Крупная кибератака на ведущую саудовскую нефтяную компанию могла быть делом рук хакеров-любителей, которые работают на некое государство. По мнению экспертов по компьютерной безопасности, некоторые признаки указывают на то, что этим государством является Иран.
Эксперты считают, что методы, которыми пользовались хакеры, чтобы нарушить работу многих компьютеров компании Saudi Aramco, представляют серьезные проблемы для других нефтяных компаний региона и западных стран, ведущих кибервойну с Ираном.
Вскоре после атаки 15 августа сразу несколько хакерских групп взяли на себя ответственность за нее, однако их личности остаются загадкой, а заявления, сделанные в Интернете, не получили подтверждения.
Иран как заказчик кибератаки?
Газета New York Times сообщила во вторник со ссылкой на неназванных представителей американских разведслужб, что заказчиком кибератаки был Иран. Однако издание указывает, что ее источники не представили никаких конкретных доказательств.
Ранее в этом месяце иранский Национальный центр по киберпространству назвал обвинения США политически мотивированными. Сама компания Saudi Aramco не стала комментировать сообщения об исполнителях кибератаки, ссылаясь на тайну следствия.
Израильская компания Seculert, специализирующаяся на раннем выявлении угроз, считает, что в случае с Aramco хакеры могут быть связаны с правительством одной из стран, поскольку вирус, который они использовали, делает нечто большее, чем уничтожает жесткие диски.
Шпионаж в пользу государства?
Ведущий специалист Seculert Авив Рафф поясняет, что взломанные компьютеры отправили информацию на машину за пределами корпоративной сети, прежде чем их жесткие диски были зачищены вирусом, получившим название Shamoon.
«С помощью этого вируса хакеры фактически попытались уничтожить свидетельства других своих намерений, скрыть свои атаки», – говорит Рафф.
Эти намерения, возможно, включают шпионаж за компанией Saudi Aramco в пользу некоего правительства, которое проявляет интерес к крупнейшей энергетической инфраструктуре саудовской государственной компании.
Джеффри Карр – исполнительный директор американской компании Taia Global, которая также работает в сфере безопасности, допускает, что Shamoon был создан на основе очень сложного вируса, который в апреле атаковал компьютеры иранского министерства нефтяной промышленности.
Скромные результаты
Этот вирус-прототип специализировался на похищении данных, но Карр считает, что вирусу Shamoon не удалось справиться с этой задачей.
«У этой вредоносной программы есть фундаментальные ошибки в коде. Создается впечатление, что его писали чуть ли не в подвале, попытавшись проанализировать работу предыдущего вируса, создать его аналог и разослать его. Профессионалы едва ли создали бы такой продукт», – говорит эксперт.
По словам Карра, несколько факторов указывают на то, что хакеры работали на иранское правительство. У Ирана имеются причины, чтобы нанять их, говорит он.
Косвенные улики
В июле Тегеран призывал Эр-Рияд не увеличивать экспорт саудовской нефти на фоне сокращения иранского производства в связи с западными санкциями.
«Иран хочет, чтобы Запад ощутил давление, вызванное снижением мирового производства нефти и высокими ценами на нее, – говорит Карр. – Конечно, Aramco увеличила производство. Так что я думаю, вирус является некоего рода заявлением, дескать, мы вас предупреждали».
По всей видимости, Иран имеет в своем распоряжении группы хакеров, которые могут осуществлять серьезные кибератаки, но так, что сам Тегеран выглядит непричастным к ним.
Группа хакеров, называющая себя Иранской киберармией, в январе 2010 года взломала главную страницу Baidu – крупнейшей поисковой системы Китая. Хакеры оставили сообщение на фарси, в котором заявили, что эта акция стала ответом на вмешательство зарубежных государств во внутренние дела Ирана.
