Могут ли хакеры удалённо взорвать химический завод Статьи редакции
В Саудовской Аравии едва не уничтожили предприятие с помощью нового вируса, что, по версии киберспециалистов, может повториться в других странах.
В августе 2017 года неизвестные атаковали систему управления нефтехимического завода в Саудовской Аравии. Случай уникален тем, что злоумышленники не просто хотели стереть информацию с компьютеров или остановить работу завода, а, как считают исследователи, спровоцировать взрыв.
Слухи о подобной тактике ходили давно, но это первый подобный зафиксированный случай, который едва не закончился трагедией. США, их союзники и специалисты по кибербезопасности опасаются, что виновники могут повторить атаку в других странах, поскольку тысячи промышленных предприятий во всём мире полагаются на те же компьютерные системы, что и были скомпрометированы. Подробности происшествия рассказало издание The New York Times.
Как хакеры обошли систему
Киберспециалисты до сих пор изучают детали августовского нападения при поддержке американских компаний. Все участники расследования считают, что, скорее всего, атаку провели с целью спровоцировать взрыв на заводе и заодно убить служащих.
За последние годы подобные несчастные случаи проходили в Китае и Мексике — обычно при взрывах на заводах, хоть и не связанных со взломами хакеров, несколько погибают и ранит как минимум 10 человек. Это всё не считая общего ущерба, который обычно останавливает работу предприятия на пару месяцев.
Ключевой момент нападения, беспокоящий исследователей, связан с системой безопасности Triconex, которая отвечает за напряжение, давление и среднюю температуру на заводе. Специалисты нашли на инженерных компьютерах компании (не уточняется, какой) странный файл, который выглядел как часть регуляторов Triconex, но на деле саботировал систему. Ранее считалось, что систему этой марки невозможно отключить удалённо.
Киберспециалисты не разглашают, как документ попал в систему, но не верят, что его добавил кто-то внутри компании. Если верить экспертам, то это первый случай, когда подобную систему вывели из строя удалённо. Подобные регуляторы установлены на более чем 18 тысячах предприятий по всему миру, в том числе с ядерными, нефтяными, газовыми или химическими ресурсами.
Единственное, что спасло завод от взрыва, это ошибка в компьютерном коде хакеров — она ненароком привела к отключению системы завода. Однако если злоумышленники нашли способ обойти защиту в Саудовской Аравии, они способны повторить подобное в любой стране.
Какие события предшествовали атаке
Августовское нападение выглядит масштабным шагом вперёд на фоне первых взломов предприятий Саудовской Аравии. Проблемы начались в 2012 году: вирус Shamoon нанёс удар по крупнейшей национальной нефтяной компании Saudi Aramco. С десятков тысяч компьютеров учреждения пропали все данные, а вместо них на жёстком диске появились изображения горящего американского флага. США связали взлом с иранской хакерской группировкой.
В ноябре 2016 года компьютеры в нескольких правительственных учреждениях Саудовской Аравии внезапно отключились, а данные с их жёстких дисков пропали. Две недели спустя тот же вирус ударил по другим учреждениям в стране. В январе 2017 года в местной компании National Industrialization, владеющей несколькими промышленными предприятиями, отключились все компьютеры. Это же произошло в стенах совместного предприятия между нефтяными и химическими гигантами Saudi Aramco и Dow Chemical.
С жёстких дисков компьютеров National Industrialization пропала вся информация, а вместо этого там появилась фотография Алана Курди — сирийского ребёнка, найденного на турецком берегу в 2015 году. Как заключили следователи, он спасался из Сирии со своей семьёй и задохнулся при попытке добраться до суши.
Представители компании назвали мотивы злоумышленников политическими. На восстановление данных ушло несколько месяцев, за которые исследователи убедились, что во взломе виновен всё тот же вирус Shamoon.
Собеседники Times предположили, что с помощью августовской атаки злоумышленники хотели помешать планам властей Саудовской Аравии привлечь в страну дополнительные инвестиции. При этом обе атаки прошлись не просто по частным фирмам, а по компаниям с промышленными заводами, которые занимают ключевое положение в экономике страны.
Какие выводы сделали специалисты
Исследователи взлома считают, что с момента атаки нападавшие наверняка исправили прежние ошибки и вскоре могут вновь попробовать саботировать работу другого предприятия. Более того, теперь о уязвимости заводов узнали новые злоумышленники, и они наверняка будут искать способы дестабилизировать предприятия.
В августовской атаке злоумышленники не использовали вирус Shamoon, а изготовили инструменты для взлома, которые ранее нигде не появлялись. Исследователи подозревают, что в происшествии замешаны власти неназванной страны. По их мнению, у независимых хакеров нет очевидного мотива прибыли, но при этом для атаки потребовались значительные финансовые вложения.
Для нападения злоумышленникам понадобилось не только знание, как проникнуть в систему, но и общее понимание дизайна завода, а также того, куда ведут отдельные трубы и как спровоцировать взрыв.
