Characterizing in-the-wild traffic targeted to industrial control systems using honeypots

Industrial Control Systems are nowadays interconnected with various networks and, ultimately, to the Internet. Due to this exposure, malicious actors are starting to be interested into compromising ICS - not only for advanced and targeted attacks, but also in the context of more frequent network scanning and mass exploiting of devices directly Internet-exposed. To understand the level of interest towards Internet-connected ICS, we study and replicate the behavior of real devices to prepare several low-interaction ICS honeypots, which we deploy on a diverse set of network vantage points using a scalable architecture, integrated with an analysis pipeline, and we analyze the in-the-wild traffic specifically targeted to industrial control systems. We present the results of running our honeypots for several months, identifying the actors producing the traffic and their behavior. We find that, although most of the traffic is originated by known legitimate network scanners and follows patterns similar to those of well-known ICS network mapping scripts, we received several requests from unknown actors that do not follow this pattern and hint at malicious intent.

I sistemi di controllo industriali (ICS) sono oggi interconnessi con varie reti e, in ultima analisi, con Internet. A causa di questa esposizione, diversi attori malintenzionati hanno iniziato ad essere interessati a compromettere gli ICS - non solo con attacchi avanzati e mirati, ma anche nel contesto di frequenti scansioni di rete e massicci attacchi automatizzati dei dispositivi direttamente esposti a Internet. Per capire il livello di interesse verso gli ICS collegati a Internet, studiamo e replichiamo il comportamento di dispositivi reali per preparare diversi honeypots ICS a bassa interazione, che distribuiamo su un insieme diversificato di punti di osservazione di rete utilizzando un'architettura scalabile, integrata con una pipeline di analisi, e analizziamo il traffico in-the-wild specificamente mirato ai sistemi di controllo industriali. Presentiamo i risultati raccolti dai nostri honeypots per diversi mesi, identificando gli attori che producono il traffico di scansione e il loro comportamento. Troviamo che, sebbene la maggior parte del traffico sia originato da scanner di rete legittimi conosciuti e sia simile a quello di noti script di scanning di dispositivi ICS, abbiamo ricevuto diverse richieste da parte di attori sconosciuti che si distinguono nettamente dalle altre e suggeriscono intenzioni malevole.