SCADA-системы можно атаковать с помощью лишь четырех строк кода
С наступлением эпохи «Интернета вещей» SCADA-системы по-прежнему производятся без учета кибербезопасности.
Промышленные системы управления могут быть уязвимы не только к атакам удаленных хакеров, но также к локальным и физическим атакам. В ходе прошедшей на прошлой неделе конференции BSides исследователи компании INSINIA продемонстрировали, как с помощью устройства, внедренного в системы предприятия, обнаруживать сети и вносить их в списки, а также управлять контроллерами для остановки производственных процессов. На конференции специалисты представили свой доклад под названием «Hacking SCADA: How We Attacked a Company and Lost them £1.6M with Only 4 Lines of Code» («Взлом SCADA: Как мы атаковали компанию и причинили ей ущерб на 1,6 млн фунтов с помощью лишь четырех строк кода»).
Как пояснил глава компании Майк Годфри (Mike Godfrey) изданию The Register, долгое время автоматизированные системы управления создавались с учетом безопасности, продолжительности срока службы и надежности. Все системы были физически изолированными, поэтому при их проектировании ИБ не учитывалась.
С наступлением эпохи интернета все изменилось. Появился так называемый «Интернет вещей» (IoT), и системы управления стали подключаться к интернету. Тем не менее, SCADA-системы по-прежнему производятся без учета требований кибербезопасности, сообщают эксперты. В результате SCADA-системы изобилуют такими уязвимостями, как неизменяемые учетные данные и отсутствие шифрования.
Что еще хуже, большинство систем работают под управление устаревших или неподдерживаемых версий Windows. Наиболее распространенной является Windows 7, однако до сих пор существуют системы, работающие на базе Windows 98. Терминалы под управлением Windows 98 уязвимы к одному из старейших хакерских инструментов Back Orifice из 1990-х годов.
Специалисты INSINIA разработали устройство, способное автоматически сканировать сети и отключать их компоненты. Устройство представляет собой вредоносный микроконтроллер Arduino и внешне не отличается от обычного ПЛК. Если его физически внедрить в атакуемую среду, оно быстро подсчитает число сетей и отправит команду «стоп». По словам Годфри, устройство способно «убить производственные процессы с помощью лишь четырех строк кода». В случае подобной атаки простой сброс настроек не поможет, и атакуемая среда будет отключаться снова и снова, отметил эксперт.
Back Orifice – троян для удаленного доступа, созданный хакерской группировкой Cult of the Dead Cow в 1998 году. Троян создан на основе клиент-серверной архитектуры и предназначен для удаленного контроля над компьютером под управлением Windows 95/Windows 98. Позволяет получать доступ к файлам на компьютере жертвы без ее ведома, запускать и останавливать процессы, перехватывать нажатия клавиш клавиатуры и просматривать образ экрана.