Чи можуть хакери віддалено підірвати хімічний завод. Історія однієї кібератаки

Подробиці події розповіло видання The New York Times.

У серпні 2017 року невідомі атакували систему управління нафтохімічного заводу в Саудівській Аравії. Випадок унікальний тим, що зловмисники не просто хотіли стерти інформацію з комп'ютерів або зупинити роботу заводу, а, як вважають дослідники, спровокувати вибух.

Чутки про подібну тактику ходили давно, але це перший подібний зафіксований випадок, який ледь не завершився трагедією. США, їх союзники і фахівці з кібербезпеки побоюються, що винуватці можуть повторити атаку в інших країнах, оскільки тисячі промислових підприємств в усьому світі покладаються на ті ж комп'ютерні системи, що і були скомпрометовані. 

Кіберспеціалісти досі вивчають деталі серпневого нападу за підтримки американських компаній. Всі учасники розслідування вважають, що, швидше за все, атаку провели з метою спровокувати вибух на заводі і заодно вбити службовців.

За останні роки подібні нещасні випадки проходили в Китаї та Мексиці - зазвичай при вибухах на заводах, хоч і не пов'язаних зі зломами хакерів,  гинуть і лишаються пораненими як мінімум 10 осіб. Це все не рахуючи загального збитку, який зазвичай зупиняє роботу підприємства на кілька місяців.

Ключовий момент нападу, що турбує дослідників, пов'язаний з системою безпеки Triconex, яка відповідає за напругу, тиск і середню температуру на заводі. Фахівці знайшли на інженерних комп'ютерах компанії (не уточнюється, який) дивний файл, який виглядав як частина регуляторів Triconex, але насправді саботував систему. Раніше вважалося, що систему цієї марки неможливо вимкнути віддалено.

Кіберспеціалісти не розголошують, як документ потрапив в систему, але не вірять, що його додав хтось всередині компанії. Якщо вірити експертам, то це перший випадок, коли подібну систему вивели з ладу віддалено. Подібні регулятори встановлені на більш ніж 18 тисячах підприємств по всьому світу, в тому числі з ядерними, нафтовими, газовими або хімічними ресурсами.

Єдине, що врятувало завод від вибуху, це помилка в комп'ютерному коді хакерів - вона ненароком призвела до відключення системи заводу. Однак якщо зловмисники знайшли спосіб обійти захист в Саудівській Аравії, вони здатні повторити подібне в будь-якій країні.

Що було до цього

Серпневий напад виглядає масштабним кроком вперед на тлі перших зламів підприємств Саудівської Аравії. Проблеми почалися в 2012 році: вірус Shamoon завдав удар по найбільшій національній нафтовій компанії Saudi Aramco. З десятків тисяч комп'ютерів установи зникли всі дані, а замість них на жорсткому диску з'явилися зображення палаючого американського прапора. США пов'язали злам з іранським хакерським угрупованням.

У листопаді 2016 року комп'ютери в декількох урядових установах Саудівської Аравії раптово відключилися, а дані з їх жорстких дисків зникли. Через два тижні той же вірус вдарив по іншим установам в країні. У січні 2017 року у місцевої компанії National Industrialization, що володіє декількома промисловими підприємствами, вимкнулися всі комп'ютери. Це ж сталося в стінах спільного підприємства між нафтовими і хімічними гігантами Saudi Aramco і Dow Chemical.

З жорстких дисків комп'ютерів National Industrialization зникла вся інформація, а замість цього там з'явилася фотографія Алана Курди - сирійського дитини, знайденого на турецькому березі в 2015 році. Як уклали слідчі, він рятувався з Сирії зі своєю сім'єю і задихнувся під час спроби дістатися до суші.

Представники компанії назвали мотиви зловмисників політичними. На відновлення даних пішло кілька місяців, за які дослідники переконалися, що у зломі винен все той же вірус Shamoon.

Співрозмовники Times припустили, що за допомогою серпневої атаки зловмисники хотіли перешкодити планам влади Саудівської Аравії залучити в країну додаткові інвестиції. При цьому обидві атаки пройшлися не просто по приватним фірмам, а по компаніям з промисловими заводами, які займають ключове положення в економіці країни.

Висновки

Дослідники злому вважають, що з моменту атаки нападники напевно виправили колишні помилки і незабаром можуть знову спробувати саботувати роботу іншого підприємства. Більш того, тепер про уразливості заводів дізналися нові зловмисники, і вони напевно будуть шукати способи дестабілізувати їх.

У серпневій атаці зловмисники не використали вірус Shamoon, а виготовили інструменти для злому, які раніше ніде не з'являлися. Дослідники підозрюють, що в інциденті брала участь влада неназваної країни. На їхню думку, у незалежних хакерів немає очевидного мотиву прибутку, але при цьому для атаки потрібні були значні фінансові вкладення.

Для нападу зловмисникам знадобилися не лише знання, як проникнути в систему, але і загальне розуміння дизайну заводу, а також того, куди ведуть окремі труби і як спровокувати вибух.

На думку експертів, виконавці злочину заздалегідь купили регулятори Troconex і з'ясували принципи роботи. На eBay їх можна придбати за 40 тисяч доларів.

Кіберспеціалісти вважають, що ресурси для атаки по заводам Саудівської Аравії є у ​​Ірану, Китаю, Ізраїлю, США та Росії.

Як підкреслило NYT, у великої частини цих країн немає мотивів. Китай і Росія прагнуть налагодити економічні відносини з Саудівською Аравією, а Ізраїль і США співпрацюють з королівством для боротьби з Іраном. Саме ця країна, як повідомляли фахівці, посилено розвиває програму кібервійськ, але влада заперечує причетність до зламів.