По мнению экспертов, исполнители преступления заранее купили регуляторы Troconex и выяснили принципы работы. На eBay их можно приобрести за 40 тысяч долларов.
Киберспециалисты считают, что ресурсы для атаки по заводам Саудовской Аравии есть у Ирана, Китая, Израиля, США и России. Как подчеркнуло NYT, у большой части этих стран нет мотивов. Китай и Россия стремятся наладить экономические отношения с Саудовской Аравией, а Израиль и США сотрудничают с королевством для борьбы с Ираном. Именно эта страна, как сообщали специалисты, усиленно развивает программу кибервойск, но власти отрицают причастность ко взломам.
Нам пиздец
Вы слишком хорошо думаете об автоматизации и компьютеризации в нашей стране...
В вашей* в моей с автоматизацией все неплохо
Дык еще в 2010 году вирусом Stuxnet поломали центрифуги для обогащения урана. То что вирусы могут ломать заводы уже давно не новость.
Во-первых, здесь использовали новый вирус и, судя по всему, потратили большие деньги для отшлифовки плана. Во-вторых, это не просто какой-то случайный взлом, а часть цепочки саботажа против промышленности Саудовской Аравии, которая тянется и эволюционирует с 2012 года. То есть, кто-то целенаправленно и старательно метит в одну страну. В-третьих, здесь не просто хотели что-то сломать, а подорвать завод, зная, что погибнут люди.
Ну так и в случае с поломкой центрифуги это была целенаправленная атака с целью саботажа ядерной программы Ирана. Stuxnet поразил 1368 из 5000 центрифуг на заводе по обогащению урана в Натанзе и сорвал сроки запуска АЭС в Бушере.
Это как атака израильских ВВС на ядерный реактор Ирака "Осирак" в 1981 году, только не так радикально.
Вопрос вообще сводится к тому, зачем заводам удаленное управление?
Заводы прекрасно работают без подключения к внешним сетям под надзором дяди Коли (а раз промышленность химическая, то скорее тёти Глаши) до тех пор, пока какому-нибудь местному экологическому надзору не приспичит мониторить уровень вредных выбросов (в Москве, например, этим занимается Мосэкомониторинг), а какому-нибудь министерству чрезвычайных ситуаций не захочется быть в курсе, не намерен ли завод взорваться (СМИС - системы мониторинга инженерных сооружений). И тут в дело вступают всякие внешние подключения, которые по регламенту вроде и должны строго ограничиваться паролями да файерволами, но на деле вполне могут быть настроены спустя рукава.
Комментарий недоступен
Сигналы с датчиков перед передачей нужно собрать и обработать. А этим занимается всё та же система управления. Так что там просто нет разделения.
Разделить можно. Но нужно закладывать это на этапе проектирования, и выйдет конечно дороже.
Комментарий недоступен
Так и не нужно оно. В статье сказано, что Triconex не предусматривал такую функцию. Но нашли способ.
Обрежьте этой машине выход на свободу и пусть дядя Коля мониторит работу завода в своей подсобке.
ну блин, ресурс "дядя Коля" тоже не бесконечный и не бесплатный, к сожалению
Нам нужен просто специалист в комменты который расскажет, чем изолированная работа завода плохо или хорошо
Комментарий недоступен
Комментарий недоступен
Минимум 40 лет и минимум милион таких дьдь Коль
Зато самый надёжный
Хорошая статья, побольше таких
Комментарий недоступен
Мистер Робот в жизни
Может ли инженер Гарин удалённо взорвать химический завод?
Да
Сколько хакеров нужно, чтобы ̶в̶к̶р̶у̶т̶и̶т̶ь̶ ̶л̶а̶м̶п̶о̶ч̶к̶у̶ взорвать химзавод?
Комментарий удален модератором
Вспоминаю как смеялся над крепким орешком с его крутыми хацкерами. Теперь не смешно :{
А потом кто-нибудь выложит эксплоит на гитхаб и здравствуй, новый сценарий для апокалипсиса.
Да, опасно, но заселить вирус — это только часть работы. Как ясно из второй части статьи, злоумышленникам нужно отлично знать схемы строения и принципы работы объекта атаки. И вот в этом случае всё довольно страшно.
Комментарий недоступен
здесь не только можно использовать взрыв, как теракт или прочее, а банальное соперничество заводов. сам знаю завод, в котором сервак работает на 2003 винде, и умеет в удаленное управление, но а сеть на заводе общая, думаю что при различных манипуляциях, загрузить батник на сервер.
в статье верно подметили, чтобы завод вышел из строя, нужно знать технологию его работы, и что именно может его остановить на долго. например: цементный завод, сухого способа добычи, вывести из строя поворот печи при максимальной температуры на пол часа, и как следствие, труба прогнется а вместе с ним, сам завод.