fuslontable/data/198p4BNgQHcdd8zOoYeODAawSql...

271 lines
16 KiB
HTML

<!DOCTYPE HTML><html><head>
<title>Siemens S7 200 PLC, native Siemen S7, Modbus - Google Fusion Tables</title>
<style type="text/css">
html, body {
margin: 0;
padding: 0;
height: 100%;
}
</style></head>
<body><table cellpadding="0" cellspacing="0"><tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/05/2015<br>
<b>IP:</b> 208.64.252.230<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 118.2642, 34.053<br>
<b>Modbus:</b> Modbus,S7<br>
<b>Description:</b> Port Scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/05/2015<br>
<b>IP:</b> 46.183.216.200<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 56.9496, 24.1052<br>
<b>Modbus:</b> S7<br>
<b>Description:</b> Port scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/05/2015<br>
<b>IP:</b> 208.64.252.230<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 34.0475 -118.256<br>
<b>Modbus:</b> Modbus,S7<br>
<b>Description:</b> Port Scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/06/2015<br>
<b>IP:</b> 151.66.146.11<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 45.4655, 9.18652<br>
<b>Modbus:</b> Modbus<br>
<b>Description:</b> Port Scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/07/2015<br>
<b>IP:</b> 198.20.69.98<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> -27.9673 153.415<br>
<b>Modbus:</b> S7<br>
<b>Description:</b> Port Scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/07/2015<br>
<b>IP:</b> 198.20.69.98<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> -27.9673 153.415<br>
<b>Modbus:</b> S7<br>
<b>Description:</b> Port Scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/08/2015<br>
<b>IP:</b> 23.94.190.186<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 42.9639 -78.7378<br>
<b>Modbus:</b> S7<br>
<b>Description:</b> TCP Crash tentative<br>
<b>Comment:</b> Eine besonders perfide Attacke, weil sich der eingeplanzte Fehler nicht sofort, sondern erst später auswirkt. Dies macht es später sehr viel schwieriger die Angreifer aufzuspüren.
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/09/2015<br>
<b>IP:</b> 123.30.128.71<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 21.0333 105.85<br>
<b>Modbus:</b> Modbus<br>
<b>Description:</b> Modbus - Crash attack<br>
<b>Comment:</b> Der Crash attack versucht mit rudimentären Mitteln das System zum Absturz zu bringen. Der Angreifer nimmt dabei in Kauf, entdeckt zu werden.
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/16/2015<br>
<b>IP:</b> 198.20.70.114<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> -27.9673 153.415<br>
<b>Modbus:</b> S7<br>
<b>Description:</b> Port Scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/16/2015<br>
<b>IP:</b> 198.20.70.114<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> -27.9673 153.415<br>
<b>Modbus:</b> S7<br>
<b>Description:</b> Port Scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/17/2015<br>
<b>IP:</b> 192.186.133.75<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> -33.8675 151.207<br>
<b>Modbus:</b> S7<br>
<b>Description:</b> TCP - Crash tentative<br>
<b>Comment:</b> Eine besonders perfide Attacke, weil sich der eingeplanzte Fehler nicht sofort, sondern erst später auswirkt. Dies macht es später sehr viel schwieriger die Angreifer aufzuspüren.
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/21/2015<br>
<b>IP:</b> 93.120.27.62<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 44.4325, 26.1039<br>
<b>Modbus:</b> Modbus<br>
<b>Description:</b> Modbus Crash tentative<br>
<b>Comment:</b> Eine besonders perfide Attacke, weil sich der eingeplanzte Fehler nicht sofort, sondern erst später auswirkt. Dies macht es später sehr viel schwieriger die Angreifer aufzuspüren.
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/21/2015<br>
<b>IP:</b> 208.64.252.230<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 34.0475, -118.256<br>
<b>Modbus:</b> Modbus, S7<br>
<b>Description:</b> Port Scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/24/2015<br>
<b>IP:</b> 141.212.122.146<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 41.8781, -87.6298<br>
<b>Modbus:</b> Modbus<br>
<b>Description:</b> Modbus service scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/25/2015<br>
<b>IP:</b> 141.212.122.202<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 41.8781 -87.6298<br>
<b>Modbus:</b> Modbus<br>
<b>Description:</b> Modbus service scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/27/2015<br>
<b>IP:</b> 85.25.43.94<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 50.8839, 6.89947<br>
<b>Modbus:</b> SNMP<br>
<b>Description:</b> Gathered system information<br>
<b>Comment:</b> Der "Angreifer" sammelt Informationen über die Existenz der Anlage, aber nichts spezifisches zur Technologie oder Software selber. Hierbei kann es sich auch um eine SCADA-Suche-Maschine wie www.shodanhq.com handeln.
