В августе 2017 года неизвестные атаковали систему управления нефтехимического завода в Саудовской Аравии. Случай уникален тем, что злоумышленники не просто хотели стереть информацию с компьютеров или остановить работу завода, а, как считают исследователи, спровоцировать взрыв.
Слухи о подобной тактике ходили давно, но это первый подобный зафиксированный случай, который едва не закончился трагедией. США, их союзники и специалисты по кибербезопасности опасаются, что виновники могут повторить атаку в других странах, поскольку тысячи промышленных предприятий во всём мире полагаются на те же компьютерные системы, что и были скомпрометированы. Подробности происшествия рассказало издание The New York Times.
Как хакеры обошли систему
Киберспециалисты до сих пор изучают детали августовского нападения при поддержке американских компаний. Все участники расследования считают, что, скорее всего, атаку провели с целью спровоцировать взрыв на заводе и заодно убить служащих.
За последние годы подобные несчастные случаи проходили в Китае и Мексике — обычно при взрывах на заводах, хоть и не связанных со взломами хакеров, несколько погибают и ранит как минимум 10 человек. Это всё не считая общего ущерба, который обычно останавливает работу предприятия на пару месяцев.
Ключевой момент нападения, беспокоящий исследователей, связан с системой безопасности Triconex, которая отвечает за напряжение, давление и среднюю температуру на заводе. Специалисты нашли на инженерных компьютерах компании (не уточняется, какой) странный файл, который выглядел как часть регуляторов Triconex, но на деле саботировал систему. Ранее считалось, что систему этой марки невозможно отключить удалённо.
Киберспециалисты не разглашают, как документ попал в систему, но не верят, что его добавил кто-то внутри компании. Если верить экспертам, то это первый случай, когда подобную систему вывели из строя удалённо. Подобные регуляторы установлены на более чем 18 тысячах предприятий по всему миру, в том числе с ядерными, нефтяными, газовыми или химическими ресурсами.
Единственное, что спасло завод от взрыва, это ошибка в компьютерном коде хакеров — она ненароком привела к отключению системы завода. Однако если злоумышленники нашли способ обойти защиту в Саудовской Аравии, они способны повторить подобное в любой стране.
Какие события предшествовали атаке
Августовское нападение выглядит масштабным шагом вперёд на фоне первых взломов предприятий Саудовской Аравии. Проблемы начались в 2012 году: вирус Shamoon нанёс удар по крупнейшей национальной нефтяной компании Saudi Aramco. С десятков тысяч компьютеров учреждения пропали все данные, а вместо них на жёстком диске появились изображения горящего американского флага. США связали взлом с иранской хакерской группировкой.
В ноябре 2016 года компьютеры в нескольких правительственных учреждениях Саудовской Аравии внезапно отключились, а данные с их жёстких дисков пропали. Две недели спустя тот же вирус ударил по другим учреждениям в стране. В январе 2017 года в местной компании National Industrialization, владеющей несколькими промышленными предприятиями, отключились все компьютеры. Это же произошло в стенах совместного предприятия между нефтяными и химическими гигантами Saudi Aramco и Dow Chemical.
С жёстких дисков компьютеров National Industrialization пропала вся информация, а вместо этого там появилась фотография Алана Курди — сирийского ребёнка, найденного на турецком берегу в 2015 году. Как заключили следователи, он спасался из Сирии со своей семьёй и задохнулся при попытке добраться до суши.
Представители компании назвали мотивы злоумышленников политическими. На восстановление данных ушло несколько месяцев, за которые исследователи убедились, что во взломе виновен всё тот же вирус Shamoon.
Собеседники Times предположили, что с помощью августовской атаки злоумышленники хотели помешать планам властей Саудовской Аравии привлечь в страну дополнительные инвестиции. При этом обе атаки прошлись не просто по частным фирмам, а по компаниям с промышленными заводами, которые занимают ключевое положение в экономике страны.
Какие выводы сделали специалисты
Исследователи взлома считают, что с момента атаки нападавшие наверняка исправили прежние ошибки и вскоре могут вновь попробовать саботировать работу другого предприятия. Более того, теперь о уязвимости заводов узнали новые злоумышленники, и они наверняка будут искать способы дестабилизировать предприятия.
В августовской атаке злоумышленники не использовали вирус Shamoon, а изготовили инструменты для взлома, которые ранее нигде не появлялись. Исследователи подозревают, что в происшествии замешаны власти неназванной страны. По их мнению, у независимых хакеров нет очевидного мотива прибыли, но при этом для атаки потребовались значительные финансовые вложения.
Для нападения злоумышленникам понадобилось не только знание, как проникнуть в систему, но и общее понимание дизайна завода, а также того, куда ведут отдельные трубы и как спровоцировать взрыв.
По мнению экспертов, исполнители преступления заранее купили регуляторы Troconex и выяснили принципы работы. На eBay их можно приобрести за 40 тысяч долларов.
Киберспециалисты считают, что ресурсы для атаки по заводам Саудовской Аравии есть у Ирана, Китая, Израиля, США и России. Как подчеркнуло NYT, у большой части этих стран нет мотивов. Китай и Россия стремятся наладить экономические отношения с Саудовской Аравией, а Израиль и США сотрудничают с королевством для борьбы с Ираном. Именно эта страна, как сообщали специалисты, усиленно развивает программу кибервойск, но власти отрицают причастность ко взломам.
Подписывайтесь на канал “Engine.MD” в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах.