Жесткая ломка

Хакеры научились заражать и убивать через аквариумы, автомойки и кофеварки

Кадр из фильма «Пункт назначения 4»

Июль оказался богат на необычные методы хакерского взлома. Злоумышленники атаковали казино через умный аквариум, заразили завод с помощью кофемашины и научились угонять гироскутеры. «Лента.ру» вспомнила, какие еще уязвимости обнаружились за уходящий месяц и чем они опасны.

Казино взломали через аквариум

В середине июля исследователи из компании Darktrace рассказали о взломе неназванного американского казино через подключенный к сети умный аквариум. Местная служба безопасности знала об угрозе со стороны устройств интернета вещей и приняла дополнительные меры (как минимум сменила заводской пароль), но злоумышленники все же захватили контроль над аквариумом, проникли во внутреннюю сеть игорного заведения, просканировали ее на наличие уязвимостей и отправили данные на свой сервер в Финляндии.

Вторжение хакеров удалось остановить, но если бы оно осталось незамеченным, в перспективе они могли бы добраться до серверов казино и получить доступ к денежным переводам и платежной информации клиентов. Специалисты Darktrace в очередной раз напомнили об опасности устройств интернета вещей и иронично поинтересовались, стоило ли так рисковать ради постоянного мониторинга температуры воды и графика автоматического кормления рыбок.

Автомойки научили убивать людей

Специалисты по компьютерной безопасности Джонатан Баттс и Билли Райос нашли без преувеличения самую жуткую уязвимость месяца. Они выяснили, что установленные на многих автомойках системы PDQ и LaserWash работают на специальной версии Windows CE и связаны с веб-сервером. Чтобы взломать его, нужно лишь подобрать пароль, который редко меняется после выхода с завода.

Получив доступ к системе, злоумышленники могут захватить управление въездными и выездными воротами, специальной роботизированной рукой с щетками и разбрызгивателями воды, после чего заблокировать водителя, пробить роборукой стекло и затопить салон. Исследователи не остановились на достигнутом и написали скрипт, который заставляет ворота автоматически бить машину.

Баттс и Райос успешно испытали все уязвимости на местной автомойке и даже сняли процесс на видео, но оскорбленный владелец не позволил им опубликовать ролик.

Завод заразили через кофеварки

Любопытную историю рассказал пользователь Reddit с ником C10H15N1, работающий инженером в компании-производителе химикатов. На каждом ее заводе настроена изолированная локальная сеть, к которой подключены компьютеры в операторской. Там сотрудники отслеживают показатели установленных на производстве сенсоров и в случае возникновения проблем уведомляют центральный офис. Работающий там автор истории дистанционно устраняет неисправность.

В начале июля диспетчер одного такого предприятия в панике сообщил, что все компьютеры в операторской заразились вирусом-вымогателем WannaCry. Теоретически этого произойти не могло, потому что локальная сеть не связана с интернетом, а значит, вредонос просто не мог в нее попасть.

Диспетчер несколько раз переустанавливал на устройствах Windows XP, но те тут же заражались вновь. C10H15N1 уже был близок к отчаянию, но тут сотрудник операторской неожиданно пожаловался на неработающие кофемашины. Оказалось, что они тоже заражены WannaCry и подключены к локальной сети. При этом устанавливавший их мастер зачем-то законнектил их с местным Wi-Fi, откуда они и подцепили вирус. После этого мониторинг работы завода восстановили в считанные минуты.

«Мы-то ладно. Больше всего, конечно, досталось производителю кофеварок — они на пару дней лишили всех своих клиентов кофе, и их завалили гневными письмами», — иронично подытожил автор истории.

Гироскутеры научились угонять через приложение

В середине июля специалисты антивирусной компании IOActive жестко раскритиковали ведущего производителя гироскутеров Segway.

Специалисты нашли сразу три уязвимости, позволяющие перехватить управление популярным хипстерским транспортом. Во-первых, к гироскутерам можно подключиться по Bluetooth, ведь большинство владельцев не утруждают себя сменой заводского пароля 000000. Однако проблема в том, что он продолжает действовать даже после смены.

Более того, Segway автоматически обновляет прошивку, но никак не проверяет скачиваемые данные, так что злоумышленники легко могут заменить очередную версию софта своими программами. А дальше все зависит от масштабов их воображения: гироскутер можно угнать или покалечить его владельца, неожиданно перехватив управление.

К слову, это тоже не проблема, ведь мобильное приложение Segway взламывается едва ли не проще, чем сами гироскутеры. С его помощью можно не только управлять устройствами, но и искать новые цели через Bluetooth. Чтобы не быть голословными, IOActive сняли ролик, посвященный всем найденным уязвимостям, где вдоволь попадали с популярных устройств.

Корабли и самолеты можно взломать через навигационную систему

В начале месяца исследователь-любитель с ником x0rz описал необычный способ взломать внутренние системы кораблей и самолетов. Он нашел уязвимости у навигационных систем, установленных на борту грузовых кораблей и авиалайнеров.

По его словам, информацию о многих передатчиках легко уточнить в Google, а затем найти их через специальный поисковик по подключенным к сети устройствам Shodan. Это позволяет следить за перемещением кораблей. Более того, у многих станций, как это часто бывает, установлены заводские логины и пароли, так что к ним легко подключиться и завладеть правами администратора.

Исследователь подчеркнул, что никогда не нарушал закон и лишь подробно описал уязвимости, но повторившие его действия злоумышленники смогут изменить штатные настройки станций, загрузить на них вредоносный софт и перехватить управление навигационными системами атакуемого судна или самолета.

Обсудить
«Большевистская сволочь хотела грабить и держаться у власти»
Почему советские люди беспомощны и слабовольны
Участница XIX Всемирного фестиваля молодежи и студентов в СочиПопали в сеть
Фестиваль молодежи и студентов в Сочи связал десятки тысяч людей со всего мира
Вас здесь не лежало
За что стоит воевать в российских больницах
Без бумажки ты...
Почему российским автолюбителям придется пройтись по судам
Шам на крови
Что скрывает павшая столица «Исламского государства»
Шпион, разлогинься
Мировые корпорации породили свои ЦРУ и КГБ, но проиграли интернету
Иссам ЗахреддинХалифат убери
Сирийский терминатор три года косил джихадистов, но взорвался в день победы
Доброе утро, Вьетнам!
Еще одна азиатская страна сошла с ума по караоке
«Бабушка спрашивает, заставляют ли мусульмане сменить веру»
История москвички, которая переехала в Объединенные Арабские Эмираты
Жируха
В лондонской канализации нашли мерзкое нечто
Тайное оружие наркобаронов
У них есть танки, суперкомпьютеры и беспилотники
Дайте грязи: конкуренты вседорожному хэтчу Kia Rio X-Line
Renault Sandero Stepway, Lada Vesta SW Cross и другие приподнятые бюджетники
Как через Instagram продают машины за миллионы
Соцсети, молодеющие покупатели и другие причуды современного рынка суперкаров
Семиместность не порок
Как из пятиместной Mazda CX-5 получился семиместный кроссовер CX-9
Тест: зачем машине эта штуковина?
Попробуйте угадать, зачем инженеры это придумали
Братва помнит
Чем украшают могилы криминальных авторитетов
Интим предлагать
Секс стал способом решения квартирного вопроса
«Я тупо решила, что теперь ем одну гречку»
Одинокая мать год сидела на крупе, чтобы накопить на квартиру
Раз, два, взяли!
Жилье в Крыму пока еще можно купить за копейки