Um grupo de hackers acusado de ser operado pelo exército chinês agora parece estar indo atrás de sistemas de controle industrial.
Um grupo de hackers chineses acusado em fevereiro de ser amarrado ao exército chinês foi preso em dezembro passado se infiltrar em um sistema de controle de água chamariz para um município EUA, um pesquisador revelou na quarta-feira.
O grupo, conhecido como APT1, foi pego por um projeto de pesquisa que fornece a prova mais importante ainda que as pessoas estão ativamente tentando explorar as vulnerabilidades em sistemas de controle industrial. Muitos desses sistemas estão conectados à Internet para permitir o acesso remoto (consulte "Sistemas Industriais Hacking acaba por ser fácil"). APT1, também conhecido como comentário Crew, foi atraído por um sistema de controle fictício criado por Kyle Wilhoit, pesquisador da empresa de segurança Trend Micro, que deu uma palestra sobre suas descobertas na conferência Black Hat, em Las Vegas.
O ataque começou em dezembro de 2012, diz Wilhoit, quando um documento do Word escondendo software malicioso foi utilizado para obter acesso completo ao seu sistema de chamariz norte-americana, ou "honeypot." O malware usado, e outras características, eram exclusivas de APT1, que Mandiant empresa de segurança afirmou opera como parte do exército de China (ver "Exposé de ladrões de dados chineses revela Táticas Sloppy").
"Você pensaria que Comment tripulação não viria após uma autoridade local de água", disse Wilhoit MIT Technology Review, mas o grupo claramente não atacar o honeypot por acidente enquanto procura outro alvo. "Na verdade, eu assisti a interface do atacante com a máquina", diz Wilhoit. "Foi 100 por cento claro que eles sabiam o que estavam fazendo."
Wilhoit passou a mostrar evidências de que outros grupos de hackers, além APT1 intencionalmente buscar e comprometer os sistemas de plantas de água. Entre março e junho deste ano, 12 honeypots distribuídos em oito países diferentes atraíram 74 ataques intencionais, dos quais 10 eram sofisticados o suficiente para tomar o controle completo do sistema de controle de manequim.
Software em nuvem foi usada para criar login baseado em Web realista e telas de configuração para plantas aquáticas locais aparentemente baseados na Irlanda, Rússia, Singapura, China, Japão, Austrália, Brasil e os EUA Se uma pessoa tem para além das telas de acesso iniciais, eles encontraram painéis de controlo e sistemas para controlar o hardware dos sistemas de água de plantas.
Nenhum dos ataques exibidos um nível particularmente elevado de sofisticação, diz Wilhoit, mas os atacantes foram claramente bem versados nos trabalhos tudo muito facilmente comprometidos de sistemas de controle industrial. Quatro dos ataques exibiu um nível elevado de conhecimentos sobre os sistemas industriais, usando técnicas de interferir com um protocolo de comunicação específico utilizado para controlar o equipamento industrial.
Wilhoit usou uma ferramenta chamada Navegador Exploitation Framework, ou carne, para ter acesso aos sistemas de seus atacantes e obter dados precisos sobre a sua localização. Ele foi capaz de acessar os dados de seus cartões de Wi-Fi para triangular a sua localização.
Os ataques de 74 sobre os honeypots vieram de 16 países diferentes. A maioria dos ataques não críticos, 67 por cento, originados na Rússia, e um punhado vieram os EUA Cerca de metade dos ataques críticos origem na China, eo resto veio da Alemanha, Reino Unido, França, Palestina e Japão.
Os resultados levam a concluir que Wilhoit plantas aquáticas, e, provavelmente, outras instalações, ao redor do mundo estão sendo comprometidos com sucesso e tomado o controle de atacantes por fora, mesmo se nenhum grande ataque foi encenado. "Esses ataques estão acontecendo e os engenheiros provavelmente não sei", disse ele MIT Technology Review.
Wilhoit publicado anteriormente a primeira pesquisa que provou algumas pessoas estavam ativamente arrasto na Internet com a intenção de comprometer sistemas de controle industrial (ver "Honeypots Lure Hackers industriais Into the Open"). Ele agora planeja colocar honeypots no interior de instalações industriais reais para tentar capturar detalhes de ataques direcionados.
Joe Weiss, sócio-gerente da Applied Control Solutions e especialista em segurança de sistemas de controle industrial, disse MIT Technology Review que esperava que as descobertas de Wilhoit pode convencer os proprietários de sistemas de controle industrial e operadores de tomar a ameaça de ataques mais a sério. "A comunidade precisa saber que existem pessoas visando explicitamente estes sistemas", disse Weiss. "Espero que as pessoas possam entender como válido e verdadeiro que é, o que ele está encontrando."
Nenhum comentário:
Postar um comentário