Статья Атаки на SCADA системы: разбор взломов водоочистных станций и detection-playbook для OT-сети

В январе 2024 года хактивистская группа CARR (Cyber Army of Russia Reborn), которую Mandiant в апреле 2024 с moderate confidence связал с APT44/Sandworm, залезла в системы управления водоснабжением в Muleshoe, штат Техас - менее чем в 40 милях от авиабазы Cannon, где сидит командование спецопераций ВВС США. Атакующие перенастроили параметры управления и вызвали перелив водонапорной башни. Тем же методом ударили по соседним городам - Abernathy, Hale Center, Lockney - и выложили видео своего взаимодействия с HMI-панелями в открытый доступ. Не zero-day, не кастомный эксплойт - просто зашли через VNC с дефолтными кредами.

По данным «Информзащиты», в первом полугодии 2025 года количество атак на SCADA системы выросло на 27% по сравнению с аналогичным периодом прошлого года. Сильнее всего - в энергетике (+38%), химической и нефтехимической промышленности (+17%).

Kill chain атак на водоочистные станции: от разведки до манипуляции процессом​

Атаки на SCADA системы водоочистных станций следуют определённой логике, которую можно разложить по MITRE ATT&CK. На каждом этапе - конкретный вектор и конкретный detection-ориентир для SOC.

Initial Access: как атакующие попадают в OT-сеть​

Три вектора, зафиксированных в реальных инцидентах:

Дефолтные учётные записи (T1078.001, Initial Access / Persistence / Privilege Escalation). По данным EPA, более 70% водоочистных систем, проверенных с сентября 2023 года, нарушают требования кибербезопасности Safe Drinking Water Act. Неизменённые дефолтные пароли, отсутствие MFA, несоблюдение принципа минимальных привилегий. Когда HMI-интерфейс висит на дефолтном пароле и доступен через VNC - атакующему не нужен exploit. CARR именно так попала в системы Muleshoe.

Detection: мониторинг успешных аутентификаций на HMI/SCADA-серверах с нетипичных IP-адресов. Алерт на использование учёток по умолчанию - admin/admin, administrator/password и вендор-специфичные дефолты для Siemens, Schneider Electric, Rockwell.

Внешние удалённые сервисы (T1133, Initial Access / Persistence). VNC, RDP, TeamViewer - стандартный набор для удалённого доступа инженеров-технологов. Группы People's Cyber Army и Z-Pentest целенаправленно сканировали VNC-серверы, проприетарное ПО управления водоснабжением и межсетевые экраны на предмет уязвимостей. В инциденте на водоочистной станции в Oldsmar (Флорида, февраль 2021), согласно первоначальному заявлению шерифа Pinellas County, неизвестный подключился через TeamViewer к HMI оператора и на глазах у дежурного начал менять уставки - концентрация гидроксида натрия была изменена со штатных ~100 ppm до 11 100 ppm. Оператор заметил движение курсора и откатил изменения. Позднее в 2023 году отчёт Cyber Florida поставил под сомнение факт внешнего вторжения, склоняясь к версии операторской ошибки.

(Тут стоит оговориться: Oldsmar - один из самых спорных кейсов в истории OT-инцидентов. Шериф говорил одно, расследование показало другое. Но сам факт, что оператор смотрел, как курсор двигается по экрану - это реальность многих водоочистных станций с открытым TeamViewer.)

Detection: baseline авторизованных remote-access сессий - IP-диапазоны, временные окна, длительность. Подключение VNC/RDP из-за пределов белого списка - алерт с приоритетом critical.

Эксплуатация публично доступных приложений (T1190, Initial Access). Веб-интерфейсы ПЛК, HMI-панели с HTTP-доступом, MQTT-брокеры без аутентификации. На Shodan запрос port:502 (Modbus TCP) возвращает тысячи устройств. У ПЛК Siemens S7-1200/1500 веб-сервер включён по умолчанию - атакующий получает данные о конфигурации ещё до аутентификации.

Detection: мониторинг внешних подключений к портам промышленных протоколов - 502 (Modbus TCP), 102 (S7comm), 44818 (EtherNet/IP), 20000 (DNP3). Правило корреляции: если source IP не из внутренней OT-подсети и destination port входит в этот перечень - инцидент.

Discovery и Impact: что происходит после проникновения​

Получив доступ, атакующий сканирует подсеть на наличие ПЛК и HMI - Network Service Discovery (T1046). В OT-сети это заметнее, чем в IT: промышленные устройства плохо переносят интенсивное сканирование, а штатный Modbus-трафик предсказуем и цикличен.

Дальше - impact:

Манипуляция передаваемыми данными (T1565.002, Impact). Атакующий отправляет команды записи в регистры ПЛК. В терминах Modbus это function codes FC5 (Write Single Coil), FC6 (Write Single Register), FC15 (Write Multiple Coils), FC16 (Write Multiple Registers). Через запись в регистры меняются уставки технологического процесса - концентрация реагентов, давление, расход.

Остановка сервисов (T1489, Impact). Принудительное отключение процессов - от остановки насосных станций до отключения систем обеззараживания. На Arkansas City Water Treatment Facility (сентябрь 2024) объект перешёл на ручное управление, хотя по заявлению городских властей водоснабжение формально не прерывалось.

Уничтожение данных (T1485, Impact). Wiper-атаки на SCADA-серверы и historian-базы. В августе 2021 года на станции водоотведения (wastewater) в штате Мэн ransomware ZuCaNo развернули через удалённый доступ на SCADA-компьютер - по данным CISA advisory AA21-287A.

APT-группировки, нацеленные на ICS: SCADA атаки APT в деталях​

Российские аффилиаты. Sandworm (Военная часть 74455, ГТсСТ ГРУ). CARR - связанная с Sandworm группа, действующая грубее и рискованнее. По оценке Mandiant, CARR - hacktivist persona, которую Sandworm использует для дениабельных операций. Результат атак: перенастройка параметров управления, смена административных паролей для блокировки легитимных операторов.

Иранские аффилиаты. Cyber Av3ngers - группировка, связанная с IRGC (Корпус стражей Исламской революции). Целенаправленно бьют по ПЛК израильского производства (Unitronics) с посланием: «Every equipment 'made in Israel' is CyberAv3ngers legal target.» Помимо оппортунистических атак, группа использует кастомное вредоносное ПО IOCONTROL для инфильтрации водных систем и АЗС.

Китайские аффилиаты. Volt Typhoon - пре-позиционирование. В начале 2024 года обнаружили, что группа поддерживала доступ к критической инфраструктуре не менее пяти лет. Тактика - living-off-the-land, минимум собственных инструментов, максимум штатных утилит. BlackTech атакует межсетевые экраны удалённых офисов для проникновения в крупные сети и эскалации до полного административного контроля.

Вот что здесь бросается в глаза: CARR и Cyber Av3ngers используют примитивные методы - дефолтные пароли, открытый VNC. А Volt Typhoon пять лет сидит в инфраструктуре и использует только штатные утилиты ОС. Два полюса: шумный хактивизм и тихое пре-позиционирование. Детектить первое - тривиально (если вообще есть мониторинг). Детектить второе - совсем другая задача.

Чем OT-угрозы отличаются от IT: промышленная кибербезопасность на уровне протоколов​

Этот раздел - для тех, кто приходит из IT-безопасности и пытается применить привычные подходы в OT-среде. Спойлер: большинство из них не работает.

Промышленные протоколы Modbus DNP3 не имеют встроенной аутентификации. Modbus TCP, спроектированный в 1979 году, не предусматривает ни аутентификации, ни шифрования. Любое устройство, способное сформировать корректный TCP-пакет на порт 502 с валидным function code, воспринимается ПЛК как легитимный master. FC6 (Write Single Register) меняет уставку процесса - без пароля, без токена, без логирования на уровне протокола. DNP3 Secure Authentication (SA) существует, но развёрнут на единичных объектах. Значительная часть коммуникаций на уровне полевых устройств идёт через serial/analog (Non-IP) интерфейсы - RS-485, токовые петли 4-20 мА - которые вообще не покрываются стандартными сетевыми средствами мониторинга.

