Второй атаки на нефтехимический завод в Саудовской Аравии можно было избежать

image

Теги: Trisis, TRITON, АСУ ТП

Расследованию первой атаки с использованием вредоносного ПО для АСУ ТП не было уделено достаточно внимания.

Инженеры и специалисты по безопасности нефтехимического завода в Саудовской Аравии могли предотвратить повторную атаку вредоносного ПО Trisis (другое название Triton) в августе 2017 года, но не сделали этого. Об этом сообщается в докладе специалистов, занимавшихся расследованием инцидента. Доклад был представлен во вторник, 15 января, на конференции S4 Conference 2019, пишет Cyberscoop.

Первая атака на принадлежащий компании Tasnee нефтехимический завод в Саудовской Аравии была осуществлена в июне 2017 года. Как сообщил исследователь безопасности Джулиан Гутманис (Julian Gutmanis), расследованию инцидента было уделено недостаточно внимания. По мнению специалиста, если бы расследование проводилось должным образом, можно было бы идентифицировать злоумышленников и не допустить повторной атаки в августе того же года.

Гутманис, занимавшийся расследованием второй атаки, сообщил, что после первого инцидента был проведен лишь инженерный и технический анализ, однако анализ с точки зрения кибербезопасности не проводился. Случившееся рассматривалось как технический сбой в работе, а не как кибератака, и после устранения неполадок все операции были восстановлены.

В результате недостаточного расследования злоумышленники снова атаковали завод спустя два месяца, и на этот раз атака затронула не один, а сразу шесть контроллеров. В результате каждой атаки завод прекращал работу на неделю, что привело к серьезным финансовым потерям.

В ходе атак злоумышленники использовали вредоносное ПО для АСУ ТП под названием Trisis. Вредонос проникает в системы противоаварийной защиты, в случае необходимости отключающие производственные процессы, в частности в Triconex от Schneider Electric. Подробное описание Trisis было представлено специалистами FireEye в 2018 году.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.