Днем в среду, 17 апреля, «Киберпартизаны» провели масштабную атаку на «Гродно Азот» — крупное химическое предприятие, в производстве задействованы в том числе взрывоопасные вещества. Объединение заявило, что были взломаны системы охраны и камеры видеонаблюдения, нарушена работа котельного цеха. Также уничтожены бэкапы баз данных, серверов. «Зеркало» поговорило с самими «Киберпартизанами» и попыталось узнать на заводе, насколько взлом влияет на безопасность и может ли все обернуться трагедией.
«Цеха работают автономно». Что говорят о взломе на «Гродно Азоте»?
Несколько лет назад производственная газета «Гродно Азота» писала, что завод стоит близко к жилым кварталам и «деятельность химиков в буквальном смысле происходит на глазах горожан». Может ли из-за взлома систем произойти авария на химическом предприятии? Как одна из горожанок, которая живет в многоэтажке неподалеку, журналистка «Зеркала» позвонила на завод.
Сайт «Гродно Азота» все еще недоступен, поэтому номер телефона мы узнавали в справочном бюро. На вопрос, что с сайтом, там сказали, что все дело в хакерской атаке, но заверили, что «цеха работают автономно, ничего опасного нет». Сотрудница приемной гендиректора также убеждала, что все хорошо, и посоветовала «даже не переживать».
— И что, что вы тут рядом живете? И мы живем рядом, и ходим на работу, работаем — все у нас хорошо. У меня тоже дети — я не думаю об этом даже, — ответила сотрудница завода. Но соединила тревожную жительницу с «заместителем по безопасности» (сам он не представился, а позже, когда мы пытались выяснить его данные, на заводе не смогли помочь, так как внутренний справочник номеров до сих пор не работает).
Специалист по безопасности заверил, что «никакой аварии произойти не может», но не объяснил почему. Зато спросил, где была информация о взломе, является этот интернет-ресурс «официальным». Лишь после того, как услышал, что в справочном бюро подтвердили взлом, стал отвечать на вопросы.
— Можете не переживать за безопасность — у нас четко регламентирована работа, процесс. Ничего нигде не повлияло. Никакой угрозы абсолютно нет. Из ваших окон предприятие видно, какое-то изменение в картинке вы заметили: оно не так работает, не в том режиме — или как обычно? Вот вы сами и ответили на свой вопрос: все в порядке, — ушел от детального ответа сотрудник. — Я вам советую не читать фейковые новости, и там очень много лжи. Я надеюсь, вы это четко понимаете.
Однако в интервью заводской газете от 2018 года заместитель главного инженера — начальник управления промышленной безопасности «Гродно Азота» Николай Хаустов рассказывал, что на предприятии стоят технологические установки с блоками первой категории взрывоопасности. Они оснащены компьютерными тренажерами, через которые «соответствующие службы отрабатывают процессы пуска и остановки технологических систем, а также действия в случае возможных инцидентов и аварий».
На вопрос, может ли повлиять атака на работу этих установок, сотрудник тоже не ответил — лишь позвал на экскурсию и пообещал лично показать, что все безопасно.
«Можно было остановить любой цех — это, скорее всего, вызвало бы реальную катастрофу». Что говорят «Киберпартизаны»
В заявлении «Киберпартизан» говорится, что удалось получить доступ к системе охраны, уничтожить бэкапы баз данных и серверов, нарушить работу котельного цеха «Гродно Азота». Как рассказала «Зеркалу» официальная представительница «Киберпартизан» Юлиана Шеметовец, люди, задействованные в атаке, находились в сети предприятия долгое время. Могло ли это привести к аварии?
— Ребята не только выкачивали нужную информацию, но подготавливались к самой атаке. Им приходилось изучать производственные процессы, потому что никто [в команде в этой сфере] не профессионал, чтобы, не дай бог, не вызвать вред от атаки. «Киберпартизаны» проникли в самый внутренний контур сети — это подсеть управления производством. Там вообще нет выхода в интернет. Поэтому им пришлось изощряться и задействовать особые наработки, — объяснила Юлиана Шеметовец. — Вот в этом контуре можно было остановить любой цех, линию производства, и, соответственно, это бы, скорее всего, вызвало реальную катастрофу. Вплоть до того, что могла взорваться половина Гродно, а не только сам завод. Поэтому много месяцев это изучалось и по этой причине никто не останавливал все производство. Там ведь работают с азотом, все линии производства опираются на энергию, горячую и холодную воду, пар. Все продукты производятся как в котельном цеху, так и в системе ГТС (газотурбинная электростанция. — Прим. ред.). И то, и другое было под контролем — это видно на скриншотах.
Юлиана отмечает, что хакеры решили вмешиваться только в работу котельного цеха, «чтобы не сотворить катастрофу». По ее словам, чтобы получить доступы к внутренним системам и оставаться незамеченными, команде пришлось долгое время проводить монотонную работу.
