К 30 годовщине Чернобыля немецкая АЭС остановлена из-за вирусной атаки

Безопасность Стратегия безопасности ИТ в госсекторе
мобильная версия
, Текст: Павел Лебедев
Работа одной из германских АЭС была приостановлена после того, как в топливной системе станции был обнаружен компьютерный вирус.

Атака на топливную систему АЭС

Работа атомной электростанции в местечке Гундремминген (Gundremmingen) в Баварии была остановлена после обнаружения в ее ИТ-системах компьютерного вируса.

Целью вирусной атаки оказалась ИТ-сеть, управляющая машиной для выгрузки топливных стержней (ТВЭЛов) в секторе B реактора электростанции. Помимо этого, на станции было обнаружено 18 зараженных USB-носителей. Компания RWE - оператор АЭС в Гундреммингене, информировала о происшедшем государственные службы безопасности.

Хотя представитель АЭС заявил изданию Die Zeit, что вирус не представляет особенной угрозы, станция, остановленная в воскресенье 24 апреля 2016 г., ко вторнику 26 апреля - 30 годовщине аварии на Чернобыльской АЭС - все еще оставалась закрытой.

Целевые атаки на промышленные объекты

Одним из трендом в области киберпреступности последних лет является разработка так называемых целевых атак, когда вредоносное ПО и стратегия нападения разрабатываются под конкретный объект с учетом его технологических процессов и используемой ИТ-инфраструктуры.

АЭС в Гундреммингене

Классическим примером такого ПО является вирус Stuxnet, обнаруженный в компьютерах в Иране, который был нацелен на вывод из строя центрифуг по обогащению урана.

«Типовое» вредоносное ПО

В случае с немецкой АЭС говорить о целевом нападении на ядерный объект преждевременно, так как в ходе атаки использовалось широко распространенное вредоносное ПО – утилиты W32.Ramnit и Conficker. Программа W32.Ramnit использует уязвимость в Windows, чтобы получить удаленный контроль над зараженным компьютером.

Компьютерный червь Conficker известен с 2008 г. и, как правило, используется для хищения банковских логинов и паролей, а также другой конфиденциальной информации, это одна из наиболее известных и широко распространенных вредоносных программ – в 2009 г. в мире насчитывалось около 9-15 млн вычислительных машин, инфицированных Conficker.

Микко Хиппонен (Mikko Hypponen), директор по исследованиям компании F-Secure, отмечает, что обычные вирусы часто случайным образом оказываются на компонентах критической инфраструктуры, однако, как правило, не представляют опасности, если атака на данный объект не носит целенаправленный характер. Он приводит в пример неназванного европейского производителя самолетов, который еженедельно очищает бортовые системы конструируемых самолетов от вирусов, которые оставляют после себя сотрудники фабрики, заряжающие Android-смартфоны.

АЭС вне сети

Представитель ядерной станции Тобиас Шмидт (Tobias Schmidt) заверил, что инцидент не будет иметь серьезных последствий для технологических процессов: «Системы, контролирующие ядерную реакцию, используют аналоговое оборудование, и, следовательно, изолированы от возможных кибератак. Они оснащены встроенным защитным функциональностью, чтобы оградить ключевые процессы от внешнего вмешательства».

Видимое противоречие в заявлениях представителей АЭС может объясняться тем, что, говоря о системах контролирующих реакцию, они имеют в виду привод опускания в реактор графитовых стержней, снижающих скорость ядерной реакции.

Сообщается, что ИТ-системы АЭС не имеют подключения к интернету, таким образом, очевидно, что вредоносный код попал в систему через внешний носитель, который принес на работу один из сотрудников.