Программы-вымогатели уже представляют проблему для предприятий, образовательных учреждений и системы здравоохранения. Теперь исследователи кибербезопасности продемонстрировали, что это семейство вредоносного ПО способно без труда вывести из строя базовую инфраструктуру, необходимую для функционирования городов.

13 февраля исследователи кибербезопасности из Технологического института Джорджии сообщили о разработке новой, специализированной формы программы-вымогателя, которая была целенаправленно создана для промышленных систем.

Это вредоносное ПО и произведенная с его помощью атака на смоделированную водоочистную станцию были призваны показать, как киберпреступники могли бы вывести из строя ключевые сервисы, удовлетворяющие наши важнейшие потребности, такие как электро- и водоснабжение, отопление, вентиляция и кондиционирование воздуха или управление лифтами.

Исследование было представлено на конференции в Сан-Франциско, организованной компанией RSA.

Исследователи рассказали, как они идентифицировали ряд обычных программируемых логических контроллеров (PLC), часто используемых на промышленных предприятиях. Приобретя три различных устройства, исследователи протестировали их уровни безопасности, включая состояние парольной защиты и подверженность вредоносным изменениям.

Затем PLC были подключены к насосам, трубам и резервуарам, чтобы смоделировать водоочистную станцию. Однако вместо хлора, используемого для дезинфекции воды, исследователи применили йод и подмешали в воду крахмал. Если бы атакующий добавил в воду йод, она окрасилась бы в голубой цвет.

Смоделированная атака с помощью программы-вымогателя, заражающей системы обычными способами через фишинговые сообщения электронной почты и ссылки на вредоносные сайты, закрыла и заперла важнейшие системы. Если бы настоящий атакующий применил программу-вымогателя, чтобы взять станцию в заложники, он мог бы угрожать добавлением в воду опасного для жизни количества хлора, что потенциально могло бы отравить целые города.

«В правильно подобранном количестве хлор дезинфицирует воду и делает ее безопасной для питья, — сказал аспирант Технической школы электрического и компьютерного инжиниринга Джорджии Дэвид Формби. — Но слишком много хлора может вызвать плохую реакцию, которая сделает воду небезопасной».

Исследователи сумели также атаковать PLC, чтобы закрыть клапаны и фальсифицировать показания датчиков. Изучая доступность этих PLC, исследователи обнаружили также 1400 экземпляров PLC одного типа, к которому легко получить доступ через Интернет. Многие из этих устройств находились за корпоративными брандмауэрами. Но это делает их защищенными лишь до тех пор, пока поддерживается безопасность сети.

Хотя против встроенных промышленных систем пока осуществлено немного настоящих атак с использованием программ-вымогателей, мы уже видели, как такие программы применялись против больниц и имели тяжелые последствия. В некоторых случаях размер требуемого выкупа ничто по сравнению с вредом, который причинило бы продолжение атаки. Применительно к больницам это может создать угрозу жизни людей, как и в случае с взятием в заложники систем водоснабжения.

Как считает Рахим Беях, профессор Фонда Motorola и преподаватель Технической школы электрического и компьютерного инжиниринга, хотя пробелы в защите промышленных систем управления признаются, по крайней мере, лет десять, сейчас, когда большое внимание уделяется программам-вымогателям, а взламывать другие объекты стало труднее, промышленные системы могут стать новой важнейшей целью для атакующих.

«Весьма вероятно, что тем, кто действует в масштабе все страны, это уже известно, и они предпринимают атаки, которые могут использовать в политических целях. Но рядовые атакующие не испытывают интереса к таким системам, — сказал Беях. — Мы надеемся привлечь внимание к данной проблеме. Если мы можем успешно атаковать эти системы управления, то это могут сделать и злоумышленники».