Иран и ранее пытался использовать чужие образцы для копирования технологий. В апреле иранский высокопоставленный военный сообщил, что Тегеран создает копию американского беспилотника, захваченного в прошлом году и впоследствии разобранного на детали. Вашингтон подтвердил потерю самолета RQ-170 Sentinel.
Иран бросает вызов киберврагам
Иран заявил, что совершенствует потенциал своих кибернетических возможностей для защиты от периодических атак, в которых он обвиняет Израиль и Запад.
Стивен Кобб, эксперт по безопасности в компании ESET North America, считает весьма вероятной картину, когда страна, которую атаковал вирус, исследует его и использует для своих целей.
«Вредоносный код отличается от обычного вооружения тем, что вы, фактически, передаете оружие человеку, на которого нападаете, – говорит он. – Поэтому было бы слишком самонадеянно считать, что страна, которую вы атакуете, не попытается понять, как работает программа и воспользоваться ею или написать собственную программу и атаковать вас в ответ».
Карр из Taia Global считает, что Иран способен перехватывать кибернетические инструменты, созданные западными специалистами и стоящие миллионы долларов, и воссоздавать их с гораздо меньшими затратами.
Более опасная инсайдерская атака
По словам Кобба, инцидент с Aramco также показывает, что компании сталкиваются с растущей угрозой кибератак, исходящей изнутри. Эксперты считают, что вирус Shamoon был запущен кем-то, кто обладает привилегированным доступом к компьютерам саудовской компании.
«На Западе компании обычно опасаются, что инсайдеры что-то украдут у них или сделают что-то в отместку или будут шантажировать ее, но в случае Aramco это был акт разрушения, причем нанесенный компании ущерб был неизмеримо больше».
Кобб оценивает ущерб, который понесла Aramco из-за снижения производительности и незапланированных расходов, в миллионы долларов. Компании, например, пришлось нанимать экспертов по безопасности для восстановления поврежденных компьютеров.
«Нельзя быть полностью уверенным, что все сотрудники компании разделяют ее цели и задачи, – говорит Кобб. – Если кто-то из сотрудников с повышенным уровнем доступа решит пойти против компании, то ущерб от подобных действий может быть практически безграничным».
Эксперты считают, что методы, которыми пользовались хакеры, чтобы нарушить работу многих компьютеров компании Saudi Aramco, представляют серьезные проблемы для других нефтяных компаний региона и западных стран, ведущих кибервойну с Ираном.
Вскоре после атаки 15 августа сразу несколько хакерских групп взяли на себя ответственность за нее, однако их личности остаются загадкой, а заявления, сделанные в Интернете, не получили подтверждения.
Иран как заказчик кибератаки?
Газета New York Times сообщила во вторник со ссылкой на неназванных представителей американских разведслужб, что заказчиком кибератаки был Иран. Однако издание указывает, что ее источники не представили никаких конкретных доказательств.
Ранее в этом месяце иранский Национальный центр по киберпространству назвал обвинения США политически мотивированными. Сама компания Saudi Aramco не стала комментировать сообщения об исполнителях кибератаки, ссылаясь на тайну следствия.
Израильская компания Seculert, специализирующаяся на раннем выявлении угроз, считает, что в случае с Aramco хакеры могут быть связаны с правительством одной из стран, поскольку вирус, который они использовали, делает нечто большее, чем уничтожает жесткие диски.
Шпионаж в пользу государства?
Ведущий специалист Seculert Авив Рафф поясняет, что взломанные компьютеры отправили информацию на машину за пределами корпоративной сети, прежде чем их жесткие диски были зачищены вирусом, получившим название Shamoon.
«С помощью этого вируса хакеры фактически попытались уничтожить свидетельства других своих намерений, скрыть свои атаки», – говорит Рафф.
Эти намерения, возможно, включают шпионаж за компанией Saudi Aramco в пользу некоего правительства, которое проявляет интерес к крупнейшей энергетической инфраструктуре саудовской государственной компании.
