Cuireann cuideachtaí frithvíreas, saineolaithe slándála faisnéise agus díograiseoirí go simplí córais photaí meala ar an Idirlíon chun leagan nua den víreas a “ghabháil” nó chun tactics neamhghnácha hacker a aithint. Tá potaí meala chomh coitianta go bhfuil cineál díolúine forbartha ag cibearchoireachta: aithníonn siad go tapa go bhfuil siad os comhair gaiste agus déanann siad neamhaird de. Chun tactics hackers nua-aimseartha a iniúchadh, chruthaigh muid pota meala réalaíoch a mhair ar an Idirlíon ar feadh seacht mí, rud a mheall éagsúlacht ionsaithe. Labhair muid faoin gcaoi ar tharla sé seo inár staidéar “" Tá roinnt fíricí ón staidéar sa phost seo.
Forbairt pota meala: seicliosta
Ba é an príomhthasc le linn ár sárghaiste a chruthú ná cosc a chur orainn a bheith faoi lé hackers a léirigh spéis ann. Bhí go leor oibre ag teastáil uaidh seo:
- Cruthaigh finscéal réalaíoch faoin gcuideachta, lena n-áirítear ainmneacha iomlána agus grianghraif fostaithe, uimhreacha gutháin agus ríomhphoist.
- Chun teacht suas le agus a chur i bhfeidhm samhail de bhonneagar tionsclaíoch a fhreagraíonn don finscéal faoi ghníomhaíochtaí ár gcuideachta.
- Déan cinneadh maidir leis na seirbhísí líonra a mbeidh rochtain orthu ón taobh amuigh, ach ná téigh ar shiúl le calafoirt leochaileacha a oscailt ionas nach mbeidh cuma orthu mar ghaiste do laonna.
- Infheictheacht sceitheadh faisnéise faoi chóras leochaileach a eagrú agus an fhaisnéis seo a dháileadh i measc ionsaitheoirí ionchasacha.
- Monatóireacht discréideach ar ghníomhaíochtaí hacker a chur i bhfeidhm i mbonneagar an phota meala.
Agus anois faoi gach rud in ord.
Finscéal a chruthú
Tá seanchleachtadh ag cibearchoirpigh cheana féin chun teacht ar go leor potaí meala, agus mar sin déanann an chuid is úire díobh imscrúdú domhain ar gach córas leochaileach chun a chinntiú nach gaiste é. Ar an gcúis chéanna, rinneamar iarracht a chinntiú go raibh an pota meala ní hamháin réalaíoch i dtéarmaí dearadh agus gnéithe teicniúla, ach freisin chun cuma cuideachta fíor a chruthú.
Ag cur muid féin i mbróga hacker fionnuar hipitéiseach, d'fhorbraíomar algartam fíoraithe a dhéanfadh idirdhealú idir fíorchóras agus gaiste. Áiríodh leis cuardach a dhéanamh ar sheoltaí IP cuideachta i gcórais chlú, taighde droim ar ais ar stair seoltaí IP, cuardach ainmneacha agus eochairfhocail a bhaineann leis an gcuideachta, chomh maith lena contrapháirtithe, agus go leor rudaí eile. Mar thoradh air sin, d'éirigh an finscéal a bheith sách diongbháilte agus tarraingteach.
Shocraigh muid an mhonarcha decoy a shuíomh mar siopa beag fréamhshamhla tionscail ag obair do chliaint an-mhór gan ainm sa réimse míleata agus eitlíochta. Chuir sé seo saor sinn ó na deacrachtaí dlíthiúla a bhaineann le húsáid branda atá ann cheana féin.
Ansin bhí orainn fís, misean agus ainm a cheapadh don eagraíocht. Shocraigh muid go mbeadh ár gcuideachta ina tosaithe le líon beag fostaithe, agus tá gach duine acu ina bhunaitheoir. Chuir sé seo inchreidteacht leis an scéal faoi nádúr speisialaithe ár ngnó, rud a ligeann dó tionscadail íogaire a láimhseáil do chliaint mhóra agus thábhachtacha. Theastaigh uainn go mbeadh cuma lag ar ár gcuideachta ó thaobh na cibearshlándála de, ach ag an am céanna bhí sé soiléir go raibh muid ag obair le sócmhainní tábhachtacha ar spriocchórais.
