ptsecurity 28 июл 2021 в 12:14

По следам The Standoff2021. Какие промышленные системы удалось взломать атакующим и как PT ISIM детектировал их действия

9 мин

2.5K

Блог компании Positive TechnologiesИнформационная безопасность*Спортивное программирование*Промышленное программирование*Конференции

Комментарии 5

freemanon 28 июл 2021 в 13:19

Получив доступ к управлению SCADA-сервером и взломав пароль администратора системы, можно полностью контролировать систему, включая изменение конфигурации ПЛК.

Если есть доступ в сеть, то сразу можно конфигурацию ПЛК менять, без взлома сервера. По крайней мере доступ к Tracemode не даст возможности менять программу контроллера Wago.

ptsecurity 30 июл 2021 в 17:49

Спасибо за комментарий! Все верно, векторов и угроз в сети АСУ ТП может быть множество, в данном случае атакующие пошли таким путем.

Aleksandr-JS-Developer 28 июл 2021 в 13:48

Эдакая песочница для деток постарше и по профессиональнее в сфере ИБ )))

s60 28 июл 2021 в 16:33

В ходе этой атаки был получен доступ к серверу SCADA, с которого впоследствии на ПЛК были отправлены команды

какая SCADA… какой ПЛК ????

по протоколу SLMP передаются штатные и легитимные команды на ПЛК

то есть это проблема протокола SLMP?
когда вы уже хотя бы за OPC UA возьметесь? или какую-нибудь проприетарную хрень типа Siemens, Omron, ABB, DELTA или Allen-Bradley?

Неавторизованное подключение по RDP

так это проблема ОС, а не SCADA… какая ОС?

-1

ptsecurity 30 июл 2021 в 17:58

В ходе этой атаки был получен доступ к серверу SCADA, с которого впоследствии на ПЛК были отправлены команды

какая SCADA… какой ПЛК ????

SCADA и ПЛК известных вендоров

по протоколу SLMP передаются штатные и легитимные команды на ПЛК

то есть это проблема протокола SLMP?
когда вы уже хотя бы за OPC UA возьметесь? или какую-нибудь проприетарную хрень типа Siemens, Omron, ABB, DELTA или Allen-Bradley?

Нет, это не проблема промышленного протокола. Это реализация одного из векторов при получении доступа к серверу SCADA – используя легитимные команды, произведено вмешательство в техпроцесс.

по протоколу SLMP передаются штатные и легитимные команды на ПЛК
то есть это проблема протокола SLMP?
когда вы уже хотя бы за OPC UA возьметесь? или какую-нибудь проприетарную хрень типа Siemens, Omron, ABB, DELTA или Allen-Bradley?

Взялись, следите за новостями :) OPC UA поддерживается в версии 3.3, Siemens S7Comm, S7+ поддерживаются с 2016 и 2018 годов соответственно. Два проприетарных протокола Emerson поддерживаются с 2018, а CIP в части открытой спецификации поддерживается с 2019 года.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий