Security Week 52: цифровой вандализм в промышленных системах

Security Week 52: цифровой вандализм в промышленных системах
d56703c2430c2526142011ed67722cd4.jpeg

На прошлой неделе издание DarkReading опубликовало показательный кейс о безопасности промышленных IT-систем. К сожалению, ни в статье издания, ни в оригинальном посте исследователей почти не приводится технических деталей. Тем не менее данная история все же представляет интерес, потому что это достаточно редкий (к счастью) задокументированный случай деструктивной атаки на специализированные системы, конкретно — на систему автоматизированного управления зданием (building automation system).
Представители компании Limes Security описывают атаку на систему «умного дома» в Германии, произошедшую в октябре этого года. В промышленной системе управления в офисном здании использовались устройства, работающие по стандарту KNX . У них есть одна интересная особенность, которой воспользовались злоумышленники: отдельные контроллеры можно защитить паролем. Пароль изначально не используется, но может быть установлен удаленно. Если вы забыли пароль, конфигурацию устройства невозможно поменять, и решить это можно только отправкой контроллера обратно производителю. Неизвестные атакующие, получив доступ к внутренней сети управляющей зданием организации, установили пароль на несколько сотен устройств, таким образом сделав всю систему «умного дома» неработоспособной.

Так называемый BCU Key (bus-coupling unit key) в устройствах KNX делает невозможным изменение конфигурации контроллера без ввода пароля. Атакующие явно знали, как работают такие устройства, поэтому пострадавшие контроллеры сначала были отключены от общей сети, а затем уже на них был установлен пароль. Производитель устройств смог предложить только полную замену устройств с демонтажом, что в масштабах одного здания обошлось бы оператору примерно в 100 000 евро. Тем временем здание пришлось в авральном порядке переводить на ручное управление, так как автоматические выключатели света, жалюзи, замки и подобные устройства перестали работать.

Пострадавшая организация в результате вышла на Limes Security благодаря работе , опубликованной в 2017 году одним из экспертов компании. Там он рассказывает как раз о возможных атаках на промышленные системы «умного дома» с несколько менее реалистичными сценариями, вроде «злоумышленник перед кражей драгоценностей из офиса выключает свет в коридоре, чтобы не попасть в объектив камеры наблюдения». Исследователи получили несколько пострадавших устройств и быстро выяснили, что просто так вернуть «запароленный» девайс в исходное состояние не получится. Брутфорс пароля занял бы много недель из-за крайне медленного железа. Именно здесь хотелось бы увидеть больше технических деталей, но известно, что удалось сделать дамп оперативной памяти устройства и вытащить пароль оттуда.

Жертвам атаки относительно повезло: на всех устройствах злоумышленники установили одинаковый пароль. Теоретически атакующие могли поставить уникальный пароль на каждый контроллер и реализовать уникальную атаку с последующим вымогательством, когда в заложники берут не данные, а работоспособность целого здания. Однако, никто так и не прислал пострадавшей организации требование выкупа. То есть это была деструктивная атака, цифровой вандализм, достаточно продуманный взлом, инициатор которого не искал выгоду. Выводы из этой истории простые, но если про них подумать заранее, то они сэкономят очень много денег и нервов. Во-первых, нужна максимальная защита корпоративной сети от проникновения и надежная изоляция промышленного «контура» от других рабочих систем. Во-вторых, проблемы бы не было, если бы владельцы системы «умного дома» воспользовались фичей для защиты контроллеров и установили пароль самостоятельно. Будучи незадействованной, эта функция принесла больше проблем, чем пользы.

Что еще произошло:

Исследователи «Лаборатории Касперского» рассказывают об использовании технологий машинного обучения для борьбы со спамом.

Bleeping Computer пишет о багах в обновлении BIOS для ряда ноутбуков и одного десктопа Dell. После обновления ноутбуки либо вовсе не загружались, либо немедленно падали в синий экран. К счастью и в отличие от многих других похожих случаев, производитель допускает откат к предыдущей версии прошивки, что временно решает проблему.

Четыре уязвимости обнаружены в корпоративном мессенджере Microsoft Teams. Вряд ли их можно назвать критическими, но в ряде случаев (в частности, при использовании клиента для Android) подготовленное сообщение может привести к вылету программы или раскрыть IP-адрес пользователя.

В Zoho ManageEngine, ПО для централизованного управления устройствами в корпоративной сети, обнаружили очередную критическую, активно эксплуатируемую уязвимость. Это третья подобная дыра в ManageEngine, закрытая в этом году.

Дорогая редакция поздравляет всех с наступающим Новым годом! Мы возобновим наше еженедельное вещание 10 января.
bas knx
Alt text

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!