Хакеры взломали крупнейшую нефтяную компанию

На Saudi Aramco совершена хакерская атака — похищены внутренние данные главного нефтяного предприятия Саудовской Аравии. Киберпреступники уже выставили информацию на продажу в даркнете. «Газета.Ru» пообщалась с экспертами и узнала, какая отрасль может стать следующей жертвой хакеров.

Что произошло?

Хакерская группировка ZeroX украла 1 ТБ конфиденциальных данных, принадлежащих крупнейшей нефтяной компании в мире Saudi Aramco. Как сообщает Bleeping Computer, данные уже выставлены на продажу в даркнете.

Украденную информацию киберпреступники оценили в $5 млн.



В случае, если покупатель запросит эксклюзивное получение данных с их полным удалением на накопителях ZeroX, то с него потребуют в десять раз больше — $50 млн. По словам ZeroX, они проводят переговоры о продаже с пятью потенциальными покупателями.

В Saudi Aramco утверждают, что инцидент не повлиял на их деятельность, и связывают взлом с работой сторонних подрядчиков. ZeroX заявляют о том, что данные были украдены с помощью взлома «сети и серверов» Aramco в 2020 году.

Хакеры не объяснили, как смогли обойти защиту компании, указав на то, что воспользовались эксплойтом нулевого дня, то есть уязвимостью, которая неизвестна ИБ-специалистам. В ZeroX рассказали, что в собранных данных присутствует полная личная информация о более чем 14 тыс. сотрудниках компании. В описании перечислены отчеты, соглашения, письма, прайс-листы, чертежи проектов, схемы корпоративных интернет-сетей, точек доступа, камер наблюдения и умных устройств. Также покупателям обещают список клиентов Aramco вместе с их счетами и контрактами.

В 2012 году в результате серьезной утечки данных в системы Saudi Aramco было уничтожено более 30 тыс. жестких дисков на компьютерах компании. Предположительно, тот взлом, совершенный с помощью вируса Shamoon, был связан с Ираном и являлся частью кибервойны между двумя странами.

Следующая жертва

Старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо в комментарии «Газете.Ru» заметил, что, как правило, жертвами целевых атак становятся крупные компании с большой капитализацией.

«Закономерно, что их интересуют именно те отрасли, в которых можно легко коммерциализировать свои усилия», — добавил он.



Замруководителя лаборатории компьютерной криминалистики Group-IB Олег Скулкин рассказал «Газете.Ru», что в атаках с целью получения выкупа ограничений по индустриям нет. «Главной целью киберпреступников являются компании, которые просто в состоянии заплатить предполагаемый выкуп», — пояснил специалист.

ИБ-евангелист компании Avast Луис Корронс считает, что практически любая компания может стать следующей целью. В разговоре с «Газетой.Ru» он уточнил, что за последние два года были атаки на самые разные организации, в том числе на больницы, школы, университеты и объекты критически важной инфраструктуры.

Незащищенные бастионы

«К сожалению, большинство компаний и правда очень слабо защищены», — констатирует заместитель главы лаборатории компьютерной криминалистики Group-IB Олег Скулкин. По его словам, это касается и предприятий, работающих в стратегически важных для государства областях, как Saudi Aramco.

Эксперт Avast Корронс считает, что Saudi Aramco много вложила в безопасность после серьезных последствий атаки в 2012 году, но ее положение слишком привлекательно для хакеров.

«Крупнейшая нефтяная компания в мире в политически нестабильном регионе. Это делает их желанной целью не только для обычных киберпреступников, но и для национальных кибергруппировок, спонсируемых государствами», — уверен эксперт.

По его оценке, на Aramco ежедневно могут совершаться тысячи атак, а катастрофой будет даже одна пропущенная.



По словам эксперта, серьезное нарушение работы нефтяной компании с мировым значением вроде Saudi Aramco может повлиять на нефтяные рынки и привести к внезапным колебаниям мировых цен на нефть.

От целевых атак сложно обезопаситься на 100%, особенно когда злоумышленники используют продвинутые инструменты и очень заинтересованы в извлечении выгоды, считает старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.

«Помимо основной киберзащиты, организациям нужен четкий план на тот случай, если инцидент все же произошел», — пояснил специалист. Он также уточнил, что целевая атака может пройти успешно, даже если компания хорошо защищена. Для защиты от целевых атак Легезо посоветовал организовывать для сотрудников тренинги по кибербезопасности, поскольку такие атаки часто начинаются с фишинга.

Он также предложил регулярно проводить аудит безопасности IT-инфраструктуры и внедрять новые технологические решения для борьбы со сложными целевыми атаками. По словам эксперта, защититься поможет и использование специальным сервисов, которые умеют распознавать и останавливать атаки на ранней стадии.

Валерий Романов

Опубликовал: Александр Абрамов (info@ict-online.ru)

Рубрики: Безопасность

Ключевые слова: информационная безопасность, хакеры