Хакер случайно взломал внутреннюю сеть РЖД и получил доступ к камерам наблюдения на перронах и вокзалах «Медуза» рассказывает, как это угрожает сотрудникам компании (их могут даже посадить в тюрьму!)

13 января 2021 года хакер под ником LMonoceros опубликовал доказательства того, что он проник во внутреннюю сеть компании «Российские железные дороги» и, в частности, получил доступ к камерам видеонаблюдения на вокзалах, перронах, путях и внутри офисов РЖД. Сотрудники компании связались с хакером — и совместными усилиями закрыли уязвимости в сети. Это не первый случай, когда у РЖД возникают проблемы с информационной безопасностью: за последние полтора года у компании «утекли» в интернет данные 700 тысяч сотрудников и 1,3 миллиона пассажиров, а также всего за 20 минут была взломана сеть Wi-Fi в поездах «Сапсан». «Медуза» рассказывает, чем проблемы с безопасностью у РЖД грозят сотрудникам компании.

Хакер получил доступ к внутренней системе РЖД случайно

В среду, 13 января, IT-специалист и хакер Алексей под ником LMonoceros написал на портале «Хабр», что смог проникнуть во внутреннюю сеть РЖД. Несанкционированный доступ, утверждает хакер, он получил не намеренно — LMonoceros занимается исследованиями того, как много людей не защищают свои роутеры от подключения сторонних пользователей.

По словам хакера, сначала с помощью утилиты для сканирования IP-сетей nmap он нашел роутер с публичным прокси-сервером, для подключения к которому не требовалась какая-либо авторизация. Подключившись, LMonoceros вновь запустил сканер (уже через этот прокси-сервер) и обнаружил, что роутер соединен с внутренней сетью, которая включает в себя более чем 20 тысяч устройств: камер видеонаблюдения, роутеров различных производителей, IP-телефонов и различных внутренних сервисов, таких как системы управления табло на перронах и системы управления кондиционированием и вентиляцией.

Доступ к большинству найденных устройств тоже был не защищен, утверждает хакер, либо установленные на них логины и пароли были «заводскими» — их устанавливает производитель устройства и публикует в документации к нему; часто они представляют собой связку admin/admin. В результате LMonoceros смог удаленно подключиться к этим устройствам.

Одним из наиболее ярких доказательств этого стали выложенные им скриншоты с камер видеонаблюдения, которые установлены на железнодорожных путях, перронах, вокзалах и в офисах РЖД. «Камер [к которым можно подключиться], по скромным ощущениям, не менее 10 000 штук», — написал LMonoceros. По его словам, незащищенный удаленный доступ может позволить злоумышленникам без труда вывести камеры из строя — для этого на них нужно лишь поставить модифицированную прошивку, что займет не более пяти дней.

«Быстро заменить камеры на работающие РЖД не сможет, в резерве столько нет. Купить новые из-за обязанности объявления торгов [по госзакупкам] также не получится. Таким образом, вся железная дорога будет без видеонаблюдения не меньше месяца. А вот это уже опасность террористической угрозы», — дал негативный прогноз хакер. 

LMonoceros также предоставил скриншоты внутренних интерфейсов множества других устройств во внутренней сети РЖД и отметил, что, вероятно, является не единственным, кто обнаружил эту уязвимость: в настройках роутеров РЖД он нашел соединения, не относящиеся к оборудованию компании. «Очень много признаков, что в этой сети кто-то „живет“», — сообщил LMonoceros.

После публикации хакера на «Хабре» в пресс-службе РЖД поспешили заявить, что уже проводят расследование, и заверили, что «утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет».

«Напоминаем, что неправомерный доступ к компьютерной информации является уголовным правонарушением», — добавили в РЖД. LMonoceros вскоре сообщил, что с ним связались специалисты компании и он помог им закрыть уязвимости в оборудовании.

Проблемы с информационной безопасностью у РЖД не впервые

В ноябре 2019 года еще один пользователь «Хабра», хакер под ником keklick1337 рассказал, что во время поездки из Санкт-Петербурга в Москву на «Сапсане» смог взломать публичную сеть Wi-Fi, которую РЖД развернула для пассажиров этих поездов. Он утверждал, что сделал это из любопытства: увидев, что для подключения к Wi-Fi необходимо ввести четыре последние цифры паспорта, номер вагона и места, хакер понял, что данные о пассажирах хранятся локально в системе, и решил проверить, насколько они защищены.

В итоге, чтобы получить к ним доступ, ему потребовалось около 20 минут — и то «только из-за того, что их сервер лагает». Для взлома хакер использовал утилиту nmap и публичные эксплойты — программы, использующие известные уязвимости в программном обеспечении для проведения компьютерных атак. Просканировав сеть, keklick1337 обнаружил множество сервисов с открытыми портами — в итоге выяснилось, что все они работают на одном сервере с сильно загруженной оперативной памятью.

