Ловушка выявила угрозы для промышленных организаций

Ловушка выявила угрозы для промышленных организаций

Приманка была подключена к сети в мае 2019 года, и исследователи следили за ней в течение семи месяцев.

Промышленные организации должны больше остерегаться финансово мотивированных киберпреступников, а не угрозы со стороны группировок, спонсируемых государством. К такому выводу пришли специалисты из компании Trend Micro после проведения любопытного эксперимента.

В прошлом году эксперты разработали приманку, которая имитировала промышленную среду с аппаратным обеспечением АСУ ТП, физическими хостами и защищенными виртуальными машинами. Аппаратное обеспечение включало программируемые логические контроллеры (ПЛК) от Siemens, Allen-Bradley и Omron, а виртуальные машины имели человеко-машинный интерфейс (ЧМИ) для управления фабрикой, рабочую станцию ​​робототехники для контроля укладчика поддонов, и рабочую станцию ​​для проектирования ПЛК. Физическая машина служила файловым сервером для фабрики.

Эксперты также создали фальшивую «консалтинговую фирму по быстрому прототипированию» с якобы реальными сотрудниками, работающими с крупными анонимными организациями из критических отраслей. Для нее был разработан web-сайт и настроены несколько телефонных номеров с автоответчиком. Для того чтобы сделать приманку более привлекательной для атак, специалисты намеренно оставили некоторые порты открытыми, в том числе для пары систем Virtual Network Computing (VNC), к которым можно получить доступ без пароля, ПЛК и Ethernet/IP.

Приманка была подключена к сети в мае 2019 года, и исследователи следили за ней в течение семи месяцев. Изначально она стала целью в основном сканеров, поэтому исследователи блокировали запросы, поступающие от таких известных поисковых сервисов, как Shodan, ZoomEye и Shadowserver.

Вскоре эксперты зафиксировали значительное количество попыток неправомерного использования систем и ресурсов для мошеннических действий, таких как обналичивание миль авиакомпаний за подарочные карты и покупка смартфонов путем обновления учетных записей мобильных абонентов.

Одни преступники устанавливали криптовалютные майнеры, а в двух случаях была зафиксирована установка вымогательского ПО Crysis и Phobos с шифрованием файлов. Некоторые злоумышленники и вовсе устанавливали на системы поддельные вымогатели, только имитировавшие шифрование файлов.

Также эксперты обнаружили ряд неизвестных команд, выполненных на ПЛК от Allen-Bradley, которые изначально казались безвредными, но могли вызвать сбой в работе некоторых старых устройств.

В некоторых случаях злоумышленники закрывали приложения, запущенные на скомпрометированном устройстве, выключали устройство или выходили из системы текущего пользователя.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!