Злоумышленники изменили уровень используемых для очистки воды химических веществ.
Участники хакерской группировки, занятые в нескольких активистских движениях, случайно атаковали ICS/SCADA-систему водоочистной станции. Злоумышленникам удалось получить доступ к ключевым настройкам и изменить количество используемых для очистки водопроводной воды химических веществ. Этот весьма необычный случай описан в дайджесте Data Breach Digest экспертов команды RISK компании Verizon.
В документе ставшая жертвой хакеров компания упоминается под названием Kemuri Water Company (KWC). Об инциденте стало известно, когда ее сотрудники заметили некорректную работу центра очистки воды из-за неожиданного изменения уровня химикатов. В компании заподозрили неладное, однако ее IT-отдел не смог решить проблему, поэтому руководство KWC обратилось в Verizon.
Взявшись за расследование, эксперты сразу же обнаружили несколько проблем с безопасностью. Во-первых, на предприятии использовались устаревшие компьютерные системы. Во-вторых, вся внутренняя сеть IT была построена вокруг всего лишь одной системы AS400, связывающей ее со SCADA-системами для управления технологическими процессами на предприятии (грубая ошибка с точки зрения безопасности). В-третьих, доступ к AS400 можно было получить через интернет, поскольку система была подключена к web-серверу, где клиенты KWC могут проверять свои ежемесячные счета, уровень расхода воды и даже вносить оплату с помощью специального приложения.
Проверив журналы AS400, эксперты обнаружили связь IP-адресов злоумышленников с активистскими кампаниями. Хакеры скомпрометировали систему с целью собрать конфиденциальную информацию клиентов компании. Злоумышленники проэксплуатировали уязвимость в приложении для осуществления платежей и неожиданно для себя получили ini-файл с учетными данными для доступа к AS400. Заинтересовавшись, что же такое попалось им в руки, хакеры стали произвольно изменять настройки SCADA-системы. К счастью, KWC удалось зафиксировать нестандартную активность и отразить атаку.
Как показало расследование, управлением и обслуживанием AS400 занимался только один сотрудник, и произойди атака не в его рабочее время, она осталась бы незамеченной и подвергла бы компанию и ее клиентов серьезной опасности.