Trend Micro IIoT Security

Security expert lokt hackers met ‘IIoT-val’

by Redactie IoT Journaal20 februari 2020

Wat gebeurt er als een Industrial Internet of Things-omgeving open en bloot op het internet staat? Dan komen de hackers er in korte tijd als vliegen op af. Dat is het resultaat van een experiment, eind 2019 uitgevoerd door het Amerikaanse/Japanse cybersecurity bedrijf Trend Micro. De beschrijving van de proef, inclusief de manier waarop de zogenoemde  IIoT-‘honeypot‘ is gemaakt, is via IoTJournaal te downloaden (63 pagina’s, 4,69 Mb, PDF) .

Het is een beproefde methode om hackers en andere kwaadwillenden te lokken: een honeypot. Wie dat niets zegt, wikipedia.org heeft er een prima omschrijving voor:

Een honeypot is in de informatica een computersysteem dat zich bewust kwetsbaar opstelt voor (worm)virussen en andere aanvallen. Door de vergaarde informatie te analyseren, kan de verspreiding van de virussen mede worden tegengegaan. Daarnaast worden honeypots ingezet om post-admission control in quarantainenetwerken te realiseren.

Soms wordt een honeypot gebruikt om de gegevens van de hacker zelf te achterhalen. Zo kunnen ze de hacker aanhouden en desnoods berechten. De gegevens die door honeypot zijn achterhaald, dienen dan als bewijs. Een honeypot zal over gegevens beschikken die een hacker interessant vindt, zoals wachtwoordgegevens.

De herkomst van de term honeypot (nl: honingpot) wordt vaak verbonden aan de beer Winnie de Poeh, die in allerhande situaties belandde door zijn grote voorliefde voor potten honing.

Succesvolle ransomware-aanvallen

Het doel van het experiment was om te zien of en op welke manier hackers zouden proberen in te breken in een ‘slimme fabriek’. Trend Micro heeft daarvoor een dergelijke omgeving opgezet, inclusief Programmable Logic Controllers (PLC’s) van diverse merken die doorgaans in fabrieken zijn te vinden, een gesimuleerde industriële robot, een file server met potentieel aantrekkelijke bestanden en een firewall. Om de illusie nog echter te maken, maakte Trend Micro onder andere een website voor de fictieve fabrikant wiens namaakproductiesysteem als honeypot fungeerde, plus mailadressen van ‘personeelsleden’ en een contactformulier. Daarmee wilden de security experts voorkomen dat meer ervaren hackers zouden doorzien dat het hier om een honeypot ging. Vervolgens werden een paar netwerkpoorten van het ‘productiesysteem’ geopend om hackers te lokken. Het resulteerde in een aardig aantal aanvallen, waarvan er diverse slaagden. Zo wist een hacker een tooltje op één van de virtual machines te installeren waarmee cryptovaluta wordt ‘gemined’. Ook werden er door hackers succesvolle ransomware-aanvallen uitgevoerd, inclusief de nodige mailwisseling tussen de nepfabrikant en de losgeld eisende hackers.