Furcsa jelenetek zajlottak tavaly augusztus végén egy szaúd-arábiai olajfinomítóban. A műszak közepén váratlanul és véletlenszerűen elkezdtek lekapcsolni a gépek, végül az egész üzem leállt, azonnali anyagi veszteséget okozva a cégnek. A hiba vizsgálata során hamar kiderült, hogy ez végül is szerencsés kimenet volt: az olajfinomító ipari ellenőrzőrendszerét egy olyan malware-rel fertőzték meg, aminek a célja

a konkrét fizikai károkozás és emberéletek kioltása volt.

Nem ez volt az első ipari ellenőrzőrendszerre szabott kártevő. Ilyen volt az iráni atomprogramot egy időre megbénító Stuxnet, ami az urándúsító centrifugák túlpörgését megakadályozó ellenőrzőrendszert semlegesítve tette tönkre az atomfegyvergyártáshoz szükséges dúsított uránt előállító eszközöket. És ilyen volt a Blackenergy és a Crashoverdrive, két kártevő, amit az oroszok szabadítottak rá az ukrán elektromos hálózatra, kisebb-nagyobb áramkimaradásokat okozva az országban a trafók túlterhelésével és lekapcsolásával.

A szaúdi olajfinomítóban felfedezett malware ezeknél tovább ment. Nem pusztán abban, hogy a támadáshoz nem csupán az ipari ellenőrző rendszert kellett megismerniük, hanem még a megtámadott létesítmény konkrét felépítését is - hogy milyen kapcsoló mit állít, hogy melyik cső hova tart. A kiberbiztonsági berkekben Trisis és Triton néven is emlegetett szoftver "kifejezetten emberélet védelmére tervezett biztonsági rendszereket támadott", mondta a Cyberscoopnek Robert Lee, a Dragos nevű kiberbiztonsági cég alapító-vezérigazgatója.

Ennél is aggasztóbb az, hogy pontosan milyen rendszer ellen fejlesztették ki a malware-t. A Trisis célpontja a Schneider Electric ipari ellenőrző rendszere, a Triconex volt, egy olyan specializált eszköz, amely

világszerte mintegy 18 ezer atomerőmű, olajfinomító, papírgyár és egyéb ipari létesítmény

gépeiben szabályozza a nyomást, az áramerősséget, a hőmérsékletet, a fordulatszámot. Erről korábban azt hitték, hogy "lock and key" rendszer, vagyis kizárólag fizikai hozzáférés esetén lehet benne bármilyen kárt okozni. Mostanra bebizonyosodott, hogy a Trisisszel akár távolról is machinálható a rendszer.

A 2017 augusztusi támadásnál csak a vakszerencsén múlt, hogy nem lett nagyobb baj. A támadók tervébe apró hiba csúszott, a megtámadott rendszer által ellenőrzött eszközök biztonsági beállításaiknak köszönhetően lekapcsoltak, mielőtt túlpöröghettek volna, így a robbanás elmaradt.

Az elmúlt hónapokban a fenyegetés mértékéhez méltó méretű globális nyomozás indult az ügyben, hogy mégis ki követhette el a támadást. A kártevő elemzése alapján hamar világossá vált, hogy ilyen szofisztikáltságú támadást csak nemzetállami hátterű hackerek hajthattak végre, csak nekik lehetett elég erőforrásuk ahhoz, hogy megfelelően teszteljék az eszközt a bevetés előtt - például mert ehhez érdemes volt beszerezni egy működő Triconex rendszert, ami alsó hangon is úgy 40 ezer dollárba kerül. A nemzetállami háttérre utalt az is, hogy a támadó nem próbálkozott zsarolással, célja nem az anyagi haszonszerzés, csupán a rombolás volt. Ilyen szintű támadásra nem sok ország képes, a szakértők szerint Irán, Kína, Oroszország, az USA és Izrael rendelkezik megfelelő technikai háttérrel. Mivel Izrael és az USA Szaúd-Arábia szövetségese, Kína és Oroszország pedig egyre gyakrabban üzletel velük, a gyanú Iránra terelődött, pláne mert 2012-ben a legnagyobb szaúdi olajipari vállalat ellen elkövetett hackertámadással is Iránt gyanúsították már.