Проще говоря: Modbus - это протокол из эпохи, когда о сетевых атаках никто не думал. Он доверяет всем. Всегда.

Патчинг невозможен в привычном режиме. ПЛК, управляющий хлорированием воды, не перезагружается по расписанию. Остановка процесса - реальная угроза здоровью людей. Патч-менеджмент в OT: тестирование обновления на стенде → окно обслуживания раз в квартал или реже → обновление с ручным откатом наготове. Многие SCADA-серверы работают на Windows XP/7/Server 2008, для которых патчи уже не выпускаются.

Baseline имеет другой масштаб. В IT baseline сетевого трафика - тысячи различных соединений ежеминутно. В OT baseline Modbus-трафика между master и slave предсказуем до конкретных function code и register address. Нормальный цикл: master каждые 500 мс отправляет FC3 (Read Holding Registers) на регистры 0x0000-0x000F. Появление FC16 (Write Multiple Registers) с нового IP - аномалия. Но для её детектирования нужен DPI на уровне промышленного протокола, а не стандартный netflow.

И тут парадокс: предсказуемость OT-трафика - одновременно слабость (легко подделать легитимный запрос) и сила (любое отклонение заметно - если есть чем смотреть).

IDS/IPS в OT-сегменте - только пассивный режим. Активное блокирование трафика в промышленной сети может вызвать аварийную остановку процесса. Suricata/Snort в OT разворачивают на SPAN-порте в режиме IDS, не IPS. В IT inline-блокировка - норма, в OT - прямой путь к аварии.

Insider threat: скомпрометированные инженерные станции в OT-сети​

По данным «Информзащиты», в ряде случаев на российских предприятиях зафиксированы действия внутренних нарушителей с многомиллионным ущербом.

Инженерная станция (Engineering Workstation) - Windows-машина с ПО для программирования ПЛК: TIA Portal для Siemens, Studio 5000 для Rockwell, EcoStruxure для Schneider Electric. У неё легитимный доступ к записи в регистры и загрузке программ - это штатная функция. Компрометация через фишинг или заражение USB-накопителем даёт атакующему полный доступ к технологическому процессу без необходимости обходить сетевую сегментацию.

Это самый неприятный вектор. Инженерная станция - по определению доверенный хост. Она должна писать в регистры ПЛК. Отличить легитимную перепрошивку от вредоносной на уровне сети - невозможно без контекста.

Detection: мониторинг программных загрузок в ПЛК. Каждая перепрошивка контроллера фиксируется: кто, когда, с какого хоста, какой проект загружен. Если TIA Portal инициирует загрузку программы в 2:00 ночи с инженерной станции, которая обычно работает с 8:00 до 18:00 - это алерт.

Второй сценарий - оператор с легитимным доступом к HMI. Контрмера: двухфакторная авторизация критических операций (изменение уставок, перепрошивка ПЛК) на уровне SCADA-сервера, а не только на уровне сетевого доступа. По данным Darktrace, insider threats обходят многие стандартные защитные меры, поскольку действуют в рамках легитимных полномочий.

Detection-playbook: мониторинг промышленной сети и правила корреляции​

Источники событий для OT-мониторинга​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Зарегистрироваться или Войти

Правило ставится в режиме IDS на SPAN-порте - блокировка трафика недопустима. Переменную $ENGINEERING_STATIONS определяем в suricata.yaml - в ней перечислены IP-адреса легитимных инженерных станций. Убедитесь, что включён парсер Modbus: app-layer.protocols.modbus.enabled: yes. Для S7comm-трафика (порт 102) аналогичная логика: мониторинг функций Write Var и Download Block с алертом при несовпадении source IP с whitelist.

Baseline: что зафиксировать в первую неделю​

При развёртывании мониторинга первая задача - baseline нормального трафика:

• Перечень всех IP в OT-подсети и их роли: ПЛК, HMI, SCADA-сервер, historian, инженерная станция
• Нормальные пары коммуникации: какой master опрашивает какой slave, с какой частотой, какие function codes использует
• Временные окна штатных операций записи (FC5/6/15/16) - обычно только при ручных действиях оператора или автоматических регулировках
• Нормальные remote-access сессии: источник, назначение, время, длительность

Этот baseline - основа всех detection-правил. Без него мониторинг OT утонет в false positives. На практике неделя - минимум. На объектах с сезонными режимами (водоочистка, теплоснабжение) полный baseline собирается за квартал.

