Проучванията рисуват тревожна картина на сложно кибернетичното оръжие, изградено и разгърнато от „група търпеливи хакери“, чиято идентичност все още не е установена
Джулиан Гутманис, опитен специалист по първа помощ по компютърна сигурност, е викан много пъти къде ли не, за да помага на компаниите да се справят с последиците от кибератаки. Но когато австралийският консултант бива извикан в нефтохимически завод в Саудитска Арабия през лятото на 2017 г. , това, което открива, го смразява…
Хакери са внедрили злонамерен софтуер, който им позволява да превземат контролно-измервателните системи на централата. Тези физически контролери и свързаният с тях софтуер са „последната линия“ на защита срещу животозастрашаващи бедствия.
Предполага се, че тези системи се задействат, ако открият опасни за живота условия. Те би трябвало да връщат процесите до безопасни нива или да ги прекратяват напълно, като задействат спирателни кранове, вентили и механизми за освобождаване на налягането.
Зловредният код обаче прави възможно дистанционното овладяване на тези системи. Ако хакерите ги блокират, особено ако след това вкарат и друг злонамерен софтуер за разбиване на оборудването на централата, последствията биха могли да бъдат катастрофални.
Игра на нерви
За щастие, един дребен недостатък в кода на хакерите разкрива пъкления им план, преди да успеят да нанесат щети. Бъгът предизвика реакция на системата за безопасност през юни 2017 г. , което води до спиране на завода. Малко по-късно ситуацията се повтаря.
Първото прекъсване погрешно бива приписано на механичен проблем. След второто обаче собствениците на завода извикват следователи. Детективите откриват зловредния софтуер, който оттогава е наречен „Тритон“, тъй като атакува контролер за безопасност на име „Triconex“.
„Тритон“ би могъл да доведе до отделянето на токсичен газ – водороден сулфид или до причиняване на експлозии, излагайки на риск живота на много хора както в завода, така и в околността.
Гутманис си спомня, че справянето със зловредния софтуер в нефтохимическия завод, рестартиран след втория инцидент, е било игра на нерви. „Знаехме, че не можем да разчитаме на системите за безопасност“, казва той, цитиран от MIT TechnolgyReview. „Беше възможно най-лошата ситуация“.
Рубикон
С тази атака към завода хакерите прекрачват ужасяващ Рубикон. За първи път в света на киберсигурността се наблюдава умишлено създаване на код, който да излага на риск човешки живот. При това в голям мащаб. Инструментални системи за безопасност има не само в нефтохимическите заводи – това е „последната линия на защита“ във всичко, от транспортни системи до съоръжения за пречистване на вода и ядрени електроцентрали.
Откриването на „Тритон“ повдига въпроси за това как хакерите са успели да влязат в тези критични системи. Освен това инзидентът се случва в момент, когато предприятия от всички индустрии вграждат модули за свързаност във всички видове оборудване – явление, известно като индустриалния „интернет на нещата“.
Специалистите по сигурността нямат съмнение, че онези, които стоят зад „Тритон“, сега търсят нови жертви. Dragos – фирма, специализирана в индустриалната киберсигурност, където Гутманис работи сега – казва, че „има доказателства от последната година, че хакерската група, която е изградила зловредния софтуер и го е вкарала в саудитския завод, използва някои от същите дигитални похвати, за да изследва цели на места извън Близкия изток“.
Освен това групата създава нови редове код, готов да компрометира по-широк спектър от системи от инструменти за безопасност.
Търпеливи хакери
Новината за съществуването на „Тритон“ бе разкрита през декември 2017 г. , въпреки че самоличността на собственика на завода се пази в тайна. Оттогава специалисти по киберсигурност от цял свят работят по анализа на зловредния софтуер. Те искат да открият кой стои зад него. Проучванията рисуват тревожна картина на сложно кибернетичното оръжие, изградено и разгърнато от „група търпеливи хакери“, чиято идентичност все още не е установена.
Изглежда, че хакерите са били вътре в корпоративната информационна мрежа на нефтохимическата компания още от 2014 г. Оттам те са намерили начин да влязат в собствената мрежа на централата, най-вероятно през пробив в зле конфигурирана защитна стена, която би трябвало да спира неоторизиран достъп. След това са влезли в инженерна работна станция, вероятно използвайки незатворена дупка в кода на Windows или прихващайки идентификационните данни на служителя.
Тъй като работната станция комуникира със системите за безопасност на завода, хакерите са успели да научат модела на хардуерните контролери на системите за безопасност, както и версиите на техния фърмуер – софтуера, който е вграден в паметта на устройството и управлява връзката му с други устройкства.
