Уязвимый протокол Modbus теперь под защитой

В 2025 году в России зафиксировали около 18 тыс. кибератак на компании. Чаще всего страдали промышленность (32%), телеком (28%), ИТ (15%) и финансы (12%), а также медицина (7%) и ритейл (6%). Это приводило к остановке производства, сбоям связи, утечкам данных, кражам денежных средств и угрозам для жизни пациентов. Одна из причин уязвимости – повсеместное использование незащищенного протокола Modbus. Это «универсальный язык», на котором десятки лет «общаются» промышленные устройства: контроллеры, датчики, насосы, вентили и другие элементы автоматизации в цехах, на электростанциях и в городской инфраструктуре, в системах автоматизации зданий и коммерческой недвижимости.

Ученые Пермского Политеха модифицировали Modbus и добавили в него механизм проверки. Он не замедляет работу, не требует больших вычислительных мощностей и легко интегрируется в действующую инфраструктуру. Внедрение технологии позволит предприятиям энергетики, ЖКХ, транспорта, промышленности, а также операторам коммерческой недвижимости и систем «умный дом» недорого защитить существующее оборудование без его замены.

Слабозащищенные «умные» устройства в доме – камеры, роутеры, термостаты – все чаще становятся мишенью злоумышленников. Например, злоумышленники могут взломать камеру видеоняни, чтобы запугивать родителей, или подобрать пароль к термостату, чтобы дистанционно создать невыносимую температуру в доме. Эти уязвимости возникают из-за того, что производители часто выпускают устройства со стандартными паролями, которые редко обновляются пользователями, а передаваемые данные зачастую не шифруются. В 2025 году атаки на провайдеров услуг парализовали работу «умных» домофонов и систем контроля доступа в целых жилых кварталах Москвы и Подмосковья, лишив тысячи людей доступа к своим домам.

Современная хакерская атака использует уязвимости в программном обеспечении, слабые настройки безопасности или человеческий фактор для проникновения в сети предприятий и инфраструктуры. Цель – получить контроль: заблокировать данные для выкупа (атака вымогателей), похитить информацию или, что наиболее опасно в промышленности, отдавать несанкционированные команды физическому оборудованию. Именно таким образом можно остановить конвейер, нарушить логистику, отключить энергоснабжение или повлиять на работу медицинских приборов, нанести огромный финансовый ущерб и создать угрозы безопасности людей.

Задумывались ли вы, что общего у конвейера на автомобильном заводе, систем управления электростанцией, «умных» датчиков на городском водопроводе, сложных систем отопления и вентиляции, автоматики на светофорном перекрестке, управления климатом в «умном» доме или даже оборудования для анализов в больничной лаборатории? Все эти разнообразные устройства в системах промышленности, энергетики, городского хозяйства, коммерческой недвижимости и здравоохранения должны говорить на одном языке, чтобы оператор в диспетчерской одной кнопкой мог запустить насос, лаборант получить точный результат анализа, а алгоритм автоматически скоординировать работу сотен приборов в едином ритме.

Таким универсальным языком общения уже более 45 лет служит протокол Modbus. Он работает по простому принципу «команда и ответ»: одно устройство отправляет запрос, например, «показать температуру» или «включить насос», а другое устройство (датчик или исполнительный механизм) обязано дать четкий ответ. Это позволяет встроить поддержку Modbus в практически любое техническое устройство – от мощной турбины до небольшого датчика, что и сделало его стандартом по всему миру.

Проблема в том, что отсутствие защиты – это не ошибка, а архитектурная особенность протокола. В Modbus изначально нет и никогда не было механизмов для проверки подлинности отправителя или шифрования команды. Исправить это на уже работающем по всему миру оборудовании сложно. Полная замена протокола сравнима с заменой всех труб в огромном городе и требует больших затрат. Изоляция сети от интернета в современном мире, где данные нужны для анализа в реальном времени, почти невыполнима. А использование мощных средств шифрования, как в VPN, часто непосильно для старых контроллеров. Оно вызывает задержки в передаче критически важных команд и требует сложных изменений в сетевой архитектуре, что делает экономически и технически нецелесообразным.

