211service.com
Equipo de piratas informáticos chino capturado tomando el control de la planta de agua señuelo
Un grupo de piratas informáticos chino acusado en febrero de estar vinculado al ejército chino fue capturado en diciembre pasado infiltrándose en un sistema de control de agua señuelo para un municipio estadounidense, reveló un investigador el miércoles.
El grupo, conocido como APT1, fue atrapado por un proyecto de investigación que proporciona la prueba más significativa hasta el momento de que las personas están tratando activamente de explotar las vulnerabilidades en los sistemas de control industrial. Muchos de estos sistemas están conectados a Internet para permitir el acceso remoto (consulte Hackear sistemas industriales resulta ser fácil). APT1, también conocido como Comment Crew, fue atraído por un sistema de control ficticio creado por Kyle Wilhoit, un investigador de la empresa de seguridad. Trend Micro , quien dio una charla sobre sus hallazgos en el Conferencia de Black Hat in Las Vegas.
El ataque comenzó en diciembre de 2012, dice Wilhoit, cuando se utilizó un documento de Word que ocultaba software malicioso para obtener acceso completo a su sistema de señuelos, o honeypot, con sede en EE. UU. El malware utilizado y otras características eran exclusivas de APT1, que la empresa de seguridad Mandiant ha afirmado que opera como parte del ejército de China (ver Exposé of Chinese Data Thieves Reveals Sloppy Tactics).
Uno pensaría que el equipo de comentarios no perseguiría a una autoridad de agua local, dijo Wilhoit. Revisión de tecnología del MIT , pero el grupo claramente no atacó al honeypot por accidente mientras buscaba otro objetivo. De hecho, vi al atacante interactuar con la máquina, dice Wilhoit. Estaba 100 por ciento claro que sabían lo que estaban haciendo.
Wilhoit continuó mostrando evidencia de que otros grupos de piratería además de APT1 buscan y comprometen intencionalmente los sistemas de plantas de agua. Entre marzo y junio de este año, 12 honeypots desplegados en ocho países diferentes atrajeron 74 ataques intencionales, 10 de los cuales fueron lo suficientemente sofisticados como para arrebatar el control completo del sistema de control ficticio.
Se utilizó software en la nube para crear pantallas de configuración e inicio de sesión basadas en la web realistas para plantas de agua locales que aparentemente se encuentran en Irlanda, Rusia, Singapur, China, Japón, Australia, Brasil y los EE. UU. paneles de control y sistemas para controlar el hardware de los sistemas de plantas de agua.
Ninguno de los ataques mostró un nivel particularmente alto de sofisticación, dice Wilhoit, pero los atacantes estaban claramente versados en el funcionamiento de los sistemas de control industrial, que se compromete con demasiada facilidad. Cuatro de los ataques mostraron un alto nivel de conocimiento sobre sistemas industriales, utilizando técnicas para entrometerse con un protocolo de comunicación específico utilizado para controlar el hardware industrial.
Wilhoit usó una herramienta llamada Browser Exploitation Framework, o BeEF, para obtener acceso a los sistemas de sus atacantes y obtener datos precisos sobre su ubicación. Pudo acceder a los datos de sus tarjetas Wi-Fi para triangular su ubicación.
Los 74 ataques a los honeypots provinieron de 16 países diferentes. La mayoría de los ataques no críticos, el 67 por ciento, se originaron en Rusia, y unos pocos provinieron de los EE. UU. Aproximadamente la mitad de los ataques críticos se originaron en China, y el resto provino de Alemania, Reino Unido, Francia, Palestina y Japón.
Los resultados llevan a Wilhoit a concluir que las plantas de agua, y probablemente otras instalaciones, en todo el mundo están siendo comprometidas con éxito y controladas por atacantes externos, incluso si no se ha realizado ningún ataque importante. Estos ataques están ocurriendo y los ingenieros probablemente no lo sepan, dijo. Revisión de tecnología del MIT .
Wilhoit publicó previamente la primera investigación que demostró que algunas personas estaban rastreando activamente Internet con la intención de comprometer los sistemas de control industrial (ver Honeypots Atraen a los piratas informáticos industriales hacia el exterior). Ahora planea colocar honeypots dentro de instalaciones industriales reales para intentar capturar detalles de ataques dirigidos.
Joe Weiss, socio gerente deSoluciones de control aplicadoy un experto en seguridad de sistemas de control industrial, dijo Revisión de tecnología del MIT que esperaba que los hallazgos de Wilhoit pudieran convencer a los propietarios y operadores de sistemas de control industrial para que se tomaran más en serio la amenaza de ataques. La comunidad necesita saber que hay personas que apuntan explícitamente a estos sistemas, dijo Weiss. Espero que la gente pueda entender lo válido y real que es lo que está encontrando.