SUSE by Ingram

นักวิจัยตั้ง Honeypot จำลองระบบในอุตสาหกรรมเพื่อศึกษาการโจมตีจริง

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Trend Micro ได้ตั้ง Honeypot ปลอมเป็นองค์กรภาคอุตสาหกรรมที่ใช้ระบบ เช่น ICS, PLC และอื่นๆ โดยผลลัพธ์ชี้ว่าผู้ดูแลระบบมีความเสี่ยงจากคนร้ายทั่วไปที่หวังผลทางการเงินมากกว่ากลุ่มแฮ็กเกอร์ระดับชาติ

credit : Trend Micro

Honeypot ถูกจำลองให้เสมือนจริงมากที่สุดซึ่งภายในประกอบด้วยฮาร์ดแวร์ ICS เช่น Siemens, Allen-Bradley และ Omron รวมถึง VM ที่รัน HML เพื่อควบคุมโรงงานและเครื่อง Workstation ที่ควบคุม Palletizer และใช้ในการโปรแกรม PLC นอกจากนี้ยังมี Physical Host File Server และ VM อื่นๆ โดยนักวิจัยได้สร้างบริษัทปลอมขึ้นมาที่อ้างตัวเป็นโรงงานขนาดเล็กเพื่อให้บริการงานพิเศษบางอย่างแก่ลูกค้าเฉพาะ นอกจากนี้ยังสร้างหน้าเว็บขึ้นมาและใส่เบอร์โทรศัพท์เอาไว้แต่ตอบรับด้วยบันทึกเสียงแทน

สำหรับการล่อหลอกนักวิจัยตั้งใจเปิดบางพอร์ตเอาไว้ เช่น VNC ที่ไม่มีรหัสผ่าน, PLC และ Ethernet/IP โดยทำการบล็อกเครื่องมือค้นหาทั่วไปอย่าง Shodan, ZoomEye และ Shadowserver เพื่อคัดกรองการสแกนธรรมดาออกไป อย่างไรก็ตามหลังการศึกษาระบบจำลองถึง 7 เดือน นักวิจัยสรุปว่ากลุ่มแฮ็กเกอร์ที่เข้ามาโจมตีหวังผลทางการเงิน เช่น แรนซัมแวร์ Cryptojacking และการใช้ระบบในการปลอมแปลงกิจกรรมบางอย่าง ทั้งนี้กิจกรรมของแฮ็กเกอร์ที่น่าสนใจคือความพยายามใช้คำสั่งแปลกๆ หรือการสั่งปิดเปิดระบบ หรือ Service เพื่อดูผลลัพธ์ด้วยความใคร่รู้ของแฮ็กเกอร์นั่นเอง

อย่างไรก็ตามจากผลลัพธ์ที่เกิดขึ้นนักวิจัยสรุปว่าระบบอุตสาหกรรมก็ต้องกังวลเกี่ยวกับแฮ็กเกอร์ที่หวังผลทางการเงิน แทนที่จะมองภาพแค่แฮ็กเกอร์ระดับรัฐสนับสนุน (State-sponsor) นอกจากนี้ยังหมายถึงว่ายังไงระบบ ICS หรือการใช้งานในอุตสาหกรรมของคุณก็มีความเสี่ยงเสมอ ดังนั้นดูแลทุกส่วนให้ดีครับ ผู้สนใจเพิ่มเติมสามารถติดตามได้จาก PDF ของ Trend Micro

ที่มา :  https://www.securityweek.com/realistic-factory-honeypot-shows-threats-faced-industrial-organizations และ  https://www.helpnetsecurity.com/2020/01/21/ot-honeypot/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco เผยแผนเข้าซื้อกิจการ Dashbase เสริมความสามารถ AppDynamics ติดตามวิเคราะห์ข้อมูล Real-Time Communication

Cisco ได้ออกมาเผยถึงเจตนาในการเข้าซื้อกิจการของ Dashbase ผู้พัฒนาโซลูชันวิเคราะห์ทราฟฟิกสำหรับระบบ Voice, Video และ Chat โดยเฉพาะ เพื่อนำความสามารถของ Dashbase ไปเสริมให้กับ Cisco AppDynamics โดยเฉพาะ

Cisco เผยแผนพัฒนา Co-Packaged Optics ความเร็ว 800Gbps ที่ประหยัดพลังงาน คาดพร้อมใช้งานได้ปี 2024

Cisco ได้ออกมาเผยถึงความร่วมมือกับ Inphi ในการพัฒนา Co-Packaged Optics (CPO) สำหรับใช้ใน Switch รุ่นที่รองรับความเร็ว 51.2Tbps ในอนาคตซึ่งจะมี Interface 800Gbps แบบ Pluggable โดยคาดว่าการพัฒนานี้จะแล้วเสร็จและพร้อมนำเทคโนโลยีออกสู่ตลาดได้ในปี 2024