Пять случаев громких кибератак на промышленных предприятиях

Согласно опубликованному в апреле 2024 отчету, в прошлом году произошло 68 кибератак на промышленные предприятия, которые имели физические последствия на операционно-технологическом уровне. В ряде случаев ущерб измеряется десятками или даже сотнями миллионов долларов.

Рекордной по сумме ущерба стала атака на производителя оборудования для полупроводниковой отрасли MKS Instruments, которая стоила $200 млн самой организации и обошлась еще в $250 млн ее крупнейшему клиенту, компании Applied Materials. В этом материале рассмотрим еще пять случаев серьезнейших кибератак на промышленные предприятия.

Начнем с самого первого случая кибератаки на промышленность, о котором достоверно известно и который весьма детально описан множеством исследователей и обозревателей. Это Stuxnet — сложная и масштабная операция по саботажу иранской ядерной программы.

Известно о ней стало в 2010 году, когда зловред случайно вышел из под контроля и заразил миллионы компьютеров по всему миру. Разработка Stuxnet началась задолго до этого момента — вероятно, еще в 2005 году.

Зловред умел самостоятельно распространяться, заражая USB-накопители — из-за этого червь в итоге и разлетелся по всему миру. Главной же целью Stuxnet было заражение определенной модели программируемых логических контроллеров автоматизированной системы управления технологическими процессами (ПЛК АСУ ТП).

Эти контроллеры использовались в Иране на секретных предприятиях по обогащению урана и управляли центрифугами. Пробравшись в такой контроллер, червь незаметно для операторов изменял параметры работы центрифуги таким образом, что через некоторое время ценное оборудование выходило из строя.

Еще один громкий эпизод — атака зловреда Shamoon на крупнейшую нефтегазовую компанию мира, Saudi Aramco. В ходе атаки 15 августа 2012 года ровно в 11:08 по Эр-Рияду на десятках тысяч компьютеров, принадлежащих компании, одновременно запустился зловред-вайпер, очистивший их жесткие диски и таким образом выведший системы из строя.

Это привело к серьезнейшим нарушениям в работе Saudi Aramco, которая является не только важнейшей организацией в самой Саудовской Аравии, но и одной из самых значимых компаний во всем мире. Для решения проблемы с вышедшими из строя жесткими дисками Saudi Aramco пришлось срочно выкупить чуть ли не все мировые запасы накопителей, а для их оперативной доставки из Юго-Восточной Азии использовался частный воздушный флот компании.

Несмотря на то, что уже 25 августа 2012 года компания сообщила о полном восстановлении операций, далеко не все системы в действительности заработали. Например, в сентябре в районе нефтеперерабатывающих заводов Saudi Aramco наблюдались километровые очереди из автозаправщиков, которые ждали возобновления отгрузки топлива.

В конце 2014 года из отчета немецкого Федерального управления по информационной безопасности (BSI) стало известно о кибератаке на неназванный сталелитейный завод в Германии.

Сперва с помощью социальной инженерии и целевого фишинга злоумышленники проникли в офисную сеть организации. Закрепившись в ней, далее они смогли пробраться и в промышленную сеть завода. В результате действий атакующих была нарушена работа промышленных контроллеров и производственного оборудования.

Осталось неизвестным, какие именно цели в действительности преследовали злоумышленники. Однако для атакованного завода итогом инцидента стал выход из строя доменной печи — из-за нарушений работы ее невозможно было остановить правильным образом.

Важным фактором роста числа атак на промышленность стал расцвет шифровальщиков-вымогателей. Одним из первых крупных инцидентов такого рода была атака шифровальщика LockerGoga на компанию Norsk Hydro — крупного норвежского производителя алюминия и оператора гидроэлектростанций.

Начавшись в американском подразделении Norsk Hydro, атака быстро перекинулась на остальные части компании, работающей в 40 странах мира. В результате 35 000 сотрудников организации были проинструктированы не включать компьютеры — в том числе запиской от руки на дверях центрального офиса Norsk Hydro в Осло.

В компании решили не платить выкуп вымогателям и самостоятельно восстанавливали работоспособность информационной инфраструктуры. Инцидент обошелся Norsk Hydro в серьезную сумму: в финансовом отчете за 2019 год компания приводит оценку ущерба в 650–750 млн норвежских крон ($53–71 млн).

Cамым нашумевшим случаем нападения вымогателей на промышленное предприятие стала атака группировки Darkside на трубопровод Colonial Pipeline. Это крупнейший в США трубопровод, который используется для доставки готовых нефтепродуктов (бензина, авиационного топлива и так далее) из Техаса на Восточное побережье США, обеспечивая около 45% топливных потребностей этого густонаселенного региона.

Из-за атаки трубопровод был полностью остановлен на несколько дней, что привело к дефициту бензина, резкому росту цен на него и очередям на заправках из паникующих покупателей, пытающихся купить топливо.

В Colonial Pipeline решили заплатить злоумышленникам выкуп в размере 75 биткойнов — то есть $4,4 млн на момент уплаты. Позднее Министреству юстиции США удалось вернуть 63,7 биткойна (то есть 85% от выкупа), однако из-за краха на рынке криптовалют эти биткойны стоили лишь $2,3 млн.