Gabháil scáileáin de shuíomh Gréasáin pota meala MeTech. Foinse: Treocht Micrimhilseogra
Roghnaigh muid an focal MeTech mar ainm na cuideachta. Cruthaíodh an suíomh bunaithe ar theimpléad saor in aisce. Tógadh na híomhánna ó bhainc grianghraf, ag baint úsáide as na cinn is mó a bhfuil tóir orthu agus á mionathrú chun iad a dhéanamh níos lú inaitheanta.
Theastaigh uainn go mbeadh cuma réadúil ar an gcuideachta, agus mar sin ní mór dúinn fostaithe a chur leis le scileanna gairmiúla a thagann le próifíl na gníomhaíochta. Tháinig muid suas le hainmneacha agus pearsantachtaí dóibh agus ansin rinneamar iarracht íomhánna a roghnú ó bhainc grianghraf de réir eitneachas.
Gabháil scáileáin de shuíomh Gréasáin pota meala MeTech. Foinse: Treocht Micrimhilseogra
Chun nach bhfuarthas amach sinn, d’fhéachamar le haghaidh grianghraif ghrúpa ar ardchaighdeán óna bhféadfaimis na aghaidheanna a theastaigh uainn a roghnú. Mar sin féin, thréigeamar an rogha seo, mar go bhféadfadh hacker féideartha úsáid a bhaint as cuardach íomhá droim ar ais agus a fháil amach nach gcónaíonn ár “fostaithe” ach i mbainc grianghraf. Sa deireadh, d'úsáideamar grianghraif de dhaoine nach raibh ann a cruthaíodh ag baint úsáide as líonraí néaracha.
Áiríodh i bpróifílí fostaithe a postáladh ar an suíomh faisnéis thábhachtach faoina scileanna teicniúla, ach sheachaineamar scoileanna nó cathracha ar leith a shainaithint.
Chun boscaí poist a chruthú, d'úsáideamar freastalaí soláthraí óstála, agus ansin ghlacamar roinnt uimhreacha teileafóin ar cíos sna Stáit Aontaithe agus chuireamar le chéile iad i PBX fíorúil le roghchlár gutha agus meaisín freagartha.
Bonneagar pota meala
Chun nochtadh a sheachaint, shocraigh muid meascán de chrua-earraí tionsclaíochta fíor, ríomhairí fisiceacha agus meaisíní fíorúla slána a úsáid. Ag féachaint amach romhainn, déarfaimid go ndearna muid seiceáil ar thoradh ár n-iarrachtaí ag baint úsáide as inneall cuardaigh Shodan, agus léirigh sé go bhfuil cuma an phota meala cosúil le córas tionsclaíoch fíor.
Is é an toradh a bhí ar phota meala a scanadh ag baint úsáide as Shodan. Foinse: Treocht Micrimhilseogra
D’úsáideamar ceithre PLC mar chrua-earraí dár ngaiste:
- Siemens S7-1200,
- dhá AllenBradley MicroLogix 1100,
- Omron CP1L.
Roghnaíodh na PLCanna seo mar gheall ar an tóir a bhí orthu i margadh an chórais rialaithe domhanda. Agus úsáideann gach ceann de na rialtóirí seo a phrótacal féin, rud a chuir ar ár gcumas a sheiceáil cé acu de na PLCanna a ndéanfaí ionsaí orthu níos minice agus an mbeadh suim acu i bprionsabal d’aon duine.
Trealamh ár “monarcha”-gaiste. Foinse: Treocht Micrimhilseogra
Ní dhearnamar ach crua-earraí a shuiteáil agus é a nascadh leis an Idirlíon. Rinneamar ríomhchlárú ar gach rialtóir chun tascanna a dhéanamh, lena n-áirítear
- ag meascadh,
- rialú dóire agus crios iompair,
- palletizing ag baint úsáide as manipulator robotic.
Agus chun an próiseas táirgthe a dhéanamh réalaíoch, rinneamar an loighic a ríomhchlárú chun paraiméadair aiseolais a athrú go randamach, insamhail a dhéanamh ar mhótair ag tosú agus ag stopadh, agus dóirí ag casadh air agus as.
