Time: 01/05/2015 IP: 208.64.252.230 Instance: NozomiHQ Location: 118.2642, 34.053 Modbus: Modbus,S7 Description: Port Scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/05/2015 IP: 46.183.216.200 Instance: NozomiHQ Location: 56.9496, 24.1052 Modbus: S7 Description: Port scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/05/2015 IP: 208.64.252.230 Instance: NozomiHQ Location: 34.0475 -118.256 Modbus: Modbus,S7 Description: Port Scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/06/2015 IP: 151.66.146.11 Instance: NozomiHQ Location: 45.4655, 9.18652 Modbus: Modbus Description: Port Scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/07/2015 IP: 198.20.69.98 Instance: NozomiHQ Location: -27.9673 153.415 Modbus: S7 Description: Port Scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/07/2015 IP: 198.20.69.98 Instance: NozomiHQ Location: -27.9673 153.415 Modbus: S7 Description: Port Scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/08/2015 IP: 23.94.190.186 Instance: NozomiHQ Location: 42.9639 -78.7378 Modbus: S7 Description: TCP Crash tentative Comment: Eine besonders perfide Attacke, weil sich der eingeplanzte Fehler nicht sofort, sondern erst später auswirkt. Dies macht es später sehr viel schwieriger die Angreifer aufzuspüren. |
Time: 01/09/2015 IP: 123.30.128.71 Instance: NozomiHQ Location: 21.0333 105.85 Modbus: Modbus Description: Modbus - Crash attack Comment: Der Crash attack versucht mit rudimentären Mitteln das System zum Absturz zu bringen. Der Angreifer nimmt dabei in Kauf, entdeckt zu werden. |
Time: 01/16/2015 IP: 198.20.70.114 Instance: NozomiHQ Location: -27.9673 153.415 Modbus: S7 Description: Port Scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/16/2015 IP: 198.20.70.114 Instance: NozomiHQ Location: -27.9673 153.415 Modbus: S7 Description: Port Scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/17/2015 IP: 192.186.133.75 Instance: NozomiHQ Location: -33.8675 151.207 Modbus: S7 Description: TCP - Crash tentative Comment: Eine besonders perfide Attacke, weil sich der eingeplanzte Fehler nicht sofort, sondern erst später auswirkt. Dies macht es später sehr viel schwieriger die Angreifer aufzuspüren. |
Time: 01/21/2015 IP: 93.120.27.62 Instance: NozomiHQ Location: 44.4325, 26.1039 Modbus: Modbus Description: Modbus Crash tentative Comment: Eine besonders perfide Attacke, weil sich der eingeplanzte Fehler nicht sofort, sondern erst später auswirkt. Dies macht es später sehr viel schwieriger die Angreifer aufzuspüren. |
Time: 01/21/2015 IP: 208.64.252.230 Instance: NozomiHQ Location: 34.0475, -118.256 Modbus: Modbus, S7 Description: Port Scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/24/2015 IP: 141.212.122.146 Instance: NozomiHQ Location: 41.8781, -87.6298 Modbus: Modbus Description: Modbus service scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/25/2015 IP: 141.212.122.202 Instance: NozomiHQ Location: 41.8781 -87.6298 Modbus: Modbus Description: Modbus service scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/27/2015 IP: 85.25.43.94 Instance: NozomiHQ Location: 50.8839, 6.89947 Modbus: SNMP Description: Gathered system information Comment: Der "Angreifer" sammelt Informationen über die Existenz der Anlage, aber nichts spezifisches zur Technologie oder Software selber. Hierbei kann es sich auch um eine SCADA-Suche-Maschine wie www.shodanhq.com handeln. |
Time: 01/27/2015 IP: 82.221.105.7 Instance: NozomiHQ Location: 64.1462 -21.9103 Modbus: Modbus Description: Service scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. http://www.datacentermap.com/iceland/reykjavik/thor-data-center.html |
