Привет из девяностых. Как древние стандарты связи превратили бизнес-центры в лёгкую добычу для хакеров

Спустя десятилетия после своего появления протокол LonTalk продолжает работать внутри систем автоматизации зданий, хотя многие считают его технологией прошлого. Команда Team82 решила проверить, какую роль он играет сегодня и какие риски несёт в эпоху повсеместного подключения BMS к IP-сетям.

LonTalk разработала компания Echelon в начале 1990-х годов как универсальное средство обмена данными между устройствами автоматизации. Стандарт получил обозначение CEA-709 и ISO/IEC 14908. В то время он позволил разным производителям объединять контроллеры и датчики в единую сеть без закрытых интерфейсов. Со временем рынок сместился в сторону BACnet, однако LonTalk по-прежнему скрыт внутри многих проприетарных внедрений.

Изначально системы работали через последовательные соединения и специализированные микросхемы Neuron Chip, которые объединяли функции обработки приложений, сетевого управления и обмена пакетами. В 2025 году линейку таких чипов официально сняли с производства. При этом стек протокола продолжает жить в программной реализации компании EnOcean, а поддержку стандартов и совместимости обеспечивает организация LonMark. Современные решения интегрируют старые сети LonWorks в IoT- и edge-инфраструктуры.

LonTalk способен работать по витой паре, силовым линиям и радиоканалу. Позже появился вариант CEA-852, который перенёс протокол в IP-среду. Помимо передачи данных он поддерживает диагностику, настройку узлов и управление маршрутизаторами. Устройства обмениваются сетевыми переменными, которые описывают температуру, скорость вентилятора или состояние присутствия. Для унификации типов данных применяются стандартные SNVT, что упрощает взаимодействие оборудования разных брендов.

Типовой сценарий — обмен параметрами между HVAC-контроллером и сервером BMS. Контроллер отправляет текущую температуру, сервер возвращает целевое значение. Такой механизм десятилетиями использовали в коммерческой недвижимости, ритейле, гостиницах и дата-центрах.

Переход к IP расширил возможности интеграции, но одновременно увеличил поверхность атаки. CEA-852 поддерживает регистрацию устройств, управление каналами и статистику, а также вводит вендорские типы пакетов для администрирования шлюзов. Эти команды способны влиять на конфигурацию всей сети BMS, что создаёт дополнительные риски при слабой защите. Схожая проблема характерна для промышленных систем управления в целом: устаревшее наследие плохо сочетается с современными требованиями к безопасности.

Team82 проверила доступность контроллеров через сервис CENSYS и обнаружила более тысячи устройств EnOcean и свыше двухсот устройств Loytec, открытых в интернете. Многие из них используют стандартные порты 1628 и 1629, часть работает с предустановленными MD5-ключами или вовсе без механизмов защиты. Аналогичная картина наблюдается и в корпоративных сетях: по данным исследования Positive Technologies, 85% компаний применяют незащищённые протоколы передачи данных, открывая злоумышленникам широкие возможности для перехвата трафика. При таком раскладе устаревший протокол превращается в потенциальную точку входа для злоумышленников.

Авторы отчёта намерены детально изучить реализацию CEA-852 в реальных шлюзах EnOcean и Loytec, чтобы оценить устойчивость современных BMS к атакам через наследие LonTalk. Масштаб угрозы подчёркивает и статистика Dragos: в 2025 году промышленные системы атаковали 119 хакерских группировок, число жертв выросло на 49% по сравнению с предыдущим годом.