Четверг
17.01.2019
Меню

[:ru]Могут ли хакеры удаленно взорвать химический завод. История одной кибератаки[:ua]Чи можуть хакери віддалено підірвати хімічний завод. Історія однієї кібератаки[:]

20.03.2018 23:37
загрузка...

[:ru]

В Саудовской Аравии едва не уничтожили предприятие с помощью нового вируса, который, по версии киберспециалистов, может повториться в других странах

Подробности происшествия рассказал изданию The New York Times.

В августе 2017 года неизвестные атаковали систему управления нефтехимического завода в Саудовской Аравии. Случай уникален тем, что злоумышленники не просто хотели стереть информацию с компьютеров или остановить работу завода, а, как считают исследователи, спровоцировать взрыв.

Слухи о подобной тактике ходили давно, но это первый подобный зафиксированный случай, который едва не завершился трагедией. США, их союзники и специалисты по кибербезопасности опасаются, что виновники могут повторить атаку в других странах, поскольку тысячи промышленных предприятий во всем мире полагаются на те же компьютерные системы, и были скомпрометированы.

Кіберспециалисты до сих пор изучают детали августовского нападения при поддержке американских компаний. Все участники расследования полагают, что, скорее всего, атаку провели с целью спровоцировать взрыв на заводе и заодно убить служащих.

За последние годы подобные несчастные случаи проходили в Китае и Мексике — обычно при взрывах на заводах, хоть и не связанных со взломами хакеров, гибнут и остаются ранеными как минимум 10 человек. Это все не считая общего ущерба, который обычно останавливает работу предприятия на несколько месяцев.

Ключевой момент нападения, что беспокоит исследователей, связан с системой безопасности Triconex, которая отвечает за напряжение, давление и среднюю температуру на заводе. Специалисты нашли на инженерных компьютерах компании (не уточняется, какой) странный файл, который выглядел как часть регуляторов Triconex, но на самом деле саботировал систему. Ранее считалось, что система этой марки невозможно выключить удаленно.

Кіберспециалисты не разглашают, как документ попал в систему, но не верят, что его добавил кто-то внутри компании. Если верить экспертам, то это первый случай, когда подобную систему вывели из строя удаленно. Подобные регуляторы установлены на более чем 18 тысячах предприятий по всему миру, в том числе с ядерными, нефтяными, газовыми или химическими ресурсами.

Единственное, что спасло завод от взрыва, это ошибка в компьютерном коде хакеров — она ненароком привела к отключению системы завода. Однако если злоумышленники нашли способ обойти защиту в Саудовской Аравии, они способны повторить подобное в любой стране.

Что было до этого

Августовское нападение выглядит масштабным шагом вперед на фоне первых изломов предприятий Саудовской Аравии. Проблемы начались в 2012 году: вирус Shamoon нанес удар по крупнейшей национальной нефтяной компании Saudi Aramco. Из десятков тысяч компьютеров учреждения исчезли все данные, а вместо них на жестком диске появились изображения горящего американского флага. США связали излом с иранским хакерским группировкам.

В ноябре 2016 года компьютеры в нескольких правительственных учреждениях Саудовской Аравии внезапно отключились, а данные с их жестких дисков исчезли. Через две недели тот же вирус ударил по другим учреждениям в стране. В январе 2017 года в местной компании National Industrialization, владеющий несколькими промышленными предприятиями, выключились все компьютеры. Это же произошло в стенах совместного предприятия между нефтяными и химическими гигантами Saudi Aramco и Dow Chemical.

С жестких дисков компьютеров National Industrialization исчезла вся информация, а вместо этого там появилась фотография Алана Курды — сирийского ребенка, найденного на турецком берегу в 2015 году. Как заключили следователи, он спасался из Сирии со своей семьей и задохнулся во время попытки добраться до суши.

Представители компании назвали мотивы злоумышленников политическими. На восстановление данных ушло несколько месяцев, за которые исследователи убедились, что во взломе виноват все тот же вирус Shamoon.

