Современные автозаправочные станции, сетью которых покрыты большинство автодорог в мире, являются объектами повышенного внимания хакеров и представляют потенциальную опасность для окружающих. Это установили эксперты Trend Micro, они провели масштабное исследование, посвященное защите АЗС от взлома. Кража средств клиентов и недолив топлива − традиционные хакерские приемы, о которых недавно писал портал «Информационная безопасность банков», − покажутся милыми шутками по сравнению возможными кибератакими на АЗС как объекты критически важной инфраструктуры. Современные автозаправки оснащаются по последнему слову техники, подключены к интернету и потому часто становятся объектами хакерских атак.
В январе 2015 года исследователи безопасности Kachoolie и Rapid7 предупредили, что автоматические датчики контроля уровня топлива (ATGs), используемые на более чем 5300 АЗС в США, легко доступны через глобальную сеть. Электронные устройства ATGs контролируют уровень топлива, температуру и другие параметры в резервуаре, и, в случае опасности, предупреждают оператора АЗС о неполадках. Эксперты предупредили в январе, что хакеры могут получить удаленный доступ к уязвимым устройствам и генерировать ложные сигналы тревоги, а также выполнять другие действия, которые могут привести к аварии на АЗС.
Заявление исследователей привлекло внимание сотрудников компании Trend Micro Кайла Уилхойта и Стивена Хилта. Они решили провести эксперимент и создали приманку для хакеров. Экспериментаторы создали полную имитацию настоящей системы мониторинга АЗС и подключили комплекс к глобальной сети. Внешне приманка выглядела как обычная система заправочной станции, на которой установлены системы контроля Guardian AST. Экземпляры-приманки GasPot позволяли потенциальным злоумышленникам не только просматривать информацию, но и вносить изменения значений. Приманки были размещены в США, Бразилии, Великобритании, Иордании, Германии, Объединенных Арабских Эмиратов и России, некоторые из них были видны с поисковой системы Shodan.
О промежуточных итогах эксперимента исследователи писали в своем блоге, а итоговые результаты представили на конференции по информационной безопасности Black Hat USA 2015, которая прошла в начале августа в Лас-Вегасе. За полгода наблюдений исследователи Trend Micro зафиксировали целый ряд атак на свою фальшивку. Guardian AST используется только для мониторинга систем, не может повлиять на уровень топлива, поэтому большинство атак хакеров были безобидными, но могут привести к нарушениям подачи топлива. При подаче ложных сигналов возможна дезинформация оператора об уровне заполнения топливного танка, легко выдать пустой резервуар за полный и наоборот. Это приведет к разливу топлива (бензина или дизеля) и созданию угрозы для людей и окружающей среды. Такая ситуация сложилась в 2009 году в Пуэрто-Рико, когда отказ системы мониторинга привел к переполнению топливных танков и крупному пожару на нефтебазе.
Большинство обращений стали результатом работы автоматических сканеров, выполняющих основные попытки подключения. 33 раза хакеры получали списочную информацию об АЗС. Команда, которая позволяет пользователям вносить изменения в систему, была использована девять раз, чтобы изменить имя емкостей. Среди «безобидных» шуток хакеров – переименование насоса «DIESEL» на «WE_ARE_LEGION», что наводит на мысли об атаке Anonymous, саму заправку переименовали в H4CK3D by IDC-TEAM, что похоже на работу иранской группы Iranian Dark Coders Team, и с GasPot на SEAcannngo, что указывает на сирийцев.
Также АЗС пытались положить DDoS-атакой, длившейся два дня. IP-адреса, с которых велась атака, вели в Сирию, ранее были замечены в операциях Сирийской электронной армии (Syrian Electronic Army). Однако эксперты полагают, что в большинстве случаев анонимные хакеры маскировались под знаменитые группировки. Чаще всего целевые атаки на муляж АЗС шли в США (44%), Иордании (17%). Никаких нападений не было зарегистрировано против приманки в Германии. Атаки, направленные на GasPot, шли из Канады, США, Румынии, Мексики, Ирана, Сирии и Китая. Тем не менее, исследователи отмечают, что нападавшие могли использовать прокси-сервера или VPN, чтобы скрыть свое истинное местоположение.
Подводя итог эксперименту, Кайла Уилхойт отметил, что «хакеры выбирают подобные системы в качестве мишеней, потому что это просто. Сканирование сайтов сервисами типа Shodan обнажает такие системы, которые вообще не должны быть подключены к интернету. Нужно начинать работать с безопасностью». Устройства контроля могут быть атакованы хакерами и шутниками, проверяющими свои навыки кибервзломщиков. Однако есть угроза целевой атаки хакеров на сетевые АЗС и смена паролей, чтобы вымогать деньги у владельцев станций.
Общие выводы исследования говорят о том, что отсутствует осведомленность производителей и покупателей о безопасности интернет-подключенных устройств. Есть огромный класс SCADA-устройств, из которых системы ATG - лишь частный пример. Уилхойт отметил, что общая статистика из Shodan показывает, что более 1515 устройств мониторинга для АЗС по всему миру доступны через Интернет, 98% из них находятся в США. Всем этим устройствам не хватает контроля безопасности, чтобы предотвратить несанкционированный доступ. Продавцы этих устройств должны стать ответственными за уязвимости оборудования, которое они предлагают, и за операционные системы, используемые для управления ими. «Безопасность должна быть построена с нуля», - добавил эксперт.
.jpg)