Вирусный код может вывести из строя системы безопасности, созданные предотвратить промышленные аварии. Он был обнаружен на ближнем востоке, но хакеры, стоящие за ним, целятся в компании Северной Америки и других стран.
Опытный специалист по информационной безопасности, Джулиан Гатманис множество раз помогал компаниям справиться с угрозами от кибератак. Но когда австралийский консультант по безопасности был вызван на нефтехимическое производство в Саудовской Аравии летом 2017 года, он обнаружил нечто, заставляющее кровь стынуть в жилах.
Хакеры разместили вредоносное программное обеспечение, которое позволило им взять под контроль промышленные системы безопасности. Регулирующие приборы и связанное с ними ПО — последняя линия защиты от угрожающих жизни катастроф. Предполагается, что они вмешаются при обнаружении опасных условий, и либо вернут процессы на безопасный уровень, либо отключат их полностью, активировав механизмы сброса давления или закрыв вентили.
Вредоносное ПО позволяет контролировать системы безопасности удаленно. Если злоумышленники отключат или вмешаются в работу этих систем, а затем сделают оборудование неисправным с помощью другого ПО, последствия могут быть ужасающими. К счастью, ошибка в коде выдала хакеров прежде, чем они успели навредить. Ответ системы безопасности в июне 2017 г. привел к остановке производства. Позже, в августе, несколько других систем были выключены — это спровоцировало еще одну остановку работы.
Первая авария была ошибочно списана на сбой в механике; после второй аварии владельцы вызвали специалистов провести расследование. Ищейки обнаружили вирус, который был прозван «Triton» (иногда — «Trisis»). Он целился в модель контроллера Triconex, сделанную французской компанией Schneider Electric.
В худшем варианте развития события вирусный код мог привести к выбросу сероводорода или стать причиной взрывов, подвергая жизни опасности и на производстве, и на прилегающих территориях.
Гатманис вспоминал, что разобраться с вирусом на перезапущенном после второй аварии производстве, было той ещё нервотрепкой.
Атакуя фабрику хакеры перешли пугающий Рубикон. Впервые мир кибербезопасности столкнулся с кодом, который был специально предназначен подвергнуть жизни людей смертельному риску. Подобные системы безопасности можно обнаружить не только на нефтехимическом производстве; это последний рубеж во всем, начиная с транспорта, водоочистных сооружений, и заканчивая атомными энергетическими станциями.
Обнаружение Triton ставит вопросы о том, как хакеры смогли попасть в эти критически важные системы. Промышленные объекты встраивают связь во все виды оборудования — явление, известное как интернет вещей. Эта связь позволяет работникам дистанционно контролировать приборы, быстро собирать данные и делать операции эффективнее, но одновременно с этим хакеры получают больше потенциальных мишеней.
Боевая готовность.
Новости о существовании Triton появились в декабре 2017 г., несмотря на то, что личные данные владельца хранились в секрете. (Гатманис и другие эксперты, вовлеченные в расследование, отказывались называть компанию из-за страха, что это может отговорить будущих жертв приватно делиться информацией о кибератаках.)
В течение последней пары лет компании, специализирующиеся на информационной безопасности, гонятся за уничтожением вируса и пытаются выяснить, кто стоит за его разработкой. Их расследование рисует тревожную картину: изощрённое кибероружие создано и размещено группой решительных и терпеливых хакеров, личности которых всё ещё не установлены.
Внутри корпоративной сети нефтехимической компании хакеры появились в 2014 г. С тех пор, они обнаружили путь в собственную сеть производства, скорее всего через уязвимость в плохо настроенном брандмауэре, задача которого — предотвращать несанкционированный доступ. Они проникли на инженерную рабочую станцию, либо используя неисправленную ошибку в коде Windows, любо перехватив данные сотрудника.
С тех пор как рабочая станция соединена с системой безопасности предприятия, хакеры были способны изучить модель систем аппаратных контроллеров, также хорошо, как и версии ПО, встроенного в память приборов и влияющие на передачу информации между ними.
Вероятно, затем они приобрели такую же модель контроллера и использовали её для тестирования вредоносной программы. Это дало возможность подражать протоколу и устанавливать цифровые правила, позволяющие инженерной рабочей станции взаимодействовать с системами безопасности. Хакеры также обнаружили или «уязвимость нулевого дня» или прежде неизвестный баг во встроенной в Triconex программе. Это позволило ввести код в память систем безопасности, что гарантировало доступ к контроллерам в любое время. Таким образом, злоумышленники могли приказать системам безопасности отключиться, а затем с помощью других вредоносных программ спровоцировать небезопасную ситуацию на предприятии.
Результаты могли быть устрашающими. Худшая промышленная авария также связана с утечкой ядовитых газов. В декабре 1984 года завод пестицидов Union Carbide в Бхопале (Индия) выпустил огромное облако токсичных паров, убив тысячи людей. Причинами были плохое обслуживание и человеческий фактор. Также неисправные и неработающие системы безопасности на заводе означали, что его последняя линия обороны провалилась.
////////////////////////////////////////////////////////////////////////////////////////
Кстати у меня есть свой telegram канал, там вы сможете найти информацию о довольно интересных программах.
Канал называется - LAMER'sHelper
https://t.me/kpLHelper