Специалисты компании Verizon опубликовали дайджест киберпроисшествий (PDF) за март 2016 года, в котором рассказывается о нескольких расследованиях, проведенных сотрудниками компании. Один из описанных в документе случаев весьма примечателен: водоочистные системы неназванной компании, которая фигурирует в документе под именем Kemuri Water Company (KWC), пострадали в результате случайной атаки хакеров.
Представители KWC обратились за помощью к экспертам Verizon, так как собственный IT-отдел компании не смог разобраться с проблемой. А проблема определено наличествовала: водоочистной центр работал со странными сбоями, уровень химикатов то и дело произвольно менялся. Команда специалистов Verizon быстро выяснила, что сбои SCADA-оборудования не случайны, — в работу KWC вмешались хакеры.
Практически сразу после начала расследования специалисты команды RISK выявили ряд серьезных проблем. Оказалось, что KWC использует очень старую платформу, на которой работает не менее устаревшая операционная система. Во-первых, практически вся инфраструктура была построена вокруг IBM AS/400, которую впервые представили еще в далеком 1988 году. Во-вторых, AS/400 оказалась доступной из интернета, потому что через нее проходил трафик веб-сервера, к которому клиенты KWC обращались за получением информации о расходе воды, за счетами на воду, а также для оплаты этих самых счетов. Кроме того, выяснилось, что всего один сотрудник KWC отвечает за настройку AS/400 (и, видимо, он единственный во всей компании, кто может с этим разобраться). Если бы этого сотрудника не было на работе, во время загадочных «сбоев оборудования», атака могла вообще остаться незамеченной,
Дальнейшее расследование и логи, полученные с AS/400, показали, что настройки системы кто-то «подправил» извне. В логах внимание экспертов сразу привлекли четыре IP-адреса, которые ранее уже попадали в поле зрения специалистов: данные адреса фигурировали в расследованиях хактивистских кампаний.
Оказалось, что впервые хакеры проникли в систему через собственное платежное веб-приложение KWC. Тогда злоумышленники определенно искали личные данные клиентов компании. В платежном приложении взломщики обнаружили уязвимость, при помощи которой им удалось проникнуть дальше — на веб-сервер. На сервере хакеры обнаружили INI-файл, содержавший учетные данные администратора AS/400 (в виде простого текста).
Специалисты Verizon пишут, что взломщики определено не понимали, к чему они получили доступ и проникли в систему AS/400 из любопытства. Похоже, что настройки водоочистной системы они поменяли случайным образом, просто экспериментируя и пытаясь понять, что это такое.
Завершая расследование, эксперты команды RISK пришли к выводу, что хакеры не имели дурных намерений относительно SCADA-систем, и, по сути, произошедшее можно назвать случайностью. Впрочем, эксперты уведомили руководство KWC о том, что взломщики получили доступ к личным и финансовым данным 2,5 млн клиентов компании. Также сотрудники Verizon разработали для KWC подробный план улучшения IT-безопасности, чтобы такие инциденты не повторялись в будущем.
Схема распространения различных вредоносных программ под видом «ускорителей интернета» снова набирает популярность. Как предупреждает Управление по борьбе с противоправным использованием инфокоммуникационных технологий МВД России (УБК МВД), количество подобных случаев стремительно растет.
По информации, опубликованной в официальном телеграм-канале УБК МВД «Вестник киберполиции России», злоумышленники представляются сотрудниками операторов связи и предлагают бесплатно повысить скорость мобильного интернета. Однако вместо «ускорителя» на устройство пользователя устанавливается зловред.
Впервые подобный сценарий стал активно использоваться летом 2024 года. Тогда мошенники стремились получить коды авторизации на портале Госуслуг, запугивая абонентов угрозами отключения связи и срочностью выполнения действий.
Весной 2025 года мошенники изменили тактику: теперь они навязывают установку вредоносных приложений. Так, в конце марта, как сообщили местные СМИ, житель Свердловской области стал жертвой такой схемы и потерял 86 тысяч рублей после установки троянской программы под видом «ускорителя интернета».
О похожем инциденте рассказал «Вестник киберполиции России»: у жительницы Нижнего Новгорода злоумышленники с помощью вредоносной программы перехватили коды авторизации в её онлайн-банке.
Особой популярностью у мошенников пользуются поддельные «ускорители» видеохостинга YouTube. По данным специалистов, таких программ насчитываются сотни.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