Джеффри Карр – исполнительный директор американской компании Taia Global, которая также работает в сфере безопасности, допускает, что Shamoon был создан на основе очень сложного вируса, который в апреле атаковал компьютеры иранского министерства нефтяной промышленности.
Скромные результаты
Этот вирус-прототип специализировался на похищении данных, но Карр считает, что вирусу Shamoon не удалось справиться с этой задачей.
«У этой вредоносной программы есть фундаментальные ошибки в коде. Создается впечатление, что его писали чуть ли не в подвале, попытавшись проанализировать работу предыдущего вируса, создать его аналог и разослать его. Профессионалы едва ли создали бы такой продукт», – говорит эксперт.
По словам Карра, несколько факторов указывают на то, что хакеры работали на иранское правительство. У Ирана имеются причины, чтобы нанять их, говорит он.
Косвенные улики
В июле Тегеран призывал Эр-Рияд не увеличивать экспорт саудовской нефти на фоне сокращения иранского производства в связи с западными санкциями.
«Иран хочет, чтобы Запад ощутил давление, вызванное снижением мирового производства нефти и высокими ценами на нее, – говорит Карр. – Конечно, Aramco увеличила производство. Так что я думаю, вирус является некоего рода заявлением, дескать, мы вас предупреждали».
По всей видимости, Иран имеет в своем распоряжении группы хакеров, которые могут осуществлять серьезные кибератаки, но так, что сам Тегеран выглядит непричастным к ним.
Группа хакеров, называющая себя Иранской киберармией, в январе 2010 года взломала главную страницу Baidu – крупнейшей поисковой системы Китая. Хакеры оставили сообщение на фарси, в котором заявили, что эта акция стала ответом на вмешательство зарубежных государств во внутренние дела Ирана.
Иран и ранее пытался использовать чужие образцы для копирования технологий. В апреле иранский высокопоставленный военный сообщил, что Тегеран создает копию американского беспилотника, захваченного в прошлом году и впоследствии разобранного на детали. Вашингтон подтвердил потерю самолета RQ-170 Sentinel.
Иран бросает вызов киберврагам
Иран заявил, что совершенствует потенциал своих кибернетических возможностей для защиты от периодических атак, в которых он обвиняет Израиль и Запад.
Стивен Кобб, эксперт по безопасности в компании ESET North America, считает весьма вероятной картину, когда страна, которую атаковал вирус, исследует его и использует для своих целей.
«Вредоносный код отличается от обычного вооружения тем, что вы, фактически, передаете оружие человеку, на которого нападаете, – говорит он. – Поэтому было бы слишком самонадеянно считать, что страна, которую вы атакуете, не попытается понять, как работает программа и воспользоваться ею или написать собственную программу и атаковать вас в ответ».
Карр из Taia Global считает, что Иран способен перехватывать кибернетические инструменты, созданные западными специалистами и стоящие миллионы долларов, и воссоздавать их с гораздо меньшими затратами.
Более опасная инсайдерская атака
По словам Кобба, инцидент с Aramco также показывает, что компании сталкиваются с растущей угрозой кибератак, исходящей изнутри. Эксперты считают, что вирус Shamoon был запущен кем-то, кто обладает привилегированным доступом к компьютерам саудовской компании.
«На Западе компании обычно опасаются, что инсайдеры что-то украдут у них или сделают что-то в отместку или будут шантажировать ее, но в случае Aramco это был акт разрушения, причем нанесенный компании ущерб был неизмеримо больше».
Кобб оценивает ущерб, который понесла Aramco из-за снижения производительности и незапланированных расходов, в миллионы долларов. Компании, например, пришлось нанимать экспертов по безопасности для восстановления поврежденных компьютеров.
«Нельзя быть полностью уверенным, что все сотрудники компании разделяют ее цели и задачи, – говорит Кобб. – Если кто-то из сотрудников с повышенным уровнем доступа решит пойти против компании, то ущерб от подобных действий может быть практически безграничным».
