Два способа взвинтить цену на нефть, или Атаки на нефтегаз как средство влияния на биржевые индексы

    image
    В сентябре 2019 года стоимость нефти резко выросла из-за атаки беспилотников на предприятия государственной корпорации Saudi Aramco в Саудовской Аравии, в результате которой были уничтожены 5% мировых запасов нефти и выведены из строя перерабатывающие установки. Вместе с тем, чтобы остановить работу нефтеперерабатывающего завода (НПЗ), необязательно уничтожать его физически, ведь по данным исследования Trend Micro «Drilling Deep: A Look at Cyberattacks on the Oil and Gas Industry» хорошо спланированная кибератака может нанести вполне сопоставимый ущерб. В этом посте поговорим о том, как устроена инфраструктура нефтегазовых предприятий и какие кибератаки представляют для неё наибольшую угрозу.

    Как устроена инфраструктура нефтегазовой компании


    Производственная цепочка нефтегазовой компании включает в себя множество процессов — от разведки новых месторождений и продажи бензина, заливаемого в бак автомобиля, до газа, на котором готовят обеды жители городов. Все эти процессы можно разделить на три части:

    • разведка и добыча;
    • транспортировка и хранение;
    • переработка и реализация.

    Типичная нефтяная компания имеет в своём «хозяйстве» производственные площадки для добычи нефти из скважин, резервуарные парки для временного хранения сырья и систему транспортировки для доставки сырой нефти на НПЗ. В зависимости от расположения скважины транспортировка может происходить по трубопроводу, на поездах или нефтеналивных танкерах.

    После переработки на НПЗ готовая продукция накапливается в резервуарных парках предприятий и затем отгружается потребителям.

    Типичная газодобывающая компания устроена аналогичным образом, но в составе её инфраструктуры имеются ещё и компрессорные станции, сжимающие добытый газ для транспортировки на сепараторную установку, которая в свою очередь разделяет газ на различные углеводородные компоненты.

    Важнейшая задача во всей производственной цепочке — мониторинг и контроль всего, имеющего значение для безопасности, производительности и качества. Поскольку скважины могут располагаться в отдалённых районах с экстремальной погодой, организуется дистанционное управление оборудованием на объекте — с помощью клапанов, насосов, гидравлики и пневматики, системам аварийной остановки и пожаротушения.

    Для таких систем решающее значение имеет их доступность, потому зачастую данные мониторинга и управления передаются в открытом виде, а проверка целостности не производится. Это создаёт массу возможностей для атак злоумышленников, которые могут отправлять команды исполнительным механизмам, подменять показания датчиков и даже останавливать работу скважины или целого нефтеперерабатывающего предприятия.

    Многообразие инфраструктурных компонентов нефтегазовых компаний создаёт практически неисчерпаемые возможности для атак. Рассмотрим наиболее опасные из них.

    Саботаж инфраструктуры


    Проникнув в сеть предприятия с помощью фишингового письма или эксплуатации незакрытой уязвимости, злоумышленники получат возможность провести следующие действия, которые могут нанести вред или даже остановить работу какого-либо участка производства:

    • модифицировать настройки автоматизированной системы управления;
    • удалить или заблокировать данные, без которых невозможна работа компании;
    • фальсифицировать показания датчиков, чтобы вывести оборудование из строя.

    Такие атаки могут проводиться как вручную, так и с помощью вредоносного ПО, подобного вайперу Shamoon/Disttrack, атаковавшему в 2012 году несколько нефтяных и газовых компаний. Крупнейшей среди них была уже упоминавшаяся компания Saudi Aramco. В результате атаки были выведены из строя на 10 дней более 30 тысяч компьютеров и серверов.

    Атаку Shamoon на Saudi Aramco организовали хактивисты неизвестной ранее группировки «Разящий меч правосудия» («Cutting Sword of Justice»), чтобы наказать компанию за «злодеяния в Сирии, Бахрейне, Йемене, Ливане и Египте».

    В декабре 2018 года Shamoon атаковала итальянскую нефтяную компанию Saipem, «зачистив» 300 серверов и около 100 компьютеров на Ближнем Востоке, в Индии, Шотландии и Италии. В том же месяце стало известно о заражении вредоносным ПО инфраструктуры нефтяной компании Petrofac.

    Инсайдерские угрозы


    В отличие от внешнего злоумышленника, инсайдеру не нужно месяцами изучать устройство внутренней сети компании. Располагая такой информацией, инсайдер способен нанести бизнесу компании значительно больший ущерб, чем любой внешний злоумышленник.

