Aktiv sensor
Öppen forskning · passiv observation · OT/ICS-säkerhet

Vad letar angripare
efter på internet?

OT·Watch är ett passivt mätsystem som emulerar industriella styrsystem, nätverkskameror, VPN-portaler och DevOps-tjänster, för att studera hur internet skannar efter dessa mål. All statistik är aggregerad och anonym.

01
Vad är detta?

Ett honeypot är ett system som låtsas vara något det inte är. Här emuleras industriella styrsystem (SCADA/ICS), byggautomation (BMS), nätverkskameror, VPN-portaler och DevOps-verktyg. Inget riktigt innehåll finns att kompromettera. Syftet är uteslutande att observera och mäta.

Internet skannas konstant av automatiserade verktyg som Masscan och Shodan. Det är förväntad bakgrundstrafik och filtreras bort. Det intressanta är trafiken som avviker: en aktör som söker efter svenska OT-termer, som följer robots.txt-direktiv till dolda sökvägar, eller som provar inloggningsuppgifter anpassade till det emulerade systemets faktiska format. Det beteendet kräver domänkunskap eller ett specialiserat skanningsverktyg. Den distinktionen är det systemet är konstruerat för att fånga och dokumentera.

Systemet registrerar förfrågningsmetadata och interaktionsmönster passivt. Inga giltiga inloggningar existerar, och alla försök misslyckas med realistiska felmeddelanden.

Passiv observation
Systemet scannar ingenting aktivt. Det svarar bara på inkommande förfrågningar och registrerar dem.
Ingen riktig data
Alla tjänster är emulerade. Inga riktiga lösenord, inga processvärden, ingen kameraström.
Aggregerad statistik
Publikt visas bara aggregerade siffror. Inga IP-adresser i klartext exponeras öppet.
OT/ICS-fokus
Speciellt intresse för industriella system (SCADA, BMS, Modbus) som sällan syns i vanliga honeypot-rapporter.
02
Varför?

OT-system är underrepresenterade i öppen forskning

De flesta honeypot-projekt fokuserar på SSH-brute force, WordPress-skanningar eller generiska webbsårbarheter. Industriella styrsystem, de som styr kraftverk, vattenreningsverk och byggautomation, syns sällan i öppen forskning, trots att de är en växande angreppsyta.

Empirisk mätansats

Istället för att utgå från antaganden besvaras frågan empiriskt: vilka tjänster lockar flest träffar? Varifrån kommer trafiken? Används generiska scan-verktyg som Masscan och python-requests, eller mer målinriktade verktyg?

Svenska kontra engelska endpoints

En testbar hypotes: attraherar se/scada/ och se/kraft/ andra typer av scannrar än en/scada/? Riktar sig några mot specifikt nordiska OT-system?

Inriktning mot svensk samhällsviktig verksamhet

Projektets taxonomi är utformad för att spegla de systemtyper och protokoll som förekommer inom svensk samhällsviktig verksamhet, i den mening som avses i säkerhetsskyddslagen (2018:585) och MSB:s sektorsindelning. Det innebär att honeypoten emulerar tjänster som är karakteristiska för energiförsörjning, vattenförsörjning, fastighets- och byggnadssystem, civilt försvar och transportsektorn, snarare än generisk IT-infrastruktur. Exponering av drift- och styrsystem mot internet bedöms utgöra en angreppsyta som sällan dokumenteras i öppen forskning, och det är just denna lucka projektet försöker belysa.

Projektet är ett personligt forskningsprojekt utan koppling till någon organisation. Data används uteslutande för att förstå hotbilden mot OT/ICS-exponerade system.
03
Tillämpningsområde

Statistiken är primärt relevant för organisationer inom samhällskritisk infrastruktur: energi, vatten, transport, telekommunikation och sjukvård, som exponerar OT- eller nätverkstjänster mot internet.

Data täcker vilka tjänster som skannas, vilka credential-mönster som provas mot OT-gränssnitt och hur skanningsbeteendet varierar geografiskt och över tid. Projektet är inget threat intelligence-flöde; det är ett öppet mätinstrument med begränsat scope och ett specifikt fokus på OT-angreppsytan.

Energi & elnät
Elbolag, kraftproduktion och elnätsoperatörer. Data täcker SCADA- och BMS-exponering mot externa scannrar, inklusive endpoint-mönster och svarsbeteende.
VA & samhällsteknik
Vatten, avlopp och fjärrvärme. OT-system inom VA-sektorn förekommer bland de mer frekvent skannade kategorierna i insamlad data.
SOC & säkerhetsteam
Kompletterande data om OT-exponering. Täcker endpoint-mönster, user-agents och credential-kombinationer från aktiva skanningar mot industriella tjänster.
CERT & myndigheter
Aggregerade trender för OT-hotbild på nationell nivå. Rådata-export och teknisk samverkan är möjlig via kontaktformuläret.
OT·Watch är ett passivt, oberoende mätprojekt utan koppling till myndighet eller kommersiell aktör. Data är öppen. Hänvisning uppskattas vid publicering av analyser baserade på materialet.
03b
Observerade beteendemönster

Baserat på insamlad HTTP-trafik kan scanning kategoriseras i fem distinkta beteendetyper. Fördelningen nedan avser HTTP-trafik Q1 2026, exklusive TCP-portprober.

