← Tüm Yazılar
KAMPANYA MEDIUM 20 Nisan 2026

ConPot 14 Kat Patladı: ICS/SCADA Taramada Yeni Dalga

7 günlük baseline'da 21 event'e sahip olan ConPot pot'umuz, 13-17 Nisan 5 günlük pencerede 300 event topladı — 14 kat artış. DigitalOcean çıkışlı iki IP (139.59.181.152, 146.190.145.217) düzenli Siemens S7, Modbus, IPMI ve WinRM taraması yapıyor. Censys/Shodan profili yok — araştırma dışı operatör imzası.

📅Veri dönemi: 13–17 Nisan 2026 · OPSEC-filtreli · 5 günlük pencere

Özet

14xConPot artış oranı
3005G ConPot event
217G baseline (karşılaştırma)
2DO çıkışlı aktif tarayıcı

ConPot, endüstriyel kontrol sistemleri (ICS) protokollerini (Modbus, BACnet, EtherNet/IP, S7comm, IEC-104) taklit eden bir high-interaction honeypot’tur. Normal bir internet pot’unda ConPot hit’i düşüktür: ICS taraması yapan aktörler az, OT/ICS hedefler özelleşmiştir.

Son 5 gün tabloyu bozdu. Baseline’ımızda 7 günde 21 event toplayan pot, 5 günde 300 event gördü — 14 kat artış, istatistiksel anomalidir değil, kampanya sinyalidir.

Aktif ConPot Tarayıcıları

Kaynak IP5G HitServis/ASNProfil
139.59.181.15242DigitalOceanAktif — Shodan/Censys profili yok
146.190.145.21742DigitalOceanAktif — Shodan/Censys profili yok
147.185.132.19518Muhtemelen araştırma
198.235.24.3818CensysOnaylı araştırma
205.210.31.20618Araştırma scanner

DigitalOcean Çift-IP Dikkat Çekiyor

139.59.181.152 ve 146.190.145.217 — her ikisi de DigitalOcean droplet, her ikisi de aynı hacmi (42 hit) tarıyor, her ikisinin de Shodan/Censys fingerprint’i yok. Bu üç koşulun birlikte gelmesi şansa bağlı değildir.

Yorum: Onaylı güvenlik araştırma operatörleri (Censys, Shodan, Project Sonar vb.) public fingerprint’ler oluşturur ve IP’leri araştırma kategorisine girer. Profil yokluğu + düzenli tarama = ya bu operatör kendi araştırma altyapısını gizlemek istiyor, ya da araştırma değil aktif keşif yapıyor.

İki DO droplet’in tandem çalışması bir kampanya operatörünün C2-from-VPS deseni olma ihtimalini artırıyor — tek IP ban yedi yedikten sonra ikinci IP devrede kalır.

Glutton ICS Port Hitleri (Tamamlayıcı Veri)

Glutton pot’umuz aynı pencerede çeşitli ICS/OT portlarında etkinlik kaydetti. Port dağılımı:

PortProtokol5G Hit
8728MikroTik RouterOS API324
9000SolarWinds / Hadoop89
102Siemens S7comm82
2375Docker API69
8291MikroTik Winbox62
5985Windows Remote Management (WinRM)62
623IPMI28
502Modbus26
161SNMP26
44818EtherNet/IP0
47808BACnet0
2404IEC-1040

Kombinasyon Okuması

Port setinin bileşimi önemlidir. Şu karışım dikkat çekiyor:

  • S7 (102) + Modbus (502) → PLC/kontrolcü katmanı
  • IPMI (623) → Sunucu out-of-band yönetimi
  • WinRM (5985) → Windows admin
  • Docker API (2375) → Konteyner orchestrasyonu

Bu bir saf ICS taraması değil, bir OT ağı içinde IT+OT karma hedefleme profili. Bir endüstriyel üretim ağında şu katmanlar aynı anda tarayan bir aktör:

  1. PLC/kontrolcü (Siemens S7, Modbus)
  2. Sunucu/ağ yönetimi (IPMI, WinRM)
  3. Orchestrasyon (Docker, Kubernetes açık port’ları)
  4. Router (MikroTik, aynı ağda gateway)

Bu bir hazır kampanya imzası değil — klasik Stuxnet tarzı S7-only taramasından farklı. Modern bir aktörün fabrika ağ katmanlarını birden tanıma denemesidir.

Kör Nokta: EtherNet/IP, BACnet, IEC-104

Glutton’da aşağıdaki üç ICS protokol port’unda 0 event görüldü:

  • 44818 — EtherNet/IP (Rockwell/Allen-Bradley PLC’leri)
  • 47808 — BACnet (bina otomasyon: HVAC, ışıklandırma)
  • 2404 — IEC-104 (Avrupa elektrik/enerji sistemleri)

İki yorum:

  1. Aktör bu protokolleri tarama listesine koymamış — Siemens + Modbus ağırlıklı
  2. Glutton bu port’larda response üretmediği için saldırgan hızlıca bırakıyor — pot fingerprinting

İkinci ihtimal için ConPot’un bu port’ları tam emüle edip etmediği kontrol edilmeli. Yapılandırma zayıfsa, Glutton’a oynayıp ConPot’a oynamamak fingerprint-kaçınma davranışı olabilir.

Aksiyonlar

ICS/OT Operatörleri İçin

  • Public IP’de ICS portları = ban risk. S7 (102), Modbus (502) internete açık tutulmamalı — VPN/firewall arkasında
  • MikroTik API (8728) + Winbox (8291) kombinasyonu yüksek hit ile taranıyor; MikroTik cihazlarda bu portları izole et
  • WinRM (5985) + IPMI (623) kurumsal OT-IT karması: out-of-band management ağları air-gap olmalı

Ağ Güvenliği İçin

  • DigitalOcean 139.59.181.152 ve 146.190.145.217 IP’lerini izle/engelle — aktif ICS scanner
  • Önceki MikroTik API brute yazısı ile birlikte okunmalı — bu kampanya 8728 port’unu 324 hit ile hâlâ dominant tutuyor

Metoloji

  • Potlar: ConPot (ICS emülasyon), Glutton (multi-protocol TCP, ICS port’ları dahil)
  • Veri dönemi: 13-17 Nis 2026 (5 gün)
  • Baseline: 7 günlük T-Pot Hive toplamı (6-12 Nisan)
  • OPSEC filtresi: Kendi altyapı IP’leri, RFC1918, CGNAT, BTK subnet hariç

Tellal tehdit-istihbarat bülten serisi. Sonraki ele alınacak bölümler: Weekly Briefing 13-17 Nis tam özeti, DoublePulsar TR coğrafyası detayı.