    Например, инсайдер может:

    • модифицировать данные, чтобы создать проблемы или открыть несанкционированный доступ к ним;
    • удалить или зашифровать данные на корпоративных серверах, в общих папках проекта или в любом месте, до которого доберётся;
    • похитить интеллектуальную собственность компании и передать её конкурентам;
    • организовать утечку конфиденциальных корпоративных документов, передав их третьим лицам или даже их опубликовав в интернете.

    Перехват DNS


    Эту разновидность атаки используют самые продвинутые хакерские группировки. Получив доступ к управлению доменными записями, злоумышленник может, например, изменить адрес корпоративного почтового или веб-сервера на подконтрольный ему. Результатом может стать кража корпоративных учётных данных, перехват сообщений электронной почты и проведение атак типа «водопой» («watering hole»), в процессе которых на компьютеры посетителей мошеннического сайта устанавливается вредоносное ПО.

    Для перехвата DNS хакеры могут атаковать не владельца, а регистратора доменного имени. Скомпрометировав учётные данные для системы управления доменами, они получают возможность вносить любые изменения в подконтрольные регистратору домены.

    Например, если заменить легитимные DNS-серверы регистратора на собственные, можно с лёгкостью перенаправлять сотрудников и клиентов компании на фишинговые ресурсы, выдавая их адрес вместо оригинального. Опасность такого перехвата в том, что качественная подделка может в течение длительного времени передавать злоумышленникам учётные данные пользователей сети и содержимое корпоративной переписки, не вызывая ни у кого подозрений.

    Известны даже случаи, когда помимо DNS злоумышленники получали контроль над SSL-сертификатами компаний, что давало возможность расшифровать VPN- и почтовый трафик.

    Атаки на веб-почту и корпоративные VPN-серверы


    Веб-почта и защищённое подключение к корпоративной сети через VPN — полезные инструменты для сотрудников, работающих дистанционно. Однако эти службы увеличивают поверхность атак, создавая дополнительные возможности для злоумышленников.

    Взломав хост веб-почты, преступники могут изучить переписку и внедриться в неё для кражи секретных сведений, либо использовать информацию из писем для BEC-атак или внедрения вредоносного ПО с целью саботажа инфраструктуры.

    Не меньшую опасность представляют атаки на корпоративные VPN-серверы. В декабре 2019 года киберпреступники массово эксплуатировали уязвимость CVE-2019-11510 в VPN-решениях Pulse Connect Secure и Pulse Police Secure. Через нее они проникали в инфраструктуру компаний, использующих уязвимые VPN-сервисы, и похищали учётные данные для доступа к финансовой информации. Зафиксированы попытки вывода со счетов нескольких десятков миллионов долларов.

    Утечки данных


    Конфиденциальные документы компаний могут попасть в публичный доступ по разным причинам. Многие утечки происходят по недосмотру в результате некорректной конфигурации информационных систем или из-за низкого уровня грамотности сотрудников, работающих с этими документами.

    Примеры:

    • Хранение документов в общедоступной папке на веб-сервере;
    • Хранение документов на публичном файловом сервере без должного контроля доступа;
    • Резервное копирование файлов на общедоступный незащищенный сервер;
    • Размещение базы данных с секретной информацией в открытом доступе.

    Для поиска утёкших документов не нужны специальные инструменты, вполне достаточно возможностей, которые имеются у Google. Поиск секретных документов и уязвимостей с помощью поисковых операторов Google — dorking — позволяет обнаружить секретные документы компаний, по чьему-то недосмотру попавшие в поисковый индекс.

    image
    Конфиденциальный документ нефтяной компании, найденный с помощью Google Dorks. Источник: Trend Micro

    Проблема с утекшими документами в том, что они часто содержат сведения, которые конкуренты могут на законных основаниях использовать против компании, нанести ущерб долгосрочным проектам или просто создать имиджевые риски.

    В лабораторном отчёте для нефтяной компании, который мы обнаружили в открытом доступе, содержатся сведения о точном местоположении нефтяного пятна с указанием судна, допустившего загрязнения. Очевидно, что подобная информация является конфиденциальной и компания вряд ли хотела допустить ее попадание в открытый доступ.

