В США хакеры украли больше 2000 литров бензина благодаря уязвимостям на заправке
О проблемах с ПО было известно ещё с 2015 года, а для кражи достаточно скрипта на телефоне.
Заправочная станция Marathon Gas в Детройте. Скриншот Google Maps
23 июня неизвестные приехали на заправочную станцию компании Marathon Gas, расположенную в 15 минутах езды от центра Детройта. В районе 13:00 они с помощью «удалённого устройства» получили доступ к системе управления заправкой и отключили плату за бензин, сообщило местное отделение Fox.
Всего за время эксплуатации уязвимости через заправку прошли около десятка машин. Общий объём выкачанного бензина составил 600 галлонов (около 2,3 тысяч литров), а его стоимость — примерно 1800 долларов (113 тысяч рублей). Однако работники станции долгое время не могли остановить кражу.
По словам работника заправки Азиза Авада (Aziz Awadh), спустя полтора часа после обнаружения проблемы он прекратил подачу бесплатного горючего с помощью «экстренного набора». До этого он не мог справиться с системой, контролирующей насосы: она не отвечала на любые команды.
Я попытался остановить её отсюда, но экран не работал. Я попытался остановить её из системы, но ничего не получилось.
Авторы Fox отметили, что на YouTube можно свободно найти множество инструкций по получению бесплатного или очень дешёвого бензина через манипуляции с программным обеспечением заправок. Проверка TJ показала, что по запросу «free gas station hack» в поиске YouTube действительно отображались несколько десятков видео с «бензиновыми лайфхаками».
Впервые об угрозах безопасности современных заправкам сообщили авторы блога о кибербезопасности TrendMicro. В 2015 году они выпустили заметку о том, что многие системы управления АЗС можно было легко найти с помощью поиска по открытым сетевым портам. Большинство из систем, обнаруженных в ходе эксперимента, не были защищены даже паролем.
Уже в 2018 году возможность манипулирования стоимостью бензина на заправках подтвердили и два израильских специалиста по компьютерной безопасности. Они создали скрипт, который запускался с мобильного телефона и позволял автоматически менять цены на бензоколонках. Подключение происходило через веб-интерфейс системы управления заправкой.
Исследователи отметили, что некоторые заправки не подключены к интернету напрямую и управляются только через внутренние сети компании. Однако в этом случае злоумышленники могли получить доступ обходным путём: сначала получить доступ к другой заправке, затем через неё проникнуть во внутреннюю сеть и уже потом контролировать подачу на «защищённой» АЗС.
В использовании «бензинового вируса» в начале 2018 года заподозрили владельцев десятков автозаправок в российском Южном федеральном округе. Они якобы вступили в сговор с жителем Ставропольского края, создавшим программу для недолива бензина при сохранении цены. Она позволила владельцам АЗС продавать горючее на сторону без убытка для заправок.
#кибербезопасность #деньги #автомобили