Могут ли хакеры удаленно взорвать химический завод. История одной кибератаки
В Саудовской Аравии едва не уничтожили предприятие с помощью нового вируса, который, по версии киберспециалистов, может повториться в других странах
Подробности происшествия рассказал изданию The New York Times. В августе 2017 года неизвестные атаковали систему управления нефтехимического завода в Саудовской Аравии. Случай уникален тем, что злоумышленники не просто хотели стереть информацию с компьютеров или остановить работу завода, а, как считают исследователи, спровоцировать взрыв. Слухи о подобной тактике ходили давно, но это первый подобный зафиксированный случай, который едва не завершился трагедией. США, их союзники и специалисты по кибербезопасности опасаются, что виновники могут повторить атаку в других странах, поскольку тысячи промышленных предприятий во всем мире полагаются на те же компьютерные системы, и были скомпрометированы. Кіберспециалисты до сих пор изучают детали августовского нападения при поддержке американских компаний. Все участники расследования полагают, что, скорее всего, атаку провели с целью спровоцировать взрыв на заводе и заодно убить служащих. За последние годы подобные несчастные случаи проходили в Китае и Мексике - обычно при взрывах на заводах, хоть и не связанных со взломами хакеров, гибнут и остаются ранеными как минимум 10 человек. Это все не считая общего ущерба, который обычно останавливает работу предприятия на несколько месяцев. Ключевой момент нападения, что беспокоит исследователей, связан с системой безопасности Triconex, которая отвечает за напряжение, давление и среднюю температуру на заводе. Специалисты нашли на инженерных компьютерах компании (не уточняется, какой) странный файл, который выглядел как часть регуляторов Triconex, но на самом деле саботировал систему. Ранее считалось, что система этой марки невозможно выключить удаленно. Кіберспециалисты не разглашают, как документ попал в систему, но не верят, что его добавил кто-то внутри компании. Если верить экспертам, то это первый случай, когда подобную систему вывели из строя удаленно. Подобные регуляторы установлены на более чем 18 тысячах предприятий по всему миру, в том числе с ядерными, нефтяными, газовыми или химическими ресурсами. 
Единственное, что спасло завод от взрыва, это ошибка в компьютерном коде хакеров - она ненароком привела к отключению системы завода. Однако если злоумышленники нашли способ обойти защиту в Саудовской Аравии, они способны повторить подобное в любой стране. Что было до этого Августовское нападение выглядит масштабным шагом вперед на фоне первых изломов предприятий Саудовской Аравии. Проблемы начались в 2012 году: вирус Shamoon нанес удар по крупнейшей национальной нефтяной компании Saudi Aramco. Из десятков тысяч компьютеров учреждения исчезли все данные, а вместо них на жестком диске появились изображения горящего американского флага. США связали излом с иранским хакерским группировкам. В ноябре 2016 года компьютеры в нескольких правительственных учреждениях Саудовской Аравии внезапно отключились, а данные с их жестких дисков исчезли. Через две недели тот же вирус ударил по другим учреждениям в стране. В январе 2017 года в местной компании National Industrialization, владеющий несколькими промышленными предприятиями, выключились все компьютеры. Это же произошло в стенах совместного предприятия между нефтяными и химическими гигантами Saudi Aramco и Dow Chemical. С жестких дисков компьютеров National Industrialization исчезла вся информация, а вместо этого там появилась фотография Алана Курды - сирийского ребенка, найденного на турецком берегу в 2015 году. Как заключили следователи, он спасался из Сирии со своей семьей и задохнулся во время попытки добраться до суши. Представители компании назвали мотивы злоумышленников политическими. На восстановление данных ушло несколько месяцев, за которые исследователи убедились, что во взломе виноват все тот же вирус Shamoon. Собеседники Times предположили, что с помощью августовской атаки злоумышленники хотели помешать планам властей Саудовской Аравии привлечь в страну дополнительные инвестиции. При этом обе атаки прошлись не просто по частным фирмам, а по компаниям с промышленными заводами, которые занимают ключевое положение в экономике страны. Выводы Исследователи взлома считают, что с момента атаки нападавшие наверняка исправили прежние ошибки и в скором времени могут снова попытаться саботировать работу другого предприятия. Более того, теперь об уязвимости заводов узнали новые злоумышленники, и они наверняка будут искать способы дестабилизировать их. В августовской атаке злоумышленники использовали вирус Shamoon, а изготовили инструменты для взлома, которые ранее нигде не появлялись. Исследователи подозревают, что в инциденте участвовала власть неназванной страны. По их мнению, у независимых хакеров нет очевидного мотива прибыли, но при этом для атаки нужны были значительные финансовые вложения. Для нападения злоумышленникам понадобились не только знания, как проникнуть в систему, но и общее понимание дизайна завода, а также того, куда ведут отдельные трубы и как спровоцировать взрыв. По мнению экспертов, исполнители преступления заранее купили регуляторы Troconex и выяснили принципы работы. На eBay их можно купить за 40 тысяч долларов. Кіберспециалисты считают, что ресурсы для атаки по заводам Саудовской Аравии есть у Ирана, Китая, Израиля, США и России. Как подчеркнул NYT, в большой части этих стран нет мотивов. Китай и Россия стремятся наладить экономические отношения с Саудовской Аравией, а Израиль и США сотрудничают с королевством для борьбы с Ираном. Именно эта страна, как сообщали специалисты, усиленно развивает программу кибервойск, но власти отрицают причастность к изломам.
