Offensive Scenario — Βιομηχανία τροφίμων & ποτών. Σε μια γραμμή εμφιάλωσης,
ένα legacy PLC με εκτεθειμένο Modbus και ένα επίπεδο IT/OT δίκτυο μπορούν να
μετατρέψουν μια απλή δικτυακή πρόσβαση σε διακοπή παραγωγής ή ζήτημα ασφάλειας τροφίμων. Το ερώτημα
για τη διοίκηση: αν κάποιος έφτανε στα PLC, θα το βλέπατε εγκαίρως ή θα σταματούσε η γραμμή πρώτα;

Σημείωση: το παρακάτω σενάριο παρουσιάζεται σε υψηλό, υπεύθυνο επίπεδο. Δεν περιλαμβάνει λειτουργικά payloads ή copy-paste βήματα εκμετάλλευσης. Όλα τα ονόματα, IP, domains και χρήστες είναι ανωνυμοποιημένα εργαστηριακά παραδείγματα (π.χ. contoso.local, 10.10.x.x, CORP-DC01) και αντιστοιχούν σε πραγματικά μοτίβα που έχει συναντήσει η Audax σε ελεγχόμενα έργα υπό NDA.

Executive Summary

Το σενάριο αναπαράγει ελεγχόμενα την έκθεση legacy PLC και Modbus σε βιομηχανία τροφίμων
& ποτών
: συσκευές με firmware σε λήξη υποστήριξης, χωρίς authentication, προσβάσιμες
απευθείας από το εταιρικό δίκτυο. Η Audax το αξιολογεί παθητικά — χωρίς να στέλνει
εντολές σε ζωντανή διεργασία — αποδεικνύοντας την έκθεση, την απουσία διαχωρισμού IT/OT και το κενό
ορατότητας OT στο SIEM.

Το επιχειρησιακό ρίσκο

Για έναν παραγωγό τροφίμων, η διακοπή της γραμμής σημαίνει άμεση οικονομική ζημιά, χαμένες
παρτίδες και συμβατικά πρόστιμα προς το retail. Σοβαρότερα, η αλλοίωση παραμέτρων διεργασίας
(π.χ. θερμοκρασία, δοσομέτρηση, καθαρισμός CIP) μπορεί να γίνει ζήτημα ασφάλειας
τροφίμων
και δημόσιας υγείας, με ανακλήσεις προϊόντων, ευθύνη και πλήγμα στη φήμη της
μάρκας.

Πώς θα μπορούσε να εξελιχθεί ένα αντίστοιχο σενάριο επίθεσης

  1. Remote System Discovery (T0846): χαρτογράφηση PLC και πρωτοκόλλων OT από το
    εταιρικό δίκτυο, λόγω flat network.
  2. Commonly Used Port (T0885): πρόσβαση στο τυπικό Modbus port (502) χωρίς
    authentication.
  3. Monitor Process State (T0801): ανάγνωση κατάστασης της γραμμής εμφιάλωσης.
  4. Impair / Inhibit (T0836/T0881): σε ελεγχόμενο lab, δυνατότητα αλλοίωσης
    setpoints ή στάσης PLC — ποτέ σε ζωντανή γραμμή.
Kali Linux που χαρτογραφεί παθητικά legacy PLC σε γραμμή εμφιάλωσης βιομηχανίας τροφίμων, με εκτεθειμένο Modbus χωρίς authentication και firmware σε λήξη υποστήριξης.
Legacy PLC με Modbus χωρίς authentication, προσβάσιμα από το εταιρικό VLAN: ελεγχόμενη, παθητική χαρτογράφηση έκθεσης OT στη γραμμή παραγωγής.

Το πρόβλημα δεν είναι μόνο το παλιό firmware· είναι το ότι ένας εταιρικός σταθμός μιλάει
απευθείας στο PLC και κανείς δεν το βλέπει:

Windows PowerShell που επιβεβαιώνει απευθείας δικτυακή πρόσβαση από εταιρικό σταθμό προς το Modbus του PLC και απουσία ορατότητας OT στο SIEM.
Απευθείας path IT προς PLC (Modbus 502) και μηδενική ορατότητα OT στο SIEM: τα δύο κρίσιμα ευρήματα του σεναρίου.

Τι δοκιμάζει η Audax ελεγχόμενα

  • Internal / OT-aware penetration testing: παθητική
    χαρτογράφηση PLC, πρωτοκόλλων και μονοπατιών IT→OT χωρίς διατάραξη της παραγωγής.
  • Network penetration testing: επικύρωση
    segmentation, ζωνών και conduits κατά IEC 62443 μεταξύ IT και OT.
  • SOC/SIEM/EDR effectiveness: έλεγχος αν το OT traffic
    (Modbus, σαρώσεις, ασυνήθιστες συνδέσεις) φτάνει και ανιχνεύεται στο SIEM.