Bhí trí ríomhaire fhíorúla ag ár monarcha agus ceann fisiceach. Baineadh úsáid as ríomhairí fíorúla chun gléasra, robot palletizer a rialú, agus mar stáisiún oibre d'innealtóir bogearraí PLC. D'oibrigh an ríomhaire fisiciúil mar fhreastalaí comhad.
Chomh maith le monatóireacht a dhéanamh ar ionsaithe ar PLCanna, theastaigh uainn monatóireacht a dhéanamh ar stádas na gclár a lódáiltear ar ár bhfeistí. Chun seo a dhéanamh, chruthaíomar comhéadan a thug deis dúinn a chinneadh go tapa conas a athraíodh staid ár ngníomhairí fíorúla agus ár suiteálacha. Ag an gcéim phleanála cheana féin, fuaireamar amach go bhfuil sé i bhfad níos éasca é seo a chur i bhfeidhm trí úsáid a bhaint as clár rialaithe ná mar a dhéantar trí loighic an rialaitheora a chlárú go díreach. D’oscail muid rochtain ar chomhéadan bainistíochta gléas ár bpota meala trí VNC gan pasfhocal.
Is cuid lárnach de mhonarú cliste nua-aimseartha iad robots tionsclaíocha. Maidir leis seo, shocraigh muid robot agus ionad oibre uathoibrithe a chur leis chun é a rialú ar threalamh ár monarcha gaiste. Chun an “monarcha” a dhéanamh níos réadúla, chuireamar isteach bogearraí fíor ar an stáisiún oibre rialaithe, a úsáideann innealtóirí chun loighic an róbait a ríomhchlárú go grafach. Bhuel, ós rud é go mbíonn róbait thionsclaíocha lonnaithe i líonra inmheánach scoite de ghnáth, shocraigh muid rochtain gan chosaint a fhágáil trí VNC amháin chuig an stáisiún oibre rialaithe.
Timpeallacht RobotStudio le múnla 3D dár robot. Foinse: Treocht Micrimhilseogra
Shuiteáil muid timpeallacht ríomhchláraithe RobotStudio ó ABB Robotics ar mheaisín fíorúil le stáisiún oibre rialaithe robot. Tar éis RobotStudio a chumrú, d'oscail muid comhad insamhalta lenár róbat ann ionas go raibh a íomhá 3D le feiceáil ar an scáileán. Mar thoradh air sin, déanfaidh Shodan agus innill chuardaigh eile, tar éis dó freastalaí VNC neamhurraithe a bhrath, an íomhá scáileáin seo a ghabháil agus a thaispeáint dóibh siúd atá ag lorg róbait thionsclaíocha a bhfuil rochtain oscailte acu ar rialú.
Ba é ba chúis leis an aird seo ar mhionsonraí ná sprioc tharraingteach réadúil a chruthú d’ionsaitheoirí a d’fhillfeadh air arís agus arís eile nuair a d’aimsigh siad é.
Stáisiún oibre an innealtóra
Chun an loighic PLC a ríomhchlárú, chuireamar ríomhaire innealtóireachta leis an mbonneagar. Suiteáladh bogearraí tionsclaíochta do ríomhchlárú PLC air:
- Tairseach TIA do Siemens,
- MicroLogix do rialtóir Allen Bradley,
- CX-Aon do Omron.
Chinneamar nach mbeadh an spás oibre innealtóireachta inrochtana lasmuigh den líonra. Ina áit sin, shocraigh muid an pasfhocal céanna don chuntas riarthóra agus atá ar an stáisiún oibre rialaithe róbait agus ar an stáisiún oibre rialaithe monarchan atá inrochtana ón Idirlíon. Tá an chumraíocht seo coitianta go leor i go leor cuideachtaí.
Ar an drochuair, in ainneoin ár n-iarrachtaí go léir, níor shroich aon ionsaitheoir amháin stáisiún oibre an innealtóra.