В Саудовской Аравии едва не уничтожили предприятие с помощью нового вируса, который, по версии киберспециалистов, может повториться в других странах Подробности происшествия рассказал изданию The New York Times. В августе 2017 года неизвестные атаковали систему управления нефтехимического завода в Саудовской Аравии. Случай уникален тем, что злоумышленники не просто хотели стереть информацию с компьютеров или остановить работу завода, а, как считают исследователи, спровоцировать взрыв. Слухи о подобной тактике ходили давно, но это первый подобный зафиксированный случай, который едва не завершился трагедией. США, их союзники и специалисты по кибербезопасности опасаются, что виновники могут повторить атаку в других странах, поскольку тысячи промышленных предприятий во всем мире полагаются на те же компьютерные системы, и были скомпрометированы. Кіберспециалисты до сих пор изучают детали августовского нападения при поддержке американских компаний. Все участники расследования полагают, что, скорее всего, атаку провели с целью спровоцировать взрыв на заводе и заодно убить служащих. За последние годы подобные несчастные случаи проходили в Китае и Мексике - обычно при взрывах на заводах, хоть и не связанных со взломами хакеров, гибнут и остаются ранеными как минимум 10 человек. Это все не считая общего ущерба, который обычно останавливает работу предприятия на несколько месяцев. Ключевой момент нападения, что беспокоит исследователей, связан с системой безопасности Triconex, которая отвечает за напряжение, давление и среднюю температуру на заводе. Специалисты нашли на инженерных компьютерах компании (не уточняется, какой) странный файл, который выглядел как часть регуляторов Triconex, но на самом деле саботировал систему. Ранее считалось, что система этой марки невозможно выключить удаленно. Кіберспециалисты не разглашают, как документ попал в систему, но не верят, что его добавил кто-то внутри компании. Если верить экспертам, то это первый случай, когда подобную систему вывели из строя удаленно. Подобные регуляторы установлены на более чем 18 тысячах предприятий по всему миру, в том числе с ядерными, нефтяными, газовыми или химическими ресурсами. Единственное, что спасло завод от взрыва, это ошибка в компьютерном коде хакеров - она ненароком привела к отключению системы завода. Однако если злоумышленники нашли способ обойти защиту в Саудовской Аравии, они способны повторить подобное в любой стране. Что было до этого Августовское нападение выглядит масштабным шагом вперед на фоне первых изломов предприятий Саудовской Аравии. Проблемы начались в 2012 году: вирус Shamoon нанес удар по крупнейшей национальной нефтяной компании Saudi Aramco. Из десятков тысяч компьютеров учреждения исчезли все данные, а вместо них на жестком диске появились изображения горящего американского флага. США связали излом с иранским хакерским группировкам. В ноябре 2016 года компьютеры в нескольких правительственных учреждениях Саудовской Аравии внезапно отключились, а данные с их жестких дисков исчезли. Через две недели тот же вирус ударил по другим учреждениям в стране. В январе 2017 года в местной компании National Industrialization, владеющий несколькими промышленными предприятиями, выключились все компьютеры. Это же произошло в стенах совместного предприятия между нефтяными и химическими гигантами Saudi Aramco и Dow Chemical. С жестких дисков компьютеров National Industrialization исчезла вся информация, а вместо этого там появилась фотография Алана Курды - сирийского ребенка, найденного на турецком берегу в 2015 году. Как заключили следователи, он спасался из Сирии со своей семьей и задохнулся во время попытки добраться до суши. Представители компании назвали мотивы злоумышленников политическими. На восстановление данных ушло несколько месяцев, за которые исследователи убедились, что во взломе виноват все тот же вирус Shamoon. Собеседники Times предположили, что с помощью августовской атаки злоумышленники хотели помешать планам властей Саудовской Аравии привлечь в страну дополнительные инвестиции. При этом обе атаки прошлись не просто по частным фирмам, а по компаниям с промышленными заводами, которые занимают ключевое положение в экономике страны. Выводы Исследователи взлома считают, что с момента атаки нападавшие наверняка исправили прежние ошибки и в скором времени могут снова попытаться саботировать работу другого предприятия. Более того, теперь об уязвимости заводов узнали новые злоумышленники, и они наверняка будут искать способы дестабилизировать их. В августовской атаке злоумышленники использовали вирус Shamoon, а изготовили инструменты для взлома, которые ранее нигде не появлялись. Исследователи подозревают, что в инциденте участвовала власть неназванной страны. По их мнению, у независимых хакеров нет очевидного мотива прибыли, но при этом для атаки нужны были значительные финансовые вложения. Для нападения злоумышленникам понадобились не только знания, как проникнуть в систему, но и общее понимание дизайна завода, а также того, куда ведут отдельные трубы и как спровоцировать взрыв. По мнению экспертов, исполнители преступления заранее купили регуляторы Troconex и выяснили принципы работы. На eBay их можно купить за 40 тысяч долларов. Кіберспециалисты считают, что ресурсы для атаки по заводам Саудовской Аравии есть у Ирана, Китая, Израиля, США и России. Как подчеркнул NYT, в большой части этих стран нет мотивов. Китай и Россия стремятся наладить экономические отношения с Саудовской Аравией, а Израиль и США сотрудничают с королевством для борьбы с Ираном. Именно эта страна, как сообщали специалисты, усиленно развивает программу кибервойск, но власти отрицают причастность к изломам.