Habe ich eben bei SPON gefunden....
http://www.spiegel.de/netzwelt/web/hacker-mit-manipulierter-scada-industriesteuerung-angelockt-a-914836.html
Find ich noh interessant..!! Vor allem sein "Gegenangriff"!!

Das "ausspionieren"? Ich glaube kaum, dass das über nmap hinausging.

nmap?? Bin ja jetzt leider nicht firm genug in dem Thema das ich Dir folgen kann.

nmap ist der wohl bekannteste Portscanner, den du dir für umme bei nmap.org/ (http://nmap.org/) runterladen kannst. Das Teil bringt mit Zenmap sogar eine graphische Oberfläche mit, die die gängigsten Scanmethoden als Preset bereithält. Das Teil scannt die offenen TCP/IP-Ports des Zielrechners, findet anhand der MAC-Adresse der Netzwerkkarte deren Hersteller heraus und gibt weitere Infos über das Zielsystem, wie z.B. das Betriebssystem usw.

Kannste ja in deinem Heimnetz ausprobieren und einfach von einem Rechner aus einen anderen scannen.

Ahhh, wieder was dazu gelernt.

So wie ich das gelesen habe wurde seine teilweise virtuelle Anlage schon in Richtugn Schaden manipuliert. So zumindest seine Aussage.
Was mich daran etwas wundert ist die Motivationsage. Weil wozu sollte jemand so viel Energie investieren um eine Wasseraufbereitung in irgendeinem Nest in den Staaten zu schädigen. Sowas hebe ich mir doch auf wenn ich das ganze irgendwie gewinnbringend flankiert habe. Oder lasse es als Militärische Waffe in der Schublade.

Was seine Gegenspionage betrifft so gibt er ja an auf den Maschinen der Angreifer Material gefunden zu haben das nicht von ihm sondern von anderen Angegriffenen stammt.

In beiden Fälle gehe ich also mal davon aus das es mehr als ein simpler Portscan war.

Ich glaube nicht, dass da viel Energie investiert wurde. Wenn Du einen FTP- oder WebServer ungeschützt ins Netz hängst (und davon gibt es immer noch ziemlich viele), dann dauert es üblicherweise nicht lange, bis dieser entdeckt und als Zwischenspeicher für Warez etc. genutzt wird.

Wenn der Angreifer den Server komplett übernimmt, scannt er von diesem aus per Script/Software das komplette Internet nach den von Scada genutzten Ports. Wenn diese offen sind, versucht das Script über die bekannten Sicherheitslücken in das Opfersystem einzudringen und gibt gleichzeitig, z.B. über einen Log-Eintrag auf dem übernommenen Rechner eine Rückmeldung an den Angreifer. Bei der Gelegenheit kann es dann auch gleich die besagten Dokumente auf den übernommenen Rechner kopieren.

Der Angreifer würde niemals den Angriff von seinem eigenen Rechner aus durchführen (wäre zumindest ziemlich peinlich für einen "Hacker", weil nachverfolgbar), sondern greift einfach über den übernommenen Rechner auf die geklauten Informationen zu oder nutzt diesen nach Art eines Botnets, um Befehle auf dem Opfersystem auszuführen.

Somit ist die Aussage, dass die Angriffe aus China erfolgten, eher Bullshit. Vielmehr dürften die Angriffe von gekaperten Rechnern mit chinesischen IPs aus stattgefunden haben.

...Was mich daran etwas wundert ist die Motivationsage. ....

Bei vielen ist es sicherlich: Weil sie es können! Nur die wenigsten wissen garnichts damit anzufangen.
Nur ein kleiner Teil macht das wegen des Profits. Ließ dir dazu mal die 285 Erwebsregeln der Ferengi durch. Z.B. Nr. 13, Nr. 14

Gruß
Dirk