Одна опубликованная пара «логин-пароль» едва не дала хакерам доступ к служебной инфраструктуре более чем 200 аэропортов по всему миру. Киберинцидент показал самую банальную уязвимость в цепочке подрядчиков. После огласки авиационные регуляторы начали проверки ИТ-поставщиков и их субподрядчиков.
О проблеме сообщила SVigil, специалисты которой обнаружили учётные данные на закрытом теневом форуме во время мониторинга теневых площадок. Там говоорилось о доступе системного инженера компании четвёртого уровня — подрядчика подрядчика основного ИТ-поставщика аэропортов. Именно это «дальнее звено» и стало точкой входа.
Современные аэропорты завязаны на общие ИТ-платформы. Через них управляются стойки регистрации, багажные линии, киоски самообслуживания, принтеры посадочных талонов и бирки, а также служебные устройства персонала.
Чтобы сервис не останавливался, внешним компаниям часто предоставляют прямой доступ к административным панелям. Формируется распределённая модель доверия, где устойчивость всей системы определяется самым слабым участником цепочки.
Утекшая учётная запись открывала доступ к главному порталу операционной поддержки, который использовался более чем в 200 аэропортах. Дополнительной проверки входа не было. Двухфакторная аутентификация оказалась отключена. Фактически один пароль позволял войти в панель, откуда просматривалась «живая карта» инфраструктуры.
Интерфейс отображал список серверов и сетевого оборудования с внутренними адресами и ролями, состояние киосков регистрации и принтеров в реальном времени, нагрузку на процессоры, память и дисковые массивы ключевых узлов. Были доступны параметры баз данных, обслуживающих пассажирские сервисы.
Через те же инструменты можно было запускать сетевые диагностические команды внутри доверенной сети — удобный механизм для внутренней атаки на отказ в обслуживании.
При таком уровне доступа злоумышленнику не требовались вредоносные файлы или фишинговые письма. Достаточно было авторизоваться. Через служебные панели можно было перезагружать перегруженные терминалы самообслуживания в часы пик и выводить их из строя на часы. Ещё один сценарий — вмешательство в систему сверки багажа и рейсов. Без неё вылеты запрещены регламентами, что означало бы массовые задержки.
Самый тяжёлый вариант предполагал синхронные действия против нескольких крупных хабов с эффектом домино. Нарушение работы узловых аэропортов быстро распространяется по маршрутной сети, затрагивая пересадочные рейсы и международные направления. Потери в таком случае могли бы измеряться сотнями миллионов долларов, не считая репутационного ущерба.
