Зашифрованный корабль: как киберпреступники превратились в портовых пиратов

В январе норвежская компания DNV была атакована шифровальщиком. Прицельные, или говоря иначе – таргетированные, атаки шифровальщиками далеко не редкость. Хакеры выбирают такие цели, чтобы не просто получить выкуп за зашифрованную инфраструктуру, но и завладеть информацией: корпоративными финансовыми данными, чертежами, технологиями или клиентской базой.
Зашифрованный корабль: как киберпреступники превратились в портовых пиратов

Но чем же интересен этот случай? Во-первых, DNV обслуживает 13175 морских судов и передвижных морских установок общим объемом 265,4 миллионов брутто-тонн – 21% мирового рынка! По заявлениям самих DNV во время этой атаки было затронуто около 70 клиентов компании, которые управляют примерно тысячей кораблей. Во время атаки пострадали компьютеры и серверы, которые были подключены к системе ShipManager – программе для управления судами и флотом во всех технических и эксплуатационных аспектах. Компания не раскрывает всех масштабов атаки: имена пострадавших партнеров, на сколько были затронуты корабельные системы и какое семейство зловреда использовалось. Лишь известно, что инцидент удалось локализовать и остановить.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Это не первый случай, когда судоходные компании становятся жертвами кибератак – в 2017 году Патрик Росси, менеджер по кибербезопасности DNV, уже заявлял об известных случаях заражения клиентских компьютерных сетей. Тогда-шифровальщик пробрался на борт сухогруза, в результате атаки пострадала система управления и судно перестало функционировать. В 2014 году Reuters упоминало инцидент, при котором хакеры остановили работу нефтяной вышки, наклонив ее, в то время как другая установка была серьезно атакована вирусом. Чтобы полностью восстановить работоспособность атакованной вышки потребовалось 19 дней.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Портовые пираты

Но самый дерзкий эпизод произошел в порту Антверпена в 2011-2013 годах. Про него стало известно благодаря расследованию Europol. Речь идет о действиях международной криминальной группы, состоящей из граждан Нидерландов, Турции и стран Латинской Америки. Целью группировки, которую прозвали по названию популярного фильма «13 друзей Оушена» (Ocean’s Thirteen), была контрабанда наркотиков. С технической точки зрения злоумышленникам необходимо было украсть информацию о местоположении контейнеров, в которых перевозились наркотики, и цифровой PIN-код, предъявив который водитель грузовика подтверждал права получателя контейнера и находящегося в нём груза. Украденные PIN-коды передавались группировке, занимающейся транзитом наркотиков на территории Голландии и Бельгии. После чего преступники снабжали своих водителей поддельными сертификатами и PIN-кодами доступа к контейнерам и отправляли их в порт для получения грузов до прибытия легального получателя.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Согласно официальному сообщению Europol от июня 2013 года, атака продолжалась около двух лет, начиная с июня 2011 года. Какое количество наркотиков было перевезено за этот период, точно неизвестно, но не меньше 2 тонн кокаина и 1 тонны героина. Помимо наркотиков в ходе проведенных рейдов полиции Бельгии и Нидерландов было изъято хакерское оборудование, а также оружие, бронежилеты и большие суммы денег.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Дело техники

На первом этапе в качестве вектора атаки использовался целевой фишинг с голландских IP-адресов для доставки вредоносного ПО авторизованному персоналу порта и транспортным компаниям. Для адресата это выглядело, например, как письмо с вложением, запрашивающее обновление офисного ПО. После заражения компьютеров жертвы вредоносное ПО использовалось для получения доступа к интересующим злоумышленников IT-системам.

