sårbarheder fundet i ICS-miljøer, såsom internet facing servere, remote access-tjenester og svage passwords – alle med registreret i DNS-systemet, der gjorde det ser ud som om de netværk, der tilhørte en ægte el-leverandør.
Se også: Cyberkrig: En guide til den skræmmende fremtidige online konflikt
Honeypot gik live på juli 17, og det tog kun to dage, før en hacker havde etableret sig på nettet og havde installeret ondsindede værktøjer, som gav adgang til og kontrol. Den sorte marked sælger, der afslørede, at honeypot stedet fandt det under udførelse af tilfældig internet rekognoscering.
Mens angreb mod denne form for kritisk infrastruktur, er ofte set som domæne nation-state angribere, honeypot var tilsyneladende opdaget af et standard it-kriminalitet gruppe – den ene med en specialist interesse i industrielle kontrolsystemer, men ikke nødvendigvis evner til at drage fuld fordel af, hvad de har fået adgang til.
“Sælgeren var i stand til at gå på kompromis en enkelt maskine i honeypot og sendt den til salg i et sort marked, der kaldes xDedic, sammen med det netværk, identifikatorer for at kompromitteret miljø, som afslørede dens sandsynlige tilknytning til en stor nytte udbyder,” Cybereason CISO Israel Barak fortalte ZDNet.
Angriberen har formået at gå på kompromis remote desktop miljø på en sådan måde, at det betød, at to brugere kan være logget på på samme tid, er afgørende at tillade en hacker at fortsætte adgang til systemet uden at blive smidt ud, når en legitim bruger logger på – og vice versa.
I tillæg til dette, hacker, der ønsker at udnytte honeypot ved at installere bagdøre i systemet, så fortsatte adgang til systemerne.
I sidste ende ejerskab syntes at skifte hænder, fordi efter en uge med stilhed, på juli 27 en ny ejer, adgang til det ved bagdøren.
Forskere siger, at det nye var ubuden gæst forsøger at navigere i hele ICS miljø og deres første skridt var at deaktivere den sikkerhed, system – en, som var specifikt installeret, for at være let at fjerne, men også test angriberens evner.
“Den største fejl, de gjorde, var at blive for aggressive i forsøget på at undgå overvågning. De brugte den konto, som de er købt for at fjerne security-softwaren på den første kompromitteret server. Dette er ikke blot straks henledte vores opmærksomhed, men henleder opmærksomheden på eventuelle security team,” Ross Rustici, senior director of intelligence service på Cybereason fortalte ZDNet.
Ikke desto mindre, når du er inde i miljøet, denne angriber kun fokuseret på ICS og kiggede på, hvordan man fjernstyre udføre endpoints – de havde ingen interesse i alle andre aspekter af systemet.
De var ikke i stand til fuldt ud at få adgang til de operationer, netværk, men at manglende dygtighed kunne have været endnu mere farligt.
“Den mangel på raffinement gør deres eventuelle adgang til OT netværk mere om. En fejl i, at miljøet kan føre til utilsigtet virkelige verden effekter,” sagde Rustici.
Organisationer, der kan beskytte mod dette ved at tage en proaktiv tilgang til deres sikkerhed, og ikke blot forbinder elementer til internettet og glemmer dem – stærke adgangskoder, skal du sikre systemer og overvågning af netværket, alle kan forhindre denne type af angreb sker.
LÆS MERE OM IT-KRIMINALITET
Cyberkrig: Hvad sker der, når en nation-state cyber-angreb dræber?Homeland Security skaber anti-hacking center for at beskytte industrier [CNET]ET kritisk sikkerhedshul i populære industriel software sætte kraftværker på riskMassive nationalstaten malware angreb lukker ned industrielle anlæg [TechRepublic]Hackere angriber power virksomheder, stjæle kritiske data: Her er hvordan de gør det
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0