CISA вместе с ФБР, NSA, Минэнерго США и другими ведомствами выпустила предупреждение об атаках на ATG-системы, подключенные к интернету. Речь о промышленной инфраструктуре, которая следит за уровнем топлива, температурой и утечками в резервуарах, а значит, проблема касается не только АЗС, но и операторов логистики, химии, агросектора и энергетики. Для русскоязычной IT-аудитории сигнал простой: даже сравнительно «скучный» мониторинг баков давно стал частью общей поверхности атаки.
По данным BleepingComputer, американские ведомства зафиксировали активность злоумышленников против internet-exposed automatic tank gauge systems, то есть автоматических систем контроля резервуаров. В advisory говорится, что атакующие получают доступ к устройствам и меняют настройки через выполнение команд. Государственные структуры пока не приписали эту кампанию конкретной группе или государству, но набор техник вполне приземленный и потому неприятный: обход аутентификации, жестко зашитые учетные данные, уязвимости для выполнения команд на уровне ОС, SQL-инъекции и ошибки повышения привилегий. Иначе говоря, никакой магии уровня шпионского триллера: в ход идет старая добрая смесь слабой архитектуры, плохой гигиены доступа и устройств, выставленных в интернет без особой самообороны.
Проблема в том, что компрометация ATG-системы бьет не только по «картинке» в интерфейсе оператора. По версии CISA и партнеров, после взлома злоумышленники могут менять сетевые настройки, идентификаторы продуктов, данные об объеме топлива и параметры управления насосами. Отдельно ведомства указывают на риск отключения оповещений и создания условий, при которых оператор перестает корректно видеть уровень заполнения резервуара. Это уже история не про дефейс админки и не про банальный простой сервиса, а про вероятность утечек, ошибок при заправке и сбоев оборудования. Если кратко, инцидент в IT-контуре здесь довольно быстро превращается в операционный и потенциально физический.
Сам advisory не называет виновных, но его публикация выглядит как продолжение майской истории, о которой сообщал CNN. Тогда телеканал писал, что за серией взломов ATG-систем на заправках в нескольких штатах могли стоять иранские хакеры. По этим данным, атакующие использовали подключение систем к интернету и слабые либо вовсе отсутствующие пароли, после чего получали доступ к показаниям и манипулировали отображаемыми данными. При этом, как сообщалось, фактический уровень топлива они не меняли, а физического ущерба инциденты не нанесли. Но даже такой «мягкий» сценарий уже показал, насколько опасна возможность вмешательства в функции, связанные с обнаружением утечек и безопасной эксплуатацией. CNN также отмечал, что у следствия было мало форензики, поэтому жесткая атрибуция могла так и не состояться. Для защитников это, по большому счету, плохая новость: когда у атакующего минимальный след, спор о флаге на футболке начинает мешать разговору о базовой защите.
Практические рекомендации регуляторов при этом предсказуемы, но именно в этом и суть. Организациям советуют убрать ATG-системы из прямой доступности из интернета, ограничить удаленный доступ через межсетевые экраны, VPN или списки контроля доступа, заменить пароли по умолчанию, использовать сильные учетные данные и MFA, ставить обновления безопасности и отслеживать несанкционированные изменения. Все это звучит как чек-лист, который давно висит в каждом SOC и на каждой аудит-полке. Но специфика OT и смежных ICS-сред делает задачу гораздо менее тривиальной: оборудование живет годами, обновляется болезненно, интеграторы исчезают, а удаленный доступ «на пять минут для подрядчика» потом остается навсегда. В результате ATG-системы становятся типичным примером актива, который вроде бы не считают критическим сервером, но через него можно ударить по вполне критическому процессу.
Для разработчиков, инженеров инфраструктуры и IT-руководителей здесь есть несколько неприятных, но полезных выводов. Во-первых, граница между корпоративной сетью и технологическим контуром остается дырявой именно там, где бизнес любит удобство: удаленный доступ, веб-интерфейсы, дефолтные настройки, «временные» исключения в фаерволе. Во-вторых, уязвимости класса hardcoded credentials и command execution в 2026 году все еще работают не потому, что индустрия не знает о проблеме, а потому что на стыке IT, OT и подрядчиков ответственность размыта. В-третьих, мониторинговые системы часто недооценивают. Пока они просто показывают цифры, ими занимаются по остаточному принципу. Когда выясняется, что через них можно менять параметры насосов или выключать тревоги, оказывается, что это уже не периферия, а часть реального управления риском.
Для бизнеса история тоже довольно приземленная. Утечка топлива, некорректные данные о запасах или сбой в работе насосов бьют не только по безопасности, но и по операционной экономике: простои, выезды техников, ручные проверки, вопросы регуляторов, репутационные издержки. При этом у многих компаний защита подобных систем до сих пор строится по принципу «никто не знает этот адрес и этот интерфейс». Американские ведомства в своем предупреждении фактически напомнили, что security through obscurity работает ровно до первого массового сканирования Shodan-подобными инструментами и до первой уязвимости, которую можно эксплуатировать серийно.
На этом фоне главный вопрос уже не в том, кто именно стоит за текущей волной атак, а сколько еще инфраструктурных систем по всему миру по-прежнему висят в интернете с паролем уровня admin/admin и устаревшей прошивкой. История с ATG-системами лишь еще раз показывает: в критической инфраструктуре самые дорогие инциденты начинаются не с экзотических zero-day, а с устройств, которые кто-то когда-то подключил «для удобства» и потом забыл.