O krok od wybuchu. Cyberatak w Arabii Saudyjskiej

19 marca 2018, 16:03
Petrochemy113
Fot. Roy Luck/Flickr/CC 2.0

W sierpniu jeden z zakładów przedsiębiorstwa petrochemicznego padł ofiarą cyberataku. Ten jednak nie był ukierunkowany na zniszczenie danych lub czasowe jej wyłączenie. Celem było dokonanie sabotażu i doprowadzenie do eksplozji – informuje The New York Times.

Ten incydent jest kolejnym poziomem zaawansowania cyberataków. Nie wiadomo kto za nim stoi.  Czy był to podmiot państwowy, konkurencyjne przedsiębiorstwo czy może międzynarodowa grupa hakerów. Eksperci oraz politycy w Stanach Zjednoczonych obawiają się, że podobny atak może wystąpić w innych państwach, ponieważ tysiące elektrowni wykorzystuje amerykański system komputerowy, którego zabezpieczenia udało się złamać w Arabii Saudyjskiej.

Atakujący musieli posiadać bardzo zaawansowane umiejętności i zasoby. Według osób prowadzących śledztwo, które chciały zachować anonimowość, w operacje musiał być zaangażowany rząd innego państwa. Ich zdaniem jedynie błędny kod w komputerach atakujących zapobiegł eksplozji.

To nie pierwszy cyberatak wymierzony w przemysł petrochemiczny w Arabii Saudyjskiej. W styczniu 2017 roku, systemy teleinformatyczne National Industralization Company zostały skutecznie zaatakowane przez hakerów. Dane z dysków twardych zostały zniszczone, a zamiast tego wgrano obrazek Alana Kurdiego – chłopczyka, który utonął przy tureckim wybrzeżu. Zdaniem ekspertów celem ataku było poczynienie zniszczeń, których nie da się usunąć w krótkim terminie oraz wysłanie silnego sygnału politycznego. Powrót do normalnego funkcjonowania zajął firmie kilka miesięcy.

Według ekspertów, sierpniowy atak na jeden z zakładów przedsiębiorstwa petrochemicznego mógł być próbą zaszkodzenia planom księcia Muhammada ibn Salmana. Dąży on do zachęcenia zagranicznych i krajowych inwestorów do wsparcia dywersyfikacji gospodarki Arabii Saudyjskiej i stworzenia miejsc pracy dla rosnącej saudyjskiej populacji młodych ludzi.

Arabia Saudyjska w ostatnim czasie zmniejszyła dostawy ropy naftowej na rynek światowy w celu zwiększenia światowych cen tego surowca. W ten sposób chciała również podnieść wartość aktywów przedsiębiorstwa Saudi Aramco i w ten sposób przyciągnąć zagranicznych inwestorów. Arabia Saudyjska próbując skompensować swoje straty, zaczęła inwestować w przemysł petrochemiczny i rafinację.

Zespół ekspertów z NSA, FBI, Departamentu Bezpieczeństwa Wewnętrznego i DARPY wraz z producentami sprzętu z przedsiębiorstwa Schneider Electric i naukowcami z firmy Madiant cały czas bada ten incydent. Według wstępnych wyników, celem ataków było wywołanie eksplozji, która prawdopodobnie zabiłaby kilkanaście osób. Wcześniej, wypadki w podobnych zakładach w Chinach i Meksyku skończyły się śmiercią kilkunastu pracowników i setką rannych. Nie były one jednak wywołane atakiem hakerskim.

Rzeczą, która najbardziej martwi śledczych jest fakt, że skompromitowane urządzenia są używane w ponad 18 tys. obiektach infrastruktury krytycznej na całym świecie, w tym rafineriach, elektrowniach jądrowych czy zakładach przemysłowych.

James A. Lewis z waszyngtońskiego think-tanku Center for Strategic and International Studies powiedział w wywiadzie dla The New York Times, że atakujący mogą użyć tej samej techniki w Stanach Zjednoczonych, co w Arabii Saudyjskiej przeciwko tym samym rozwiązaniom technologicznym.

System został zaprojektowany, tak, że mógł tylko zostać uszkodzony poprzez bezpośrednią fizyczną ingerencję. Śledczy zastanawiają się w takim razie jako doszło do ataku. Znaleźli oni dziwny plik na jednym z komputerów inżynierów pracujących w ośrodku. Na pierwszy rzut oka wyglądał on jak autentyczna część sterowników Schneidera, ale tak naprawdę został zaprojektowany do sabotowania procesów. Śledczy zastanawiają się jak ten plik został umieszczony, wykluczają jednak robotę kogoś z wewnątrz. Oznaczałoby to, że systemy te zostały po raz pierwszy zhakowane zdalnie. Jedynie błąd w kodzie komputerowym atakującego spowodował, że nie doszło do tragedii. Śledczy uważają, że atakujący zdał sobie sprawę z popełnionego błędu i go naprawił i może zastosować tą samą technikę ataku przeciwko innym systemom kontroli przemysłowej.

Wcześniej Arabia Saudyjska była wielokrotnie celem ataków. W 2012 roku, Saudi Aramaco podało ofiarą wirusa Shamoon, który zniszczył dane oraz umieścił obraz płonącej amerykańskiej flagi. O tę operację oskarżono Iran. Atak z sierpnia był jednak o wiele groźniejszy.