Október 23-án aztán váratlan fordulat történt. A Trisist, illetve ahogy ők nevezik, a Tritont a kezdetektől vizsgáló FireEye "nagy bizonyossággal" arra jutott, hogy egy orosz állami kutatóintézet fejleszthette azokat az eszközöket, amikkel a támadók be tudtak hatolni a Triconex rendszerébe, hogy elhelyezzék ott a kártevőjüket.

Közleményükben, mint írták, "a lehető legtöbb bizonyítékot sorolták fel" eredményeik alátámasztására, de jelezték, hogy bizonyos "érzéken információkat", amelyek még inkább megerősítik véleményüket, visszatartottak. A nyilvánosságra hozott bizonyítékok inkább közvetettek, de együttesen elég meggyőzőek.

A FireEye először is azonosította azt az eszközrendszert, amivel behatoltak a támadók a Triconex rendszerébe. Ezt TEMP.Velesnek nevezték el - az ilyen eszközrendszerre szokás "csoportként" hivatkozni, ilyen "csoport" például a Demokrata Párt szervereinek feltöréséhez használt Fancy Bear is. Vizsgálataik alapján a TEMP.Veles fejlesztését és tesztelését Oroszországban, azon belül is a Kémiai és Mechanikai Tudományos Kutatások Központi Intézetében (CNIIHM) végezték, illetve végezte egy konkrét személy, akit ugyan a FireEye nem nevezett meg, de akinek a becenevére rábukkantak az egyik fájl szövegében. Ez a becenév ismert a kiberbiztonsági körökben, ezen a néven publikáltak már sérülékenységi kutatásokat a Hacker magazin orosz kiadásában. A FireEye közösségimédia-profilok alapján állítja, hogy a becenevet használó személy a CNIIHM professzora, aki Moszkvában él.

• A behatoláshoz használt eszközöket a FireEye szerint egy, a CNIIHM-hez tartozó IP-cím alól tesztelték;
  
• a programokon moszkvai munkaidőben dolgoztak;
  
• hogy, hogy nem, a behatoláshoz használt, fertőzött installáló ugyan angol nyelvű volt már, de az eredetije orosz.
  

A FireEye szerint további közvetett bizonyíték, hogy a CNIIHM konkrétan foglalkozik ipari ellenőrzőrendszerek fejlesztésével, kritikus infrastruktúra védelmével, így rendelkezik a megfelelő szaktudással és technikai háttérrel egy ilyen keretrendszer fejlesztéséhez és teszteléséhez.

A FireEye szerint ugyan lehetséges, hogy a TEMP.Veles-t az intézet professzora önhatalmúlag, afféle magányos farkasként végezte, de azért elég valószínűtlen. Ez esetben ugyanis éveken át kellett volna feljebbvalói tudtán kívül fejlesztenie és tesztelnie a szoftvert a CNIIHM eszközparkját használva.

"Ami világosnak tűnik az az, hogy az orosz kormány keze erősen benne van ebben a történetben" - nyilatkozta a Wall Street Journalnak John Hultquist, a FireEye hírszerzési igazgatója. Kutatási eredményeik szerinte megerősítik a feltételezést, hogy az orosz hackerek "képesek behatolni a biztonsági rendszerekbe, amelyek ezeknek a létesítményeknek az utolsó védvonalai". Ezek a létesítmények pedig a kritikus infrastruktrúra részei, atomerőművek, áramtermelő erőművek és olajfinomítók. Ha ezek ellen konkrét fizikai károkat, emberéletet követelő robbanásokat okozó hackertámadást tudnának indítani, azzal komoly káoszt okozhatnának ellenfeleiknek.

Talán ezért is volt annyira visszafogott az amerikai haderő kiberparancsnoksága, amiről a héten derült ki, hogy elkezdte első hivatalos külföldi műveletét: közvetlen üzenetben figyelmeztetik az orosz trollokat, hogy tudják, kicsodák. Mint mondták, ennél messzebb most nem akartak menni, mert a kiberháború szabályai még nem kialakultak, nem akartak aránytalan választ kiprovokálni. Ez a fentiek alapján indokolt óvatosságnak tűnik, különös tekintettel arra, hogy az orosz hackerek, mint már említettük, Ukrajnában bár babráltak az elektromos ellátással.