В качестве мести за "незаконное увольнение" кто-то опубликовал скриншоты и
другие данные очевидным образом показывающие, что он был способен взломать
энергетическую систему мощностью в 200 мегаватт, которая принадлежит NextEra
Energy Resources, дочернему подразделению компании Florida Power & Light.
В субботу информация была опубликована в почтовой рассылке
Full Disclossure
неизвестным, использующим псевдоним "Bgr R". В письме он (или она) указал: "Это
моя месть за незаконное увольнение из компании Florida Power & Light… И вы уже
ничего не сможете сделать, когда у вас отключат электричество!!!".
В интервью Bgr R сообщил, что он является бывшим сотрудником компании, и что
он обнаружил слабые места в ПО для управления безопасностью компании, которые он
потом использовал для взлома систем SCADA, которые контролируют ветряные
генераторы. По словам неизвестного, его целью было создать трудности для
компании. "Я хочу, чтобы люди знали о них и о том, как они работают над
безопасностью системы SCADA на самом деле" - говорит он.
По словам Уэсли МакГру, исследователя безопасности производственных систем,
пока неизвестно, является ли эти данные ложными или нет, и пострадали ли
какие-то из систем на самом деле, но скриншоты интерфейса административного
управления генераторами выглядят весьма реалистично. "Скорее всего это правда, и
этот человек будет очень скоро арестован, если конечно он действительно является
возмущённым сотрудником компании", - сообщил он в интервью. "Всё это выглядит
так, как будто у него была сохранена вся информация, к которой у него был
доступ. Если это розыгрыш, то он очень хорошо сделан", - заметил он.
С другой стороны, по мнению МакГру, ещё остаётся несколько вопросов,
требующих ответа. В своём интервью с IDG News Bigr R не распространялся о том,
каким образом он взломал саму систему SCADA, он также не продемонстрировал
обширных знаний о системах компании Florida Power & Light (FPL). Один раз он
даже допустил опечатку в аббревиатуре компании.
Очевидно, Bigr R разослал данные скриншоты для того, чтобы показать, что у
него был доступ к системе управления ветряной станцией из 136 турбин в Форт
Самнер в 170 милях к юго-востоку от Альбукерке. В зависимости от того, как было
настроено ПО, он мог прекратить подачу 200 МВт или даже повредить оборудование
на станции.
Компания Florida Power & Light (FPL) является собственником станции в Форт
Самнер, но энергия, сгенерированная ими, используется компанией коммунального
обслуживания PNM с октября 2003 года. По словам представителя PNM, Сьюзан
Споньяр, компания не осведомлена ни о каких происшествиях, способных навредить
оборудованию в Форт Самнер. Она перенаправила все вопросы к компании FPL.
Официальные представители компании FPL пока оказались неспособны
прокомментировать происходящее.
Данные, распространённые Bigr R, содержат скриншоты интерфейса управления
ветрогенераторами – WinCCC (ПО, разработанное
компанией Siemens) – а также скриншоты FTP-сервера
компании и системы управления проектами. Там также содержится информация о
названии веб-сервера и о настройках роутера Cisco, который скорее всего
находится у компании AT&T.
Согласно информации, один из паролей компании для роутера был "cisco".
А ниже приводим конфигурационный файл роутера, опубликованный хакером:
Configuration file from the central Cisco Router and Security Device
Manager: 161.154.232.2 (FPL - FFPL-1)
Building configuration...
Current configuration : 8467 bytes
!
! Last configuration change at 18:01:57 UTC Mon Oct 25 2010 by ro5810
! NVRAM config last updated at 18:01:59 UTC Mon Oct 25 2010 by ro5810
!
version 12.2
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname cpr622i00bct
!
logging buffered 65000 debugging
logging rate-limit all 10 except critical
enable secret 5 $1$7uN5$Ok9fYku/HC/KNqWQkHoWP.
!
aaa new-model
aaa authentication login default group tacacs+ enable
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ none
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
aaa session-id common
ip subnet-zero
no ip source-route
ip routing
!
no ip domain-lookup
ip host cs00noc 172.16.0.132
ip host cs01noc 172.16.0.133
ip host cs00noc-pub 209.215.34.12
ip host cs01noc-pub 209.215.34.11
ip name-server 205.152.132.23
ip name-server 205.152.144.23
vtp domain Core
vtp mode transparent
!
mls qos
no mpls traffic-eng auto-bw timers frequency 0
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
!
