Иранских хакеров подозревают в кибератаке на автозаправочные станции по всей территории США

Американские чиновники подозревают иранских хакеров во взломе систем автоматического контроля топливных резервуаров на автозаправках в нескольких штатах США. По данным CNN, атакующие получили доступ к онлайн-системам ATG, показывающим уровень топлива в подземных ёмкостях. Часть подобных систем оказалась доступна из интернета без паролей. Физического ущерба пока не зафиксировано, но сам факт доступа вызвал опасения у специалистов по защите критической инфраструктуры.

Автоматические датчики резервуаров или ATG используются на АЗС для нескольких задач:

• контроль уровня топлива в подземных ёмкостях;
• мониторинг состояния резервуаров и их целостности;
• выявление потенциальных утечек;
• передача данных операторам станций;
• работа с сервисными подрядчиками удалённо.

При открытых в интернете устройствах без пароля они превращаются в удобную цель для хакеров.

По словам источников CNN, злоумышленники в отдельных случаях могли менять отображаемые показания на экранах систем без воздействия на фактический уровень топлива. Хакеры не «переливали» бензин и не управляли физическим содержимым ёмкостей. Доступ к ATG теоретически может помочь скрыть проблему с утечкой или помешать оператору вовремя заметить опасное состояние.

Интересно, что эксперты предупреждали об уязвимости ATG больше 10 лет, а Trend Micro ещё в 2015 году ставила приманочные системы и ловила на них проиранские группы.

Официальная атрибуция пока осторожная. Источники считают Иран одним из главных подозреваемых из-за прошлой активности против подобных систем. ФБР отказалось от комментариев, а CNN направила запрос в CISA.

Если участие Ирана подтвердится, это станет эпизодом давления на американскую критическую инфраструктуру. АЗС, топливо, вода, логистика и медицина мгновенно воспринимаются гражданами частью повседневной жизни.

Иранские хакеры давно ищут слабые точки в промышленных и коммунальных системах. Часто ставка делается на знакомый набор слабых мест:

• открытые панели управления в интернете;
• слабые или дефолтные пароли устройств;
• старое оборудование без обновлений;
• плохо настроенный удалённый доступ;
• системы без проверок годами.

Эксперты предупреждали об угрозах для ATG больше 10 лет. Ещё в 2015 году Trend Micro размещала приманочные системы для изучения интереса атакующих. Позже Sky News сообщал о внутренних документах Корпуса стражей исламской революции с рассмотрением ATG потенциальной целью для кибератак.

Хакерам не нужно взрывать объект или останавливать всю сеть заправок для эффекта. Достаточно показать возможность попадания в систему топливной инфраструктуры. У операторов, регуляторов и граждан появляются вопросы о масштабах проблемы.

Многие промышленные и сервисные системы изначально не проектировались полноценными интернет-сервисами. Их подключали ради удобства мониторинга и экономии на выездах специалистов. Старые панели и датчики оказались видны поисковым системам для промышленного интернета.

По данным CNN, новая активность происходит в период обострения вокруг Ирана, США и Израиля. CNN также пишет о 75% взрослых жителей США с заявлениями о негативном влиянии войны с Ираном на их финансы.

Иранские кибероперации в последние месяцы стали быстрее и агрессивнее. Представитель израильского киберведомства Йосси Каради заявил CNN о росте масштаба, скорости и связки между кибератаками и психологическими кампаниями.

Директор направления threat intelligence в PwC Эллисон Уикофф считает ускорение операций Ирана. По оценке Эллисон Уикофф, в арсенале появляются быстро собираемые вредоносные инструменты, разрушительные wiper-компоненты, hack-and-leak кампании и масштабирование разведки и фишинга с вероятным применением ИИ.

Оценка перекликается с данными властей ОАЭ. Страна ежедневно сталкивается с 500 000–700 000 попыток цифровых атак от Ирана и союзных групп. Злоумышленники применяют ИИ для разведки, поиска уязвимостей, сбора данных и подготовки фишинговых писем.

В случае с американскими АЗС ИИ не обязательно управляет атакой напрямую. Он помогает в нескольких задачах:

• быстрый поиск открытых ATG-систем в интернете;
• сортировка целей по типу оборудования;
• подготовка фишинговых писем для операторов;
• анализ документации производителей;
• написание простых скриптов под атаку.

Иранские группы активно используют хактивистские образы. По данным CNN, связанные с Ираном структуры ведут Telegram-каналы с преувеличением успехов и публикацией украденных материалов.

Показателен пример группы Handala с заявлениями о взломе «непроницаемых» систем ФБР. Фактически она получила доступ к старым Gmail-письмам директора ФБР Кэша Пателя. Исследователь Алекс Орлеанс из Sublime Security отметил бурную реакцию на каждую громкую заявку Handala при плохо описанном реальном уровне угрозы.

Для критической инфраструктуры США история неприятна предупреждениями годами. Часть объектов остаётся открытой из-за нехватки специалистов, старого оборудования и слабой дисциплины подрядчиков.

Отдельный риск связан с трудностью обнаружения изменений показаний без сверки с физическими данными. При доверии оператора к экрану ATG и подмене отображения хакером появляется шанс ошибочной реакции с пропущенными сигналами и задержками.

Эксперты редакции CISOCLUB отмечают, что история с датчиками топливных резервуаров на АЗС США показывает начало атак на критическую инфраструктуру не с редких уязвимостей и сложных эксплойтов. По мнению редакции, иногда достаточно устройства в интернете без пароля. При реальном участии иранских хакеров в кампании цель снова выбрана с сильным психологическим эффектом — топливо, АЗС, бытовые расходы и безопасность рядом с обычными гражданами. Для операторов инфраструктуры это прямой сигнал срочно искать открытые промышленные системы и закрывать базовые провалы до использования их уже не для демонстрации, а для реального ущерба людям и экономике.