    Рекомендации для нефтегазовых компаний


    Учитывая сложность ИТ-ландшафта нефтегазовой отрасли, не существует способа обеспечить абсолютную защиту от киберугроз, однако количество успешных атак можно значительно уменьшить. Для этого необходимо:

    1. внедрить шифрование трафика датчиков и управляющих систем — хотя с первого взгляда может показаться, что в этом нет необходимости, принятие этой меры снизит риск атак типа «человек посередине» и исключит возможность подмены команд или сведений от датчиков;
    2. перейти на использование DNSSEC, чтобы защититься от атак с перехватом DNS;
    3. использовать двухфакторную аутентификацию для управления настройками DNS у регистратора и доступа в веб-почту;
    4. проводить мониторинг создаваемых SSL-сертификатов на предмет содержания связанных с компанией ключевых слов в этих сертификатах — например, присутствие торговой марки компании в поле Common Name сертификата, созданного посторонними лицами, свидетельствует о его потенциально вредоносном назначении.
    5. отслеживать утечки конфиденциальных документов, используя поисковые запросы типа Google Dorks. Чтобы облегчить эту задачу, во все важные документы необходимо внедрить водяные знаки.

    Заключение


    Кибератаки на нефтегазовый сектор могут использоваться в качестве инструмента влияния на биржевые котировки наравне с атаками в реальном мире, а это значит, что недобросовестные биржевые спекулянты могут воспользоваться услугами киберпреступников, чтобы взвинтить стоимость нефти и газа и получить сверхприбыль.

    Эффективность таких атак может оказаться значительно выше, чем использование других инструментов, например, хищения средств со счетов компании с помощью компрометации деловой переписки, поскольку доказать взаимосвязь между кибератакой и получением прибыли от продажи выросших в цене фьючерсов практически невозможно.

    С учётом этих факторов организация кибербезопасности становится критически важной задачей для обеспечения стабильности как предприятий нефтегазового сектора, так и мирового рынка углеводородов.
    Trend Micro
    Компания

    Похожие публикации

    Комментарии 18

      0
      Глупости из серии «теория заговоров». В реальности влиять на рынок практические невозможно, так как всегда есть две стороны покупатели и продавцы. Учите мат.часть(см. «стакан котировок») — это из простого. А так есть более сложные ньюансы, которые умные трейдеры не выдают. :)
        0
        Неужто взорванный завод не увеличит цену?
        Нефти на рынке стало меньше -> цена выросла.
        Атакующий получил проф по своему расчётному фьючерсу.
          0

          Манипуляция рынком тоже преследуется той же SEC, я уж молчу о том чтоб безнаказанно взрывать заводы.
          Какая-то чересчур сложная схема для заработка грошей.

            +1
            SEC же запретил, ой все, никто не манипулирует больше.
            0
            Увеличит, но вопрос, когда и как? То что вы описываете, очень сложно контролируемо.
            Это можно сравнить с климатическим оружием. Климататическое оружие нет смысла изобретать, так как его невозможно контролировать и всё просчитать нереально.
              0

              Когда? Почти сразу, это очевидно.


              И откуда эта странная идея, что нужно просчитывать всё? Вам достаточно знать, что цена вырастет.

                –2
                Вы много сделали денег на финансовом рынке? Можно ли ваше мнение считать экспертным?

                Вот некоторые мои публичные результаты:
                forum.alpari.com/index.php?/topic/148479-gurovofficial-ivan-gurov/&do=findComment&comment=4335001

                Теперь покажите свои достижения, пожалуйста.
                  0
                  Не уверен, что Ваше мнение можно считать экспертным. Так как, с момента дропа Ваших результатов по торгам до полного слива счёта, не прошло и месяца. Не говоря о том, что это «достижение» было получено имея девятилетний стаж трейдера.
                  А теперь по существу. С каких пор покупатели и продавцы влияют на цену? На цену влияет ситуация, которую уже оценивают быки и медведи. Продавцы и покупатели лишь показатель тренда (настроения) рынка. Все ставки игроков (трейдеров) основываются на получении данных в экономической среде. То есть игрок оценивает ситуацию (будь-то новость по слиянию или громкий скандал), а только потом, на базе этой информации, делает ставку движения цены. Если кекает очередная компания, то её акции тоже кекнут, независимо от того, что там с игроками на рынке. Ибо игроки и близко не имеют никакого отношения к цене этих акций. Повлиять на схлопывание активов и банкротство компании игроки никак не могут.
                  Банальный пример по рынку нефти. Ливия 2011, Сирия 2014. Громкие и негативные новости задают темп, игроки меняют настрой и меняют свои аналитические расчёты на базе полученной информации. Имеем движение цены. Чёрное золото дорожает, так как возможность его получения из-за зон эскалации крайне затрудняется. Дефицит породил выстрел — ситуация нарисовала новый тренд на рынке.
                  Теория заговоров? А военные конфликты, над зонами с крупными нефтяными пластами, тоже заговор? Или Вы думаете, что переброс войск через пол планеты это просто так и за бесплатно?)
                  Почитайте про КИИ, чтобы не путать масоноподобных рептилоидов с промышленным кибершпионажем.
                    0

