23 марта 2016

[инцидент] Хакеры случайно получили доступ к SCADA-системе водоочистной станции и ради интереса изменили ее настройки

Злоумышленники изменили уровень используемых для очистки воды химических веществ.

Участники хакерской группировки, занятые в нескольких активистских движениях, случайно атаковали ICS/SCADA-систему водоочистной станции. Злоумышленникам удалось получить доступ к ключевым настройкам и изменить количество используемых для очистки водопроводной воды химических веществ. Этот весьма необычный случай описан в дайджесте Data Breach Digest экспертов команды RISK компании Verizon.

image

В документе ставшая жертвой хакеров компания упоминается под названием Kemuri Water Company (KWC). Об инциденте стало известно, когда ее сотрудники заметили некорректную работу центра очистки воды из-за неожиданного изменения уровня химикатов. В компании заподозрили неладное, однако ее IT-отдел не смог решить проблему, поэтому руководство KWC обратилось в Verizon.

Взявшись за расследование, эксперты сразу же обнаружили несколько проблем с безопасностью. Во-первых, на предприятии использовались устаревшие компьютерные системы. Во-вторых, вся внутренняя сеть IT была построена вокруг всего лишь одной системы AS400, связывающей ее со SCADA-системами для управления технологическими процессами на предприятии (грубая ошибка с точки зрения безопасности). В-третьих, доступ к AS400 можно было получить через интернет, поскольку система была подключена к web-серверу, где клиенты KWC могут проверять свои ежемесячные счета, уровень расхода воды и даже вносить оплату с помощью специального приложения.

Проверив журналы AS400, эксперты обнаружили связь IP-адресов злоумышленников с активистскими кампаниями. Хакеры скомпрометировали систему с целью собрать конфиденциальную информацию клиентов компании. Злоумышленники проэксплуатировали уязвимость в приложении для осуществления платежей и неожиданно для себя получили ini-файл с учетными данными для доступа к AS400. Заинтересовавшись, что же такое попалось им в руки, хакеры стали произвольно изменять настройки SCADA-системы. К счастью, KWC удалось зафиксировать нестандартную активность и отразить атаку.

Источник