Когда меры защиты, принятые атакованными организациями, перекрыли уже имеющийся канал кражи информации, злоумышленники перешли к новой тактике кражи PIN-кодов. который начинался с хакерских атак на сайты портовых компаний. Таким образом преступники также пытались войти в систему, чтобы получить желаемую информацию. Когда и эта тактика показалась злоумышленником неэффективной, был реализован третий вариант атаки. Как выяснилось в ходе расследования, в этих атаках ключевую роль сыграли достаточно известные в Бельгии высококвалифицированные эксперты кибербезопасности, «этичные хакеры», «лучшие пентестеры» и «IT-элита страны». Один из них имел уровень доступа National Secret / NATO Secret / EU Secret.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Члены преступной группировки физически проникли в офисы компаний и установили специальную аппаратуру для перехвата и передачи информации, которая включала в себя USB-регистраторы нажатия клавиш, замаскированные под внешние жёсткие диски и USB-переходники для клавиатур и содержали внутри миниатюрные WiFi-передатчики. С помощью таких перехватчиков преступники получали необходимые аутентификационные данные для доступа в системы, а также PIN-коды контейнеров.

Для перехвата сетевого трафика использовались так называемые PWNIE-устройства, по функциональности похожие на KVM-переключатели, внутри которых были установлены Linux микро-компьютеры с хакерским ПО Metasploit. Эти устройства переадресовывали сетевой трафик компаний через 3G-соединение для подробного изучения процессов, чтобы в дальнейшем от простого наблюдения перейти к непосредственному управлению логистическими системами компаний в режиме реального времени.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Интернационал

Согласно crimesite.nl, используемые в ходе атаки вредоносные программы (троянцы и клавиатурные шпионы) отправляли информацию на сервер, расположенный в США. Содержание полученной информации указывало на непосредственное участие в атаках ряда людей из Латинской Америки. Некоторые из их имен связаны с латиноамериканскими фирмами по компьютерной безопасности, которые также мелькали в различных публикациях о хакерских скандалах в политике и среди организованной преступности в Колумбии.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Кроме того, в ходе обыска голландской квартиры одного из организаторов преступной группировки было найдено профессиональное шпионское оборудование: устройства блокирования работы полицейской прослушивающей аппаратуры и IMSI-перехватчики. Эти устройства выглядят как обычные ноутбуки с подключенной антенной, но функционально тождественны базовой станции сотовой связи. Они позволяют прослушивать любые разговоры по мобильной связи в определенном радиусе, в том числе разговоры полиции и других ответственных должностных лиц. Звонящий, как правило, не замечает, что его разговор прослушивается. IMSI-перехватчики очень ограниченно предоставляются полиции и спецслужбам. Ни бельгийские, ни голландские документы, доступные медиа, не раскрывают, для чего именно использовалось это оборудование, и использовалось ли оно непосредственно для атак на портовые компании.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Данный инцидент является одним из первых, зафиксированных и преданных широкой огласке случаев, когда «обычные» (не кибер-) преступники использовали кибератаку как средство для реализации преступления – доставки крупной партии наркотиков.

Навигация по звездам

Учитывая, что часть корабельных систем базируются на операционной системе Windows(вплоть до Windows 98), а обновления могут ставить раз в несколько лет, проблема безопасности судоходства становится все более горячей. Системы с отсутствием обновлений – лакомый кусочек для вирусов. В случае с судоходством атака на корабельные системы может вывести из строя судно, но ненадолго – в экстренной ситуации корабль можно перевести в ручное управление без участия киберсистем. Однако при атаке на систему навигации, которая тоже часто базируется на ОС Windows, последствия могут быть существенными: капитанам кораблей придется воспользоваться астролябией или определять местоположение по звездам.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

В любом случае, такие атаки будут дорого обходиться судоходным компаниям, особенно если груз должен быть доставлен в конкретные сроки. А ведь атакующий может поставить отложенное шифрование и зашифровать все корабельные системы, когда судно будет далеко в открытом море и «скорая киберпомощь» не сможет подоспеть быстро и придется «как-то» добираться до ближайшего порта.

В связи с очень динамично меняющимся ландшафтом киберугроз, глобальными геополитическими морскими качками, а иногда и штормом, логистика, в том числе и судоходная, может быть одной из лакомых целей киберпреступников, чтобы не только заниматься кибершпионажем, но и угрожать судоходству.