40
Вы думали, что форензика — это только про изъятые ноутбуки из офисов и взломанные почтовые ящики? Какая наивность. Добро пожаловать в мир, где один неверный бит может остановить целый завод, обесточить город или превратить химкомбинат в локальный Чернобыль. Промышленные системы управления (ICS/SCADA) — это та самая критическая инфраструктура, о которой все говорят, когда упоминают кибервойны.
Сегодня я расскажу вам, как расследовать инциденты в мире, где Windows XP считается современной ОС, а “перезагрузка” может стоить миллионы долларов. Пристегнитесь — будет технично, страшно и местами абсурдно.
Представьте: 3 часа ночи, вас поднимают с кровати звонком от директора нефтеперерабатывающего завода. Голос дрожит. На заводе встала линия управления турбинами. Датчики показывают бред, задвижки не реагируют на команды, операторы в панике тыкают кнопки аварийной остановки. Убытки идут миллионами в час. Причина? Неизвестна. Может, отказ оборудования. А может, кто-то решил поиграть в Stuxnet 2.0.
Добро пожаловать в промышленную форензику. Здесь нет красивых GUI-интерфейсов. Здесь есть ржавые шкафы с контроллерами, проприетарные протоколы связи из 90-х и системные администраторы, которые боятся слова “обновление” больше, чем апокалипсиса.
Что такое ICS/SCADA и почему это страшно
ICS (Industrial Control Systems) — собирательный термин для всех систем управления промышленными процессами. SCADA (Supervisory Control and Data Acquisition) — подмножество ICS, отвечающее за диспетчерское управление и сбор данных. Проще говоря: это мозг завода, электростанции, водоканала или метрополитена.
Эти системы управляют:
• Физическими процессами (давление, температура, скорость)
• Оборудованием (насосы, задвижки, конвейеры)
• Безопасностью (аварийные остановы, защитные блокировки)
Страшно становится, когда понимаешь три вещи:
1. Многие из этих систем были спроектированы до эпохи интернета и никогда не предполагали подключения к внешним сетям. Концепция “безопасности” была примерно такой: “Если злоумышленник физически не может попасть в цех, то и взломать нечего”.
2. Обновление ПО на критическом оборудовании — сродни операции на открытом сердце. Любая ошибка может привести к простою производства, а простой стоит денег. Поэтому многие системы работают на Windows 2000, и никто не планирует их трогать “пока работает”.
3. Современные заводы подключены к корпоративным сетям для удаленного мониторинга и управления. И вот тут начинается веселье.
Особенности промышленной форензики
Если в классической форензике вы работаете с компьютерами и серверами, то здесь ваша песочница — это:
• ПЛК (программируемые логические контроллеры) — железные коробки, которые управляют физикой
• HMI (человеко-машинные интерфейсы) — экраны, на которых операторы видят картинку процесса
• Историаны (системы сбора данных) — базы данных с телеметрией за годы работы
• Инженерные станции — компьютеры, с которых программируются контроллеры
• Сетевое оборудование — коммутаторы, маршрутизаторы, часто без логирования
Основные проблемы:
Невозможность остановить систему для изъятия. Вы не можете просто выключить контроллер управления электростанцией и унести его в лабораторию. Завод должен работать. Форензика проводится “на живую”, что усложняет сохранение доказательной базы.
Проприетарные протоколы и форматы. Modbus, DNP3, Profinet, OPC — это не HTTP с JSON. Документация закрыта, анализаторы трафика из коробки не понимают половину команд, а логи (если они вообще есть) записываются в бинарных форматах.
Отсутствие логирования. Многие ПЛК не ведут подробных логов. Они созданы для управления, а не для аудита. Максимум что вы найдете — последние несколько событий в энергонезависимой памяти.
Временные метки — это квест. Синхронизация времени на промышленных устройствах часто отсутствует. Один контроллер думает, что сейчас 2019 год, другой — что 2025-й. Построить временную шкалу атаки — отдельное искусство.
Пошаговый план расследования
Итак, вас вызвали на завод. Что делать?