Τι πρέπει να ανιχνεύσει το SOC, το SIEM και το EDR

  • σαρώσεις και ασυνήθιστες συνδέσεις προς OT ports (502/102/44818)·
  • cross-zone κίνηση από IT host προς PLC·
  • μη εξουσιοδοτημένα Modbus function codes (write/parameter change)·
  • συσκευές OT με EOL firmware χωρίς authentication·
  • απουσία OT telemetry στο SIEM και ο χρόνος μέχρι το πρώτο alert.
Τακτική (Tactic) ATT&CK ID Τεχνική Τι σημαίνει στο σενάριο
Discovery (ICS) T0846 Remote System Discovery Χαρτογράφηση PLC και πρωτοκόλλων (Modbus) στη γραμμή παραγωγής.
Discovery (ICS) T0885 Commonly Used Port Χρήση τυπικού OT port (502/Modbus) εκτεθειμένου στο IT VLAN.
Collection (ICS) T0801 Monitor Process State Ανάγνωση κατάστασης διεργασίας εμφιάλωσης από το PLC.
Impair Control T0836 Modify Parameter Πιθανή αλλοίωση setpoints (μόνο σε ελεγχόμενο lab, ποτέ σε ζωντανή γραμμή).
Inhibit Response T0881 Service Stop Δυνατότητα διακοπής λειτουργίας PLC και στάσης παραγωγής.
MITRE ATT&CK mapping του σεναρίου (ελεγχόμενη προσομοίωση).

Τι τεχνική απόδειξη παράγεται

Επικυρωμένο μονοπάτι από το εταιρικό δίκτυο έως τα PLC, αποδείξεις έκθεσης (anonymized
screenshots/scan excerpts), τα σημεία όπου η ανίχνευση έπρεπε να ενεργοποιηθεί, αξιολόγηση
σοβαρότητας και αντιστοίχιση με business impact (στάση γραμμής, ασφάλεια τροφίμων). Ενδεικτικοί
δείκτες:

Τύπος Ένδειξη (anonymized) Πλαίσιο ανίχνευσης
Host 10.10.40.31 / 10.10.40.34 Legacy PLC με εκτεθειμένο Modbus.
Port 502/tcp Modbus Προσβάσιμο απευθείας από IT VLAN.
Firmware Rev 2.1 (EOL) Firmware σε λήξη υποστήριξης, χωρίς auth.
Network IT/OT flat VLAN Απουσία ζωνών/conduits κατά IEC 62443.
Gap No OT telemetry in SIEM Κενό ορατότητας και ανίχνευσης OT.
Ενδεικτικοί δείκτες (IOCs) προς ανίχνευση. Όλες οι τιμές είναι ανωνυμοποιημένες εργαστηριακές αναφορές.

Τι παραδίδεται στη διοίκηση

Executive risk summary με έμφαση στη συνέχεια παραγωγής και την ασφάλεια τροφίμων, ιεραρχημένο
remediation roadmap (segmentation IT/OT, OT monitoring, firmware lifecycle, απομάκρυνση default
creds), παρατηρήσεις ωριμότητας ανίχνευσης OT, συσχέτιση με NIS2 και IEC 62443,
και πλάνο retesting.

Πώς μειώνεται ο κίνδυνος

  • διαχωρισμός IT/OT σε ζώνες και conduits (IEC 62443), με firewalls·
  • OT-aware monitoring και προώθηση τηλεμετρίας OT στο SIEM·
  • πρόγραμμα lifecycle για EOL firmware και αφαίρεση default credentials·
  • περιορισμός Modbus write σε εξουσιοδοτημένους engineering σταθμούς·
  • purple teaming για επικύρωση ανίχνευσης OT, και retesting.

Κλείστε Offensive Assessment

Θέλετε να μάθετε αν η άμυνά σας μπορεί να ανιχνεύσει, να καθυστερήσει και να σταματήσει ένα αντίστοιχο σενάριο; Η Audax μπορεί να το δοκιμάσει ελεγχόμενα, τεκμηριωμένα και με καθαρό πλάνο διορθωτικών ενεργειών — από τα αρχικά σημεία εισόδου έως την κρίσιμη επίπτωση, με πλήρη τεχνική απόδειξη και executive report.

Κλείστε Offensive Assessment →

Θέλετε να επικυρώσετε την ασφάλειά σας στην πράξη;

Η Audax αποδεικνύει το ρίσκο με πραγματικά σενάρια επίθεσης — όχι απλώς λίστες ελέγχου.

Ζητήστε δωρεάν αξιολόγηση →