Chinees hackteam betrapt bij overname lokwaterinstallatie

Een Chinese hackgroep die in februari werd beschuldigd van banden met het Chinese leger, werd afgelopen december betrapt op het infiltreren van een lokwatercontrolesysteem voor een Amerikaanse gemeente, onthulde een onderzoeker woensdag.





De groep, bekend als APT1, werd gepakt door een onderzoeksproject dat het belangrijkste bewijs tot nu toe levert dat mensen actief proberen de kwetsbaarheden in industriële controlesystemen te misbruiken. Veel van deze systemen zijn verbonden met internet om toegang op afstand mogelijk te maken (zie Industriële systemen hacken blijkt eenvoudig te zijn). APT1, ook bekend als Comment Crew, werd gelokt door een dummy-controlesysteem opgezet door Kyle Wilhoit, een onderzoeker bij beveiligingsbedrijf Trend Micro , die een lezing hield over zijn bevindingen op de Black Hat-conferentie in LasVegas.

De aanval begon in december 2012, zegt Wilhoit, toen een Word-document dat kwaadaardige software verbergde, werd gebruikt om volledige toegang te krijgen tot zijn in de VS gevestigde loksysteem of honeypot. De gebruikte malware en andere kenmerken waren uniek voor APT1, dat beveiligingsbedrijf Mandiant heeft beweerd opereert als onderdeel van het Chinese leger (zie Exposé of Chinese Data Thieves Reveals Sloppy Tactics).

Je zou denken dat Comment Crew niet achter een plaatselijk waterschap aan zou gaan, zei Wilhoit MIT Technology Review , maar de groep viel duidelijk niet per ongeluk de honeypot aan terwijl ze op zoek waren naar een ander doelwit. Ik heb echt gekeken naar de interface van de aanvaller met de machine, zegt Wilhoit. Het was 100 procent duidelijk dat ze wisten wat ze deden.



Wilhoit toonde verder bewijs dat andere hackgroepen naast APT1 opzettelijk waterplantsystemen zoeken en compromitteren. Tussen maart en juni van dit jaar lokten 12 honeypots die in acht verschillende landen werden ingezet, 74 opzettelijke aanvallen uit, waarvan 10 geavanceerd genoeg om de volledige controle over het dummybesturingssysteem te krijgen.

Cloudsoftware werd gebruikt om realistische webgebaseerde login- en configuratieschermen te creëren voor lokale waterplanten die schijnbaar in Ierland, Rusland, Singapore, China, Japan, Australië, Brazilië en de VS zijn gevestigd. bedieningspanelen en systemen voor het aansturen van de hardware van waterplantsystemen.

Geen van de aanvallen vertoonde een bijzonder hoog niveau van verfijning, zegt Wilhoit, maar de aanvallers waren duidelijk goed thuis in de al te gemakkelijk te compromitteren werking van industriële controlesystemen. Vier van de aanvallen vertoonden een hoog kennisniveau over industriële systemen, waarbij technieken werden gebruikt om zich te bemoeien met een specifiek communicatieprotocol dat wordt gebruikt om industriële hardware te besturen.



Wilhoit gebruikte een tool genaamd Browser Exploitation Framework, of BeEF, om toegang te krijgen tot de systemen van zijn aanvallers en om nauwkeurige gegevens over hun locatie te krijgen. Hij had toegang tot gegevens van hun wifi-kaarten om hun locatie te trianguleren.

De 74 aanvallen op de honeypots kwamen uit 16 verschillende landen. De meeste niet-kritieke aanvallen, 67 procent, waren afkomstig uit Rusland en een handvol kwam uit de VS. Ongeveer de helft van de kritieke aanvallen was afkomstig uit China en de rest kwam uit Duitsland, het VK, Frankrijk, Palestina en Japan.

De resultaten leiden ertoe dat Wilhoit concludeert dat waterplanten, en waarschijnlijk andere faciliteiten, over de hele wereld met succes worden gecompromitteerd en overgenomen door aanvallers van buitenaf, zelfs als er geen grote aanval heeft plaatsgevonden. Deze aanvallen vinden plaats en de technici weten het waarschijnlijk niet, vertelde hij MIT Technology Review .



Wilhoit publiceerde eerder het eerste onderzoek dat aantoonde dat sommige mensen actief het internet afspeurden met de bedoeling industriële controlesystemen in gevaar te brengen (zie Honeypots lokken industriële hackers naar de open ). Hij is nu van plan om honeypots in echte industriële faciliteiten te plaatsen om details van gerichte aanvallen vast te leggen.

Joe Weiss, managing partner bijToegepaste besturingsoplossingenen een expert in de beveiliging van industriële controlesystemen, vertelde MIT Technology Review dat hij hoopte dat de bevindingen van Wilhoit de eigenaren en operators van industriële controlesystemen kunnen overtuigen om de dreiging van aanvallen serieuzer te nemen. De gemeenschap moet weten dat er mensen zijn die zich expliciet op deze systemen richten, zei Weiss. Ik hoop dat mensen kunnen begrijpen hoe geldig en echt het is, wat hij vindt.

zich verstoppen