Hardening-чеклист для оператора критической инфраструктуры КИИ​

Готовый список действий с привязкой к NIST CSF v2.0:

1. Инвентаризация OT-активов (ID.AM-01). Полный перечень ПЛК, HMI, SCADA-серверов, коммутаторов, точек удалённого доступа. Включить serial-интерфейсы - Modbus RTU через RS-485 не менее критичен, чем Modbus TCP.
2. Смена всех дефолтных учётных записей (PR.AA-01). По реестру: для каждого устройства проверить вендорскую документацию на дефолтные credentials и заменить.
3. Сегментация IT/OT по Purdue Model. DMZ (Level 3.5) между корпоративной сетью (Level 4-5) и технологической (Level 0-3). Через DMZ - только historian replication и remote access через jump host с MFA. Прямые соединения IT↔OT - запрет.
4. Отключение неиспользуемых сервисов на ПЛК. Встроенный веб-сервер - отключить, если не требуется. SNMP v1/v2c - заменить на v3 или деактивировать. FTP/Telnet - заменить на SFTP/SSH.
5. Пассивный мониторинг OT-трафика (DE.AE-01). SPAN-порт на коммутаторе OT-сегмента → IDS с поддержкой промышленных протоколов. Инструменты: Suricata с правилами для Modbus/S7comm/DNP3, специализированные решения - Claroty, Dragos Platform, Nozomi Networks.
6. Двухфакторная авторизация критических операций. Изменение уставок, загрузка программ в ПЛК, изменение конфигурации сети - только с подтверждением и логированием.
7. Offline-бэкапы конфигураций ПЛК и проектов SCADA. Хранить изолированно, проверять возможность восстановления ежеквартально.
8. Процедура ручного управления (RC.CO-01). Если SCADA недоступна - операторы должны уметь вести процесс вручную. Регулярные учения по переходу на ручной режим.
9. Аудит всех точек remote access. VPN-концентраторы, TeamViewer/AnyDesk, сотовые модемы на удалённых подстанциях - в реестр, под мониторинг, с whitelist источников.
10. Risk and Resilience Assessments. EPA зафиксировала, что многие операторы не выполнили даже обязательные RRA и Emergency Response Plans. В российском контексте - аналогичные требования 187-ФЗ о безопасности КИИ.

Стоимость промедления конкретна: по данным IBM Cost of a Data Breach 2024, средняя стоимость утечки данных в промышленном секторе составила $5,56 млн - рост на 18% относительно 2023 года, максимальный прирост среди всех исследованных отраслей.

Четыре года аудитов OT-инфраструктуры показали одну закономерность: основной вектор атак на SCADA системы - не zero-day и не сложные APT-тулкиты. Это дефолтные пароли, открытый VNC и отсутствие сегментации. CARR и Cyber Av3ngers не используют ничего технически сложного - они эксплуатируют то, что операторы оставили открытым. Sandworm делегирует CARR грязную работу, а сам занимается пре-позиционированием для масштабных сценариев. Volt Typhoon сидит в инфраструктуре пять лет и обнаруживается случайно.

Самая неудобная правда: у большинства водоочистных станций нет ни одного человека, отвечающего за кибербезопасность OT-сегмента на постоянной основе. По данным CISA, только 20% водных систем в США внедрили базовые меры защиты. В России 187-ФЗ обязывает, но формальное соответствие и реальная защищённость - разные вещи, и это знает каждый, кто проводил аудит объекта КИИ.

Detection-правила из этой статьи покрывают основные векторы, зафиксированные в разобранных инцидентах - но только при условии, что кто-то на них смотрит и реагирует. Если у тебя другой стек детекции - на codeby.net разбираем, как строить baseline промышленных протоколов под конкретные SIEM-бэкенды и OT-платформы.