В среду, 15 августа 2012 года, некая тайная группа, связанная с иранским правительством, атаковала саудовскую фирму Aramco – крупнейшую в мире энергетическую компанию. Для атаки было выбрано необычное оружие – компьютерный вирус.
Перед атакой, получившей впоследствии два названия – Shamoon и Disttrack, по словам, найденным внутри программного кода, хакеры создали вирус, который один из заговорщиков затем закинул в компьютерную сеть Saudi Aramco через USB-диск. Подобно вспышке гриппа, вирус быстро распространился от компьютера к компьютеру, от «нулевого пациента» по всей огромной корпоративной сети компании. Он смог не только заразить основной офис Saudi Aramco в Саудовской Аравии, но и перекинуться на компьютеры в других странах, в том числе в США и Нидерландах.
Предполагалось, что Shamoon полностью сотрет память всей компьютерной системы Saudi Aramco. Обычно, когда файл удаляется с компьютера, его можно восстановить. Для того чтобы полностью и безвозвратно удалить содержимое жестких дисков, Shamoon записывал новые и совершенно бесполезные данные поверх изначальных, что не позволяло никаким образом восстановить зараженные файлы. Когда кто-то пытался открыть зараженный файл, то видел вместо содержимого лишь изображение горящего американского флага. На всякий случай Shamoon также переписал Saudi Aramco главную загрузочную запись так, чтобы не позволять компьютерам перезагружаться.
Shamoon не ограничился очисткой компьютерной памяти – он заставил зараженные компьютеры отправлять с зараженных жестких дисков свои IP-адреса – уникальные наборы цифр для каждого устройства. Помимо IP-адресов зараженных компьютеров, хакеры получали список зараженных файлов. Затем хакеры выложили список IP-адресов зараженных компьютеров в интернет в качестве подтверждения успеха своей атаки.
Вирус был найден уже на следующий день трио компаний из США, России и Израиля, занимающихся вопросами компьютерной безопасности. Для того чтобы избавиться от Shamoon, было необходимо временно отключить всю компьютерную сеть Saudi Aramco. Все зараженные компьютеры нужно было заменить другими. Сеть Saudi Aramco могла вернуться к нормальному состоянию через две недели, и специалисты работали круглосуточно, а вирус продолжал свое дело на тысячах компьютеров. К тому времени, когда атака была остановлена, зараженными оказались три четверти корпоративных компьютеров – общим числом около 30 тысяч. Через две недели Shamoon атаковал RasGas, совместное предприятие Qatari Petroleum и ExxonMobil.
По-видимому, цель атаки вовсе не ограничивалась заражением компьютеров. В результате чуть не остановилось производство энергии в стране и едва не отключилось нефтедобывающее оборудование. Saudi Aramco приносит Саудовской Аравии почти 90 % доходов. Если бы кибератака смогла остановить добычу нефти, это нанесло бы серьезный ущерб саудовской экономике и повысило бы розничные цены на бензин в США, и обе эти цели вполне соответствовали интересам Ирана. Саудовская Аравия и США – заклятые враги Ирана, и масштабные поставки нефти из Саудовской Аравии служили одним из оснований сохранения санкций против Ирана. Санкции против поставок иранской нефти можно считать крайне жесткими (и достаточно оправданными). Нарушение поставок со стороны крупнейшего поставщика и повышение цен заставили бы многие страны задаться вопросом о целесообразности санкций. К счастью, во время атаки не произошло остановки производства, однако последствия вторжения для производственной инфраструктуры были крайне серьезными.
Saudi Aramco активно занималась наращиванием физической безопасности после неудачной террористической атаки на одну из производственных площадок на месторождении Абкайк в 2006 году. Мало кто знал о еще более серьезной уязвимости системы безопасности до тех пор, пока Shamoon не показал это со всей ясностью.
Интересно, что это произошло именно с Saudi Aramco. Какая компания в мире, с вашей точки зрения, обладает наибольшей капитализацией? ExxonMobil? Apple? Ничего подобного. Это Saudi Aramco. По некоторым оценкам, ее капитализация составляет не менее двух триллионов долларов, что (на момент написания этой книги) втрое больше, чем у Apple, и в семь раз – у ExxonMobil.
Разумеется, лидеры делового мира не могли не обратить внимания на случившееся. Если кибератаке могла подвергнуться крупнейшая компания мира, работающая в достаточно безопасных условиях, то же самое могло произойти с кем угодно и когда угодно.
Вредоносные программы. Вирусы. Черви. Трояны. Распределенный отказ в обслуживании. Кибератака. Все эти обозначения для программ как оружия уже хорошо известны, однако мы лишь сейчас начинаем понимать всю степень их возможного влияния.
