Нефтеперегонный завод чуть не взорвали с помощью трояна. Завод устоял из-за ошибки в коде

Безопасность Стратегия безопасности
мобильная версия
, Текст: Роман Георгиев
Кибератака на нефтеперерабатывающий завод в Саудовской Аравии должна была закончиться мощным взрывом с человеческими жертвами. Этого не произошло лишь из-за ошибки во вредоносном коде, который использовали хакеры.

Диверсия с помощью трояна

В августе 2016 г. неизвестные злоумышленники атаковали нефтеперерабатывающее предприятие в Саудовской Аравии, принадлежащее компании Saudi Aramco, сообщила New York Times.

В отличие от большинства подобных атак, целью злоумышленников была не кража данных, а полноценная диверсия: троянская программа, загруженная в инфраструктуру завода, должна была нарушить нормальное функционирование оборудования и вызвать взрыв с гарантированными человеческими жертвами.

Взрыва не случилось исключительно из-за ошибки во вредоносном коде. Как следствие, атакованная инфраструктура отключилась, а не перешла в опасный режим работы, который закончился бы ее разрушением.

Эксперты, проводившие расследование инцидента, воздержались от обозначения принадлежности злоумышленников, но указали, что действовали, скорее всего, хакеры, работающие на какую-то иностранную спецслужбу: у них были и время, и ресурсы на подготовку и проведение столь сложной атаки.

Пожар на нефтяном предприятии Saudi Aramco

На вопрос, какое именно государство на подозрении, источники New York Times, близкие к расследованию, отвечать отказались.

Точно так же они предпочли не отвечать на вопрос, какая именно нефтяная компания владеет пострадавшим заводом. Расследование инцидента продолжается до сих пор.

Политические мотивы

Исследователи указывают, что для атаки использовались специально написанные инструменты, и что хакеры не преследовали никаких финансовых мотивов. А это может означать политическую подоплеку инцидента.

Сторонние эксперты по безопасности отметили, что лишь несколько стран имеют достаточные ресурсы для проведения подобной «наступательной» операции в киберпространстве - Иран, Китай, Россия, Израиль и США. Сегодня наиболее напряженные отношения у Саудовской Аравии складываются с Ираном.

Правительство Саудовской Аравии отказывается комментировать инцидент. Инфраструктура страны и так постоянно становится мишенью APT-кампаний. Одной из самых примечательных стала кибератака 2012-го года с помощью вредоноса Shamoon, уничтожавшего данные на зараженных компьютерах. Тогда жертвой стала одна из крупнейших нефтяных компаний мира Saudi Aramco: вредонос удалил данные с жестких дисков 30 тысяч компьютеров и заменил содержимое MBR-сектора изображениями горящего флага США.

В начале 2017 года власти страны заявили, что началась вторая волна атак с обновленным вредоносом Shamoon 2. Тогда же стало известно об атаках на министерство труда страны и на крупное предприятие химической промышленности.