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/27/2015<br>
<b>IP:</b> 82.221.105.7<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 64.1462 -21.9103<br>
<b>Modbus:</b> Modbus<br>
<b>Description:</b> Service scan <br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
http://www.datacentermap.com/iceland/reykjavik/thor-data-center.html
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/28/2015<br>
<b>IP:</b> 184.105.139.67<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 37.4901 -121.931<br>
<b>Modbus:</b> SNMP<br>
<b>Description:</b> Gathered system information. <br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/28/2015<br>
<b>IP:</b> 141.212.121.152<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 41.8781 -87.6298<br>
<b>Modbus:</b> Modbus<br>
<b>Description:</b> Service scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/28/2015<br>
<b>IP:</b> 141.212.122.34<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 41.8781 -87.6298<br>
<b>Modbus:</b> Modbus<br>
<b>Description:</b> Service scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/29/2015<br>
<b>IP:</b> 184.105.139.67<br>
<b>Instance:</b> VPS1<br>
<b>Location:</b> 37.4901 -121.931<br>
<b>Modbus:</b> SNMP<br>
<b>Description:</b> Gathered system information<br>
<b>Comment:</b> Der "Angreifer" sammelt Informationen über die Existenz der Anlage, aber nichts spezifisches zur Technologie oder Software selber. Hierbei kann es sich auch um eine SCADA-Suche-Maschine wie www.shodanhq.com handeln.
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/29/2015<br>
<b>IP:</b> 62.117.80.169<br>
<b>Instance:</b> VPS1<br>
<b>Location:</b> 55.4833 37.5699<br>
<b>Modbus:</b> HTTP<br>
<b>Description:</b> Service scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/29/2015<br>
<b>IP:</b> 141.212.122.50<br>
<b>Instance:</b> VPS1<br>
<b>Location:</b> 42.2923 -83.7145<br>
<b>Modbus:</b> Modbus<br>
<b>Description:</b> Service scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor. Die IP-Nummer war dieses "Angriffs" gehört der "University of Michigan College of Engineering". Die Anfrage, weshalb sie das SCADA-System gescannt hat, ist noch hängig.
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/29/2015<br>
<b>IP:</b> 208.64.252.230<br>
<b>Instance:</b> VPS1<br>
<b>Location:</b> 34.0475, -118.256<br>
<b>Modbus:</b> S7<br>
<b>Description:</b> Service scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/30/2015<br>
<b>IP:</b> 82.221.105.6<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 64.1462 -21.9103<br>
<b>Modbus:</b> S7<br>
<b>Description:</b> Service scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
Advania hf., THOR Data Center ehf
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/30/2015<br>
<b>IP:</b> 141.212.122.50<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 64.1462 -21.9103<br>
<b>Modbus:</b> Modbus<br>
<b>Description:</b> Service scan<br>
<b>Comment:</b> Die Angreifer sucht ab, welche Zugänge in das System offen stehen. In der Regel bereitet ein solcher Scan eine spätere Attacke vor.
THOR Data Center ehf
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 01/30/2015<br>
<b>IP:</b> 184.105.139.67<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 37.4901 -121.931<br>
<b>Modbus:</b> SNMP<br>
<b>Description:</b> Gathered system information<br>
<b>Comment:</b> Der "Angreifer" sammelt Informationen über die Existenz der Anlage, aber nichts Spezifisches zur Technologie oder Software selber. Hierbei kann es sich auch um eine SCADA-Suche-Maschine wie www.shodanhq.com handeln.
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 02/01/2015<br>
<b>IP:</b> 184.105.139.67<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 37.4901 -121.931<br>
<b>Modbus:</b> SNMP<br>
<b>Description:</b> Gathered system information<br>
<b>Comment:</b> Der "Angreifer" sammelt Informationen über die Existenz der Anlage, aber nichts spezifisches zur Technologie oder Software selber. Hierbei kann es sich auch um eine SCADA-Suche-Maschine wie www.shodanhq.com handeln.
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 02/01/2015<br>
<b>IP:</b> 85.25.43.94<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 50.8839 6.89947<br>
<b>Modbus:</b> Modbus<br>
<b>Description:</b> Gathered PLC information<br>
<b>Comment:</b> Dieser Angreifer hat spezifische Informationen zum so genannten PLC gesammelt, den "programmable logic controller". Also Sachen wie Modell-Nummer, Firmware-Version. Dies wird in der Regel gesammelt, um abzuchecken, welche Angriffe auf das System verübt werden können. Eine Übersicht der Schwachstellen der betroffenen Siemens-Software:
https://ics-cert.us-cert.gov/advisories/ICSA-11-223-01A
</div></td> <td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 02/02/2015<br>
<b>IP:</b> 85.25.43.94<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 50.8839 6.89947<br>
<b>Modbus:</b> Modbus<br>
<b>Description:</b> Gathered PLC information<br>
<b>Comment:</b> Dieser Angreifer hat spezifische Informationen zum so genannten PLC gesammelt, den "programmable logic controller". Also Sachen wie Modell-Nummer, Firmware-Version. Dies wird in der Regel gesammelt, um abzuchecken, welche Angriffe auf das System verübt werden können. Eine Übersicht der Schwachstellen der betroffenen Siemens-Software:
https://ics-cert.us-cert.gov/advisories/ICSA-11-223-01A
</div></td></tr> <tr><td><div class="googft-card-view" style="font-family:sans-serif;width:450px;padding:4px;border:1px solid #ccc;overflow:hidden">
<b>Time:</b> 02/03/2015<br>
<b>IP:</b> 104.156.245.52<br>
<b>Instance:</b> NozomiHQ<br>
<b>Location:</b> 25.7891 -80.204<br>
<b>Modbus:</b> SNMP<br>
<b>Description:</b> Gathered system information<br>
<b>Comment:</b> Der "Angreifer" sammelt Informationen über die Existenz der Anlage, aber nichts spezifisches zur Technologie oder Software selber. Hierbei kann es sich auch um eine SCADA-Suche-Maschine wie www.shodanhq.com handeln.
</div></td></tr></table></body></html>