Собеседники Times предположили, что с помощью августовской атаки злоумышленники хотели помешать планам властей Саудовской Аравии привлечь в страну дополнительные инвестиции. При этом обе атаки прошлись не просто по частным фирмам, а по компаниям с промышленными заводами, которые занимают ключевое положение в экономике страны.

Выводы

Исследователи взлома считают, что с момента атаки нападавшие наверняка исправили прежние ошибки и в скором времени могут снова попытаться саботировать работу другого предприятия. Более того, теперь об уязвимости заводов узнали новые злоумышленники, и они наверняка будут искать способы дестабилизировать их.

В августовской атаке злоумышленники использовали вирус Shamoon, а изготовили инструменты для взлома, которые ранее нигде не появлялись. Исследователи подозревают, что в инциденте участвовала власть неназванной страны. По их мнению, у независимых хакеров нет очевидного мотива прибыли, но при этом для атаки нужны были значительные финансовые вложения.

Для нападения злоумышленникам понадобились не только знания, как проникнуть в систему, но и общее понимание дизайна завода, а также того, куда ведут отдельные трубы и как спровоцировать взрыв.

По мнению экспертов, исполнители преступления заранее купили регуляторы Troconex и выяснили принципы работы. На eBay их можно купить за 40 тысяч долларов.

Кіберспециалисты считают, что ресурсы для атаки по заводам Саудовской Аравии есть у Ирана, Китая, Израиля, США и России.

Как подчеркнул NYT, в большой части этих стран нет мотивов. Китай и Россия стремятся наладить экономические отношения с Саудовской Аравией, а Израиль и США сотрудничают с королевством для борьбы с Ираном. Именно эта страна, как сообщали специалисты, усиленно развивает программу кибервойск, но власти отрицают причастность к изломам.

[:ua]

У Саудівській Аравії ледь не знищили підприємство за допомогою нового вірусу, що, за версією кіберспеціалістів, може повторитися в інших країнах

Подробиці події розповіло видання The New York Times.

У серпні 2017 року невідомі атакували систему управління нафтохімічного заводу в Саудівській Аравії. Випадок унікальний тим, що зловмисники не просто хотіли стерти інформацію з комп’ютерів або зупинити роботу заводу, а, як вважають дослідники, спровокувати вибух.

Чутки про подібну тактику ходили давно, але це перший подібний зафіксований випадок, який ледь не завершився трагедією. США, їх союзники і фахівці з кібербезпеки побоюються, що винуватці можуть повторити атаку в інших країнах, оскільки тисячі промислових підприємств в усьому світі покладаються на ті ж комп’ютерні системи, що і були скомпрометовані.

Кіберспеціалісти досі вивчають деталі серпневого нападу за підтримки американських компаній. Всі учасники розслідування вважають, що, швидше за все, атаку провели з метою спровокувати вибух на заводі і заодно вбити службовців.

За останні роки подібні нещасні випадки проходили в Китаї та Мексиці — зазвичай при вибухах на заводах, хоч і не пов’язаних зі зломами хакерів,  гинуть і лишаються пораненими як мінімум 10 осіб. Це все не рахуючи загального збитку, який зазвичай зупиняє роботу підприємства на кілька місяців.

Ключовий момент нападу, що турбує дослідників, пов’язаний з системою безпеки Triconex, яка відповідає за напругу, тиск і середню температуру на заводі. Фахівці знайшли на інженерних комп’ютерах компанії (не уточнюється, який) дивний файл, який виглядав як частина регуляторів Triconex, але насправді саботував систему. Раніше вважалося, що систему цієї марки неможливо вимкнути віддалено.

Кіберспеціалісти не розголошують, як документ потрапив в систему, але не вірять, що його додав хтось всередині компанії. Якщо вірити експертам, то це перший випадок, коли подібну систему вивели з ладу віддалено. Подібні регулятори встановлені на більш ніж 18 тисячах підприємств по всьому світу, в тому числі з ядерними, нафтовими, газовими або хімічними ресурсами.

Єдине, що врятувало завод від вибуху, це помилка в комп’ютерному коді хакерів — вона ненароком призвела до відключення системи заводу. Однак якщо зловмисники знайшли спосіб обійти захист в Саудівській Аравії, вони здатні повторити подібне в будь-якій країні.