Изоляция и фиксация состояния. Первым делом — отключить пострадавшую систему от внешних сетей (если это возможно без остановки производства). Зафиксировать текущее состояние: снять образы памяти HMI-станций, сохранить конфигурации ПЛК, скопировать логи историанов. Работаем быстро — данные в оперативной памяти летучи.
Сбор сетевого трафика. Установите сниффер (тот же tcpdump или Wireshark) на зеркальном порту промышленной сети. Захватывайте весь трафик между ПЛК, HMI и инженерными станциями. Промышленные протоколы часто передаются в открытом виде — это ваш шанс увидеть, что творилось во время инцидента.
Анализ конфигураций ПЛК. С помощью инженерного ПО (Siemens Step 7, Rockwell Studio 5000, Schneider Unity Pro) скачайте текущую программу из контроллера и сравните её с эталонной версией. Если кто-то влез в логику — изменения будут видны. Ищите неавторизованные блоки кода, странные таймеры, подозрительные условия.
Логи, логи, логи. Соберите всё, что можно:
• Логи Windows с HMI-станций и инженерных компьютеров
• Логи SIEM, если система мониторинга безопасности установлена
• Исторические данные с SCADA-серверов (графики параметров до и во время инцидента)
• Логи межсетевых экранов и маршрутизаторов
Временная шкала атаки. Используя собранные данные, постройте последовательность событий. Когда начались аномалии? Какие команды отправлялись на ПЛК? Были ли изменения в конфигурации? Какие учетные записи использовались?
Поиск артефактов вредоноса. Если подозрение на целевую атаку — ищите специализированные зловреды (типа Industroyer, Triton, BlackEnergy). Проверяйте процессы, запланированные задачи, библиотеки DLL, автозагрузки. Промышленные вредоносы часто маскируются под легитимное ПО и используют штатные инструменты для управления ПЛК.
Инструментарий промышленного форензика
• Wireshark с плагинами для промышленных протоколов (Modbus, DNP3, S7comm)
• Volatility — для анализа дампов памяти Windows-систем
• ICS-specific tools: PLCinject, Metasploit с модулями для SCADA, S7-PCAP-Parser
• YARA-правила для поиска известных ICS-malware
• FTK Imager или dd для создания образов дисков инженерных станций
• NetworkMiner или Zeek для парсинга сетевого трафика и реконструкции файлов
Реальные кейсы
Stuxnet (2010). Классика жанра. Червь, созданный для атаки на иранскую ядерную программу. Проник через флешку, распространился по сети, нашел специфичные модели ПЛК Siemens, подменил их программу и заставил центрифуги вращаться с неправильной скоростью, пока не разрушились. При этом операторы видели на экранах нормальные показания — вредонос подменял данные.
Industroyer/CrashOverride (2016). Атака на энергосистему Украины. Зловред умел работать с протоколами IEC 60870-5-101/104, использовался для отключения подстанций. Результат — блэкаут в Киеве.
Triton (2017). Самый страшный. Атака на систему безопасности завода в Саудовской Аравии. Злоумышленники пытались отключить аварийную защиту, чтобы довести процесс до катастрофы. К счастью, вредонос сработал криво и вызвал аварийную остановку вместо взрыва.
Выводы циника
Промышленная форензика — это страшный мир, где ставки измеряются не в терабайтах утекших личных данных, а в человеческих жизнях. Где злоумышленник может не просто украсть информацию, а физически разрушить оборудование или вызвать экологическую катастрофу.
И самое печальное — большинство промышленных объектов к этому не готовы. Безопасность там всё ещё строится по принципу “у нас же изолированная сеть” (спойлер: давно не изолированная), а форензик-готовность равна нулю. Логи не пишутся, резервные копии конфигураций не делаются, мониторинг аномалий отсутствует.
Так что если вы работаете на заводе и читаете это — начните хотя бы с базового логирования и резервирования конфигураций ПЛК. А если вы форензик, который решил погрузиться в ICS-тематику — добро пожаловать в клуб. Тут не будет скучно. Обещаю.