Обновена на 03.10.2024 от Questo
Агенцията за киберсигурност и сигурност на инфраструктурата (CISA) на САЩ съобщава за хакерски атаки срещу водни и пречиствателни системи в Америка и Европа.
Хакерите атакуват слабозащитени системи, заключени с фабрично зададени или лесни за отгатване пароли, които са достъпни по интернет чрез VNC протокол.
Макар в конкретното съобщение от CISA да не се уточнява, според агенцията става дума за проруски хакери, които се занимават с това от години – основно за да привличат вниманието към себе си и да сплашват обществеността.
„Активността на тези проруски хактивисти е лимитирана до техники за манипулиране на системи за индустриален контрол с цел основно да предизвикват внимание. Нашето проучване обаче показва, че тези лица са способни на техники, които представляват физическа заплаха за незащитени или зле конфигурирани системи. Има случаи на проруски хакери, които поемат контрола над системи, експлоатирайки достъпа им през интернет и използването на остарели версии на VNC софтуер, както и чрез отключването на системи със слаби или фабрично зададени пароли и неизползващи многофакторна автентикация“, казват от CISA.
Как действа атаката
Злонамерените лица използват софтуер за сканиране, за да открият индустриални системи, които са свързани към интернет. След като открият вида на системата, те се опитват да проникнат в нея, като налучкат потребителското име и парола за достъп.
Повечето свързани към интернет устройства разполагат с фабрично зададени данни за достъп, например:
user:admin
password:admin
Собствениците следва да сменят тези данни, когато конфигурират устройствата си. Много от тях обаче не го правят. Така устройството се свързва към интернет и е достъпно с парола и потребителско име, които са публично известни.
Дори и данните за достъп да бъдат сменени при конфигурирането, някои собственици избират да сложат парола, която е лесна за отгатване: например 123456.
Хакерите могат да се опитат да отгатнат паролата: дали като ръчно въвеждат популярни комбинации за парола или чрез автоматизираната атака, при която софтуер въвежда паролите, докато открие вярната.
Уязвимите системи се откриват лесно
С Shodan всеки може да си рови из интернет за уязвими устройства, които са свързани към интернет. Търсачката проверява кои устройства имат отворен порт 5900 (портът се използва от VNC), открива вида на устройството и софтуера, пробва да го отключи с фабрично зададената парола (ако изобщо има парола) и дори прави скрийншот на менюто за управление.
Така откриването на уязвими системи става с няколко клика. Ето един пример за узявима система в САЩ, която изглежда като да наблюдава работата на силози във фабрика:
Преди години имаше цял сайт VNCRoulette, който показваше хиляди уязвими системи от цял свят.
Над 1700 устройства използват VNC в България
В България има над 1700 устройства, които са достъпни през интернет чрез VNC. По-голямата част от тях се намират в София.
Проверка на случаен принцип показва, че в повечето случаи става дума за рутери и системи за видеонаблюдение. Има обаче и по-интересни резултати като например сървър, обозначен с таг SCADA: което би могло да означава, че е свързан по някакъв начин с работата на система за мониторинг и индустриален контрол.
През годините в Shodan са се пръквали разни уязвими системи, които са локализирани в България.
Ако темата ви е интересна, може да прегледате статиите „Кой иска да си хакне ВЕЦ“ и „Гледа ли някой в компютъра ви„.
В повечето случаи уязвимите системи са домашни инсталации: например соларни панели, климатици и т.н. Но понякога се откриват и такива на производствени предприятия.
Как да се предпазите
Ето няколко бързи съвети от CISA.
- Разкачете от интернет всякакви интерфейси за комуникация със системите: например включително тъчскрийнове или програмируеми контролери. Ако наистина ви е необходимо да ги достъпвате от разстояние, използвайте защитна стена или VPN в комбинация със силна парола и многофакторна автентикация.
- Незабавно проверете всички пароли за достъп до системите и сменете тези, които са останали без промяна при инсталацията.
- Обновявайте редовно софтуера за отдалечен достъп.
- Поставете ограничения за IP адресите, от които може да се достъпват системите от разстояние.
- Логвайте всички опити за отдалечен достъп, за да имате информация за неуспешните опити и по кое време са извършени.
- Пазете резервно копие на конфигурациите на системите, за да може лесно да ги възстановите при проблем.