Polityka i prawo

O krok od wybuchu. Cyberatak w Arabii Saudyjskiej

Fot. Roy Luck/Flickr/CC 2.0
Fot. Roy Luck/Flickr/CC 2.0

W sierpniu jeden z zakładów przedsiębiorstwa petrochemicznego padł ofiarą cyberataku. Ten jednak nie był ukierunkowany na zniszczenie danych lub czasowe jej wyłączenie. Celem było dokonanie sabotażu i doprowadzenie do eksplozji – informuje The New York Times.

Ten incydent jest kolejnym poziomem zaawansowania cyberataków. Nie wiadomo kto za nim stoi.  Czy był to podmiot państwowy, konkurencyjne przedsiębiorstwo czy może międzynarodowa grupa hakerów. Eksperci oraz politycy w Stanach Zjednoczonych obawiają się, że podobny atak może wystąpić w innych państwach, ponieważ tysiące elektrowni wykorzystuje amerykański system komputerowy, którego zabezpieczenia udało się złamać w Arabii Saudyjskiej.

Atakujący musieli posiadać bardzo zaawansowane umiejętności i zasoby. Według osób prowadzących śledztwo, które chciały zachować anonimowość, w operacje musiał być zaangażowany rząd innego państwa. Ich zdaniem jedynie błędny kod w komputerach atakujących zapobiegł eksplozji.

To nie pierwszy cyberatak wymierzony w przemysł petrochemiczny w Arabii Saudyjskiej. W styczniu 2017 roku, systemy teleinformatyczne National Industralization Company zostały skutecznie zaatakowane przez hakerów. Dane z dysków twardych zostały zniszczone, a zamiast tego wgrano obrazek Alana Kurdiego – chłopczyka, który utonął przy tureckim wybrzeżu. Zdaniem ekspertów celem ataku było poczynienie zniszczeń, których nie da się usunąć w krótkim terminie oraz wysłanie silnego sygnału politycznego. Powrót do normalnego funkcjonowania zajął firmie kilka miesięcy.

Według ekspertów, sierpniowy atak na jeden z zakładów przedsiębiorstwa petrochemicznego mógł być próbą zaszkodzenia planom księcia Muhammada ibn Salmana. Dąży on do zachęcenia zagranicznych i krajowych inwestorów do wsparcia dywersyfikacji gospodarki Arabii Saudyjskiej i stworzenia miejsc pracy dla rosnącej saudyjskiej populacji młodych ludzi.

Arabia Saudyjska w ostatnim czasie zmniejszyła dostawy ropy naftowej na rynek światowy w celu zwiększenia światowych cen tego surowca. W ten sposób chciała również podnieść wartość aktywów przedsiębiorstwa Saudi Aramco i w ten sposób przyciągnąć zagranicznych inwestorów. Arabia Saudyjska próbując skompensować swoje straty, zaczęła inwestować w przemysł petrochemiczny i rafinację.

Zespół ekspertów z NSA, FBI, Departamentu Bezpieczeństwa Wewnętrznego i DARPY wraz z producentami sprzętu z przedsiębiorstwa Schneider Electric i naukowcami z firmy Madiant cały czas bada ten incydent. Według wstępnych wyników, celem ataków było wywołanie eksplozji, która prawdopodobnie zabiłaby kilkanaście osób. Wcześniej, wypadki w podobnych zakładach w Chinach i Meksyku skończyły się śmiercią kilkunastu pracowników i setką rannych. Nie były one jednak wywołane atakiem hakerskim.

Rzeczą, która najbardziej martwi śledczych jest fakt, że skompromitowane urządzenia są używane w ponad 18 tys. obiektach infrastruktury krytycznej na całym świecie, w tym rafineriach, elektrowniach jądrowych czy zakładach przemysłowych.

James A. Lewis z waszyngtońskiego think-tanku Center for Strategic and International Studies powiedział w wywiadzie dla The New York Times, że atakujący mogą użyć tej samej techniki w Stanach Zjednoczonych, co w Arabii Saudyjskiej przeciwko tym samym rozwiązaniom technologicznym.

System został zaprojektowany, tak, że mógł tylko zostać uszkodzony poprzez bezpośrednią fizyczną ingerencję. Śledczy zastanawiają się w takim razie jako doszło do ataku. Znaleźli oni dziwny plik na jednym z komputerów inżynierów pracujących w ośrodku. Na pierwszy rzut oka wyglądał on jak autentyczna część sterowników Schneidera, ale tak naprawdę został zaprojektowany do sabotowania procesów. Śledczy zastanawiają się jak ten plik został umieszczony, wykluczają jednak robotę kogoś z wewnątrz. Oznaczałoby to, że systemy te zostały po raz pierwszy zhakowane zdalnie. Jedynie błąd w kodzie komputerowym atakującego spowodował, że nie doszło do tragedii. Śledczy uważają, że atakujący zdał sobie sprawę z popełnionego błędu i go naprawił i może zastosować tą samą technikę ataku przeciwko innym systemom kontroli przemysłowej.

Wcześniej Arabia Saudyjska była wielokrotnie celem ataków. W 2012 roku, Saudi Aramaco podało ofiarą wirusa Shamoon, który zniszczył dane oraz umieścił obraz płonącej amerykańskiej flagi. O tę operację oskarżono Iran. Atak z sierpnia był jednak o wiele groźniejszy.

Zdaniem śledczych za tą operacją, która mogła skończyć się tragedią, stało państwo. Wykluczono motyw finansowych, jako potencjalny powód ataku. Ponadto stworzenie takiego oprogramowania wymaga dużych zasobów materialnych. Nie było ono również stosowane w innych, wcześniejszych operacjach. Atakujący nie tylko wiedzieli jak włamać się do systemu ale również dobrze rozumieli jego projekt co umożliwiło im poznanie planu fabryki: lokalizacji rur czy też zaworów, które trzeba było odkręcić, żeby spowodować wybuch. Zdaniem śledczych, ktoś musiał przez całą operacją kupić taką samą wersję systemu Schneidera, żeby poznać i zrozumieć jego działania. Szacuje się, że na eBayu jego koszt wynosi około 40 tys. dolarów.

Większość ekspertów wskazuje, że za atakiem może stać Iran, którego relacje z Arabia Saudyjską są bardzo złe. Persowie od kilka lat intensywnie rozwijają swoje zdolności w cyberprzestrzeni. Oficjalnie rząd irański zaprzeczył udziałowi w tym ataku. Niektórzy eksperci są jednak sceptyczni, wskazując, że żaden irański atak nie był tak zaawansowany jak ten z sierpnia i Irańczykom brakuje odpowiedniej technologii i ludzi. Z drugiej jednak strony mogli oni je pozyskać współpracując z innymi podmiotami.

Trudno o ten atak podejrzewać inne państwa posiadającej zaawansowane zdolności takie jak Rosja, Chiny, Izrael czy Stany Zjednoczone. Żadne z nich nie ma obecnie sporów politycznych z Arabią Saudyjską, dlatego wykorzystanie cyberataków jest bardzo mało prawdopodobne.

Komentarze