BeteendetypAndelBeskrivning
Automatiserad48 %Automatiserade verktyg utan känd scanner-signatur
Manuell / webbläsarliknande31 %Webbläsarbeteende utan scanner-UA (manuell reconnaissance eller avancerade bots)
Sårbarhetsskanning14 %Aktiva CVE-specifika sökvägar och exploit-prober
Känd scanner-IP4 %Shodan, Censys, Rapid7, BinaryEdge m.fl.
Credential-angrepp3 %Aktiva inloggningsförsök mot emulerade OT-tjänster

Andelen manuell/webbläsarliknande trafik (31 %) är ovanligt hög för ett honeypot-system. Det indikerar antingen att lure-designen är tillräckligt realistisk för att involvera manuella aktörer, eller att väldesignade bots aktivt emulerar webbläsarbeteende för att undvika UA-baserad filtrering.

Det starkaste beteendet som observerats är kombinationen webbläsarbeteende + fiberterminologi + aktiv bruteforce mot fiber-kategorin, utan någon känd scanner-signatur. Beteendet är konsistent med en manuell aktör med specifik kunskap om telekommunikationsinfrastruktur.

04
Teknisk arkitektur

Systemet är avsiktligt enkelt, med fokus på pålitlig datainsamling utan överkomplexitet.

index.php
Entry point, rate-limit, cookie
router.php
URL till endpoint-nyckel och kategori
classifier.php
32 attack-taggar, känd scanner-IP
logger.php
Skriver raw + enriched, krypterar credentials
geoip.php
Land, ISP, ASN, hostingtyp
ui/*.php
Vendor-specifik HTML-respons

Taxonomi

Varje endpoint tilldelas en kategori ur en kanonisk lista:

vpncamera process_scadautilities_scada credentialdevops router_infrafile_access bmsgeneric_web fiber_resiliencecivil_preparedness access_control

Emulerade tjänster (urval)

Axis P32 kameraSiemens Desigo CC Prometheus /metricsFortiGate SSL-VPN BMS-portalGitLab Svensk elnät-SCADADirectory listing PortainerGrafana Fiber-nätverksnod (ODF)Palo Alto GlobalProtect Rockwell FactoryTalkSchneider EcoStruxure Cisco ASA
Backend
PHP 8.4
Databas
MariaDB 11.8
Frontend
Vanilla JS
Geo-data
IP-API + ASN-klassificering
Webbserver
nginx + PHP-FPM (dedikerad pool)
Pipeline
14 systemd-workers: aktörsanalys, kampanjdetektion, GeoIP gap-fill, veckorapport
05
Hur lockas besökare in?

Varje emulerad tjänst är utformad för att vara tekniskt trovärdig, anpassad för den aktör eller det verktyg som aktivt söker efter just den produkttypen. Nedan beskrivs de mekanismer som gör honeypoten svår att skilja från ett riktigt system.

Vendor-specifika HTTP-signaturer

Varje portal svarar med HTTP-headers som exakt matchar det emulerade systemets verkliga signaturer. Verktyg som whatweb och wappalyzer ger "korrekt" produktsvar: en scanner som identifierar "Niagara 4.13" fortsätter med Niagara-specifika payloads.

Produkt / PortalServer-headerSession-cookie
Inductive Automation IgnitionJetty(9.4.51.v20230217)JSESSIONID
Emerson DeltaV DCSMicrosoft-IIS/10.0ASP.NET_SessionId
Tridium Niagaraniagara/4.13.3.4niagara_id
Johnson Controls MetasysApache-Coyote/1.1JSESSIONID
Schneider EcoStruxureMicrosoft-IIS/8.5ASP.NET_SessionId
Fortinet FortiGate SSL-VPNxxxxxxxx-HTTPSSVPNCOOKIE
Palo Alto GlobalProtectPAN-OSGPCS
Cisco ASA AnyConnectApachewebvpnlogin=1
Check Point Quantum VPNCheck Point SVN foundationCPCVPN_SESSION
Citrix ADC / NetScaler GatewayApacheNSC_AAAC
F5 BIG-IP APMBigIPMRHSession + F5_fullWT
FiberOps transmissionsnätnginx/1.20.2

IE-kompatibilitetstaggar (X-UA-Compatible: IE=EmulateIE11) sätts för system som faktiskt kräver det. HTML-kommentarer och CSS-klasser i källkoden speglar de riktiga produkternas URL-strukturer, ett detalj som stärker trovärdigheten vid source-granskning.