!
vlan internal allocation policy ascending
!
vlan 1578
name FPL
!
policy-map SHAPER1
class class-default
shape average 250000000
!
!
!
interface FastEthernet1/0/1
!
interface FastEthernet1/0/2
!
interface FastEthernet1/0/3
!
interface FastEthernet1/0/4
!
interface FastEthernet1/0/5
!
interface FastEthernet1/0/6
!
interface FastEthernet1/0/7
!
interface FastEthernet1/0/8
!
interface FastEthernet1/0/9
!
interface FastEthernet1/0/10
!
interface FastEthernet1/0/11
!
interface FastEthernet1/0/12
!
interface FastEthernet1/0/13
!
interface FastEthernet1/0/14
!
interface FastEthernet1/0/15
!
interface FastEthernet1/0/16
!
interface FastEthernet1/0/17
!
interface FastEthernet1/0/18
!
interface FastEthernet1/0/19
!
interface FastEthernet1/0/20
!
interface FastEthernet1/0/21
!
interface FastEthernet1/0/22
!
interface FastEthernet1/0/23
!
interface FastEthernet1/0/24
!
interface GigabitEthernet1/0/1
!
interface GigabitEthernet1/0/2
!
interface GigabitEthernet1/1/1
switchport trunk allowed vlan 1578
switchport mode trunk
switchport nonegotiate
ip access-group 112 in
service-policy output SHAPER1
load-interval 30
speed nonegotiate
!
interface GigabitEthernet1/1/2
no switchport
ip address 161.154.232.2 255.255.255.0
ip access-group 115 in
load-interval 30
keepalive 10
speed nonegotiate
mls qos trust dscp
no cdp enable
no clns route-cache
hold-queue 100 in
hold-queue 100 out
!
interface Vlan1
no ip address
shutdown
!
interface Vlan1578
ip address 65.14.117.30 255.255.255.252
load-interval 30
no clns route-cache
!
ip classless
ip route 0.0.0.0 0.0.0.0 65.14.117.29
ip route 155.109.5.0 255.255.255.0 161.154.232.1
ip route 155.109.19.0 255.255.255.0 161.154.232.1
ip route 155.109.29.0 255.255.255.0 161.154.232.1
ip route 155.109.29.204 255.255.255.255 65.14.117.29
ip route 155.109.29.214 255.255.255.255 65.14.117.29
ip route 155.109.66.0 255.255.255.0 161.154.232.1
ip route 155.109.88.0 255.255.255.0 161.154.232.1
ip route 155.109.95.0 255.255.255.0 161.154.232.1
ip route 161.154.0.0 255.255.0.0 161.154.232.1
ip route 170.55.0.0 255.255.0.0 161.154.232.1
ip route 204.238.236.0 255.255.255.0 161.154.232.1
no ip http server
ip http secure-server
!
!
!
