Иранские хакеры «отравили» системы водоочистки. Team82 разработала «противоядие»
Незащищённый протокол PCOM открыл двери для цифровых диверсантов.
Команда исследователей Team82 на днях опубликовала результаты своего исследования, посвящённого атакам на интегрированные программируемые логические контроллеры (PLC) и человеко-машинные интерфейсы (HMI) от компании Unitronics.
Эти атаки, произошедшие в ноябре прошлого года, были нацелены на объекты критической инфраструктуры, включая водоочистные сооружения в США и Израиле. За ними, по данным экспертов, стояла группа хакеров, связанная с Ираном, известная как CyberAv3ngers.
Примечательно, что буквально вчера представители американских спецслужб наконец раскрыли личности шестерых хакеров CyberAv3ngers и объявили щедрую награду за их поимку.
Возвращаясь к атаке на водоочистные сооружения, исследователи Team82 утверждают, что злоумышленники использовали уязвимости в продуктах серии Vision и Samba от Unitronics, которые на тот момент не имели защиты паролем для коммуникационного протокола PCOM. Это позволило хакерам подключаться к устройствам удалённо и загружать на них вредоносные проекты, изменяя работу PLC и оставляя угрожающие сообщения.
В ответ на эти угрозы, команда Team82 разработала два инструмента, которые теперь доступны для свободного использования. Первый из них, PCOM2TCP, позволяет конвертировать сообщения протокола PCOM из последовательного формата в TCP и обратно, что помогает анализировать трафик и выявлять подозрительные активности. Второй инструмент, PCOMClient, даёт возможность подключаться к PLC Unitronics, извлекать данные для проведения судебной экспертизы, а также анализировать функции устройства.
Исследование Team82 также привело к обнаружению двух новых уязвимостей, получивших обозначения CVE-2024-38434 и CVE-2024-38435. Эксперты настоятельно рекомендуют всем пользователям обновить ПО свои устройства до версии 9.9.1, чтобы минимизировать риски атак.
Одной из сложностей, с которой столкнулись исследователи, была необходимость создания собственного подключения к устройствам Unitronics, так как стандартные версии не поставляются с Ethernet-портом. Команда создала собственный кабель и смогла установить связь с устройством, что позволило провести полноценное исследование протокола PCOM.
Благодаря разработанным инструментам, Team82 смогла детально исследовать протокол и выявить функции, которые могут быть использованы для сбора цифровых доказательств в случае атаки. Например, через PCOMClient можно извлечь информацию о подключениях к устройству, узнать имена пользователей и другие данные, которые могут быть полезны для расследования инцидентов.
Эти инструменты не только помогают глубже понять внутреннюю работу устройств Unitronics, но и могут значительно улучшить безопасность критической инфраструктуры, давая возможность оперативно реагировать на кибератаки. Эксперты подчёркивают важность использования этих инструментов для защиты и анализа потенциальных угроз в будущем.