Устанавливать приманки (ханипоты) и ловить хакеров «на живца» — стандартная практика для сбора информации о противнике и подготовки контратакующих действий. Специалисты из антивирусной компании Trend Micro запустили в открытый доступ приманку под видом коммунальной SCADA-системы по управлению водоснабжением. Приманка сработала — и улов оказался необычно жирным: группа китайских хакеров, предположительно работающих на правительство. Об этом рассказал руководитель проекта Кайл Вилхойт (Kyle Wilhoit) в докладе на хакерской конференции Black Hat.

По словам Вилхойта, они словили с поличным хакеров из государственной китайской группы APT1, также известной как Comment Crew, несколько членов которой были деанонимизированы в феврале 2013 года.

Наживка сработала в декабре 2012 года, когда по почте пришло письмо с зараженным Word-файлом, который запускал эксплойт, чтобы в итоге злоумышленник мог получить полный доступ к SCADA-системе (приманке). Тип используемого зловреда, сам эксплойт и другие характеристики являются уникальными именно для группы APT1.

«Группа атаковала водопровод не случайно, в поиске какой-то другой цели, это была целенаправленная атака, — говорит Кайл Вилхойт, — Я сам видел компьютерный интерфейс атакующего и на 100% уверен, что они явно понимали, что делают». Для контратаки на злоумышленников с целью триангуляции их местоположения использовался фреймворк Browser Exploitation Framework (BeEF).

Естественно, APT1 была не единственной группой, которая «купилась» на приманку. С марта по июнь 2013 года Вилхойт открыл 12 приманок в восьми странах, за это время были зарегистрированы 74 хакерские атаки, 10 из которых оказались достаточно грамотными и сложными, чтобы получить полный контроль над системой.

Для создания реалистичного веб-интерфейса с формой авторизации и конфигурацией оборудования использовались облачные сервисы. Фиктивные водопроводные станции создали в Ирландии, России, Сингапуре, Китае, Японии, Австралии, Бразилии и США. Если хакер сумел авторизоваться в системе, то он видел управляющие панели и системы для контроля оборудованием для водоснабжения.

74 зарегистрированные атаки пришли из 16-ти стран. Большинство «некритических» атак (67%) пришли с российских адресов. Половина «критических» атак — из Китая.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии