Пять случаев громких кибератак на промышленных предприятиях
Вспоминаем пять случаев нашумевших киберинцидентов на промышленных предприятиях: атаку Stuxnet на иранскую ядерную программу, нарушение работы Saudi Aramco из-за вайпера Shamoon, вывод из строя доменной печи в Германии и атаки вымогателей на Norsk Hydro и Colonial Pipeline.
Future Crew
Блок инноваций ПАО «МТС»
Согласно опубликованному в апреле 2024 отчету, в прошлом году произошло 68 кибератак на промышленные предприятия, которые имели физические последствия на операционно-технологическом уровне. В ряде случаев ущерб измеряется десятками или даже сотнями миллионов долларов.
Рекордной по сумме ущерба стала атака на производителя оборудования для полупроводниковой отрасли MKS Instruments, которая стоила $200 млн самой организации и обошлась еще в $250 млн ее крупнейшему клиенту, компании Applied Materials. В этом материале рассмотрим еще пять случаев серьезнейших кибератак на промышленные предприятия.
2005–2010: червь Stuxnet и иранская ядерная программа
Начнем с самого первого случая кибератаки на промышленность, о котором достоверно известно и который весьма детально описан множеством исследователей и обозревателей. Это Stuxnet — сложная и масштабная операция по саботажу иранской ядерной программы.
Известно о ней стало в 2010 году, когда зловред случайно вышел из под контроля и заразил миллионы компьютеров по всему миру. Разработка Stuxnet началась задолго до этого момента — вероятно, еще в 2005 году.
Зловред умел самостоятельно распространяться, заражая USB-накопители — из-за этого червь в итоге и разлетелся по всему миру. Главной же целью Stuxnet было заражение определенной модели программируемых логических контроллеров автоматизированной системы управления технологическими процессами (ПЛК АСУ ТП).
Эти контроллеры использовались в Иране на секретных предприятиях по обогащению урана и управляли центрифугами. Пробравшись в такой контроллер, червь незаметно для операторов изменял параметры работы центрифуги таким образом, что через некоторое время ценное оборудование выходило из строя.
2012 — атака Shamoon на нефтегазового гиганта Saudi Aramco
Еще один громкий эпизод — атака зловреда Shamoon на крупнейшую нефтегазовую компанию мира, Saudi Aramco. В ходе атаки 15 августа 2012 года ровно в 11:08 по Эр-Рияду на десятках тысяч компьютеров, принадлежащих компании, одновременно запустился зловред-вайпер, очистивший их жесткие диски и таким образом выведший системы из строя.
Это привело к серьезнейшим нарушениям в работе Saudi Aramco, которая является не только важнейшей организацией в самой Саудовской Аравии, но и одной из самых значимых компаний во всем мире. Для решения проблемы с вышедшими из строя жесткими дисками Saudi Aramco пришлось срочно выкупить чуть ли не все мировые запасы накопителей, а для их оперативной доставки из Юго-Восточной Азии использовался частный воздушный флот компании.
Несмотря на то, что уже 25 августа 2012 года компания сообщила о полном восстановлении операций, далеко не все системы в действительности заработали. Например, в сентябре в районе нефтеперерабатывающих заводов Saudi Aramco наблюдались километровые очереди из автозаправщиков, которые ждали возобновления отгрузки топлива.
2014: вывод из строя сталелитейного завода в Германии
В конце 2014 года из отчета немецкого Федерального управления по информационной безопасности (BSI) стало известно о кибератаке на неназванный сталелитейный завод в Германии.
Сперва с помощью социальной инженерии и целевого фишинга злоумышленники проникли в офисную сеть организации. Закрепившись в ней, далее они смогли пробраться и в промышленную сеть завода. В результате действий атакующих была нарушена работа промышленных контроллеров и производственного оборудования.
Осталось неизвестным, какие именно цели в действительности преследовали злоумышленники. Однако для атакованного завода итогом инцидента стал выход из строя доменной печи — из-за нарушений работы ее невозможно было остановить правильным образом.
2019: атака вымогателей на производителя алюминия Norsk Hydro
Важным фактором роста числа атак на промышленность стал расцвет шифровальщиков-вымогателей. Одним из первых крупных инцидентов такого рода была атака шифровальщика LockerGoga на компанию Norsk Hydro — крупного норвежского производителя алюминия и оператора гидроэлектростанций.
Начавшись в американском подразделении Norsk Hydro, атака быстро перекинулась на остальные части компании, работающей в 40 странах мира. В результате 35 000 сотрудников организации были проинструктированы не включать компьютеры — в том числе запиской от руки на дверях центрального офиса Norsk Hydro в Осло.
В компании решили не платить выкуп вымогателям и самостоятельно восстанавливали работоспособность информационной инфраструктуры. Инцидент обошелся Norsk Hydro в серьезную сумму: в финансовом отчете за 2019 год компания приводит оценку ущерба в 650–750 млн норвежских крон ($53–71 млн).
2021: остановка трубопровода Colonial Pipelines
Cамым нашумевшим случаем нападения вымогателей на промышленное предприятие стала атака группировки Darkside на трубопровод Colonial Pipeline. Это крупнейший в США трубопровод, который используется для доставки готовых нефтепродуктов (бензина, авиационного топлива и так далее) из Техаса на Восточное побережье США, обеспечивая около 45% топливных потребностей этого густонаселенного региона.
Из-за атаки трубопровод был полностью остановлен на несколько дней, что привело к дефициту бензина, резкому росту цен на него и очередям на заправках из паникующих покупателей, пытающихся купить топливо.
В Colonial Pipeline решили заплатить злоумышленникам выкуп в размере 75 биткойнов — то есть $4,4 млн на момент уплаты. Позднее Министреству юстиции США удалось вернуть 63,7 биткойна (то есть 85% от выкупа), однако из-за краха на рынке криптовалют эти биткойны стоили лишь $2,3 млн.