Бесплатно Экспресс-аудит сайта:

25.01.2020

Эксперт имитировал атаку Sandworm на энергокомпанию

Специалист из ИБ-компании IOActive Джейсон Ларсен (Jason Larsen) взломал компьютерную сеть подстанций европейской энергетической компании, используя один из методов группировки Sandworm.

Первый этап атаки заключался в получении доступа с правами суперпользователя на прошивке конвертера Moxa, что заняло у него 14 часов. Для того чтобы проникнуть в компьютерную систему энергетической компании, Ларсен нацелился на преобразователь Serial to Ethernet (STEC), транслирующий команды от устройств на системы управления подстанцией предприятия.

В конце 2015 года злоумышленники из группировки Sandworm воспользовались данным методом для осуществления атак с применением вредоносного ПО на украинскую энергетическую компанию «Прикарпатьеоблэнерго». Преступники атаковали сетевое оборудование и преобразователи Serial to Ethernet (STEC), оставив без электроснабжения большую часть Ивано-Франковской области и сам город.

Ларсен изучил прошивку на устройстве и обнаружил уязвимость, которая позволяла ему извлекать данные из памяти устройства и восстанавливать пароль. Как в случае с Sandworm, исследователь внедрил имплант в прошивку для управления конвертером.

Затем он проник в сеть подстанции энергокомпании, которая отвечает за преобразование энергии с высокого на низкое напряжение, чтобы ее можно было доставлять в дома и на предприятия. Он использовал внедренный имплант для манипулирования данными, проходящими через преобразователь, что позволяло избежать обнаружения.

Хотя Ларсен совершил данную атаку еще несколько лет назад, свои выводы он представил лишь недавно на конференции S4 в Майами-Бич (США). Он воздержался от обнародования подробностей атаки, пока производитель конвертера Moxa не выпустил патч для уязвимости.