Ловушка выявила угрозы для промышленных организаций

Ловушка выявила угрозы для промышленных организаций

Приманка была подключена к сети в мае 2019 года, и исследователи следили за ней в течение семи месяцев.

Промышленные организации должны больше остерегаться финансово мотивированных киберпреступников, а не угрозы со стороны группировок, спонсируемых государством. К такому выводу пришли специалисты из компании Trend Micro после проведения любопытного эксперимента.

В прошлом году эксперты разработали приманку, которая имитировала промышленную среду с аппаратным обеспечением АСУ ТП, физическими хостами и защищенными виртуальными машинами. Аппаратное обеспечение включало программируемые логические контроллеры (ПЛК) от Siemens, Allen-Bradley и Omron, а виртуальные машины имели человеко-машинный интерфейс (ЧМИ) для управления фабрикой, рабочую станцию ​​робототехники для контроля укладчика поддонов, и рабочую станцию ​​для проектирования ПЛК. Физическая машина служила файловым сервером для фабрики.

Эксперты также создали фальшивую «консалтинговую фирму по быстрому прототипированию» с якобы реальными сотрудниками, работающими с крупными анонимными организациями из критических отраслей. Для нее был разработан web-сайт и настроены несколько телефонных номеров с автоответчиком. Для того чтобы сделать приманку более привлекательной для атак, специалисты намеренно оставили некоторые порты открытыми, в том числе для пары систем Virtual Network Computing (VNC), к которым можно получить доступ без пароля, ПЛК и Ethernet/IP.

Приманка была подключена к сети в мае 2019 года, и исследователи следили за ней в течение семи месяцев. Изначально она стала целью в основном сканеров, поэтому исследователи блокировали запросы, поступающие от таких известных поисковых сервисов, как Shodan, ZoomEye и Shadowserver.

Вскоре эксперты зафиксировали значительное количество попыток неправомерного использования систем и ресурсов для мошеннических действий, таких как обналичивание миль авиакомпаний за подарочные карты и покупка смартфонов путем обновления учетных записей мобильных абонентов.

Одни преступники устанавливали криптовалютные майнеры, а в двух случаях была зафиксирована установка вымогательского ПО Crysis и Phobos с шифрованием файлов. Некоторые злоумышленники и вовсе устанавливали на системы поддельные вымогатели, только имитировавшие шифрование файлов.

Также эксперты обнаружили ряд неизвестных команд, выполненных на ПЛК от Allen-Bradley, которые изначально казались безвредными, но могли вызвать сбой в работе некоторых старых устройств.

В некоторых случаях злоумышленники закрывали приложения, запущенные на скомпрометированном устройстве, выключали устройство или выходили из системы текущего пользователя.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!