С помощью вредоносного ПО TRITON «хакнули» завод

Киберугрозы вышли на новый уровень. До этого момента хакеры уже неоднократно предпринимали попытки атак на критические инфраструктуры. Но на этот раз, по информации FireEye, злоумышленники провели атаку на невыясненный завод (ни отрасль, ни месторасположение не известны).

Считается, что завод расположен где-то на Ближнем Востоке, и после атаки он был вынужден закрыться для оценки ущерба. Это первый известный случай подобной атаки.

Злоумышленники загрузили вредоносное ПО в систему промышленной безопасности Safety Instrumented System (SIS). Программа была названа TRITON. По мнению специалистов, хакеры тренировались в своей способности отключения некоторых параметров безопасности с целью нанесения физического урона инфраструктуре. И считается, что за хакерами стоит ни много ни мало, а какое-то государство. Потому что создание программы таких масштабов требует немалых инвестиций как интеллектуальных, так и материальных. Ясно одно, кто-то оттачивает свои навыки и готовится к нападению. На кого и когда пока не ясно.

TRITON принадлежит к семейству вредоносных программ, из числа общедоступных, предназначенных для атак на промышленные системы управления industrial control systems (ICS). Эта программа подобна червю Stuxnet, который в 2009-2010 годах был использован для атаки на ядерную программу Ирана (из строя были выведены 1368 центрифуг IR-1 для обогащения урана). Или тому же Industroyer, который был развернут командой Sandworm против Украины в 2016 году (инцидент, произошедший в ночь с 17 на 18 декабря 2016 года под Киевом, когда была отключена электроэнергия у 20% населения города).

По информации специалистов, TRITON «хакнул» рабочую станцию и начал поражать контроллеры, отвечающие за безопасность работы оборудования, которое участвует в технологическом процессе. Но в результате вмешательства некоторые контроллеры, в ответ на влияние извне, вошли в безопасное состояние и отключили завод. Это позволило операторам провести расследование и вычленить вредоносный код. Программа настолько «хитрая», что, по идее, должна была перезапустить контроллеры, «отказавшиеся сотрудничать», дабы исключить включения оповещений.

Катастрофы удалось избежать благодаря недостаткам самой вредоносной программы. Но злоумышленники учатся на своих ошибках. И в следующий раз это может привести к отключению большего числа потребителей от энергосетей или же в худшем случае — к техногенной катастрофе. Быть может, мы уже стоим на пороге кибервойн. И поэтому на государственном уровне необходимо проводить мероприятия по улучшению кибербезопасности нашей страны, находящейся в условиях гибридной войны.