Progressiva inloggningstider och engagemangsfällor

Inloggningsknapparna har JavaScript-interceptors som simulerar LDAP-autentisering mot en backend-kontroller, med totalt 2 till 7 sekunder per försök, exakt vad man förväntar sig av ett riktigt nätverkssystem.

FörsökServerfördröjningFelmeddelande
10 s + 80–380 ms jitter"Authentication failed. Please contact your system administrator."
22 s + jitter"Repeated failures may result in account lockout."
3 (admin-konto)3 s + jitter"Administrator account requires multi-factor authentication."
≥ 45 s + jitterKontolåsning. "This incident has been reported."

Med 5 % sannolikhet vid försök ≥ 4 visas ett "read-only stub": sessionen verkar upprättad med Viewer-roll. Det förlänger aktörens engagemang och avslöjar vad de försöker göra med "åtkomsten". Statuskortar (Service Load, Active Alerts) är deterministiskt beräknade med crc32(endpoint + timme) som seed, vilket gör dem konsekventa utan en faktisk bakprocess.

Passiva discovery-mekanismer

Vissa lockbeten är utformade för att upptäckas via vanliga rekognoseringsmönster. En aktör som hittar och besöker dessa resurser har antingen domänkunskap om sektorn eller ett specialiserat skanningsverktyg. Det är en stark indikation på aktiv infrastrukturspaning snarare än passiv bakgrundstrafik.

Canary tokens i nedladdningsbara dokument

Dokument märkta "KONFIDENTIELL" kan laddas ner som äkta .docx- och .xlsx-filer. De byggs i realtid som valida Office Open XML-dokument med ett unikt tracking-token inbäddat som hyperlänk. Om aktören öppnar filen på en annan maskin beaconer den tillbaka. Det avslöjar:

  • Nedladdnings-IP kontra öppnings-IP (nätverksbyte / VPN-rotation)
  • Tidsfördröjning: snabb öppning tyder på opportunistisk aktör, fördröjd öppning på mer sofistikerad
  • Om filen delas vidare och öppnas från flera maskiner i ett angriparnätverk
ops_session-cookie och aktörskorrelation

Varje besökare tilldelas en ops_session-cookie: sha256(ip + datum + random), stabil per IP och dygn. Vid loggning används den för aktörskorrelation:

  • En aktör som returnerar med sin cookie identifieras som återvändande aktör
  • En cookie returnerad från ett nytt IP-prefix tyder på trolig VPN-rotation.
  • Kompletterande fingeravtryck: actor_id = sha256(IP + UA + floor(tid/86400)), dagsstabilt och tåligt mot portbyte och minor header-variation

Tor-exitnoder detekteras via löpande hämtning mot dan.me.uk/torlist (6h-cache). Residential + high_signal är en stark kombination: privatpersoner söker sällan på dämpningsprotokoll mot transmissionsnäts-portaler.

Emulerade tjänster: komplett lista
VPN & fjärråtkomst
Fortinet FortiGate SSL-VPNPalo Alto GlobalProtect Cisco ASA AnyConnectCheck Point Quantum Citrix ADC / NetScalerF5 BIG-IP APM Ivanti Pulse Secure
SCADA / DCS / Processautomation
Inductive Automation IgnitionEmerson DeltaV Rockwell FactoryTalk ViewHoneywell Experion PKS Yokogawa CENTUM VPABB Ability Symphony Siemens S7 / TIA PortalSvensk elnät-SCADA
Fastighetsautomation (BMS)
Siemens Desigo CCTridium Niagara Johnson Controls MetasysSchneider EcoStruxure Delta Controls enteliWEB
Fibernät & telekommunikation
FiberOps: nodöversikt (ODF)Transmissionsnät / DWDM Redundansring-portalNOC / driftcentral Nätövervakning (Grafana, Zabbix)OTDR-portal OSS / BSS-portal
Civil beredskap
Beredskapsplan-portal (SV/EN)Krisledning / Emergency Ops Totalförsvar / Civil DefenceKontinuitetsplanering
Passersystem, larm & kameraövervakning
Aptus / ARXASSA ABLOY Aperio ASSA CLIQTraka nyckelhantering Vanderbilt SPCBosch Omnis Axis Camera StationMilestone XProtect
Kraft, reservkraft & mätning
APC SmartUPS / Eaton / Liebert DeepSea / DEIF generatorkontroller Kamstrup / Aidon elmätare
DevOps & nätverksinfrastruktur
GitLabPortainer Prometheus /metricsGrafana Directory listing
Dokument-lockbeten (decoy files)

Driftdokument, konfigurationsfiler och autentiseringsrelaterade filer med namn hämtade från OT- och telekomsektorns nomenklatur.

