Червь Slammer заразил АЭС в США
25 января 2003 года в США вирусный червь Slammer обрушил корпоративную сеть АЭС «Дэвис-Бесс» на северо-востоке США.
Комиссия по ядерному надзору обнаружила серьезные нарушения в работе компании FirstEnergy Nuclear, занимавшейся аппаратным и программным обеспечением АЭС. Благодаря ним проникший в сеть вирус распространился на системы мониторинга безопасности и охлаждения станции. Главный компьютер электростанции после этого вышел из строя. На восстановление систем ушло шесть часов.
Данные об истребителе Joint Strike Fighter попали к хакерам
В апреле 2009 года хакеры взломали систему безопасности Пентагона и получили доступ к документации американского истребителя-бомбардировщика пятого поколения F-35 Lightning II.
Хакеры собрали терабайты данных о проекте Пентагона Joint Strike Fighter (программа, предназначенная для замены истребителей, ударных и штурмовых самолетов для США, Великобритании, Италии, Канады, Австралии и других стран), стоимостью $300 млрд, включая детали конструкции самолета, которые могут выявить уязвимости.
Официальные представители Министерства обороны США и одного из подрядчиков, военно-промышленной корпорации Lockheed Martin, настаивали на том, что секретные данные скомпрометированы не были.
Stuxnet нарушил ядерные планы Ирана
Вывод из строя 1 368 из 5 000 работающих центрифуг IR-1 по обогащению урана на заводе в городе Нетензе в Иране в сентябре 2010 года стал одной из самых известных атак на промышленные объекты. По словам экспертов, кибератака отбросила ядерную программу страны на два года.
Stuxnet был невидим для антивирусов, искал нужное оборудование, менял настройки его работы и фальсифицировал показания приборов.
Сложность вируса Stuxnet говорит об огромных инвестициях, которые недоступны рядовым хакерам. Власти Ирана обвинили во взломе спецслужбы США и Израиль.
Считается, что атака стала возможной из-за нарушения правил безопасности сотрудником компании Siemens, который вставил инфицированную Stuxnet USB-флешку в рабочую станцию.
В сентябре 2019 года Yahoo News опубликовала статью, в которой говорилось, что сотрудник, стоящий за этим вторжением, был «кротом», завербованным агентами голландской разведки по приказу ЦРУ и израильской разведки Моссад. Операция, известная как «Олимпийские игры», была разработана не для полного уничтожения ядерной программы Ирана, а для того, чтобы на время отбросить ее назад и выиграть время для вступления в силу международных санкций и оказать дипломатическое давление. Эта стратегия в конечном итоге привела к подписанию в 2015 году Соглашения по ядерной программе Ирана.
Anonymous забрался в базу данных НАТО
Группировка хакеров Anonymous, на чьем счету масштабная кампания против саентологической церкви и атаки на платежные системы PayPal, Mastercard и Visa, в июле 2011 года заявила о взломе сервера НАТО.
Anonymous взяла на себя ответственность за кражу 1 Гб конфиденциальной информации, принадлежащей Североатлантическому альянсу. В качестве подтверждения преступники опубликовали два документа с грифом секретности, в которых шла речь о системах связи для группировок НАТО в Афганистане и на Балканах.
По словам хакеров, скачанные файлы настолько секретны, что они посчитали публикацию всех материалов безответственным поступком.
Представители НАТО не подтвердили, но и не опровергли это сообщение.
Китайские хакеры похитили военные секреты США
В мае 2013 года газета The Washington Post со ссылкой на отчет, подготовленный для Пентагона, сообщила, что в распоряжение китайских хакеров попали секретные военные документы США, включая чертежи и описания военных самолетов и кораблей.
Так были скомпрометированы сведения о зенитном ракетном комплексе Patriot, корабельной системе противоракетной обороны Aegis, вертолете UH-60 Black Hawk, ударном истребителе F-35, беспилотнике Global Hawk и других.
