Саботаж на минус двадцати: иранские хакеры уничтожили компрессоры на израильском пищевом заводе

Кто-то уже забрался внутрь промышленных контроллеров и намеренно изменил их настройки. Температурные уставки оказались сбиты, защитные лимиты отключены, а моторные клапаны, регулирующие давление газа, переведены в ручной режим и принудительно открыты. Учётную запись на центральном контроллере, через которую сами инженеры удалённо управляли системой, злоумышленники сменили. Люди, отвечающие за поддержание работы завода, оказались заперты за пределами собственного оборудования в тот самый момент, когда оно выходило из строя.

Это была не поломка, а саботаж. Причём саботаж терпеливый, продуманный, выполненный кем-то, кто прекрасно разбирался в устройстве уничтожаемого оборудования.

Та же самая кибератака уже поработала и на Windows-серверах предприятия. Там находилась вредоносная программа, маскирующаяся под обновление Microsoft. Она ждала команды, способной перезаписать каждый доступный диск. Две цели в рамках одной операции: информационные технологии, на которых строится бизнес, и операционные технологии, управляющие производством.

Эксперты компании Profero, занимающейся анализом угроз, подготовили отчёт об этом инциденте. Они связывают активность с группировкой Cyber Isnaad Front, которую называют подставным персонажем, управляемым иранским государством. Само название переводится как "Киберфронт поддержки" и позиционируется как независимое арабоязычное хактивистское объединение, действующее в солидарности с палестинскими вооружёнными группами. Однако, по оценке аналитиков, независимости там нет и в помине.

С высокой долей уверенности Profero связывает Cyber Isnaad Front с организацией Aria Sepehr Ayandehsazan, связанной с Корпусом стражей Исламской революции и являющейся преемницей группировки Emennet Pasargad. Последняя уже попадала под санкции Министерства финансов США за кибероперации по вмешательству в президентские выборы 2020 года. С тех пор ASA регулярно запускает новые вывески для атак на израильские цели. Когда одна марка сгорает, операторы убирают её и выводят на сцену следующую. Техническая база не меняется.

Публичная сторона деятельности Cyber Isnaad Front - типичная операция "взлом и слив": проникновение, кража, публикация. Сюда же прилагаются постановочные видео с актёром в костюме и мгновенное распространение материалов иранскими государственными СМИ на арабском, иврите и английском. Персонаж заявлял о взломе оборонных подрядчиков, участвующих в крупных оружейных программах Израиля, о краже примерно пяти терабайт данных у национального оператора топливной логистики и о доступе к данным более чем 160 клиентов телекоммуникационных дата-центров. Но сайт утечек - это лишь маркетинг.

Реальная цель - сами вторжения. И далеко не всегда в них заложено простое хищение данных. Иногда это уничтожение.

На Windows-стороне завода эксперты Profero обнаружили семейство вредоносных программ, которое отслеживается под именем GRAT. Это инструмент удалённого доступа, написанный на языке Go. Выглядит он невзрачно: один исполняемый файл, который старательно притворяется скучным. В разных собранных образцах он выдавал себя за SpellChecker.exe, Checker.exe.exe и WindowsUpdater.exe. В системе он закрепляется через запланированную задачу "OneDrive Update", запускающую его каждую минуту и при каждой загрузке, и делает это скрыто, запрашивая максимально возможные привилегии.

За неприметной внешностью скрывается единый бинарный файл, объединяющий одиннадцать отдельных подсистем. GRAT может собирать информацию о системе вплоть до установленного антивируса и статуса BitLocker, управлять процессами, перезаписывать реестр, манипулировать службами Windows, запускать полноценный VNC-сервер с синтезированным вводом с клавиатуры и выгружать украденные файлы в облачное хранилище злоумышленников. Он умеет шифровать файлы с помощью модуля, который авторы назвали "BigBang". И он умеет уничтожать данные.

Зачистка - вот главная цель. По одной команде оператора GRAT перезаписывает физический диск, а затем разрушает таблицу разделов. Существует версия, выполняющая многопроходное уничтожение с прямыми системными вызовами: ноль, случайные данные и 0xFF. Хост, получивший такую команду, не восстанавливается. Спасти с него ничего нельзя.

