Süddeutsche Zeitung об атаке на саудовцев: след ведет к "самым опасным в мире хакерам"
Беспрецедентная хакерская атака на газовую электростанцию в Саудовской Аравии в 2017 году вызвала обеспокоенность в спецслужбах по всему миру. Целью хакеров стали не секретные данные, а системы, гарантирующие безопасность людей и окружающей среды, сообщает немецкая Sueddeutsche Zeitung. Злоумышленники понимали, что в результате их действий могут погибнуть люди.
"Та кибератака стала одной из самых опасных за последние годы. Специалисты в области IT-безопасности расценивают ее как серьезную эскалацию в действиях и без того агрессивных киберпреступников. Теперь появился след, ведущий к хакерам", – говорится в статье.
"Весомую роль в подготовке хакерской атаки играла, по всей видимости, государственная лаборатория, имеющая непосредственное отношение к российским военным: речь идет о Центральном научно-исследовательском институте химии и механики, расположенном в Москве", – передает издание, в распоряжении которого оказался доклад, подготовленный компанией Fireеye, специализирующейся на сетевой безопасности.
Сразу после кибератаки в Саудовской Аравии специалисты Федерального ведомства по безопасности в сфере информационной техники (BSI) начали консультации с представителями химической промышленности Германии. "Дело в том, что сотни промышленных объектов на территории ФРГ имеют схожие с саудовскими системы безопасности". В июне 2018 года BSI опубликовало технические рекомендации, с помощью которых компании могут распознать цифровое вторжение на ранних этапах, говорится далее.
По мнению Роберта Ли, возглавляющего компанию Dragos, специализирующуюся в области информационной безопасности, хакеры, атаковавшие систему саудовской газовой электростанции, представляют собой "самую опасную группу, известную до сих пор".
Как отмечают авторы материала, атака хакеров провалилась из-за допущенной ими ошибки в компьютерном коде.
По мнению IT-эксперта, пожелавшего сохранить инкогнито, в случае с "Тритоном", использованным хакерами, речь идет об атаке, за которой, скорее всего, стоит государство. Помимо этого, анализ показал, что вредоносный хакерский код был целенаправленно создан для конкретного объекта атаки.
"Fireeye удалось идентифицировать московский институт и одного из его сотрудников на основании целого ряда улик. Информация о некоторых из них содержится в докладе", – повествуют журналисты.
Анализируя формат данных PDB, специалисты получили доступ к никнейму, который предположительно может принадлежать русскому хакеру. "По некоторым данным, он связан с московским НИИ – на фотографиях в его профиле в одной из социальных сетей он изображен вблизи института", – передает SZ.
Издание побеседовало о докладе с шестью специалистами, сообщают авторы статьи. Эксперты сходятся во мнении, что доклад не полный. "Имена не называются, мы не имеем возможности перепроверить данные", – заявил один из собеседников SZ. При этом формат данных PDB, в котором был обнаружен никнейм, является "серьезной уликой".
Существует вероятность того, что IP-адрес, установленный экспертами, мог быть использован "третьими лицами", и институт участвовал в кибератаке чисто технически.
"Именно из-за того, что вирус с технической точки зрения выглядит превосходно, эксперты удивлены тем, что хакеры совершили ошибку при подготовке атаки", – говорится в статье.
Правда, пишут в заключение журналисты, канадские спецслужбы однажды уже охарактеризовали методы работы российских хакеров: вирусы пишут гении, а используют идиоты.