- 26,336
- 46
- 8 Ноя 2022
Кажется, мы сильно переоценили надёжность важных объектов.
Исследователи обнаружили масштабную кампанию против промышленных контроллеров, которые владельцы оставили доступными из интернета. За обычными на вид запросами к Modbus/TCP скрывались не только массовое сканирование, но и попытки понять, чем управляет устройство, перегрузить его или изменить значения в регистрах.
По данным специалистов Cato Networks Гая Вайзеля и Якуба Османи, с сентября по ноябрь 2025 года подозрительная активность затронула 14 426 IP-адресов в 70 странах. Больше всего целей находилось в США, затем шли Франция и Япония. На десять наиболее затронутых стран пришлось 86% всех адресов, а на три лидирующие — 61%.
Modbus создавался для закрытых промышленных сетей, а не для публичного доступа. Если ПЛК виден из интернета, злоумышленник может быстро перейти от поиска к действиям: определить производителя и модель, прочитать данные из регистров, а при доступной записи — изменить параметры, влияющие на физический процесс.
Самой массовой активностью стали запросы чтения регистров хранения через функцию 0x03. За три месяца Cato Networks зафиксировала около 235 500 таких обращений от 233 IP-адресов. Почти половина источников пересекалась с другими срабатываниями защитных систем, что указывает на более широкую подозрительную активность.
Часть поведения выглядела прицельнее. Источники сначала запрашивали идентификацию устройства, а затем читали фиксированный диапазон регистров. Такая связка похожа на автоматизированный сценарий: сначала понять, какой ПЛК найден, затем вытащить данные, значимые для конкретной модели.
Отдельно специалисты описали активность, похожую на попытку вызвать сбой. Один источник отправил около 158 100 быстрых запросов к одной цели, каждый раз пытаясь прочитать почти максимальный объём регистров. Воздействие на сам контроллер авторы отчёта не проверяли, но такой поток может мешать нормальной обработке команд.
Наиболее опасной частью стали 3240 запросов на запись в регистры, пришедших с одного IP-адреса. Команды каждый раз начинались с адреса 0x0BB8 и охватывали от 27 до 122 регистров. Cato Networks считает такой шаблон признаком автоматизированной проверки или попытки манипуляции.
Производственные компании оказались самой заметной группой целей, на них пришлось 18%. Также в выборке были медицина, строительство, технологии, транспорт, финансы и муниципальные структуры. Авторы отчёта советуют не оставлять Modbus доступным из интернета, изолировать OT-сети и разрешать доступ только доверенным источникам.
Исследователи обнаружили масштабную кампанию против промышленных контроллеров, которые владельцы оставили доступными из интернета. За обычными на вид запросами к Modbus/TCP скрывались не только массовое сканирование, но и попытки понять, чем управляет устройство, перегрузить его или изменить значения в регистрах.
По данным специалистов Cato Networks Гая Вайзеля и Якуба Османи, с сентября по ноябрь 2025 года подозрительная активность затронула 14 426 IP-адресов в 70 странах. Больше всего целей находилось в США, затем шли Франция и Япония. На десять наиболее затронутых стран пришлось 86% всех адресов, а на три лидирующие — 61%.
Modbus создавался для закрытых промышленных сетей, а не для публичного доступа. Если ПЛК виден из интернета, злоумышленник может быстро перейти от поиска к действиям: определить производителя и модель, прочитать данные из регистров, а при доступной записи — изменить параметры, влияющие на физический процесс.
Самой массовой активностью стали запросы чтения регистров хранения через функцию 0x03. За три месяца Cato Networks зафиксировала около 235 500 таких обращений от 233 IP-адресов. Почти половина источников пересекалась с другими срабатываниями защитных систем, что указывает на более широкую подозрительную активность.
Часть поведения выглядела прицельнее. Источники сначала запрашивали идентификацию устройства, а затем читали фиксированный диапазон регистров. Такая связка похожа на автоматизированный сценарий: сначала понять, какой ПЛК найден, затем вытащить данные, значимые для конкретной модели.
Отдельно специалисты описали активность, похожую на попытку вызвать сбой. Один источник отправил около 158 100 быстрых запросов к одной цели, каждый раз пытаясь прочитать почти максимальный объём регистров. Воздействие на сам контроллер авторы отчёта не проверяли, но такой поток может мешать нормальной обработке команд.
Наиболее опасной частью стали 3240 запросов на запись в регистры, пришедших с одного IP-адреса. Команды каждый раз начинались с адреса 0x0BB8 и охватывали от 27 до 122 регистров. Cato Networks считает такой шаблон признаком автоматизированной проверки или попытки манипуляции.
Производственные компании оказались самой заметной группой целей, на них пришлось 18%. Также в выборке были медицина, строительство, технологии, транспорт, финансы и муниципальные структуры. Авторы отчёта советуют не оставлять Modbus доступным из интернета, изолировать OT-сети и разрешать доступ только доверенным источникам.
- Источник новости
- www.securitylab.ru