Zdaniem śledczych za tą operacją, która mogła skończyć się tragedią, stało państwo. Wykluczono motyw finansowych, jako potencjalny powód ataku. Ponadto stworzenie takiego oprogramowania wymaga dużych zasobów materialnych. Nie było ono również stosowane w innych, wcześniejszych operacjach. Atakujący nie tylko wiedzieli jak włamać się do systemu ale również dobrze rozumieli jego projekt co umożliwiło im poznanie planu fabryki: lokalizacji rur czy też zaworów, które trzeba było odkręcić, żeby spowodować wybuch. Zdaniem śledczych, ktoś musiał przez całą operacją kupić taką samą wersję systemu Schneidera, żeby poznać i zrozumieć jego działania. Szacuje się, że na eBayu jego koszt wynosi około 40 tys. dolarów.

Większość ekspertów wskazuje, że za atakiem może stać Iran, którego relacje z Arabia Saudyjską są bardzo złe. Persowie od kilka lat intensywnie rozwijają swoje zdolności w cyberprzestrzeni. Oficjalnie rząd irański zaprzeczył udziałowi w tym ataku. Niektórzy eksperci są jednak sceptyczni, wskazując, że żaden irański atak nie był tak zaawansowany jak ten z sierpnia i Irańczykom brakuje odpowiedniej technologii i ludzi. Z drugiej jednak strony mogli oni je pozyskać współpracując z innymi podmiotami.

Trudno o ten atak podejrzewać inne państwa posiadającej zaawansowane zdolności takie jak Rosja, Chiny, Izrael czy Stany Zjednoczone. Żadne z nich nie ma obecnie sporów politycznych z Arabią Saudyjską, dlatego wykorzystanie cyberataków jest bardzo mało prawdopodobne.

KomentarzeLiczba komentarzy: 9
Kowalskiadam154
wtorek, 20 marca 2018, 11:50

Generalnie każde z tych państw o których piszecie że trudno je podejrzewać mogło przeprowadzić taki atak Równie dobrze siewcy demokracji Masad/CIA mogli urządzić prowokację by oskarżyć Iran i przeykręcić mu śrube i

gosc
poniedziałek, 19 marca 2018, 22:48

Dlaczego wykluczacie rosje? Rosja nie ma sporow? Oni przeciez maja spor z kazdym a akurat tutaj chodzilo o wywolanie paniki na gieldach i podwyzszenie cen ropy naftowej na gieldach. Czy na tym nie zalezy wlasnie rosji?

xd1
wtorek, 20 marca 2018, 08:04

nie o to samo chodziło usa przy bankrutujących zadłużonych łupkowiczach a rosjanie wg. wielu tu \" zanfcuf ekspertuf i wykładowców chemii z biedronki \" tylko piją bimber jedzą cebulę i są tysiące lat za amerykanami a jak autor napisał to był amerykański system

lol
wtorek, 20 marca 2018, 00:43

Otóż to.

małe be
poniedziałek, 19 marca 2018, 22:42

ja tego fundamentalnie nie rozumiem. po co podłączać kluczowe sieci do internetu? dla wygody? a może to proszenie się o kłopoty jak powyżej. oczywiście to nie jest tak, że jak coś jest odłączone to jest 100% bezpieczne, konieczne są kolejne stopnie zabezpieczeń. i przede wszystkim systemy nadzoru on-line, które zapanują nad sytuacją powstałą w wyniku manipulacji. a jeśli chce się ktoś zabezpieczyć to trzeba wykonać autorskie rozwiązanie. podałbym przykład z jednej firmy z kiedyś. sieć \'publiczna\' oparta o ip i netbios a kluczowa wyłącznie o protokół IPX i serwery plikowe nieoparte na win czy ux (było wtedy jeszcze pare innych systemów). jedyny punkt styku to zwyczajne tekstowe pliki bardzo łatwe do analizy, sumy kontrolne, oraz \'binarne pliki robocze\' w których zwyczajnie nie da się nic przemycić. no i oczywiście poprawnie skonfigurowane urządzenia sieciowe bez możliwości zdalnej manipulacji.

Jestem robotem
wtorek, 20 marca 2018, 01:32

SCADA bazuje na protokołach TCP/IP, więc z definicji jest systemem otwartym. To nie te czasy, kiedy automatyka składała się z połączonych wyłącznie ze sobą sterowników PLC. Dziś dane automatyki idą po wewnętrznej sieci LAN wraz z całą resztą sygnałów, więc nie sposób jest odciąć procesów od internetu, bez odcięcia od sieci całości zakładu. W przypadku starszych systemów, które jeszcze nie były standaryzowane, firmy często dyktują niebotyczne ceny za cokolwiek, włącznie z roboczogodzinami pracowników, a klienci płaczą i płacą, bowiem całkowita wymiana systemu bywa zbyt skomplikowana i droga. Protokoły są zatem standaryzowane, aby zapobiec monopolizacji, która dla klienta może się skończyć przepłacaniem za konserwację systemu i jego upgrade\'y. Zaś standaryzacja to furtka do systemu i koło się zamyka.

xd1
poniedziałek, 19 marca 2018, 22:37

wystarczy poczytać wiadomości aby \" z dużym prawdopodobieństwem stwierdzić\" że łapy w tym maczało usa

Klie
poniedziałek, 19 marca 2018, 21:01

Struxnet. Ktoś wypuścił tego dżina z butelki i teraz będzie ciężko go złapać.

Tweets CyberDefence24