Що було до цього

Серпневий напад виглядає масштабним кроком вперед на тлі перших зламів підприємств Саудівської Аравії. Проблеми почалися в 2012 році: вірус Shamoon завдав удар по найбільшій національній нафтовій компанії Saudi Aramco. З десятків тисяч комп’ютерів установи зникли всі дані, а замість них на жорсткому диску з’явилися зображення палаючого американського прапора. США пов’язали злам з іранським хакерським угрупованням.

У листопаді 2016 року комп’ютери в декількох урядових установах Саудівської Аравії раптово відключилися, а дані з їх жорстких дисків зникли. Через два тижні той же вірус вдарив по іншим установам в країні. У січні 2017 року у місцевої компанії National Industrialization, що володіє декількома промисловими підприємствами, вимкнулися всі комп’ютери. Це ж сталося в стінах спільного підприємства між нафтовими і хімічними гігантами Saudi Aramco і Dow Chemical.

З жорстких дисків комп’ютерів National Industrialization зникла вся інформація, а замість цього там з’явилася фотографія Алана Курди — сирійського дитини, знайденого на турецькому березі в 2015 році. Як уклали слідчі, він рятувався з Сирії зі своєю сім’єю і задихнувся під час спроби дістатися до суші.

Представники компанії назвали мотиви зловмисників політичними. На відновлення даних пішло кілька місяців, за які дослідники переконалися, що у зломі винен все той же вірус Shamoon.

Співрозмовники Times припустили, що за допомогою серпневої атаки зловмисники хотіли перешкодити планам влади Саудівської Аравії залучити в країну додаткові інвестиції. При цьому обидві атаки пройшлися не просто по приватним фірмам, а по компаніям з промисловими заводами, які займають ключове положення в економіці країни.

Висновки

Дослідники злому вважають, що з моменту атаки нападники напевно виправили колишні помилки і незабаром можуть знову спробувати саботувати роботу іншого підприємства. Більш того, тепер про уразливості заводів дізналися нові зловмисники, і вони напевно будуть шукати способи дестабілізувати їх.

У серпневій атаці зловмисники не використали вірус Shamoon, а виготовили інструменти для злому, які раніше ніде не з’являлися. Дослідники підозрюють, що в інциденті брала участь влада неназваної країни. На їхню думку, у незалежних хакерів немає очевидного мотиву прибутку, але при цьому для атаки потрібні були значні фінансові вкладення.

Для нападу зловмисникам знадобилися не лише знання, як проникнути в систему, але і загальне розуміння дизайну заводу, а також того, куди ведуть окремі труби і як спровокувати вибух.

На думку експертів, виконавці злочину заздалегідь купили регулятори Troconex і з’ясували принципи роботи. На eBay їх можна придбати за 40 тисяч доларів.

Кіберспеціалісти вважають, що ресурси для атаки по заводам Саудівської Аравії є у ​​Ірану, Китаю, Ізраїлю, США та Росії.

Як підкреслило NYT, у великої частини цих країн немає мотивів. Китай і Росія прагнуть налагодити економічні відносини з Саудівською Аравією, а Ізраїль і США співпрацюють з королівством для боротьби з Іраном. Саме ця країна, як повідомляли фахівці, посилено розвиває програму кібервійськ, але влада заперечує причетність до зламів.

[:]

Реклама



Кейт Миддлтон перестала быть похожей на саму себя: поклонники бьют тревогу

0 Просмотров • 16.01.2019 23:48



Тереза Мэй одержала громкую победу: подробности судьбоносного голосования

В среду, 16 января, в парламенте Великобритании состоялось скандальное голосование за вынесение недоверия правительству Терезы Мэй Об этом сообщают местные ...

Археологи обнаружили затерянные гробницы: «Новый взгляд на историю Египта», фото

В оазисе посреди пустыни нашли затерянные гробницы Египетские археологи обнаружили в оазисе Дахла, расположенном в Ливийской пустыни, две гробницы римского периода. ...







загрузка...