Μια νέα κατηγορία επιθέσεων που βασίζονται στο Διαδίκτυο μετατρέπει την υποδομή ηλιακής ενέργειας σε στόχο υψηλού κινδύνου, επιτρέποντας στους χάκερ να διακόψουν την παραγωγή ενέργειας μέσα σε λίγα λεπτά χρησιμοποιώντας μόνο ανοιχτές θύρες και δωρεάν εργαλεία.
Τα σύγχρονα ηλιακά πάρκα βασίζονται σε δικτυωμένη λειτουργική τεχνολογία, συμπεριλαμβανομένων των ελεγκτών SCADA και των κουτιών παρακολούθησης στοιχειοσειρών, πολλά από τα οποία εξακολουθούν να μιλούν Modbus, ένα πρωτόκολλο παλαιού τύπου χωρίς ενσωματωμένη ασφάλεια.
Όταν αυτές οι συσκευές εκτίθενται στο διαδίκτυο, οι εισβολείς μπορούν να στείλουν εξ αποστάσεως εντολές ελέγχου που διακόπτουν την τροφοδοσία σε καθαρές, ηλιόλουστες μέρες με ένα μόνο πακέτο.
.webp.jpeg "Οι χάκερ μπορούν να χειραγωγήσουν συστήματα ηλιακών συλλεκτών που βασίζονται στο Διαδίκτυο για να εκτελούν επιθέσεις σε λίγα λεπτά")
Αυτό δείχνει πώς οι φορείς απειλών είναι λογικά ενσωματωμένοι με φωτοβολταϊκές μονάδες, κουτιά παρακολούθησης στοιχειοσειρών και συστήματα SCADA.
Αναλυτές της Cato Networks διάσημος μεγάλης κλίμακας προσπάθειες αναγνώρισης και εκμετάλλευσης που στοχεύουν κουτιά παρακολούθησης χορδών με δυνατότητα Modbus που διέπουν άμεσα την παραγωγή ηλιακών πάνελ.
Με κατάχρηση του Modbus μέσω TCP, που συνήθως εκτίθεται στη θύρα 502, οι αντίπαλοι μπορούν να διαβάσουν την κατάσταση της συσκευής και στη συνέχεια να αναστρέψουν τα bit ελέγχου που ενεργοποιούν ή απενεργοποιούν τις συμβολοσειρές.
Δεν υπάρχει ανάγκη για zero-day exploits ή πολύπλοκα ωφέλιμα φορτία. ο κίνδυνος προέρχεται από προεπιλεγμένες ανοικτές υπηρεσίες και μη ασφαλή πρωτόκολλα σχεδιασμού. Μόλις ένας εισβολέας αναγνωρίσει μια προσβάσιμη συσκευή, ο χρόνος από τον πρώτο έλεγχο έως την κρουστική διακοπή ρεύματος μπορεί να μειωθεί από ημέρες σε λεπτά.
Ερευνητές της Cato Networks διαπίστωσαν ότι αυτές οι επιθέσεις κλιμακώνονται περαιτέρω όταν συνδυάζονται με πρακτορεία τεχνητής νοημοσύνης που αυτοματοποιούν τη σάρωση, τη λήψη δακτυλικών αποτυπωμάτων και την έγχυση εντολών έναντι περιουσιακών στοιχείων OT.
Τα εργαλεία που βασίζονται στο AI μπορούν να σαρώσουν μεγάλες περιοχές IP, να ανακαλύψουν εκτεθειμένες υπηρεσίες Modbus και να δοκιμάσουν εγγράψιμους καταχωρητές με ταχύτητα μηχανής. Αυτό αλλάζει το μοντέλο απειλής για τους ηλιακούς φορείς, καθώς οι ανθρώπινοι υπερασπιστές αγωνίζονται να συμβαδίσουν με αυτόν τον ρυθμό στην παρακολούθηση και την απόκριση.
Η ανάλυση της πηγής υπογραμμίζει το αδύνατο σημείο: το κουτί παρακολούθησης στοιχειοσειρών, το οποίο εκπέμπει το Modbus και γεφυρώνει τις Φ/Β χορδές στον «εγκέφαλο» του SCADA. Μόλις παραβιαστεί αυτό το πλαίσιο, ο εισβολέας γίνεται ουσιαστικά ένας απατεώνας χειριστής SCADA.