access-list 98 permit 205.152.144.226
access-list 98 permit 205.152.132.250
access-list 98 permit 205.152.132.226
access-list 98 permit 205.152.144.250
access-list 98 permit 205.152.144.165
access-list 98 permit 205.152.37.19
access-list 98 permit 205.152.37.20
access-list 98 permit 205.152.144.163
access-list 98 permit 205.152.37.26
access-list 98 permit 205.152.37.27
access-list 98 permit 205.152.132.163
access-list 98 permit 205.152.132.165
access-list 98 permit 205.152.37.250
access-list 98 permit 205.152.37.226
access-list 98 permit 205.152.132.27
access-list 98 permit 205.152.132.26
access-list 98 permit 205.152.144.20
access-list 98 permit 205.152.37.163
access-list 98 permit 205.152.37.165
access-list 98 permit 205.152.144.19
access-list 98 permit 205.152.144.27
access-list 98 permit 205.152.144.26
access-list 98 permit 139.76.53.0 0.0.0.255
access-list 98 permit 139.76.68.0 0.0.3.255
access-list 98 permit 139.76.88.0 0.0.1.255
access-list 98 permit 139.76.228.0 0.0.3.255
access-list 98 permit 139.76.240.0 0.0.1.255
access-list 98 permit 172.16.0.0 0.0.1.255
access-list 98 permit 205.152.6.0 0.0.0.255
access-list 98 permit 205.152.66.0 0.0.0.255
access-list 98 permit 205.152.204.0 0.0.0.255
access-list 99 permit 68.153.6.0 0.0.1.255
access-list 99 permit 172.16.0.0 0.0.1.255
access-list 99 permit 139.76.53.0 0.0.0.255
access-list 99 permit 139.76.68.0 0.0.3.255
access-list 99 permit 139.76.88.0 0.0.1.255
access-list 99 permit 139.76.228.0 0.0.3.255
access-list 99 permit 139.76.240.0 0.0.1.255
access-list 99 permit 205.152.6.0 0.0.0.255
access-list 111 permit ip 65.14.117.28 0.0.0.3 any
access-list 111 permit ip 74.175.105.64 0.0.0.31 any
access-list 111 permit ip 205.152.17.0 0.0.0.255 any
access-list 111 permit ip 155.109.0.0 0.0.255.255 any
access-list 111 permit ip 161.154.0.0 0.0.255.255 any
access-list 111 permit ip 205.152.161.0 0.0.0.255 any
access-list 111 permit ip 204.238.236.0 0.0.0.255 any
access-list 111 permit ip 170.55.0.0 0.0.255.255 any
access-list 112 deny ip 204.0.0.0 0.0.255.255 any
access-list 112 deny ip 204.1.0.0 0.0.255.255 any
access-list 112 deny ip 204.3.0.0 0.0.255.255 any
access-list 112 deny ip 69.22.0.0 0.0.192.255 any
access-list 112 permit ip any any
access-list 115 deny 53 any any
access-list 115 deny 55 any any
access-list 115 deny 77 any any
access-list 115 deny pim any any
access-list 115 permit ip any any
no cdp run
snmp-server community Ty#Qr53b RO 98
snmp-server community R5t3bF5c RW 98
tacacs-server host 172.16.0.132
tacacs-server host 209.215.34.12
tacacs-server host 172.16.0.133
tacacs-server host 209.215.34.11
tacacs-server timeout 10
tacacs-server directed-request
tacacs-server key 7 010703174F
!
radius-server source-ports 1645-1646
!
control-plane
!
banner motd ^CC
######################################################################
# #
# ***PRIVATE/PROPRIETARY*** #
# #
# ANY UNAUTHORIZED ACCESS TO, OR MISUSE OF BELLSOUTH #
# SYSTEMS OR DATA MAY RESULT IN CIVIL AND/OR CRIMINAL #
# PROSECUTION, EMPLOYEE DISCIPLINE UP TO AND INCLUDING #
# DISCHARGE, OR THE TERMINATION OF VENDOR/SERVICE CONTRACTS. #
# #
# BELLSOUTH MAY PERIODICALLY MONITOR AND/OR AUDIT SYSTEM #
# ACCESS/USAGE. #
# #
# #
######################################################################
# #
# <VERSION TEMPLATE DATE () TIME> #
######################################################################
^C
privilege exec level 1 traceroute
privilege exec level 1 ping
privilege exec level 1 terminal monitor
privilege exec level 1 terminal
privilege exec level 1 show line
privilege exec level 1 show snmp
privilege exec level 1 show arp
privilege exec level 1 show accounting
privilege exec level 1 show service-module
privilege exec level 1 show version
privilege exec level 1 show reload
privilege exec level 1 show debugging
privilege exec level 1 show controllers
privilege exec level 1 show users
privilege exec level 1 show sessions
privilege exec level 1 show access-lists
privilege exec level 1 show privilege
privilege exec level 1 show interfaces
privilege exec level 1 show startup-config
privilege exec level 1 show
privilege exec level 1 clear line
privilege exec level 1 clear counters
privilege exec level 1 clear
!
line con 0
exec-timeout 5 30
password 7 070C285F4D06
line vty 0 4
access-class 99 in
exec-timeout 30 0
password 7 03075218050061
line vty 5 15
access-class 99 in
exec-timeout 30 0
password 7 03075218050061
!
end