Компрометация историка данных

Злоумышленники могут компрометировать историк данных и устанавливать над ним контроль для закрепления в среде системы управления. Доступ к историку данных может использоваться для ознакомления с хранящимися в базе данных архивными и аналитическими сведениями о системе управления. Историк данных с двумя сетевыми интерфейсами (dual-homed) может обеспечить злоумышленнику переход из ИТ-среды в ОТ-среду. Kompания Dragos опубликовала обновлённый анализ атаки CrashOverride, описывающий весь путь — от компрометации сети АСУ ТП до доставки и выполнения полезной нагрузки. В отчёте отмечается, что CrashOverride представляет собой новое применение вредоносного ПО, однако использовала стандартные техники вторжения. В частности, среди новых артефактов упоминаются ссылки на хост под управлением Microsoft Windows Server 2003 с SQL Server. В среде АСУ ТП такой сервер баз данных выполняет роль историка данных. По оценке Dragos, устройство с такой ролью должно иметь «обширные соединения» в среде АСУ ТП. В ходе операции злоумышленники использовали возможности базы данных для проведения разведки, в том числе запросов к каталогу и проверки сетевой связности. Требуемые привилегии: Администратор Авторы: Joe Slowik — Dragos