Offensive Scenario — Λιμενικές υποδομές. Σε μια λιμενική αρχή, οι γερανοί, τα
RTG και τα συστήματα τερματικού είναι OT/SCADA: μια διακοπή δεν είναι IT συμβάν, είναι
ακινητοποίηση της διακίνησης φορτίων. Όταν τα OT SCADA σε λιμάνι είναι προσβάσιμα
από το IT δίκτυο μέσω ενός engineering jump host, ο κίνδυνος γίνεται φυσικός και οικονομικός. Το
ερώτημα για τη διοίκηση: θα εντοπίζατε την κίνηση προς τα συστήματα γερανών πριν επηρεαστεί
η λειτουργία;

Σημείωση: το παρακάτω σενάριο παρουσιάζεται σε υψηλό, υπεύθυνο επίπεδο. Δεν περιλαμβάνει λειτουργικά payloads ή copy-paste βήματα εκμετάλλευσης. Όλα τα ονόματα, IP, domains και χρήστες είναι ανωνυμοποιημένα εργαστηριακά παραδείγματα (π.χ. contoso.local, 10.10.x.x, CORP-DC01) και αντιστοιχούν σε πραγματικά μοτίβα που έχει συναντήσει η Audax σε ελεγχόμενα έργα υπό NDA.

Executive Summary

Το σενάριο δείχνει πώς μια αδύναμη IT/OT segmentation εκθέτει τα OT SCADA σε λιμάνι:
controllers γερανών και τερματικών γίνονται προσβάσιμοι από το IT segment μέσω ενός internet-facing
jump host. Η Audax το αναπαράγει ελεγχόμενα και υπεύθυνα (χωρίς ενεργό exploitation σε ζωντανά OT
συστήματα) για να αποδειχθεί αν το SOC/OT monitoring βλέπει τη διαδρομή — και πόσο γρήγορα.

Το επιχειρησιακό ρίσκο

Για μια λιμενική αρχή, η διαταραχή OT σημαίνει ακινητοποίηση τερματικού, καθυστερήσεις πλοίων με
συμβατικές ρήτρες, κίνδυνο φυσικής ασφάλειας, οικονομική ζημιά και υποχρεώσεις
NIS2/ISPS. Πρόκειται για κρίσιμη υποδομή — η επίπτωση ξεπερνά το ίδιο το λιμάνι και
αγγίζει την εφοδιαστική αλυσίδα.

Πώς θα μπορούσε να εξελιχθεί ένα αντίστοιχο σενάριο επίθεσης

  1. Internet Accessible Device (T0883): ένας engineering/jump host είναι
    προσβάσιμος από το Internet, με αδύναμο έλεγχο πρόσβασης.
  2. IT→OT pivot: λόγω απουσίας segmentation, το IT segment «βλέπει» OT controllers
    (Modbus/S7/EtherNet-IP).
  3. Exploitation of Remote Services (T0866): πρόσβαση σε controllers γερανών/RTG.
  4. Impact (T0814/T0828): πιθανή διαταραχή διαθεσιμότητας — ακινητοποίηση
    τερματικού.
Kali Linux nmap που εντοπίζει OT πρωτόκολλα (Modbus, S7, EtherNet/IP) γερανών και τερματικών σε λιμενική αρχή, προσβάσιμα από το IT segment.
Modbus, S7 και EtherNet/IP γερανών προσβάσιμα από το IT segment, με internet-facing jump host: ελεγχόμενη OT αποτύπωση.

Η κρίσιμη απόδειξη είναι η ίδια η δρομολόγηση από το IT προς το OT segment:

Windows PowerShell που επιβεβαιώνει άμεση δρομολόγηση από IT workstation προς το OT segment γερανών λιμένα, χωρίς firewall enforcement.
Άμεσο route IT προς OT και engineering jump host χωρίς MFA: η γέφυρα προς τα συστήματα γερανών.