Вероятно след това хакерите са си купили такъв контролер и са го използвали за тестване на разработения от тях зловреден софтуер. Това е позволило да се имитира протоколът, който инженерната работна станция използва за комуникация със системите за безопасност. Хакерите са открили някоя „zero-day“ уязвимост във фърмуера на модела Triconex и през нея са инжектирали вреден код в паметта на системите за безопасност, осигурявайки достъп до контролерите, когато пожелаят.
По този начин натрапниците са се оказали способни да наредят на системите за безопасност да се деактивират – и след това да използват друг зловреден софтуер, за да създадат опасна ситуация в завода.
Какво можеше да последва? Една авария в химически завод може да убие хиляди хора, работещи в нея, стотици хиляди в региона – и да съсипе здравето на милиони.
Повече червени лампички
Това далеч не е единственият случай на кибер-атака към индустриални предприятия и то от критичните индустриални сектори. Ето още няколко примера:
2010 – Stuxnet – компютърен червей, който се копира от компютър на компютър без човешка намеса. Най-вероятно вкаран на USB флашка, той е насочен към програмируеми логически контролери, които управляват автоматизираните процеси и причиняват унищожаването на центрофугите, използвани при обогатяването на уран в съоръжение в Иран.
2013 – Havex – проектиран да нахлува в системи, контролиращи индустриалното оборудване, вероятно така, че хакерите да могат да разработят начини за вграждане на атакуващ код в съоръженията. Това е троянски кон, който позволява на хакерите да поемат контрола над компютрите от разстояние. Насочен е към хиляди европейски, американски и канадски предприятия, и особено тези в енергийната и нефтохимическата промишленост.
2015 – BlackEnergy – друг троянец, циркулирал известно време в света на кибер-заплахите, преди да бъде използван през декември 2015 г. срещу няколко украински енергийни компании. Това доведе до спиране на тока. Зловредният софтуер беше използван за събиране на разузнавателни данни от системите на енергийните компании и за кражби на регистрационни данни от служители.
2016 – CrashOverride – известен още като Industroyer, той е разработен за нападение срещу част от електрическата мрежа на Украйна през декември 2016 г. Зловредният софтуер копира протоколите, които различните елементи на мрежата използват за комуникация помежду си. Това му позволява да прави неща, като например да покаже, че даден прекъсвач е затворен, когато той в действителност е отворен. Кодът бе използван за атака към електрическа трансмисионна подстанция в Киев, което за кратко блокира от града.
След този списък дори и най-песимистично настроените специалисти по кибер-сигурност не смееха да предвидят идването на „Тритон“. „Атакуването на системите за безопасност изглеждаше невъзможно от морална гледна точка и наистина трудно чисто технически“, обяснява Джо Слоик, бивш служител по информационна кибервойна в САЩ, който сега също работи в Dragos.
Други експерти са шокирани при вида на новини за кода-убиец. „Дори при Stuxnet и друг зловреден софтуер, никога не е имало такова очевидно, директно намерение за нараняване на хора“, казва Брадфорд Хехрат, консултант в Accenture.
Естествено, случаят разпали и политическата война между континентите, където острото противопоставяне на няколко ключови играча набира скорост през последните години. Първоначално „Тритон“ се счита за работа на Иран, предвид враждата със Саудитска Арабия.
По-късно обаче, в доклад, публикуван миналия октомври, FireEye – фирма за киберсигурност, извикана в самото начало на разследването на „Тритон“ – говори за друга следа. В един от намерените файлове са открити текстове на кирилица. САЩ обвинява Русия за атаката. Специалистите по киберсигурност пък са категорични, че няма ясни доказателства, че Москва стои зад „Тритон“.
Трудно за атакуване
Гутманис казва, че атаката е била особено трудно упражнение за самите хакери. „Бил съм в много заводи, но малко от тях са толкова зрели [в подхода си към киберсигурността], колкото тази организация [в Саудитска Арабия], “ обяснява той.
Видимо, „Тритон“ показва, че има хакери, склонни да преследват сложни и труднодостъпни мишени в промишлените предприятия. Инструменталните системи за безопасност са силно адаптирани, за да предпазват различни видове процеси, така че създаването на зловреден софтуер, който да ги контролира, изисква много време и старание. Контролерът Triconex на Schneider Electric, например, се предлага в десетки различни модели и всеки от тях може да се зарежда с различни версии на фърмуера.
Фактът, че хакерите са изминали толкова дълъг и тежък път, разработвайки „Тритон“, е сигнална лампа за всички – правителства, частни компании и фирми-производители – за събуждане и осъзнаване на новата реалност.
Масло в огъня налива фактът, че през последните години компании от всички сектори бързат да добавят сензори и модули за уеб-свързаност за всички видове промишлено оборудване. Трупаните данни се използват за всичко – от предиктивна поддръжка до фино регулиране на производствените процеси.
Модерно е да се разчита на дистанционно управление на процесите чрез устройства като смартфони и таблети. Всичко това означава, че възможностите за хакерите стават все по-големи.