— Было легко попасть на первый уровень защиты предприятия. Но все не так просто — если у тебя есть доступ, не значит, что ты можешь остановить работу линии производства или документооборот. Ребята сидели часами, сутками, копались, чтобы пробраться «внутрь», к более серьезным объектам и иметь возможность «вернуться» туда, когда об атаке станет известно публично, — отмечает Шеметовец. — Причем, как я уже говорила, пробрались даже к объектам, которые не подключены к интернету. Это все непросто, но у команды есть усидчивость и желание этим заниматься, потому что душа болит за все, что происходит.
Ну и нужно понимать, это хорошо, что там были «Киберпартизаны», а не какие-то злоумышленники, другие хакеры, которым все равно на беларусов и есть задача, условно, сотворить теракт. «Киберпартизаны», конечно, молодцы: за три года научились. Но они не профессиональные хакеры с помощью и технологиями на государственном уровне. Если у нас получилось, то и у других может тоже. Это большой риск, который касается не только «Гродно Азота», но и других предприятий со слабой защитой. Как говорят мои коллеги, режим защищает такие сети, как коровник, но не взрывоопасные предприятия.
«Пока „безопасники“ ОАЦ будут заниматься „Гродно Азотом“, мы работаем в других местах»
Пресс-секретарь не стала прямо отвечать, есть ли у группы доступ к системам предприятия спустя сутки. Но пояснила, что в данный момент с котельным цехом, и подробнее рассказала об уроне другим процессам на заводе:
— Скажем так: мы понимаем, что происходит на предприятии, — сказала она. — Также думаем, что работу самого цеха уже восстановили. Но был нанесен урон тысяче ПК, около сотни серверов. «Киберпартизаны» намеренно не нанесли максимальный ущерб. Во-первых, из соображений безопасности, а во-вторых, из-за ограниченности ресурсов. Наши силы направлены на стратегические задачи. Операция «Азот» — это тактический уровень. Режим потратит много ресурсов на расследование и восстановление процессов. Пока «безопасники» ОАЦ будут заниматься «Гродно Азотом», мы работаем в других местах. ОАЦ не резиновые, у них реально толковых профессионалов — десятки, но в масштабах страны их, конечно, абсолютно недостаточно.
С момента атаки прошло почти двое суток. Однако с «Киберпартизанами» пока никто не связался по поводу возвращения данных «Гродно Азота». По словам Юлианы, так происходило и с другими объектами, которые группе удавалось взломать ранее. Почему власти не выходят на связь, чтобы возобновить полноценную работу предприятий, даже если взлом может привести к опасным последствиям?
— Мы понимаем, как все устроено в Беларуси. Руководство не может самостоятельно принимать решения — нужно получить разрешение от вышестоящих структур. Они лучше потеряют работу или не получат прибыль, но хотя бы будут знать, что не пойдут в тюрьму. Даже пропагандисты поднимают проблему, что Лукашенко должен приезжать и все решать, а люди на местах боятся брать на себя инициативу и ответственность.
Поэтому мы не ждем, что директора заводов или еще кто-то выйдет на связь. Хотя вероятность есть, и мы готовы к такому сотрудничеству. Оно будет непубличным. Инициатива скорее будет исходить от представителей режима сверху. А им, конечно, тяжело идти на переговоры, когда мы навязываем свои условия. Сам Лукашенко пару месяцев назад оправдывался, что «Киберпартизаны» выставили записи звонков врачей про вакцину от ковида для него, и нервничал (политик назвал это «вбросом». — Прим. ред.).
Шеметовец отметила, что «Киберпартизаны» готовы к переговорам с властью по освобождению политзаключенных. Пока же у команды нет доказательств, что после других атак на крупные объекты удалось добиться чьего-то освобождения.
— Мы не будем делать на этом какую-то историю, мол, благодаря нам кого-то выпустили. Нам эта слава не важна, главное — бороться за наших людей, которые остаются в тюрьмах. Если есть возможность их вытащить, мы будем это делать. Я лично готова непублично это все «переговаривать» в любом формате. Наша репутация подтверждает, что мы делали все открыто, насколько возможно, и ничьи данные не сливали, — отмечает Юлиана. — Да и, в принципе, власти могут просто выпустить людей даже без переговоров. Если мы узнаем, что кого-то из политзаключенных освободили, при этом кто-то с завода напишет что-то вроде «мы добились, поговорили, людей отпустили — помогите нам, пожалуйста, восстановить обратно данные» — мы на это пойдем. Главное — чтобы были доказательства, что на свободе бывшие сотрудники «Гродно Азота» и политзаключенные, которых нужно освободить по гуманитарным причинам (речь о 75 политзаключенных с серьезными заболеваниями, которых также потребовали освободить хакеры. — Прим. ред.). А какую «говорящую голову» отправят это сообщать, абсолютно без разницы.
«Зеркало» внимательно следит за событиями в Беларуси и добывает актуальную информацию. Мы всегда даем слово обеим сторонам конфликта, чтобы вы могли составить полную — насколько это возможно — картину происходящего.
Помогите редакции продолжить работу
Станьте патроном «Зеркала» — журналистского проекта, которому вы помогаете оставаться независимым. Пожертвовать любую сумму можно быстро и безопасно через сервис Donorbox.
Всё о безопасности и ответы на другие вопросы вы можете узнать по ссылке.