Хакеры получили информацию о системах военной связи: тактической информационной сети Warfighter (WIN-T), с помощью которой военные получают доступ к интернету, сотовой связи и данным в зонах боевых действий и высокоскоростной системе связи Hawklink, которая позволяет вертолетам ВМФ и базовым кораблям обмениваться видео, изображениями с радаров и другими данными. Пятилетний контракт на систему Hawklink, заключенный в сентябре 2012 года, стоил $181 млн.
По мнению издания, полученные данные сэкономят Китаю миллиарды долларов и десятки лет на разработке собственных средств ПРО и прочих боевых систем. Министерство обороны высказало озабоченность растущей угрозой экономической и национальной безопасности США, которую представляют кибершпионы.
Южная Корея обвиняет северного соседа во взломе АЭС
В декабре 2014 года в Южной Корее хакеры получили доступ к внутренней сети компании Hydro and Nuclear Power Co Ltd — оператора 23 ядерных реакторов в стране.
Проникнуть в сеть удалось после рассылки сотрудникам компании более 5,9 тыс. зараженных писем.
Хакеры через Twitter пригрозили опубликовать около 100 тыс. страниц внутренней документации компании-оператора. Они потребовали на три месяца остановить работу двух блоков АЭС Kori и одного блока АЭС Wolsong. В открытый доступ также были выложены планы этажей энергоблоков и данные по системе кондиционирования и системе охлаждения реакторов, а также персональные данные 10 тыс. сотрудников энергетической компании.
Представители компании заявляли, что похищенная информация не конфиденциальна и не представляет угрозы. Власти страны обвинили во взломе КНДР.
Вирусная атака на немецкую АЭС не удалась
27 апреля 2016 года в Германии компьютеры АЭС Гундремминген, расположенной в 120 км от Мюнхена, оказались заражены вирусами W32.Ramnit и Conficker.
Вредоносное ПО обнаружили на 18 съемных носителях информации в компьютерной системе блока Б — в программном обеспечении визуализации данных.
Вирусы были предназначены для скрытной пересылки пользовательских файлов с зараженных компьютеров. Однако чтобы хакеры получили над последними контроль, машины должны были быть подключены к интернету.
Компьютеры, управляющие системами немецкой АЭС, не были подключены к Сети, поэтому заражение не представляло угрозы безопасности атомной электростанции.
У Сеула украли технологии запуска баллистических ракет
В сентябре 2017 года стало известно, что северокорейские хакеры украли у Сеула технологии запуска баллистических ракет подводного базирования.
Хакеры, связанные с Разведывательным управлением Вооруженных сил Северной Кореи, взломали компьютерную систему одной из оборонных компаний Южной Кореи и похитили документацию с технологией «холодного запуска» баллистических ракет с подводных лодок. Эта технология позволяет выбрасывать ракеты из пусковой установки за счет давления, источник которого находится вне ракеты, при этом двигатель ракеты запускается после того, как она выйдет из пусковой установки.
Специалисты не исключают, что взлом мог стать причиной неожиданного прорыва КНДР в области испытаний баллистических ракет подводного базирования. Предполагается, что Северная Корея могла также выкрасть и технологию создания южнокорейских подлодок класса Changbogo-III, на которых планировалось установить баллистические ракеты.
Официальные представители министерства обороны и прокуратуры Южной Кореи отказались комментировать информацию об утечке технологий, но и не стали ее опровергать.
Хакеры атаковали военно-промышленные компании США
В феврале 2018 Associated Press сообщило, что группировка хакеров Fancy Bear, которую американские специалисты по кибербезопасности связывают с российскими спецслужбами, получила доступ к данным крупных американских оборонных компаний. К такому выводу агентство пришло, проанализировав 19 тыс. строк фишинговых писем, собранных компанией по кибербезопасности Secureworks. Данные частичные и охватывают период с марта 2015 года по май 2016 года.
Атаке подверглись 87 человек, работающих над военизированными дронами, ракетами, истребителями-невидимками и другими военными технологиями из компаний Lockheed Martin, Raytheon, Boeing, Airbus Group, General Atomics и других.
Основным каналом, через который хакеры получили доступ к данным, была электронная почта сотрудников этих предприятий. Доступ к почтовым аккаунтам злоумышленники получали с помощью фишинговых писем.
