Малоопытные хакеры активно атакуют OT-системы

Непрофессиональные хакеры, в основном преследующие финансовую выгоду, стали активно атаковать подключенные к интернету системы операционных технологий (operational technology, OT).

В СМИ регулярно появляется информация об атаках на АСУ ТП, вызывающих остановку производства. Как правило, за этими атаками стоят профессиональные, хорошо финансируемые хакеры. Хотя в большинстве случаев OT-системы (в частности, используемые в критических процессах) не подключены к открытому интернету, многие промышленные системы подключены к Сети, и именно эти подключенные системы попали под прицел малоопытных хакеров с ограниченными ресурсами.

«Чаще всего мы наблюдаем, что злоумышленники пытаются заработать на незащищенных OT-системах, но также мы видим, как они просто обмениваются знаниями и опытом. В последнее время мы наблюдаем менее профессиональную вредоносную активность с использованием широко известных тактик, техник и процедур (TTP) и доступных инструментов для доступа, взаимодействия и сбора информации с доступных через интернет ресурсов – тенденции, которые раньше редко встречались», — сообщили исследователи из подразделения Mandiant компании FireEye в своем новом отчете.

С начала 2020 года специалисты фиксируют, по их словам, «вредоносную деятельность низкой сложности», направленную на широкой спектр систем, в том числе на системы для получения солнечной энергии, контроля воды, автоматизации зданий, а также на домашние охранные системы.

В одних случаях хакеры предлагают руководства по взлому OT-систем или обмениваются IP-адресами, предположительно относящимися к АСУ ТП, а в других – получают доступ (по крайней мере, они так заявляют) к самим АСУ ТП и даже взаимодействуют с ними.

Хотя во многих случаях подобная деятельность носит оппортунистический характер, иногда хакерами движут политические мотивы. К примеру, группы хактивистов часто используют антиизраильскую/пропалестинскую риторику в соцсетях и публикуют свидетельства того, что им удалось взломать израильские OT-системы.

Иногда громкие заявления хакеров только демонстрируют их слабое понимание того, как работают OT-системы. К примеру, в одном из случаев злоумышленники заявили, будто им удалось взломать систему управления железной дорогой в Германии, но на самом деле они просто скомпрометировали web-интерфейс тренировочного железнодорожного состава.

Как бы то ни было, предупреждают исследователи, взломы, осуществленные даже малоопытными хакерами, все равно представляют собой угрозу, поскольку могут вызывать сбои в физических процессах. Количество таких атак растет, а значит, повышается и риск срыва промышленных процессов.