Добро пожаловать обратно, мои начинающие кибервоины!
Взлом и безопасность SCADA во многом отличаются от традиционного взлома. Чтобы узнать больше о том, чем отличается взлом SCADA, прочтите мою статью здесь . Одно из ключевых отличий взлома и безопасности SCADA заключается в том, что специалист по безопасности защищает процесс, а не обязательно данные, как в традиционных системах. В SCADA взлом может нанести серьезный ущерб системе SCADA/ICS, просто нарушив процесс. Это может включать в себя DoS-атаку или что-то столь же сложное, как атака Stuxnet, когда АНБ разработало вредоносное ПО не для того, чтобы уничтожить или взорвать систему, а просто чтобы заставить ее работать не так, как было задумано. В случае Stuxnet он изменил скорость вращения центрифуг, используемых для обогащения урана. Это было гораздо более скрытно и эффективно, чем взрыв объекта.
Системы SCADA/ICS разработаны для тщательной и точной настройки под конкретную задачу. Например, ПЛК спроектированы так, чтобы клапан открывался точно при достижении определённого уровня давления. Если клапан открывается раньше или позже, это может иметь разрушительные последствия. Трубопровод или установка могут взорваться, а продукция может быть испорчена или загрязнена. В любом случае, технологический процесс будет нарушен. Помните, что безопасность SCADA/ICS — это прежде всего защита процесса.
Взгляните на gif-изображение выше, чтобы получить представление о том, как контролируются и работают эти системы.
В прошлом большинство хакеров SCADA/ICS фокусировались на атаках типа «отказ в обслуживании» или перехвате контроля над системой. В ходе атаки Stuxnet червь захватил контроль над ПЛК и незаметно изменил частоту вращения центрифуг. В ходе атаки BlackEnergy3 в 2014 году на первичную систему распределения электроэнергии Украины россияне взяли под контроль выключатели электросети и отключили электроэнергию. В ходе моей атаки на систему управления зданием Schneider Electric я получил root-доступ ко всей системе.
Я предлагаю другой, уникальный способ вывести из строя эти системы. Многие системы имеют TCP/IP-соединение, позволяющее кому-то где-то отслеживать и обслуживать их. Эти соединения очень часто принимают пакеты без аутентификации на ПЛК. Эти пакеты способны считывать, а в некоторых случаях и записывать значения в катушки и ячейки памяти ПЛК.
Изменение положения катушки (переключателя ВКЛ/ВЫКЛ) может привести к труднопредсказуемым разрушительным последствиям. Очевидно, что если эта катушка управляет клапаном давления, система может выйти из строя. Изменение значений памяти в ПЛК может изменить, например, продолжительность открытия/закрытия клапана или значение (температуры или давления), при котором клапан открывается/закрывается. Это также может иметь крайне разрушительные последствия.
Именно это мы и сделали, атакуя российскую промышленную инфраструктуру. Журналисты и другие спрашивали нас: «Каковы были последствия?» Мы ответили: «Мы не знаем, но последствия были неблагоприятными». Мы можем сказать наверняка, что многие из этих объектов загорелись, взорвались или были нарушены в процессе работы. В каждом случае это затрудняло производство военной техники и бесперебойную работу российской промышленности.
Краткое содержание
Я предполагаю, что отправка случайных неаутентифицированных пакетов на промышленный объект может стать новым способом ведения кибервойны против промышленных объектов. Последствия такого типа атак неизвестны и неясны, но любые изменения неоптимальны, поскольку эти объекты представляют собой тщательно отлаженные системы.
Чтобы узнать больше о взломе и безопасности SCADA/ICS, станьте подписчиком и посетите наш следующий тренинг по взлому и безопасности SCADA/ICS.
Взлом и безопасность SCADA во многом отличаются от традиционного взлома. Чтобы узнать больше о том, чем отличается взлом SCADA, прочтите мою статью здесь . Одно из ключевых отличий взлома и безопасности SCADA заключается в том, что специалист по безопасности защищает процесс, а не обязательно данные, как в традиционных системах. В SCADA взлом может нанести серьезный ущерб системе SCADA/ICS, просто нарушив процесс. Это может включать в себя DoS-атаку или что-то столь же сложное, как атака Stuxnet, когда АНБ разработало вредоносное ПО не для того, чтобы уничтожить или взорвать систему, а просто чтобы заставить ее работать не так, как было задумано. В случае Stuxnet он изменил скорость вращения центрифуг, используемых для обогащения урана. Это было гораздо более скрытно и эффективно, чем взрыв объекта.
Системы SCADA/ICS разработаны для тщательной и точной настройки под конкретную задачу. Например, ПЛК спроектированы так, чтобы клапан открывался точно при достижении определённого уровня давления. Если клапан открывается раньше или позже, это может иметь разрушительные последствия. Трубопровод или установка могут взорваться, а продукция может быть испорчена или загрязнена. В любом случае, технологический процесс будет нарушен. Помните, что безопасность SCADA/ICS — это прежде всего защита процесса.
Взгляните на gif-изображение выше, чтобы получить представление о том, как контролируются и работают эти системы.
В прошлом большинство хакеров SCADA/ICS фокусировались на атаках типа «отказ в обслуживании» или перехвате контроля над системой. В ходе атаки Stuxnet червь захватил контроль над ПЛК и незаметно изменил частоту вращения центрифуг. В ходе атаки BlackEnergy3 в 2014 году на первичную систему распределения электроэнергии Украины россияне взяли под контроль выключатели электросети и отключили электроэнергию. В ходе моей атаки на систему управления зданием Schneider Electric я получил root-доступ ко всей системе.
Я предлагаю другой, уникальный способ вывести из строя эти системы. Многие системы имеют TCP/IP-соединение, позволяющее кому-то где-то отслеживать и обслуживать их. Эти соединения очень часто принимают пакеты без аутентификации на ПЛК. Эти пакеты способны считывать, а в некоторых случаях и записывать значения в катушки и ячейки памяти ПЛК.
Изменение положения катушки (переключателя ВКЛ/ВЫКЛ) может привести к труднопредсказуемым разрушительным последствиям. Очевидно, что если эта катушка управляет клапаном давления, система может выйти из строя. Изменение значений памяти в ПЛК может изменить, например, продолжительность открытия/закрытия клапана или значение (температуры или давления), при котором клапан открывается/закрывается. Это также может иметь крайне разрушительные последствия.
Именно это мы и сделали, атакуя российскую промышленную инфраструктуру. Журналисты и другие спрашивали нас: «Каковы были последствия?» Мы ответили: «Мы не знаем, но последствия были неблагоприятными». Мы можем сказать наверняка, что многие из этих объектов загорелись, взорвались или были нарушены в процессе работы. В каждом случае это затрудняло производство военной техники и бесперебойную работу российской промышленности.
Краткое содержание
Я предполагаю, что отправка случайных неаутентифицированных пакетов на промышленный объект может стать новым способом ведения кибервойны против промышленных объектов. Последствия такого типа атак неизвестны и неясны, но любые изменения неоптимальны, поскольку эти объекты представляют собой тщательно отлаженные системы.
Чтобы узнать больше о взломе и безопасности SCADA/ICS, станьте подписчиком и посетите наш следующий тренинг по взлому и безопасности SCADA/ICS.