                    Финансовый рынок хорош, тем что результат визуально очевиден — он в деньгах. Могу показать свои последние достижения.
                    Покажите пожалуйста, вы свои?


                    Вы их не покажите, так как в вашем мире, кто громче кричит — тот и прав.
                    Дальнейший спор с вами не имеет смысла, так как вы пишите глупости.

                      0
                      Пока мы видим только слитые 300 баксов и непонятные скриншоты с комментарием «большие суммы», когда суммы составляют от 500 тысяч до 1 млн рублей.
                      Правильно ли я понимаю что вы привлекаете деньги сторонних лиц в управление?
                      0
                      Интересный взгляд на вещи. Решает как раз баланс спроса/предложения.
                      Даже если компания банкротится — всегда возможны варианты. Кто-то например захочет поучаствовать в этом процессе, поэтому будет акции выкупать.
                      Точно так же бывает и с бондами — даже если происходит дефолт — в среднем выплаты больше нуля.
                        0

                        Если Вы покупаете акции, которые падают в цене, это не значит, что Вы им поднимаете цену.
                        Цена на голубой алмаз не зависит от того, что на него есть спрос. Его цену задают различные ситуации. Редкость, возможность добычи, чистота. Вот, откуда идет кривая цены. От того, что вы накупили полный карман редкого углерода, его цена не взлетит в небо. Ибо завтра кто-то найдет новый пласт с борными породами и цена упадет, так как на кривую цены повлияет новая рыночная ситуация.

                          0
                          Смотря сколько я покупаю. Как только я начинаю покупать больше, чем все желающие продать — цена и начинает расти.
                          В неликвидных бумагах это прекрасно видно, когда даже небольшим объемом можно серьезно сдвинуть цену.
            0

            Вы уверены вот в этом: "в результате которой были уничтожены 5% мировых запасов нефти". После таких заявлений ко всему остальному материалу начинаешь относится со скепсисом. Я уже молчу, что заголовок не соответствует содержанию.

              +2
              Я открыл статью только чтобы узнать подробнее об этой чудовищной экологической катастрофе.
              –1

              Мы уж промолчим что сеть управления в 99% случаев физически отделена от сети предприятия и бОльшая часть описанных угроз проходит мимо.

                0

                Нуу, уж не знаю достоверно, как обстоят дела у саудовских арабов, но у нас дела обстоят несколько иначе. Во-первых, добыча, транспортировка и переработка углеводородов физически разделена между различными хозяйствующими субъектам. Допустим, Роснефть занимается добычей, а транспортировку осуществляет Транснефть, и у них нет единых систем управления. Во-вторых, насколько мне известно, такие угрозы очевидно осознаются в данных предприятиях и существуют специально обученные люди для пресечения подобных инцидентов. Ну и в-третьих, программно-аппаратные комплексы для управления технологически и процессами и их сети физически отделены от интернетов всяких.

                  0

                  И это еще не полный список. Есть федеральный закон, который обязует компании из данного сектора проходить обязательный аудит.
                  Правда никто не отменял сложные атаки на цепочки поставок. В теории можно прям заморочить голову. Пройтись по всем сторонним вендорам, посмотреть возможность вектора через прошивку в каком-то забытом, но очень важном плк. Там и сеть не нужна. Главное очень компактно написать код самой прошивки под все этапы технологического процесса. А учитывая количество попыток, задача крайне сложная. Ведь нужно еще продумать инклуд самой прошивки туда. Вряд ли вендоры, которые стоят на производстве самих плк и софта, будут спать. В подобных местах тоже делают аудит.
                  Собрав все эти заморочки вместе, находим данную атаку очень сложной. Но это все равно наводит на мысль, что пентест все же имеет место быть. А значит и атака возможна.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое