«Одна атака — три цели»: пророссийские хакеры заявили о взломе дата-центра Alibaba Cloud в Великобритании, водоснабжения и авиационных станций
Пророссийская хакерская группировка Earthimpact заявила об успешной атаке на три британских объекта: центр обработки данных Alibaba Cloud, систему водоснабжения Albion Water и несколько авиационных станций. SecPost связался с хактивистами и выяснил, что они получили полный доступ к веб-панелям, учётным данным и SCADA-системам, а также отключили часть оборудования. Представитель группы связал успех с тем, что «владельцы не захотели тратиться на нормальную изоляцию».
Пророссийская хакерская группировка Earthimpact заявила об успешной атаке на три объекта, расположенные в Великобритании. Хактивистам удалось получить доступ к центру обработки данных Alibaba Cloud, объекту водоснабжения Albion Water и ряду авиационных станций. Об этом группировка заявила в своем Telegram-канале.
Как следует из заявления группировки, хактивисты получили полный доступ к веб-панели управления, извлекли учетные данные для доступа к ряду сетевых служб (включая telnet, ftp, samba и web), перехватили доступ к камерам и SCADA-системе водоснабжения и так далее. Ряд объектов, к которым хактивисты смогли получить доступ, были отключены.
В комментарии SecPost представитель группировки Earthimpact Incubator пояснил, что три разнородные цели удалось скомпрометировать благодаря тому, что «их владельцы не захотели тратиться на нормальную изоляцию». В случае с дата-центром Alibaba Cloud UK удалось перехватить доступ к ПО Samba со всеми паролями, «даже подбирать не пришлось».
«[Также] авиационные станции — десяток камер, RTSP-потоки, плюс на некоторых удалось отправить команды по DNP3 и IEC104. Выключатели, рубильники — всё, что можно было отключить, мы отключили, — поясняет собеседник. — Ударили и по SCADA водоснабжения Albion Water, перехватили панель оператора с реальными показателями. Отключили питание по Modbus, дернули настройки насосов и дозирования химии».
Хактивист подчеркивает: это были три независимые инфраструктуры. Но они «по глупости оказались в одном контуре — одна атака пришлась по трем целям».
Группировка не ставила своей целью атаку конкретно на эти предприятия: просто при мониторинге британской облачной инфраструктуры были обнаружены эти уязвимости.
По оценке хактивистов, на различных объектах время восстановления может занять разное время. Так, например, контроллер S7 PLC на Alibaba Cloud UK, по словам хакера, можно запустить за полчаса, если у инженера есть доступ и он знает, что случилось.
«Проблема в том, что они не знают, что именно произошло, — отмечает собеседник. — Логи показывают остановку, но без деталей, некоторые могут думать, что это сбой питания или проблема с сетью».
Хакеры целенаправленно не били по сетевой инфраструктуре: роутеры, коммутаторы, файрволы «живы». Но удалось достичь косвенного ущерба — потери управления, остановки процессов, «риска сбоев в дозировании химии на водоканале». Хакер отмечает, что, судя по логам, инженеры списывали взлом на ошибки или потерю связи.
«Технического ущерба сетевому железу нет, но репутационного и морального — вагон. Они до сих пор, скорее всего, не знают реального вектора атаки, — отмечает собеседник. — Отмечу, что это далеко до полноценной атаки — это её часть. В скором времени будет продолжение этой атаки».
Ранее SecPost писал, что Великобритания обвинила Россию в ежедневных кибератаках. Глава Центра правительственной связи Великобритании (GCHQ) Энн Кист-Батлер заявила, что атаки происходят «от морского дна до киберпространства», под угрозой критическая инфраструктура, демократические процессы и цепочки поставок. Как отметил собеседник SecPost в пророссийском хактивистском сообществе, группировки, действующие в российских интересах, действительно нередко выбирают целью объекты в Великобритании.