06
Vanliga frågor
Loggas min IP-adress?
Ja. IP-adressen loggas internt för att filtrera bort brus (kända research-scanners som Shodan, Censys). På den publika statistiksidan exponeras aldrig IP-adresser i klartext; de trunkeras till de två första oktetterna (185.220.×××.×××). Loggarna gallras efter 90 dagar.
Kan man "hacka" systemet?
Det finns inget att kompromettera. Alla inloggningsformulär returnerar autentiseringsfel, inga riktiga credentials accepteras, och ingen känslig data finns lagrad bakom dem. Systemet är designat för att se realistiskt ut, inte för att faktiskt vara en fungerande tjänst.
Är det lagligt?
Ja. Honeypots är ett etablerat och lagligt säkerhetsforskningsverktyg. Systemet lurar inte och stjäl inte data från besökarna. Det registrerar bara vad de frivilligt skickar till en publik adress. Det är juridiskt likvärdigt med vanliga webbserver-access-loggar.
Säkerhetsforskare: möjligt att bli vit-listad?
Whitelistning är möjlig. IP-rangen skickas via kontaktformuläret och exkluderas från statistiken. Kända research-aktörer (Shodan, Censys, GreyNoise good-tier) filtreras redan automatiskt.
Hur ofta uppdateras statistiken?
Publika aggregat räknas om en gång per dygn (02:00 UTC) via ett cron-jobb. Realtidsdata för senaste aktivitet hämtas var 30:e sekund via det live-flöde som visas på statistiksidan.
07
Bidra med idéer

Förslag på nya emuleringsobjekt, förbättrade svar eller alternativa klassificeringsmetoder kan skickas in via kontaktformuläret. Teknisk precision och källhänvisning (Shodan-banner, spec-dokument, egen enhet) ökar sannolikheten för implementation.

Idéer granskas manuellt. Inte alla förslag implementeras.

Önskelista

Modbus TCP-emulator
svarar med giltiga Modbus-frames
Rockwell FactoryTalk View
klar: login-UI med SCADA-klassificering
Schneider Electric EcoStruxure
klar: BMS/energi-portal med nordisk emulering
Kubernetes dashboard
k8s-dashboards skannas aktivt i access-loggar
DNP3-djupemulering
protokollet syns i insamlad data, djupare emulering planeras
EtherNet/IP-emulering
protokollet syns i scan-data och är logisk nästa industriprotokoll
ASN/ISP-lookup i aktörtabellen
synliggör botnät kontra riktade aktörer via extern enrichning
Alert-webhook vid ovanlig aktivitet
notis vid hög aktivitetstoppar eller första scan av ny tjänst
Extern synlighetsvalidering
automatisk kontroll att exponerade tjänster klassas korrekt externt
Prometheus /metrics endpoint
klar: deterministisk pseudo-slumpad output
Stateful login UI med POST-handlers
klar: alla formulär returnerar realistiska svar

Idémallar

MALL: Ny endpoint att emulera kopiera
Tjänst: [Produktnamn, t.ex. "Honeywell Experion PKS"] Kategori: [process_scada / vpn / camera / bms / devops / annat] URL-mönster: [t.ex. /experion/login] Server-header: [t.ex. "Microsoft-IIS/8.5" (om känt)] Typisk scanner: [Masscan / Shodan / riktad / okänt] Motivering: [Varför är just denna tjänst intressant?] Referens: [Shodan-query, CVE, artikel (om tillgängligt)]
MALL: Förbättrat svar / headers kopiera
Endpoint: [t.ex. en/axis/login] Problem: [Vad är fel eller orealistiskt i nuvarande respons?] Förväntat: [Vad ska en riktig enhet svara? Headers, body, cookies?] Källa: [Shodan-banner / egen enhet / spec-dokument?]
MALL: Statistik / analysidé kopiera
Idé: [Vad vill du se visualiserat eller analyserat?] Datakälla: [Befintliga kolumner, eller kräver ny loggning?] Värde: [Vad tillförs som inte redan mäts?]
08
Kontakt
Formuläret skickas till en server-konfigurerad adress. Ingen e-postadress finns i sidans källkod. Uppge din e-post om du vill ha svar, annars behandlas meddelandet anonymt.
Behandlas manuellt
Max 3 meddelanden / dag per IP
Meddelande mottaget
Hanteras manuellt. Svar ges om möjlighet finns.
OT·WATCH · Passiv forskning · Ingen aktiv scanning · Data anonymiseras Statistik  ·  Tillbaka till toppen