В августе 2017 года вредоносное программное обеспечение (ПО) атаковало систему безопасности национальной нефтяной компании Саудовской Аравии Saudi Aramco. Данная кибератака стала первым в мире случаем нападения на компьютерную систему, отвечающую за предотвращение катастрофы на промышленном объекте, пишет Элиас Гролл в статье для The Foreign Policy.

Иван Шилов ИА REGNUM
Саудовская Аравия

Впервые информация об атаке на промышленный объект появилась на прошлой неделе в блоге фирмы FireEye, специализирующейся на информационной защите. В сообщении не было указано, что кибератака была направлена против Saudi Aramco. Однако согласно информации, полученной от аналогичной компании Area 1 Security, созданной бывшими сотрудниками Агентства национальной безопасности США, жертвой нападения стала именно Saudi Aramco.

В официальном заявлении Saudi Aramco указано, что компания не подвергалась кибератакам. В FireEye отказались прокомментировать сообщение о том, что объектом нападения была компьютерная система Saudi Aramco.

В Area 1 Security заявили, что организатором хакерской атаки, вероятно, является Иран, однако другие эксперты в области компьютерной безопасности призвали не торопиться с преждевременными обвинениями. По мнению одного из бывших сотрудников американской разведки, случай с Saudi Aramco является самым запутанным случаем из тех, с которыми ему когда-либо приходилось иметь дело.

Штаб-квартира компании Saudi Aramco в Дахране, Саудовская Аравия

В отчете Area 1 Security описано вредоносное программное обеспечение, получившее название Triton, однако нет никаких убедительных доказательств того, что Иран причастен к кибератаке на Saudi Aramco. Эксперты отмечают, что Triton потерпел неудачу. По словам представителей FireEye, вредоносное ПО атаковало систему, известную как Triconex, которая производится немецкой фирмой Schneider Electric. Triconex используется по всему миру и отвечает за функцию аварийного отключения.

Triton попытался изменить один из контроллеров системы безопасности, в результате чего контроллер отключил не предусмотренный промышленный процесс. Остановка работы на Saudi Aramco повлекла за собой расследование, в результате которого было обнаружено вредоносное ПО.

Эксперты Area 1 Security заявили в своем отчете, что Triton мог стать продуктом сотрудничества между Россией и Ираном. Хотя хакеры, работающие на Иран, считаются профессионалами своего дела, Россия является более продвинутой в данном вопросе. Эксперты также бездоказательно заявили, что Россия якобы провела две кибероперации по широкомасштабному отключению электроэнергии на Украине. Другие эксперты считают, что в программе Triton преднамеренно были установлены элементы, которые должны были пустить расследование по ложному пути и указать на Россию.

Не стоит забывать, что нападение на Saudi Aramco произошло на фоне регулярных кибернападений на Саудовскую Аравию со стороны Ирана, поскольку региональное соперничество между двумя странами усилилось по мере того, как подконтрольные Ирану военизированные группировки расширили свое влияние в Ираке, Сирии, Ливане и Йемене.

Считается, что хакеры, работающие на Иран, атаковали Saudi Aramco в 2012 году, в результате чего было выведено из строя 30 тыс. компьютеров. Эксперты по вопросам кибербезопасности обвиняли Иран и в последующих хакерских атаках на Саудовскую Аравию.

Хакер

В последние дни напряженность между Эр-Риядом и Тегераном еще больше обострилась, поскольку официальные лица США и Саудовской Аравии обвинили Иран в поставках ракетного вооружения йеменским хуситам, которые недавно запустили ракету в направлении Эр-Рияда.

Saudi Aramco является естественной целью для Ирана, поскольку в данный момент стабильность недиверсифицированной экономики Саудовской Аравии целиком и полностью покоится на плечах Saudi Aramco.

В компании Dragos, специализирующейся на промышленной безопасности, предупредили, что использование вредоносного ПО Triton представляет собой важное событие в области кибербезопасности, поскольку хакеры сделали «значительный шаг вперед в причинении вреда».

Хотя кибернетическая атака на крупнейшую в мире нефтяную компанию потерпела неудачу, она позволяет представить масштаб будущих нападений. Атака на критическую инфраструктуру противника с помощью вредоносного ПО представляет огромный интерес для конкурирующего государства, а блокирование системы безопасности на ключевом промышленном объекте противника — это один из способов нанесения ущерба критической инфраструктуре.