Ученые Пермского Политеха предложили добавить в Modbus эффективный механизм проверки. Работает это так: доверенные друг другу устройства – например, контроллер и датчик – заранее получают общий цифровой ключ. Перед отправкой команды отправитель с помощью простой логической операции «маскирует» ею часть данных. Получатель, зная пароль, снимает маскировку и проверяет подлинность сообщения. Если ключ неверен – команда игнорируется как поддельная.

«Сначала мы проанализировали, какие именно атаки могут взломать Modbus и выявили две главные угрозы. Первая – это подмена устройства, когда злоумышленник притворяется легитимным контроллером или датчиком и начинает отправлять ложные команды, например, останавливать конвейер или передавать фальшивые показания. Вторая – атака «человек посередине»: в этом случае хакер незаметно встраивается в канал связи, перехватывает все команды между устройствами и может не только подсмотреть их, но и изменить, например, заменить «включить насос» на «выключить насос», незаметно для оператора», – объясняет Елена Кротова, заведующая кафедрой «Высшая математика» ПНИПУ, кандидат физико-математических наук.

Для внедрения технологии необходимо загрузить новую прошивку на устройства и присвоить каждому ведомому устройству индивидуальный секретный ключ. Ведущее устройство в свою очередь будет иметь информацию о ключах всех ведомых устройств. Аналогов такого ПО нет, так как ранее предлагаемые методы обеспечения защиты протокола предусматривают перестроение архитектуры и внедрение аппаратных, программно-аппаратных компонент, осуществляющих глубокий анализ сетевого трафика. Предлагаемое же решение использует лишь базовый функционал протокола, что не приводит к усложнению системы.

Чтобы оценить эффективность, разработчики моделировали разнообразные атаки на программном стенде. Запускались программы, выступающие в роли ведущего и ведомого устройств. Общение между ними происходило через виртуальный последовательный порт, который был создан с использованием программной утилиты. Моделировались различные виды атак.

Предложенный метод создает надежный барьер против киберугроз. Для защиты от атаки «человек посередине» он маскирует передаваемые данные с помощью общего для устройств ключа. Перехватчик видит лишь искаженную информацию и не может ни прочитать команду, ни правильно ее изменить, так как любое вмешательство будет немедленно обнаружено при проверке.

Для нейтрализации подмены устройства алгоритм требует, чтобы каждое сообщение содержало корректную цифровую метку, сформированную на основе того же общего ключа. Злоумышленник, не знающий этого кода, не сможет создать правильную метку, и система отвергнет его поддельную команду

«Если атакующий не в курсе о модифицированном алгоритме, то сколько бы команд он не отправлял, устройство будет отказываться ее исполнять. В случае же, если хакер в курсе о модификации алгоритма, то ему будет необходимо отправить на ведомое устройство 32768 запросов, в надежде угадать секретный ключ. В реальной сети такая активная атака с огромным потоком запросов будет немедленно замечена системами мониторинга, что делает скрытый успешный взлом практически невозможным. При этом механизм практически не сказывается на скорости работы оборудования. Задержка при передаче данных увеличивается менее чем на 2%, что абсолютно некритично даже для высокоскоростных производственных линий», – дополняет Никита Ощепков, аспирант кафедры «Автоматика и телемеханика» ПНИПУ.

Такое решение можно внедрить на существующие объекты критической инфраструктуры по всей стране: на электростанции и котельные, на заводские цеха и системы водоочистки, на насосные станции и транспортные узлы. Это позволяет дать вторую жизнь надежному, но уязвимому промышленному оборудованию, обеспечив ему необходимый уровень цифровой безопасности без дорогостоящей замены. В условиях, когда риски кибератак на реальный сектор экономики только растут, подобные разработки становятся стратегически важными.

Источник: Пермский Политех