Какую именно информацию удалось украсть, неизвестно. Но большинство проектов, которыми занимались пострадавшие от взлома специалисты, были засекречены. Расследование Associated Press показало, что хакеры могли искать информацию о разведывательном беспилотнике MQ-9 Reaper компании General Atomics Aeronautical Systems. Также они пытались похитить информацию о X-37B — экспериментальном беспилотном орбитальном самолете многоразового использования, который разрабатывала корпорация Boeing совместно с NASA.
Хакер продавал документы американской армии
В июле 2018 года эксперты агентства по кибербезопасности Recorded Future заявили, что один хакер пытался продать в даркнете документы, касающиеся беспилотников модели MQ-9 Reaper. Цена варьировалась от $150 до $200.
Злоумышленник взломал как минимум два компьютера американских военных, воспользовавшись уязвимостью роутеров Netgear. С помощью поисковой системы Shodan взломщик обнаружил незащищенные устройства и смог извлечь из них документы. Так хакер получил доступ к компьютеру руководителя станции по обслуживанию беспилотников Reaper на военно-воздушной базе «Крич» в Неваде (США). Он также похитил файлы с руководствами по эксплуатации и обслуживанию летательного аппарата и список уполномоченных лиц, имеющих право управлять им. Специалисты отмечают, что данные хоть и не засекречены, их можно использовать для доступа к техническим характеристикам и уязвимостям беспилотника.
Позднее хакер выставил на продажу новые документы. Среди них были учебные материалы о том, как управлять танком модели M1 Abrams, и файл с данными по тактикам танкового боя. Эксперты компании по кибербезопасности Recorded Future предполагают, что источником информации стал сотрудник сухопутных войск США.
Китай пытается узнать военно-морские секреты США
Хакеры из Китая провели масштабную атаку на 27 университетов США, Канады и Юго-Восточной Азии, написало в марте 2019 года издание The Wall Street Journal со ссылкой на экспертов по кибербезопасности компаний iDefense и FireEye. По данным журналистов, нападения на университеты шли как минимум с апреля 2017 года. Атаки проводились через серверы китайской хакерской группировки, известной как Temp.Periscope, Leviathan или Mudcarp. Хакеры использовали различные тактики, в том числе рассылали фишинговые письма от имени университетов-партнеров с просьбой о провести совместные исследования.
Среди разработок, интересующих хакеров, были технологии по запуску беспилотников с подводных лодок через устройства для удаления мусора или запуска баллистических ракет, технологии вертикального перемещения объектов под водой для ухода от столкновения с препятствиями. А также программа Пентагона под кодовым названием Sea Dragon по созданию технологии запуска ракет со скрытых в воде подводных лодок.
Злоумышленники атаковали Гавайский университет, Вашингтонский университет и Массачусетский технологический институт (MIT), Лабораторию прикладных исследований университета Пенсильвании, Университет Дьюка в Северной Каролине, частный университет Sahmyook в Южной Корее и другие. Почти все эти университеты были связаны с Океанографическим институтом Вудс-Холла, связанным в свою очередь с военным центров ВМС США, который, по мнению специалистов iDefense, был взломан.
Оборонные предприятия России атакуют
Хакерская группировка Kimsuky из КНДР весной 2020 года провела серию атак на военные и промышленные организации России, сообщил в конце того же года «Коммерсантъ» со ссылкой на экспертов по кибербезопасности.
Хакеры пытались получить конфиденциальную информацию из аэрокосмических и оборонных предприятий, в числе которых могла оказаться и корпорация «Ростех», проводя вредоносные рассылки мошеннических писем с данными о вакансиях.
В «Ростехе» изданию подтвердили рост кибератак, отметив, что большинство из них «некачественно подготовлены».
Северокорейская группировка Kimsuky, известная также как Velvet Chollima и Black Banshee, занимается кибершпионажем. Начиная с 2010 года ее жертвами становились системы, связанные с правительством, национальной безопасностью, авиакосмической, оборонной и атомной промышленностью в Южной Корее и США. Позже в их число вошли предприятия в сфере производства артиллерийской техники и бронетехники в России, на Украине, в Словакии и Турции.
