В московском автобусе хакеры включили оповещение с записью об угрозе ядерной бомбардировки, сообщил 12 августа телеграм-канал «Осторожно Москва».
Утром в автобусе маршрута 191, следовавшем по направлению до МЦД Грачевская, в салоне прозвучала запись с угрозой ядерной бомбардировки и призывом пройти в убежище: «Внимание, внимание Украина угрожает нам ядерной бомбардировкой, всем пройти в убежище», говорилось в сообщении канала. В качестве доказательства было прикреплено видео.
Аудиосообщения, не соответствующие действительности, проигрывались в салонах автобусов коммерческого перевозчика ООО «Трансавтолиз», говорится в поступившем Hi-Tech Mail сообщении пресс-службы ГКУ «Организатор перевозок». Сейчас специалисты проводят проверку сетевой инфраструктуры и устранения последствий несанкционированного доступа. Маршруты обслуживаемые коммерческими перевозчиками работают штатно.
Что произошло
Взлом бортовой системы автобуса с целью запустить в салоне собственное аудиосообщение — задача вполне реализуемая при определенном стечении обстоятельств, пояснил руководитель направления анализа защищенности IZ: SOC компании «Информзащита» Анатолий Песковский.
Современные транспортные средства, особенно коммерческие автобусы, оснащены мультимедийными комплексами, которые управляют голосовыми объявлениями, информационными табло и рекламными экранами, отметил он. Эти системы связаны с внутренней сетью перевозчика, а иногда и напрямую с интернетом для получения обновлений расписаний, загрузки аудиофайлов или рекламных роликов.
«Ключевая уязвимость таких систем — их подключенность и недостаточная изоляция от внешних сетей. Если внутренняя сеть перевозчика не сегментирована, злоумышленник может проникнуть в нее как удаленно, так и физически, а затем получить доступ к устройствам управления мультимедиа. Это может произойти через взлом встроенных 4G или Wi-Fi-модемов с уязвимым или устаревшим ПО, через неправильно настроенные удаленные панели администрирования или через уязвимости в серверной инфраструктуре, которая управляет контентом во всех автобусах», — рассказал эксперт.
Еще один путь, по его словам, — эксплуатация внешних уязвимостей в телеком-оборудовании. Если мультимедийная система автобуса обменивается данными с облачными или корпоративными серверами, компрометация этих серверов открывает путь к массовой подмене контента на десятках и сотнях машин одновременно. В отдельных случаях атакующему даже не нужно взаимодействовать с транспортом напрямую — достаточно перехватить канал передачи данных и внедрить свой файл.
Физический доступ тоже остается вариантом, добавил Песковский. Сервисные разъемы и USB-порты, установленные для обслуживания оборудования, могут позволить напрямую загрузить аудиофайл или изменить конфигурацию системы. «В пентестах транспортных объектов мы не раз сталкивались с ситуациями, когда такие порты были доступны без авторизации и даже без пломбировки», — подчеркнул эксперт.
Для минимизации рисков перевозчикам необходимо внедрять несколько уровней защиты, отметил он. Служебные сети должны быть физически и логически отделены от пассажирских и публичных сегментов. Доступ к мультимедийным системам должен проходить через многофакторную аутентификацию, а удаленные сервисы управления должны быть закрыты от общего доступа в интернет. Регулярное обновление прошивок и программного обеспечения, удаление или изменение заводских паролей и настройка журналирования событий в реальном времени позволяют вовремя заметить попытку вторжения.
В ситуации, когда транспорт становится частью «умной» городской инфраструктуры, каждая подключенная система должна рассматриваться как потенциальная точка входа для кибератаки, заключил Песковский. Это значит, что требования к защите должны быть такими же строгими, как в корпоративных сетях. Иначе риски будут только расти, а подобные инциденты перестанут быть исключением.
Источник из отрасли информационной безопасности в беседе с Hi-Tech Mail предположил, что хакеры могли взломать организацию, которая занимается «раздачей» контента для перевозчика — скорее всего, просто подменили контент для экранов на аудио и проиграли. Такие случаи уже бывали в начале СВО, поделился источник.
Руководитель аналитического центра компании Zecurion Владимир Ульянов, в свою очередь, отметил, что подобные случаи отнюдь не редки.
«Из аналогичных примеров вспоминаются объявления в эфире радио и телеканалов. Например, два года назад в Башкирии по радио и ТВ прозвучали ложные сигналы воздушной тревоги. А в 2010 году получил широкую огласку случай с трансляцией порно в центре Москвы на билборде. Представитель компании, владеющей билбордом, тогда заявил, что это была хакерская атака», — рассказал Ульянов.
Он также отметил, что с подобными вещами сталкиваются не только в России, но и в других странах. Так в 2023 году экоактивисты захватили более 400 рекламных щитов Toyota и BMW по всей Европе. Вместо рекламы на билбордах во Франции, Германии, Англии и Бельгии появились заявления активистов, критикующие подход производителей к защите окружающей среды.
