Хакер #305. Многошаговые SQL-инъекции
Еще три года назад специалисты компании TrendMicro предупреждали о том, что автозаправки многих стран мира теперь имеют подключение к сети и неизбежно будут становиться объектами хакерских атак. Хуже того, даже в 2015 году обнаружить такие системы можно было ценой минимальных усилий, с помощью Shodan и других подобных ресурсов.
Похоже, прогнозы экспертов о том, что в будущем подобные атаки станут обычным делом, начинают понемногу претворяться в жизнь. В конце прошлой недели американский телеканал WJBK рассказал о странном происшествии на заправке в Детройте.
Инцидент произошел днем 23 июня 2018 года. Из-под контроля служащего автозаправочной станции вышел насос, который более полутора часов раздавал бесплатное топливо всем желающим, так как система не реагировала ни на какие команды. Странным сбоем успели воспользоваться более десяти автовладельцев, которые заправились в общей сложности на 1800 долларов США. После работник заправки все же прекратил подачу топлива с помощью «экстренного набора», а затем вызвал полицию.
Правоохранительные органы считают, что системы заправки были умышлено скомпрометированы с помощью некоего удаленного устройства. Предполагается, что девайс отрезал от управления топливным насосом сотрудников заправки и активировал бесплатную подачу бензина. В настоящее время полиция проверяет машины и водителей, которые попали в объективы камер видеонаблюдения во время инцидента.
Судя по всему, правоохранители полагают, что взлом осуществили ради бесплатного бензина. Эта теория, возможно, недалека от истины, — журналисты WJBK отмечают в своем репортаже, что даже на YouTube можно найти множество подробных инструкций по обману современных АЗС и получению бесплатного или очень дешевого бензина.
Британское издание The Register, так же посвятившее случившемуся небольшую заметку, сообщает, что, по мнению ИБ-специалистов, причиной происшедшего мог стать и простой технический сбой. Однако помимо этого издание приводит и комментарий читателя, который более 10 лет занимается технической поддержкой автозаправочный станций. Тот утверждает, что злоумышленники могли переключить насосы в режим отладки, во время активации которого оборудование АЗС действительно перестает сообщать о подаче топлива кассовым терминалам и фактически работает автономно.
Специалист пишет, что у него самого есть устройство, способное осуществить тот же трюк на большинстве британских заправок. По его словам, производители начали защищать свое оборудование от подобных несанкционированных подключений сравнительно недавно, так как данная индустрия не слишком велика, а пароли и специализированная аппаратура попадают «не в те руки» довольно редко.