Μπορούν να χρησιμοποιήσουν απλούς κώδικες λειτουργίας Modbus για να διαβάσουν τους καταχωρητές κράτησης τάσης και ρεύματος, και στη συνέχεια να γράψουν πηνία ή να καταχωρήσουν τιμές που αλλάζουν την κατάσταση του συστήματος. Σε πολλές αναπτύξεις, αυτά τα κουτιά βρίσκονται σε επίπεδα δίκτυα, χωρίς τμηματοποίηση μεταξύ IT και OT, κάνοντας την πλευρική κίνηση ακόμα πιο εύκολη.
Χειρισμός επιπέδου εντολών μέσω Modbus
Στο επίκεντρο αυτής της απειλής βρίσκεται ο άμεσος χειρισμός του μητρώου μέσω Modbus/TCP. Οι εισβολείς ξεκινούν με τη βασική ανακάλυψη χρησιμοποιώντας τα σενάρια Modbus NSE του Nmap για να επιβεβαιώσουν ότι ένας κεντρικός υπολογιστής εκτελεί το Modbus στη θύρα 502 και να απαριθμήσει τα αναγνωριστικά συσκευών.
Μια τυπική εντολή Nmap για OT recon μοιάζει με αυτό:
bashnmap -sV -p 502 --script modbus-discover
Αυτό το βήμα αποκαλύπτει ποια αναγνωριστικά μονάδων ανταποκρίνονται και ποιοι κωδικοί λειτουργιών υποστηρίζονται. Από εκεί, οι αντίπαλοι περιστρέφονται σε εργαλεία όπως το mbpoll ή το modbus-cli για ανάγνωση και εγγραφή καταχωρητών.
Για παράδειγμα, ένας κακόβουλος χειριστής θα μπορούσε να επιχειρήσει να απενεργοποιήσει μια φωτοβολταϊκή συμβολοσειρά γράφοντας μια συγκεκριμένη τιμή σε έναν καταχωρητή ελέγχου:-
bashmbpoll -m tcp -t 0 -r 0xAC00 -0 1
# 0xAC00 mapped as SWITCH OFF
Σε τεκμηριωμένες περιπτώσεις, καταχωρητές όπως 0xAC00 και 0xAC01 αντιστοιχίζονται σε “SWITCH OFF” και “SWITCH ON”, αντίστοιχα.
Χρησιμοποιώντας αυτές τις εντολές, ένας εισβολέας θα μπορούσε να αλλάξει γρήγορα τις συμβολοσειρές, τους μετατροπείς πίεσης ή να μειώσει σιωπηλά την παραγωγή ενώ εγκαταλείπει το εργοστάσιο στο διαδίκτυο.
Όταν είναι τυλιγμένα σε λογική που βασίζεται στην τεχνητή νοημοσύνη, τα σενάρια μπορούν να διερευνούν συνεχώς την αποδοχή, να ξαναδοκιμάζουν αποτυχημένες εγγραφές και να προσαρμόζονται σε μερικές άμυνες, μετατρέποντας τις απλές τροποποιήσεις καταχωρητών σε αξιόπιστα, επαναλαμβανόμενα exploits.
.webp.jpeg "Οι χάκερ μπορούν να χειραγωγήσουν συστήματα ηλιακών συλλεκτών που βασίζονται στο Διαδίκτυο για να εκτελούν επιθέσεις σε λίγα λεπτά")
Η αναφορά Cato Networks υπογραμμίζει το πρόβλημα με μια ειδοποίηση πραγματικού κόσμου στην εκτεθειμένη θύρα Modbus 502, η οποία έχει χαρακτηριστεί ως υψηλού κινδύνου και συνδέεται με υπερβολικά επιτρεπτούς κανόνες τείχους προστασίας.
Μαζί, αυτά τα ευρήματα παρέχουν μια ολοκληρωμένη τεχνική ανάλυση του τρόπου με τον οποίο μπορούν να αξιοποιηθούν οι εκτεθειμένες στο Διαδίκτυο υπηρεσίες Modbus σε ηλιακούς πόρους για να προκαλέσουν ταχεία, μεγάλης επίδρασης διακοπή του δικτύου.
Related Posts
Το κακόβουλο πακέτο NuGet χρησιμοποιεί το εργαλείο καταγραφής .NET για την κλοπή δεδομένων πορτοφολιού κρυπτονομισμάτων
Το Dark Web Omertà Market έκλεισε μετά τη διαρροή πραγματικών IP διακομιστή
Οι Κινέζοι χάκερ του PlushDaemon χρησιμοποιούν το Εργαλείο EdgeStepper για να παραβιάσουν νόμιμες ενημερώσεις και να ανακατευθύνουν σε κακόβουλους διακομιστές
