Хакеров сняли с поезда

14 января 2021

Пользователь сайта Habr обнаружил уязвимость, позволяющую проникнуть в систему видеонаблюдения ОАО РЖД. По его словам, в течение дня специалистам холдинга удалось закрыть ее. Теперь РЖД необходимо провести аудит внутренних систем, чтобы удостовериться, что злоумышленники, которые получили доступ, не смогли пройти дальше, указывают специалисты по информационной безопасности.

Специалисты РЖД закрыли уязвимость, позволявшую получить доступ к видеокамерам и внутренним сервисам РЖД, следует из блога одного из пользователей Habr. Ранее, утром 13 января, автор блога опубликовал статью о том, как ему удалось получить доступ к системе РЖД, эксплуатируя уязвимость в ее периметре. По его словам, проблема была связана с незамененными паролями, установленными по умолчанию на маршрутизаторах компании MikroTik.

Уязвимость могла позволить злоумышленникам за неделю заблокировать все камеры на железных дорогах, что обошлось бы холдингу минимум в 130 млн руб., а восстановление видеонаблюдения заняло бы не меньше месяца, предупредил автор.

В РЖД не смогли оперативно подтвердить информацию об уязвимости и ее устранении.

В пресс-службе РЖД при этом сообщили “Ъ”, что утечки персональных данных клиентов холдинга не было и угрозы безопасности движения нет. Неправомерный доступ к компьютерной информации — уголовное правонарушение, подчеркнули в РЖД.

Действия автора блога могут попадать под действие Уголовного кодекса РФ, так как РЖД относится к числу объектов критической инфраструктуры, соглашается один из опрошенных “Ъ” участников IT-рынка.

Проблемы с безопасностью у РЖД были и раньше: в августе 2019 года, по сообщениям СМИ, в открытом доступе оказались персональные данные 703 тыс. сотрудников госмонополии, а в ноябре 2020 года в сеть «утекла» база данных сайта «РЖД Бонус».

После изменения учетных записей РЖД необходимо проверить наличие следов посторонних в своей инфраструктуре, провести масштабный аудит всех IT-систем, а также пересмотреть имеющиеся сценарии обнаружения угроз, рекомендует эксперт в области информационной безопасности Алексей Лукацкий.

Так как существенная часть инфраструктуры РЖД долго находилась в открытом доступе, необходимо провести аудит, в том числе на определение возможных мест нахождения «закладок» спецслужб или террористических организаций, и удостовериться, что злоумышленники, которые получили доступ, не смогли пройти дальше, соглашается технический директор QRator Labs Артем Гавриченков.

Роутеры MikroTik, которые, по сообщению автора блога, использует РЖД, относятся к сегменту домашнего и офисного оборудования для небольших помещений, и пользователи часто оставляют пароли по умолчанию на таких устройствах и на видеокамерах любого производителя, отмечает он. Злоумышленники, по словам господина Гавриченкова, часто используют это в автоматизированных DDoS-атаках.