Time: 01/28/2015 IP: 184.105.139.67 Instance: NozomiHQ Location: 37.4901 -121.931 Modbus: SNMP Description: Gathered system information. Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/28/2015 IP: 141.212.121.152 Instance: NozomiHQ Location: 41.8781 -87.6298 Modbus: Modbus Description: Service scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/28/2015 IP: 141.212.122.34 Instance: NozomiHQ Location: 41.8781 -87.6298 Modbus: Modbus Description: Service scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/29/2015 IP: 184.105.139.67 Instance: VPS1 Location: 37.4901 -121.931 Modbus: SNMP Description: Gathered system information Comment: Der "Angreifer" sammelt Informationen über die Existenz der Anlage, aber nichts spezifisches zur Technologie oder Software selber. Hierbei kann es sich auch um eine SCADA-Suche-Maschine wie www.shodanhq.com handeln. |
Time: 01/29/2015 IP: 62.117.80.169 Instance: VPS1 Location: 55.4833 37.5699 Modbus: HTTP Description: Service scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/29/2015 IP: 141.212.122.50 Instance: VPS1 Location: 42.2923 -83.7145 Modbus: Modbus Description: Service scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. Die IP-Nummer war dieses "Angriffs" gehört der "University of Michigan College of Engineering". Die Anfrage, weshalb sie das SCADA-System gescannt hat, ist noch hängig. |
Time: 01/29/2015 IP: 208.64.252.230 Instance: VPS1 Location: 34.0475, -118.256 Modbus: S7 Description: Service scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. |
Time: 01/30/2015 IP: 82.221.105.6 Instance: NozomiHQ Location: 64.1462 -21.9103 Modbus: S7 Description: Service scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. Advania hf., THOR Data Center ehf |
Time: 01/30/2015 IP: 141.212.122.50 Instance: NozomiHQ Location: 64.1462 -21.9103 Modbus: Modbus Description: Service scan Comment: Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. THOR Data Center ehf |
Time: 01/30/2015 IP: 184.105.139.67 Instance: NozomiHQ Location: 37.4901 -121.931 Modbus: SNMP Description: Gathered system information Comment: Der "Angreifer" sammelt Informationen über die Existenz der Anlage, aber nichts Spezifisches zur Technologie oder Software selber. Hierbei kann es sich auch um eine SCADA-Suche-Maschine wie www.shodanhq.com handeln. |
Time: 02/01/2015 IP: 184.105.139.67 Instance: NozomiHQ Location: 37.4901 -121.931 Modbus: SNMP Description: Gathered system information Comment: Der "Angreifer" sammelt Informationen über die Existenz der Anlage, aber nichts spezifisches zur Technologie oder Software selber. Hierbei kann es sich auch um eine SCADA-Suche-Maschine wie www.shodanhq.com handeln. |
Time: 02/01/2015 IP: 85.25.43.94 Instance: NozomiHQ Location: 50.8839 6.89947 Modbus: Modbus Description: Gathered PLC information Comment: Dieser Angreifer hat spezifische Informationen zum so genannten PLC gesammelt, den "programmable logic controller". Also Sachen wie Modell-Nummer, Firmware-Version. Dies wird in der Regel gesammelt, um abzuchecken, welche Angriffe auf das System verübt werden können. Eine Übersicht der Schwachstellen der betroffenen Siemens-Software: https://ics-cert.us-cert.gov/advisories/ICSA-11-223-01A |
Time: 02/02/2015 IP: 85.25.43.94 Instance: NozomiHQ Location: 50.8839 6.89947 Modbus: Modbus Description: Gathered PLC information Comment: Dieser Angreifer hat spezifische Informationen zum so genannten PLC gesammelt, den "programmable logic controller". Also Sachen wie Modell-Nummer, Firmware-Version. Dies wird in der Regel gesammelt, um abzuchecken, welche Angriffe auf das System verübt werden können. Eine Übersicht der Schwachstellen der betroffenen Siemens-Software: https://ics-cert.us-cert.gov/advisories/ICSA-11-223-01A |
Time: 02/03/2015 IP: 104.156.245.52 Instance: NozomiHQ Location: 25.7891 -80.204 Modbus: SNMP Description: Gathered system information Comment: Der "Angreifer" sammelt Informationen über die Existenz der Anlage, aber nichts spezifisches zur Technologie oder Software selber. Hierbei kann es sich auch um eine SCADA-Suche-Maschine wie www.shodanhq.com handeln. |