Honeypot para rastrear ataques a sistemas de infraestructuras críticas
Desde hace un tiempo se están utilizando Honeypots y Honeynets para atraer a posibles atacantes a una red falsa con el fin de estudiar dichos ataques. Aunque este tipo de red existen y se implementan desde hace mucho tiempo, ahora también se están comenzando a implementar en sistemas de control industriales.
Los atacantes suelen morder el anzuelo y terminan explotando vulnerabilidades en sistemas ICS o SCADA de monitoreo. Sin embargo, aún está en estudio si los ataques en el mundo real ocurren debido a las mismas circunstancias. ¿Cuántas veces fallan las estaciones de bombeo, ocurren apagones, se detienen ascensores y se apagan sistemas HVAC porque un atacante está en una red apagando y prendiendo el sistema?
ICS-CERT dio a conocer su informe trimestral [PDF] y observó un aumento importante en el número de ataques de fuerza bruta contra infraestructuras críticas. En 2012, ICS-CERT dijo que respondió a 198 incidentes de infraestructuras críticas, un número que ya se ha superado este año fiscal que comenzó en octubre de 2012 y terminó en mayo 2013. Energía sigue siendo el sector más afectado con 53 por ciento de los ataques dirigidos, en comparación con el 41 por ciento el año pasado. La industria manufacturera es el próximo con 17 por ciento.
Billy Rios, que ha encontrado y reportado varias vulnerabilidades relacionadas, dijo que su organización ha puesto en marcha honeypots que le permite capturar una serie de nuevos ataques dirigidos.
"Vemos ataques específicos a sistemas de gestión de edificios, ataques de fuerza bruta y exploits para sistemas específicos, no sólo un simple análisis de Nessus o Nmap. Vemos direcciones IP corriendo detrás nodos de salida Tor, saben exactamente lo que estaban buscando y están literalmente, tratando de obtener acceso."
Recientemente, dos investigadores de Noruega y Dinamarca desplegaron un ICS trampa llamada Conpot (Open Source), que fue configurada para imitar un controlador lógico programable Siemens (PLC), así como un panel de operador. Ahora que ha estado en línea por un tiempo y ha sido rastreado por los motores de búsqueda, el equipo está empezando a recoger más datos y pruebas de que los atacantes están rastreando y focalizándose en ICS y SCADA, y que no todos estos intentos se originan a partir de análisis automatizados, sino orientados y dirigidos.
"Los adversarios parecen probar blancos fáciles y utilizan la ayuda de los motores de búsqueda para encontrar a sus víctimas", dijo Lukas Rist, un miembro de la Honeynet Project y uno de sus creadores, junto con Johnny Vestergaard. "Si la búsqueda tiene éxito, tratan de acceder a lo mínimo esfuerzo cuando sea necesario".
Eso significa que la explotación de cualquier número de incumplimiento conocido o combinaciones de nombre de usuario-contraseña débil posible.
ICS-CERT, por su parte, insta a los operadores a compartir los datos de ataque, especialmente los indicadores de compromiso. La organización cuenta con un portal seguro donde comparte las últimas direcciones IP que participan de los ataques. Las alertas provocan que otros puedan investigar sus propias redes en busca de ataques.
Cristian de la Redacción de Segu-Info
Los atacantes suelen morder el anzuelo y terminan explotando vulnerabilidades en sistemas ICS o SCADA de monitoreo. Sin embargo, aún está en estudio si los ataques en el mundo real ocurren debido a las mismas circunstancias. ¿Cuántas veces fallan las estaciones de bombeo, ocurren apagones, se detienen ascensores y se apagan sistemas HVAC porque un atacante está en una red apagando y prendiendo el sistema?
ICS-CERT dio a conocer su informe trimestral [PDF] y observó un aumento importante en el número de ataques de fuerza bruta contra infraestructuras críticas. En 2012, ICS-CERT dijo que respondió a 198 incidentes de infraestructuras críticas, un número que ya se ha superado este año fiscal que comenzó en octubre de 2012 y terminó en mayo 2013. Energía sigue siendo el sector más afectado con 53 por ciento de los ataques dirigidos, en comparación con el 41 por ciento el año pasado. La industria manufacturera es el próximo con 17 por ciento.
Billy Rios, que ha encontrado y reportado varias vulnerabilidades relacionadas, dijo que su organización ha puesto en marcha honeypots que le permite capturar una serie de nuevos ataques dirigidos.
"Vemos ataques específicos a sistemas de gestión de edificios, ataques de fuerza bruta y exploits para sistemas específicos, no sólo un simple análisis de Nessus o Nmap. Vemos direcciones IP corriendo detrás nodos de salida Tor, saben exactamente lo que estaban buscando y están literalmente, tratando de obtener acceso."
Recientemente, dos investigadores de Noruega y Dinamarca desplegaron un ICS trampa llamada Conpot (Open Source), que fue configurada para imitar un controlador lógico programable Siemens (PLC), así como un panel de operador. Ahora que ha estado en línea por un tiempo y ha sido rastreado por los motores de búsqueda, el equipo está empezando a recoger más datos y pruebas de que los atacantes están rastreando y focalizándose en ICS y SCADA, y que no todos estos intentos se originan a partir de análisis automatizados, sino orientados y dirigidos.
"Los adversarios parecen probar blancos fáciles y utilizan la ayuda de los motores de búsqueda para encontrar a sus víctimas", dijo Lukas Rist, un miembro de la Honeynet Project y uno de sus creadores, junto con Johnny Vestergaard. "Si la búsqueda tiene éxito, tratan de acceder a lo mínimo esfuerzo cuando sea necesario".
Eso significa que la explotación de cualquier número de incumplimiento conocido o combinaciones de nombre de usuario-contraseña débil posible.
ICS-CERT, por su parte, insta a los operadores a compartir los datos de ataque, especialmente los indicadores de compromiso. La organización cuenta con un portal seguro donde comparte las últimas direcciones IP que participan de los ataques. Las alertas provocan que otros puedan investigar sus propias redes en busca de ataques.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!