Вся эта активность управляется через двухканальную архитектуру: команды приходят через RabbitMQ с шифрованием TLS, а результаты возвращаются по открытому каналу Redis. Оба канала ведут на один сервер по нестандартным портам. Каждый параметр подключения зашифрован алгоритмом AES-256 внутри бинарного файла, и ключ ротируется с каждой новой сборкой. Три проанализированных образца использовали идентичную инфраструктуру при разных ключах, паролях и именах очередей. Это характерный признак конструктора: по одной сборке на цель, чтобы взлом одной не раскрыл остальные.

Но вернёмся к холодильным камерам. На заводе работали две промышленные системы охлаждения: старая и новая. Обе использовали CO2 в качестве хладагента. Атакующий воздействовал на них по-разному. На старой системе он изменил лишь параметры: уставки, пороги защиты, пределы тревог. Этого достаточно, чтобы превратить камеру с мясом в печь. На новой системе злоумышленник пошёл гораздо дальше: он стёр и сбросил всю программную конфигурацию контроллера - все цифровые и аналоговые входы, привязанные к датчикам температуры и давления, выходы, запускающие компрессоры и управляющие клапанами. Восстановление потребовало не "вернуть значение", а заново спроектировать логику работы контроллера, обзванивая каждый провод в электрическом щите по принципиальной схеме.

После этого атакующий совершил действие, превратившее изменение настроек в физическое разрушение. Моторные клапаны, удерживающие давление газа, были переведены в ручной режим и намертво зафиксированы в открытом положении. Все потребительские контроллеры тоже были принудительно открыты. Замысел был конкретен: хладагент должен двигаться бесконтрольно, чтобы его нельзя было удержать там, где требует система.

В установках на CO2 это особенно опасно. Система охлаждения полагается на чистый фазовый переход: жидкий хладагент поступает в испаритель внутри камеры и должен покинуть его целиком в виде газа. Если жидкость достигает компрессоров, происходит катастрофа. Жидкость, в отличие от газа, не сжимается. Поршень, пытающийся сжать порцию жидкости, просто ломается. У CO2 есть и второе свойство: в жидком состоянии при нагреве его давление растёт экспоненциально. Если ни один компрессор не сбрасывает это давление, предохранительные клапаны стравливают газ в атмосферу, завод теряет заряд хладагента.

Атакующий заставил сработать оба механизма отказа одновременно. Когда инженеры попытались запустить новую компрессорную установку, выяснилось, что три компрессора разрушены. Их замена потребовала многодневной работы: подгонки неидентичных запчастей, переделки трубопроводов и электропроводки, замены клапанов, фильтров, ресиверов и последующей опрессовки и перезарядки системы. Один компрессор до сих пор ожидает доставки от производителя из-за рубежа.

На этих контроллерах не было вредоносного кода. Злоумышленнику требовались лишь значения уставок, режимы клапанов и понимание термодинамики. Разрушение выполнялось на родном для оборудования языке, а блокировка доступа была призвана гарантировать, что единственные, кто мог бы это остановить, не смогут войти в систему, пока идёт процесс.

Было бы удобно считать это одной неудачной неделей на одном заводе. Но это не так. Сочетание атак на IT и OT - вот ключевая особенность. Одна и та же операция установила программу-уничтожитель на Windows-серверах и одновременно добралась до промышленных контроллеров, чтобы вывести из строя физическое оборудование. Актор, свободно ориентирующийся как во внутренностях Windows, так и в физике холодильных установок, - вот что должно заставить специалистов по защите насторожиться. Обычно такие навыки живут в разных командах. Здесь они соединились в одной кампании.

IPv4

• 146.103.40.190
• 193.29.104.5
• 45.82.66.163
• 84.201.6.128
• 84.201.6.129
• 85.137.56.9
• 85.17.55.232

IPv4 Port Combinations

• 84.201.6.131:7878
• 84.201.6.131:9988

SHA256

• 0ad128e813314e4562489478e6def8c6dfcc251e006d7f55b24273e93d3bc7fb
• 6f5f427d96656ae51405e6a5e65253759db45ea0a17da2d70f881404a4ed717b
• 86194eb5c5abcfe763899aaad7eb64894c71e816dd7d27427c8bac4ab280533d
• c4909b2d7a7f813b5a3d729fe64535033e716ae89dc39c402a6cb8ccbccaadca