Китайские хакеры пытались взломать разработчика атомных подлодок
В апреле 2021 года хакерская группировка, предположительно работающая на китайское правительство, атаковала Центральное конструкторское бюро морской техники «Рубин», проектирующее подводные лодки для ВМФ России.
По данным американской компании по кибербезопасности Cybereason, хакеры отправили гендиректору ЦКБ «Рубин» фишинговое письмо с изображением автономного необитаемого подводного аппарата от имени концерна МПО «Гидроприбор».
Подозрительное письмо изучили в Национальном координационном центре по компьютерным инцидентам (НКЦКИ), где подтвердили вредоносные функции. Специалисты НКЦКИ проверили инфраструктуру ЦКБ и не обнаружили признаков заражения. Однако они выявили несколько организаций, в сеть которых злоумышленники все же начали проникать. Вредоносное ПО в них ликвидировали.
Интерес киберпреступников к ЦКБ «Рубин» объясняется тем, что как главный подрядчик Минобороны России, бюро работает с уникальной информацией, касающейся военно-промышленного комплекса страны.
Хакеры остановили крупнейший трубопровод США
В мае 2021 года Министерство транспорта США объявило чрезвычайное положение в нескольких штатах из-за остановки трубопровода Colonial Pipeline после кибератаки. Ответственность за нападение взяла на себя хакерская группировка DarkSide, которая, как считается, может состоять из русскоязычных хакеров.
Хакеры проникли в сеть управляющей компании, похитили почти 100 Гб данных и потребовали выкуп. Руководство Colonial Pipeline заплатило вымогателям 75 биткоинов ($4,5 млн на момент сделки). В июне Министерство юстиции США вернуло 63,7 биткоина ($2,3 млн на момент возврата) при помощи закрытого ключа от биткоин-кошелька киберпреступников.
Кибератака на крупнейший трубопровод привела к резкому скачку цен на газ, росту котировок на нефтепродукты и локализованной нехватке топлива в 18 штатах.
Протяженность нефтепровода Colonial Pipeline — 8 850 км. Ежедневно по нему транспортируется 2,5 млн баррелей нефтепродуктов, обеспечивая 45% потребности Восточного побережья США в дизеле, бензине и авиационном топливе.
Сеул обвинил Пхеньян краже секретных документов
В июле 2021 года стало известно, что северокорейские хакеры взломали электронные системы нескольких институтов и компаний южнокорейского ВПК и похитили оттуда большое количество закрытых документов.
Предположительно, документы, касающиеся новейших военных разработок, среди которых могут быть истребитель поколения «4++» KF-21, военные спутники-шпионы, радары, чертежи атомных реакторов для подводных лодок, были украдены у корейской аэрокосмической компании KAI, Корейского института аэрокосмических исследований KARI, Корейского исследовательского института атомной энергии KAERI, судостроительного концерна DSME.
Власти Южной Кореи подозревают в совершении атаки группировку Kimsuky, которая как считается создана и контролируется Главным разведывательным управлением Северной Кореи.
Хакеры «переоделись» инструктором по аэробике
Иранские хакеры 18 месяцев выдавали себя за инструктора по аэробике.
Злоумышленники создали личность некой Марселлы Флорес, онлайн-инструктора по аэробике в Ливерпуле (Англия), и использовали Facebook и Instagram, а также электронную почту, чтобы установить контакт с потенциальными жертвами — сотрудниками компаний в оборонной и аэрокосмической сферах и их подрядчиков. Позже хакеры использовали учетную запись Gmail для отправки жертве ссылки на Microsoft OneDrive с документом или видеофайлом, содержащим вредоносное программное обеспечение для кражи учетных данных и другой конфиденциальной информации.
Специалисты приписывают кампанию группировке TA45, также известной как Tortoiseshell, поддерживаемой правительством Ирана и связанной с иранскими вооруженными силами Корпуса стражей исламской революции (КСИР).