Типовые атаки на операционные технологии

Раздел описывает реальные сценарии кибератак, направленных на инженерные (OT) системы ЦОД. Рассматриваются механизмы проникновения через устройства распределения питания, системы мониторинга и управления (NMS), а также последствия для устойчивости инфраструктуры.

Определение кибератаки

По определению NIST, кибератака — это попытка получения несанкционированного доступа к системным сервисам, ресурсам или информации либо попытка нарушения целостности системы.

Кибератака — это осознанное действие, направленное на получение доступа, нарушение работы систем или их компрометацию. В ЦОД такие атаки часто используют инженерные устройства в качестве точки входа или скрытого канала для кражи данных.

OT-оборудование (UPS, PDU, BMS, NMS) представляет особую уязвимость, так как находится в непосредственной близости к критическим IT-системам и зачастую подключено к тем же сетям.

Пример 1. Проникновение через PDU

В одном из случаев злоумышленник получил доступ к серверу через модуль распределения питания (Rack PDU). Инцидент произошёл в компании Staminus Communications — поставщике решений по кибербезопасности.

Сценарий атаки:

Rack PDU использовался как сетевой шлюз для удалённого мониторинга стоек;
уязвимость в прошивке позволила злоумышленнику подключиться к внутренней сети;
через PDU был получен доступ к серверам, откуда впоследствии были похищены данные;
украденная информация была опубликована с целью дискредитации компании.

PDU часто имеют SNMP-интерфейс с возможностью управления розетками и токовыми порогами. При отсутствии сегментации и аутентификации такие устройства могут использоваться как «задняя дверь» для атак.

Пример 2. Атака на энергетическую систему (Украина)

Во время атаки на энергосистему Украины злоумышленники проникли в операционный центр, где находились коммуникационные карты UPS. В карты было загружено вредоносное ПО, которое инициировало отключение ИБП синхронно с атакой на главный распределитель сети.

Последствия:

одновременно с отключением основного питания UPS выключились по команде из вредоносного кода;
диспетчерский центр оказался полностью обесточен и потерял связь с системой управления;
авария сопровождалась информационной блокадой и невозможностью координации действий персонала.

Атака показала, что UPS и связанные с ними SNMP/Modbus-интерфейсы могут использоваться для саботажа и создания сбоев в управлении. При подключении таких устройств к корпоративным сетям они становятся элементами повышенного риска.

Пример 3. Инцидент SolarWinds

В 2020 году атака на систему управления SolarWinds Orion стала одним из крупнейших примеров компрометации инфраструктуры через систему мониторинга. Злоумышленники внедрили вредоносный код в обновление ПО, что позволило им получить доступ к IT- и OT-оборудованию более чем в 18 000 организаций.

Механизм атаки:

вредоносный код добавлен в официальное обновление Orion NMS;
после установки код получал права на выполнение SNMP-запросов к оборудованию;
через команды SNMP Set злоумышленники могли изменять параметры IT и OT-систем.

Выводы:

системы мониторинга (NMS, DCIM) являются критически уязвимыми, так как имеют прямой доступ к оборудованию;
вредоносный код способен использовать штатные протоколы (SNMP, WMI, API) для скрытого управления устройствами;
последствия атаки могут оставаться незаметными месяцами.

SNMP-интерфейсы, применяемые в системах управления, должны быть строго ограничены, а все обновления NMS — проверяться с использованием хеш-контроля и цифровых подписей.

Анализ уязвимостей OT

значительная часть устройств (UPS, PDU, датчики, контроллеры) подключена к Интернету без защиты;
исследование показало, что более 100 000 подобных систем в мире доступны публично через поисковики устройств (Shodan, Censys);
многие инженерные сети не имеют базовых мер защиты: шифрования, ACL, журналирования, фильтрации команд.

Подключение инженерных систем к Интернету без изоляции — ключевая ошибка архитектуры. Такие устройства должны находиться в отдельной сети управления с контролем доступа и ограничением по IP.

Меры защиты и организационные выводы

аудит подключений и изоляция всех систем OT от внешних сетей;
перевод SNMP на версию 3 с обязательной аутентификацией и шифрованием;
запрет прямого доступа к UPS, PDU и BMS с внешних IP-адресов;
проверка цифровых подписей обновлений NMS/DCIM;
контроль журналов и мониторинг подозрительных команд Set/Write;
ограничение функциональности SNMP-интерфейсов (только read-only).

Кибератаки на OT-системы используют их физическую близость к IT-инфраструктуре. Защита инженерных сетей должна быть частью общей стратегии ИБ ЦОД: изоляция, мониторинг, контроль конфигураций и использование сертифицированных средств защиты.