<WRAP doku>

====== Типовые атаки на операционные технологии ======
<WRAP box round>
Раздел описывает реальные сценарии кибератак, направленных на инженерные (OT) системы ЦОД. Рассматриваются механизмы проникновения через устройства распределения питания, системы мониторинга и управления (NMS), а также последствия для устойчивости инфраструктуры.
</WRAP>

===== Определение кибератаки =====
<WRAP info>
По определению NIST, кибератака — это попытка получения несанкционированного доступа к системным сервисам, ресурсам или информации либо попытка нарушения целостности системы.
</WRAP>

Кибератака — это осознанное действие, направленное на получение доступа, нарушение работы систем или их компрометацию.  
В ЦОД такие атаки часто используют инженерные устройства в качестве точки входа или скрытого канала для кражи данных.

<WRAP important>
OT-оборудование (UPS, PDU, BMS, NMS) представляет особую уязвимость, так как находится в непосредственной близости к критическим IT-системам и зачастую подключено к тем же сетям.
</WRAP>

===== Пример 1. Проникновение через PDU =====
<WRAP info>
В одном из случаев злоумышленник получил доступ к серверу через модуль распределения питания (Rack PDU).  
Инцидент произошёл в компании Staminus Communications — поставщике решений по кибербезопасности.
</WRAP>

Сценарий атаки:
  * Rack PDU использовался как сетевой шлюз для удалённого мониторинга стоек;
  * уязвимость в прошивке позволила злоумышленнику подключиться к внутренней сети;
  * через PDU был получен доступ к серверам, откуда впоследствии были похищены данные;
  * украденная информация была опубликована с целью дискредитации компании.

<WRAP important>
PDU часто имеют SNMP-интерфейс с возможностью управления розетками и токовыми порогами.  
При отсутствии сегментации и аутентификации такие устройства могут использоваться как «задняя дверь» для атак.
</WRAP>

===== Пример 2. Атака на энергетическую систему (Украина) =====
<WRAP info>
Во время атаки на энергосистему Украины злоумышленники проникли в операционный центр, где находились коммуникационные карты UPS.  
В карты было загружено вредоносное ПО, которое инициировало отключение ИБП синхронно с атакой на главный распределитель сети.
</WRAP>

Последствия:
  * одновременно с отключением основного питания UPS выключились по команде из вредоносного кода;
  * диспетчерский центр оказался полностью обесточен и потерял связь с системой управления;
  * авария сопровождалась информационной блокадой и невозможностью координации действий персонала.

<WRAP important>
Атака показала, что UPS и связанные с ними SNMP/Modbus-интерфейсы могут использоваться для саботажа и создания сбоев в управлении.  
При подключении таких устройств к корпоративным сетям они становятся элементами повышенного риска.
</WRAP>

===== Пример 3. Инцидент SolarWinds =====
<WRAP info>
В 2020 году атака на систему управления **SolarWinds Orion** стала одним из крупнейших примеров компрометации инфраструктуры через систему мониторинга.  
Злоумышленники внедрили вредоносный код в обновление ПО, что позволило им получить доступ к IT- и OT-оборудованию более чем в 18 000 организаций.
</WRAP>

Механизм атаки:
  * вредоносный код добавлен в официальное обновление Orion NMS;
  * после установки код получал права на выполнение SNMP-запросов к оборудованию;
  * через команды SNMP Set злоумышленники могли изменять параметры IT и OT-систем.

Выводы:
  * системы мониторинга (NMS, DCIM) являются критически уязвимыми, так как имеют прямой доступ к оборудованию;
  * вредоносный код способен использовать штатные протоколы (SNMP, WMI, API) для скрытого управления устройствами;
  * последствия атаки могут оставаться незаметными месяцами.

<WRAP important>
SNMP-интерфейсы, применяемые в системах управления, должны быть строго ограничены, а все обновления NMS — проверяться с использованием хеш-контроля и цифровых подписей.
</WRAP>

===== Анализ уязвимостей OT =====
  * значительная часть устройств (UPS, PDU, датчики, контроллеры) подключена к Интернету без защиты;
  * исследование показало, что более 100 000 подобных систем в мире доступны публично через поисковики устройств (Shodan, Censys);
  * многие инженерные сети не имеют базовых мер защиты: шифрования, ACL, журналирования, фильтрации команд.

<WRAP important>
Подключение инженерных систем к Интернету без изоляции — ключевая ошибка архитектуры.  
Такие устройства должны находиться в отдельной сети управления с контролем доступа и ограничением по IP.
</WRAP>

===== Меры защиты и организационные выводы =====
  * аудит подключений и изоляция всех систем OT от внешних сетей;
  * перевод SNMP на версию 3 с обязательной аутентификацией и шифрованием;
  * запрет прямого доступа к UPS, PDU и BMS с внешних IP-адресов;
  * проверка цифровых подписей обновлений NMS/DCIM;
  * контроль журналов и мониторинг подозрительных команд Set/Write;
  * ограничение функциональности SNMP-интерфейсов (только read-only).

<WRAP tip>
Кибератаки на OT-системы используют их физическую близость к IT-инфраструктуре.  
Защита инженерных сетей должна быть частью общей стратегии ИБ ЦОД:  
изоляция, мониторинг, контроль конфигураций и использование сертифицированных средств защиты.
</WRAP>

</WRAP>