В базе данных на диске «Сапсана», рассказал хакер, содержались в текстовом виде данные пассажиров текущего и прошлых рейсов. «Все настроено ужасно, одинаковые пароли везде… РЖД, поправьте все, через пару месяцев снова проверю», — написал keklick1337. Он также добавил, что все подключенные к Wi-Fi в «Сапсанах» пользователи подвержены «снифу трафика», то есть их трафик могут перехватывать и анализировать с помощью специальных программ.

После этой публикации ИТ-директор РЖД Евгений Чаркин утверждал, что компания провела проверку и «не обнаружила уязвимостей, влияющих на утечку критических данных». «Почему удалось взломать? Наверное, потому что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист», — говорил тогда Чаркин. 

Тем не менее утечки критических данных случались и до, и после заявления ИТ-директора компании. Одна из них произошла в августе 2019 года — за пару месяцев до взлома Wi-Fi в «Сапсане». Тогда в свободном доступе в интернете оказалась база с персональными данными 703 тысяч сотрудников РЖД; всего в компании на тот момент работало около 732 тысяч человек. Злоумышленник, выложивший базу в сеть, оставил к ней издевательское примечание: «Спасибо ОАО „РЖД“ за предоставленную информацию путем бережного обращения с персональными данными своих сотрудников». 

В РЖД после этого случая обратились в правоохранительные органы, и через несколько месяцев Следственный комитет отчитался о поимке виновного. Им оказался 26-летний житель Краснодарского края, который сумел получить доступ к внутренним ресурсам компьютерной сети РЖД, использовав учетные записи двух сотрудников компании. Ему были предъявлены обвинения в незаконном получении и разглашении коммерческой тайны (статья 183 Уголовного кодекса) и неправомерном доступе к компьютерной информации (статья 272 Уголовного кодекса).

Все это не позволило компании предотвратить еще более крупную утечку — в ноябре 2020 года в интернете появилась база данных со сведениями о 1,36 миллиона пассажиров РЖД. Вскоре выяснилось, что это были данные зарегистрированных пользователей программы лояльности «РЖД Бонус». В утекшем файле содержались их логины и хешированные пароли, адреса электронной почты, ID, даты регистрации и последнего входа в систему.

В РЖД на это заявили, что программу «РЖД Бонус» действительно пытались взломать злоумышленники, но система безопасности предотвратила доступ к персональным данным пассажиров и в итоге хакеры получили доступ только к файлу со служебной информацией. «В настоящий момент ведется служебное расследование, по результатам которого будет принято решение о передаче материалов в правоохранительные органы», — добавили в компании.

Проблемы в IT-безопасности РЖД могут грозить реальными сроками и для хакеров, и для сотрудников компании

Согласно действующему законодательству, компания РЖД является субъектом критической информационной инфраструктуры (КИИ) — это имеет последствия как для злоумышленников, которые проводят атаки на нее, так и для сотрудников компании, которые обязаны это предотвращать.

Несколько лет назад в Уголовном кодексе РФ появилась статья 274.1, в которой указано наказание за неправомерное воздействие на КИИ. По этой статье хакеры, действия которых принесут реальный ущерб такой инфраструктуре, могут получить до 10 лет лишения свободы (другие статьи, по которым судят хакеров, предусматривают меньшие сроки). 

Статья 274.1 предусматривает тюремный срок не только для взломщиков, но и для сотрудников предприятия — объекта КИИ, если они допустили нарушение правил эксплуатации ИТ-систем компании, которое повлекло за собой причинение ей вреда. За это им грозит до шести лет лишения свободы.

Авторы закона в момент его принятия в 2016 году объясняли такую строгость тем, что предприятия с критической информационной инфраструктурой выполняют важные функции и компьютерные атаки на них могут привести к социальной, финансовой или экологической катастрофе.

Пока многочисленные инциденты с информбезопасностью в РЖД не повлекли за собой столь серьезные последствия, а ИТ-директор РЖД Евгений Чаркин в декабре 2020 года даже получил повышение и стал заместителем генерального директора компании.

При этом его руководитель, генеральный директор РЖД Олег Белозеров, в конце 2018 года говорил о планах направить 150 миллиардов рублей до 2025 года на цифровизацию компании, что включает в себя и задачи в сфере информационной безопасности. Так, в стратегии цифровой трансформации РЖД отдельно отмечена необходимость «обеспечения непрерывности бизнеса при выполнении максимальных требований информационной безопасности».