Freastalaí comhad
Bhí sé de dhíth orainn mar bhaoite d’ionsaitheoirí agus mar bhealach chun ár “obair” féin a thacú sa mhonarcha maolchloiche. Chuir sé seo ar ár gcumas comhaid a roinnt lenár bpota meala ag baint úsáide as gléasanna USB gan rian a fhágáil ar líonra an phota meala. Shuiteáil muid Windows 7 Pro mar an OS don fhreastalaí comhad, inar chruthaigh muid fillteán roinnte ar féidir le duine ar bith é a léamh agus a scríobh.
Ar dtús níor chruthaíomar aon ordlathas fillteán agus doiciméad ar an bhfreastalaí comhad. Mar sin féin, fuair muid amach níos déanaí go raibh ionsaitheoirí ag déanamh staidéir ar an bhfillteán seo go gníomhach, agus mar sin shocraigh muid é a líonadh le comhaid éagsúla. Chun seo a dhéanamh, scríobhamar script python a chruthaigh comhad de mhéid randamach le ceann de na síntí tugtha, ag foirmiú ainm bunaithe ar an bhfoclóir.
Script chun ainmneacha comhaid tarraingteacha a ghiniúint. Foinse: Treocht Micrimhilseogra
Tar éis an script a rith, fuair muid an toradh inmhianaithe i bhfoirm fillteán a líonadh le comhaid le hainmneacha an-suimiúil.
Toradh an script. Foinse: Treocht Micrimhilseogra
Timpeallacht monatóireachta
Tar éis dúinn an oiread sin iarrachta a dhéanamh ag cruthú cuideachta réalaíoch, ní raibh sé d’acmhainn againn teip ar an timpeallacht maidir le monatóireacht a dhéanamh ar ár “gcuairteoirí”. Bhí orainn na sonraí go léir a fháil i bhfíor-am gan na hionsaitheoirí a thuiscint go rabhthas ag faire orthu.
Chuireamar é seo i bhfeidhm trí úsáid a bhaint as ceithre oiriúntóir USB go Ethernet, ceithre sconna SharkTap Ethernet, Raspberry Pi 3, agus tiomántán mór seachtrach. Bhí cuma mar seo ar ár léaráid líonra:
Léaráid líonra pota meala le trealamh monatóireachta. Foinse: Treocht Micrimhilseogra
Shuíomar trí sconna SharkTap chun monatóireacht a dhéanamh ar an trácht seachtrach go léir chuig an PLC, nach féidir teacht air ach ón ngréasán inmheánach. Rinne an ceathrú SharkTap monatóireacht ar thrácht aíonna ar mheaisín fíorúil leochaileach.
Tapa Ethernet SharkTap agus Ródaire AirLink RV50 gan sreang Siarra. Foinse: Treocht Micrimhilseogra
Rinne Raspberry Pi gabháil tráchta laethúil. Rinneamar nasc leis an Idirlíon ag baint úsáide as ródaire ceallach AirLink RV50 Sierra Wireless, a úsáidtear go minic i bhfiontair thionsclaíocha.
Ar an drochuair, níor lig an ródaire seo dúinn bac a chur go roghnach ar ionsaithe nach raibh ag teacht lenár bpleananna, agus mar sin chuireamar balla dóiteáin Cisco ASA 5505 leis an líonra i mód trédhearcach chun blocáil a dhéanamh le tionchar íosta ar an líonra.
Anailís tráchta
Tá Tshark agus tcpdump oiriúnach chun saincheisteanna reatha a réiteach go tapa, ach inár gcás níor leor a gcumas, ós rud é go raibh go leor ghigibheart tráchta againn, a ndearna roinnt daoine anailís orthu. D’úsáideamar an anailísí foinse oscailte Moloch a d’fhorbair AOL. Tá sé inchomparáide ó thaobh feidhmiúlacht le Wireshark, ach tá níos mó cumais aige maidir le comhoibriú, cur síos agus clibeáil pacáistí, onnmhairiú agus tascanna eile.
Ós rud é nach raibh muid ag iarraidh na sonraí a bailíodh ar ríomhairí pota meala a phróiseáil, easpórtáladh dumpaí PCAP gach lá chuig stóras AWS, ónar iompórtáladh muid iad go dtí an meaisín Moloch cheana féin.
