Иранские хакеры «отравили» системы водоочистки. Team82 разработала «противоядие»

Команда исследователей Team82 на днях опубликовала результаты своего исследования, посвящённого атакам на интегрированные программируемые логические контроллеры (PLC) и человеко-машинные интерфейсы (HMI) от компании Unitronics.

Эти атаки, произошедшие в ноябре прошлого года, были нацелены на объекты критической инфраструктуры, включая водоочистные сооружения в США и Израиле. За ними, по данным экспертов, стояла группа хакеров, связанная с Ираном, известная как CyberAv3ngers.

Примечательно, что буквально вчера представители американских спецслужб наконец раскрыли личности шестерых хакеров CyberAv3ngers и объявили щедрую награду за их поимку.

Возвращаясь к атаке на водоочистные сооружения, исследователи Team82 утверждают, что злоумышленники использовали уязвимости в продуктах серии Vision и Samba от Unitronics, которые на тот момент не имели защиты паролем для коммуникационного протокола PCOM. Это позволило хакерам подключаться к устройствам удалённо и загружать на них вредоносные проекты, изменяя работу PLC и оставляя угрожающие сообщения.

В ответ на эти угрозы, команда Team82 разработала два инструмента, которые теперь доступны для свободного использования. Первый из них, PCOM2TCP, позволяет конвертировать сообщения протокола PCOM из последовательного формата в TCP и обратно, что помогает анализировать трафик и выявлять подозрительные активности. Второй инструмент, PCOMClient, даёт возможность подключаться к PLC Unitronics, извлекать данные для проведения судебной экспертизы, а также анализировать функции устройства.

Исследование Team82 также привело к обнаружению двух новых уязвимостей, получивших обозначения CVE-2024-38434 и CVE-2024-38435. Эксперты настоятельно рекомендуют всем пользователям обновить ПО свои устройства до версии 9.9.1, чтобы минимизировать риски атак.

Одной из сложностей, с которой столкнулись исследователи, была необходимость создания собственного подключения к устройствам Unitronics, так как стандартные версии не поставляются с Ethernet-портом. Команда создала собственный кабель и смогла установить связь с устройством, что позволило провести полноценное исследование протокола PCOM.

Благодаря разработанным инструментам, Team82 смогла детально исследовать протокол и выявить функции, которые могут быть использованы для сбора цифровых доказательств в случае атаки. Например, через PCOMClient можно извлечь информацию о подключениях к устройству, узнать имена пользователей и другие данные, которые могут быть полезны для расследования инцидентов.

Эти инструменты не только помогают глубже понять внутреннюю работу устройств Unitronics, но и могут значительно улучшить безопасность критической инфраструктуры, давая возможность оперативно реагировать на кибератаки. Эксперты подчёркивают важность использования этих инструментов для защиты и анализа потенциальных угроз в будущем.