Τι δοκιμάζει η Audax ελεγχόμενα

Τι πρέπει να ανιχνεύσει το SOC, το SIEM και το EDR

  • κίνηση από IT hosts προς OT πρωτόκολλα (Modbus/S7/EtherNet-IP)·
  • συνδέσεις προς τον engineering/jump host από ασυνήθιστες πηγές·
  • απαρίθμηση OT δικτύου (network connection enumeration)·
  • χρήση κοινών λογαριασμών χωρίς MFA στο engineering access·
  • συσχέτιση IT + OT monitoring και ο χρόνος μέχρι το πρώτο alert.
Τακτική (Tactic) ATT&CK ID Τεχνική Τι σημαίνει στο σενάριο
Initial Access (ICS) T0883 Internet Accessible Device Engineering/jump host προσβάσιμο από το Internet.
Lateral Movement (ICS) T0866 Exploitation of Remote Services Πρόσβαση σε OT controllers από το IT segment.
Discovery (ICS) T0840 Network Connection Enumeration Απαρίθμηση OT πρωτοκόλλων (Modbus/S7/EtherNet-IP).
Inhibit Response T0814 Denial of Service Πιθανή διαταραχή λειτουργίας γερανών/τερματικών.
Impact (ICS) T0828 Loss of Productivity and Revenue Ακινητοποίηση τερματικού — διακοπή διακίνησης φορτίων.
MITRE ATT&CK mapping του σεναρίου (ελεγχόμενη προσομοίωση).

Τι τεχνική απόδειξη παράγεται

Επικυρωμένη IT→OT διαδρομή με anonymized αποδείξεις reachability, χάρτη έκθεσης OT controllers,
detection gaps στο IT/OT monitoring, αξιολόγηση σοβαρότητας με έμφαση σε ασφάλεια/διαθεσιμότητα και
business impact mapping. Ενδεικτικοί δείκτες:

Τύπος Ένδειξη (anonymized) Πλαίσιο ανίχνευσης
Service 10.10.80.30:502 (Modbus) Crane PLC προσβάσιμο από IT segment.
Host Engineering jump host (internet-facing) Σημείο εισόδου προς OT.
Route IT -> OT χωρίς firewall enforcement Απουσία IT/OT segmentation.
Auth Κοινός λογαριασμός, χωρίς MFA Αδύναμος έλεγχος engineering access.
Behavior IT workstation -> OT port 502 Ασυνήθιστη πρόσβαση σε OT πρωτόκολλα.
Ενδεικτικοί δείκτες (IOCs) προς ανίχνευση. Όλες οι τιμές είναι ανωνυμοποιημένες εργαστηριακές αναφορές.

Τι παραδίδεται στη διοίκηση

Executive summary με λειτουργικό/φυσικό ρίσκο, ιεραρχημένο remediation roadmap (IT/OT
segmentation, secure remote access, OT monitoring), παρατηρήσεις ανίχνευσης, συσχέτιση με
NIS2/ISPS και πλάνο retesting.

Πώς μειώνεται ο κίνδυνος

  • αυστηρή IT/OT segmentation (Purdue model) και firewall enforcement·
  • secure remote access για engineering (jump host με MFA, brokered access)·
  • OT-aware monitoring και ανίχνευση ανωμαλιών σε OT πρωτόκολλα·
  • purple teaming σε σενάρια IT→OT και retesting μετά τη διόρθωση·
  • τακτικές ασκήσεις αποκατάστασης για κρίσιμες λειτουργίες τερματικού.

Κλείστε Offensive Assessment

Θέλετε να μάθετε αν η άμυνά σας μπορεί να ανιχνεύσει, να καθυστερήσει και να σταματήσει ένα αντίστοιχο σενάριο; Η Audax μπορεί να το δοκιμάσει ελεγχόμενα, τεκμηριωμένα και με καθαρό πλάνο διορθωτικών ενεργειών — από τα αρχικά σημεία εισόδου έως την κρίσιμη επίπτωση, με πλήρη τεχνική απόδειξη και executive report.

Κλείστε Offensive Assessment →