Taifeadadh scáileáin
Chun gníomhartha hackers inár bpota meala a dhoiciméadú, scríobhamar script a ghlac scáileáin scáileáin den mheaisín fíorúil ag eatramh ar leith agus, i gcomparáid leis an screenshot roimhe seo, chinneamar an raibh rud éigin ag tarlú ann nó nach raibh. Nuair a braitheadh gníomhaíocht, chuimsigh an script taifeadadh scáileáin. Ba é an cur chuige seo an ceann is éifeachtaí. Rinneamar iarracht freisin anailís a dhéanamh ar thrácht VNC ó dhumpáil PCAP chun a thuiscint cad iad na hathruithe a tharla sa chóras, ach sa deireadh bhí an taifeadadh scáileáin a chuireamar i bhfeidhm níos simplí agus níos amhairc.
Monatóireacht ar sheisiúin VNC
Chuige seo d'úsáideamar Chaosreader agus VNCLogger. Bainfidh an dá fhóntas eochairbhuillí ó dhumpáil PCAP, ach láimhseálann VNCLogger eochracha mar Backspace, Enter, Ctrl ar bhealach níos cruinne.
Tá dhá mhíbhuntáiste ag VNCLogger. Ar dtús: ní féidir leis eochracha a bhaint ach trí “éisteacht” a dhéanamh ar an trácht ar an gcomhéadan, agus mar sin bhí orainn seisiún VNC a insamhail dó ag baint úsáide as tcpreplay. Tá an dara míbhuntáiste de VNCLogger coitianta le Chaosreader: ní léiríonn siad araon ábhar an ghearrthaisce. Chun seo a dhéanamh bhí orm Wireshark a úsáid.
Tugaimid hackers
Chruthaíomar pota meala le ionsaí. Chun é seo a bhaint amach, chuireamar sceith faisnéise ar siúl chun aird na n-ionsaitheoirí ionchasacha a mhealladh. Osclaíodh na poirt seo a leanas ar phota meala:
B'éigean an calafort RDP a dhúnadh go gairid tar éis dúinn dul beo mar go raibh an méid ollmhór tráchta scanta ar ár líonra ag cruthú fadhbanna feidhmíochta.
D’oibrigh na teirminéil VNC i mód amharc amháin ar dtús gan pasfhocal, agus ansin “trí dhearmad” d’athraigh muid iad go dtí mód rochtana iomlán.
Chun ionsaitheoirí a mhealladh, phostálamar dhá phost le faisnéis sceite faoin gcóras tionsclaíoch atá ar fáil ar PasteBin.
Ceann de na poist a postáladh ar PasteBin chun ionsaithe a mhealladh. Foinse: Treocht Micrimhilseogra
ionsaithe
Mhair Honeypot ar líne ar feadh thart ar seacht mí. Tharla an chéad ionsaí mí tar éis dul ar líne i bpota na meala.
Scanóirí
Tháinig go leor tráchta ó scanóirí cuideachtaí aitheanta - ip-ip, Rapid, Shadow Server, Shodan, ZoomEye agus eile. Bhí an oiread sin acu ann go raibh orainn a seoltaí IP a eisiamh ón anailís: bhain 610 as 9452 nó 6,45% de na seoltaí IP uathúla go léir le scanóirí a bhí go hiomlán dlisteanach.
Scammers
Ar cheann de na rioscaí is mó atá os ár gcomhair tá úsáid ár gcóras chun críocha coiriúla: fóin chliste a cheannach trí chuntas suibscríobhaí, airgead a dhéanamh ar mhíle aerlínte ag baint úsáide as cártaí bronntanais agus cineálacha eile calaoise.
Mianadóirí
Ar cheann de na chéad chuairteoirí ar ár gcóras iompaigh amach a bheith ina miner. Íoslódáil sé bogearraí mianadóireachta Monero air. Ní bheadh sé in ann mórán airgid a dhéanamh ar ár gcóras áirithe mar gheall ar tháirgiúlacht íseal. Mar sin féin, má chomhcheanglaímid iarrachtaí roinnt dosaen nó fiú na céadta córas den sórt sin, d'fhéadfadh sé tarlú go maith.
Earraí ransom
Le linn obair an phota meala, thángamar ar fhíor-víris earraí ransomware faoi dhó. Sa chéad chás bhí sé Crysis. Logáil na hoibreoirí isteach sa chóras trí VNC, ach ansin shuiteáil siad TeamViewer agus d'úsáid siad é chun tuilleadh gníomhartha a dhéanamh. Tar éis fanacht le teachtaireacht sracadh ag éileamh airgead fuascailte de $10 in BTC, rinneamar comhfhreagras leis na coirpigh, ag iarraidh orthu ceann de na comhaid a dhíchriptiú dúinn. Chomhlíon siad an t-iarratas agus rinne siad an t-éileamh fuascailte arís agus arís eile. D'éirigh linn suas le 6 míle dollar a chaibidil, agus ina dhiaidh sin rinneamar an córas a ath-uaslódáil go meaisín fíorúil, ó fuair muid an fhaisnéis riachtanach go léir.
Ba é Phobos an dara earraí ransom. Chaith an hacker a chuir isteach é uair an chloig ag brabhsáil ar an gcóras comhaid honeypot agus ag scanadh an líonra, agus ansin shuiteáil an ransomware ar deireadh.
Bhí an tríú ionsaí ransomware falsa. D'íoslódáil "hacker" anaithnid an comhad haha.bat ar ár gcóras, agus ina dhiaidh sin d'fhéachamar ar feadh tamaill agus é ag iarraidh é a chur ag obair. Ceann de na hiarrachtaí a rinneadh ná haha.bat a athainmniú go haha.rnsmwr.
Méadaíonn an “hacker” dochair an chomhaid ialtóg trí shíneadh a athrú go .rnsmwr. Foinse: Treocht Micrimhilseogra
Nuair a thosaigh an baiscchomhad ag rith faoi dheireadh, chuir an “hacker” in eagar é, ag méadú an airgead fuascailte ó $200 go $750. Ina dhiaidh sin, rinne sé “criptiú” ar na comhaid go léir, d’fhág sé teachtaireacht sracadh ar an deasc agus imithe, ag athrú na pasfhocail ar ár VNC.
Cúpla lá ina dhiaidh sin, d'fhill an hacker agus, chun a chur i gcuimhne dó féin, sheol sé comhad baisc a d'oscail go leor fuinneoga le suíomh porn. Réir dealraimh, ar an mbealach seo rinne sé iarracht aird a tharraingt ar a éileamh.
Torthaí
Le linn an staidéir, d'éirigh sé amach, chomh luath agus a foilsíodh faisnéis faoin leochaileacht, gur tharraing pota meala aird, le gníomhaíocht ag fás ó lá go lá. D'fhonn aird a tharraingt ar an gaiste, bhí ar ár gcuideachta bhréige sáruithe iomadúla slándála a fhulaingt. Ar an drochuair, tá an scéal seo i bhfad ó neamhchoitianta i measc go leor cuideachtaí fíor nach bhfuil fostaithe lánaimseartha TF agus slándála faisnéise acu.
Go ginearálta, ba cheart d'eagraíochtaí prionsabal na pribhléide is lú a úsáid, agus a mhalairt de phribhléid á gcur i bhfeidhm againn chun ionsaitheoirí a mhealladh. Agus dá fhad a d’fhéachamar ar na hionsaithe, is amhlaidh is sofaisticiúla a d’éirigh siad i gcomparáid le modhanna caighdeánacha tástála treá.
Agus is tábhachtaí fós, bheadh teipthe ar na hionsaithe seo go léir dá gcuirfí bearta slándála leordhóthanacha i bhfeidhm agus an líonra á bhunú. Ní mór d'eagraíochtaí a chinntiú nach bhfuil a gcuid trealaimh agus comhpháirteanna bonneagair thionsclaíoch inrochtana ón Idirlíon, mar a rinneamar go sonrach inár ngaiste.
Cé nach bhfuil aon ionsaí amháin taifeadta againn ar stáisiún oibre innealtóra, in ainneoin an pasfhocal riarthóra áitiúil céanna a úsáid ar gach ríomhaire, ba cheart an cleachtas seo a sheachaint chun cur isteach a íoslaghdú. Tar éis an tsaoil, feidhmíonn an tslándáil lag mar chuireadh breise chun ionsaí a dhéanamh ar chórais thionsclaíocha, a bhfuil suim ag na cibearchoireachta orthu le fada an lá.
Foinse: will.com