Loňský srpen bez vědomí veřejnosti zřejmě přinesl jeden nepříliš potěšitelný primát v historii „kyberzločinu“. Nejmenovaná petrochemická společnost se závodem v Saúdské Arábii byla zasažena novým druhem útoku, který zřejmě neměl za cíl jednoduše zničit data či zastavit provoz, ale měl zařízení poškodit natolik, aby došlo k výbuchu – a s největší pravděpodobností také ke ztrátám na životech. Jde o zatím ojedinělou eskalaci (alespoň co se týče veřejně známých případů) jinak již běžných případů počítačového zločinu a počítačové špionáže – rozdíl mezi těmito dvěma aktivitami je totiž někdy opravdu těžké poznat. Co je horší, útočníci zřejmě objevili bezpečnostní skulinu v zařízení firmy Schneider Electric, které se používá po celém světě. Zatím není jasné, zda se ji podaří zacelit, případně, zda už útočníci nemají k dispozici další „zadní vrátka“ do systému. Letní překvapení V srpnu loňského roku si zaměstnanci jedné saúdskoarabské rafinérie všimli, že některá zařízení se během pravidelných kontrol na pohled nelogicky a nápadně vypínají. Nakonec si potíže vynutily zastavení provozu celé rafinérie, nešlo tedy o nic úplně banálního. Při kontrolách se pak v řídicím systému postižených strojů objevil nezvyklý soubor „trilog. exe“, který měl na pohled pocházet od firmy Schneider, jež do závodu dodávala některé technologie. K analýze softwaru daná (a nejmenovaná) firma přizvala jak Schneider, tak saúdskoarabskou státní společnost Aramco, která je největší svého druhu na světě a před pěti lety byla obětí velmi drahého útoku malwarem Shamoon a kyberbezpečnost od té doby rozhodně nepodceňuje. Ukázalo se, že program (a ještě jedna s ním spojená knihovna) skutečně nepochází ze Schneideru a dohromady jde o velmi účinný malware, který musela vytvořit poměrně zkušená a dobře financovaná hackerská skupina. Malware dostal název Trisis (někdy také Triton). Podrobnější pohled na škodlivý kód ukázal, že zastavení provozu rafinérie byl i přes způsobené ekonomické škody nejlepší možný průběh událostí. Malware napadá řídicí systém Triconex Safety Instrumented System (SIS), který se používá u zařízení nejen v rafinériích či na těžebních strojích, ale také například v jaderných elektrárnách, úpravnách vody a dalších typech provozů. Celkem by jím mělo být vybaveno zhruba 18 tisíc podniků na celém světě. A ty doteď v podstatě předpokládaly, že tento typ řídicího systému prakticky nelze vyřadit či ovlivnit bez přímého fyzického kontaktu. Co dělá? Podle stále zatím poměrně kusých popisů, které se dostaly na veřejnost, malware dokáže „vyřadit“ bezpečnostní funkce řídicích jednotek a způsobit tak nepřiměřeně vysokou míru zatížení. Typickým příkladem má být údajně zvyšování počtu otáček nad bezpečnou mez u turbín a dalších podobných strojů, a to až na takovou úroveň, aby došlo ke katastrofickému selhání. Trisis tak pracuje zřejmě velmi podobně jako virus Stuxnet, který americké tajné služby (možná ve spolupráci s Izraelem) využily ke zpomalení íránského jaderného programu v letech 2009–2010. Stuxnet také napadal průmyslové řídicí systémy, konkrétně dokázal ovlivnit otáčky centrifug na obohacování uranu tak, že došlo k jejich selhání a poškození. Proti Stuxnetu jde ovšem Trisis o krok dále. Měl by údajně vyřazovat pojistky, které chrání nejen samotné zařízení, ale také lidské životy. V případě napadené saúdskoarabské rafinérie zřejmě útočníci špatně nastavili některé parametry, systém výchylky zaznamenal a stroje se včas odpojily. Kdyby si však počínali opatrněji, podařilo by se jim podle vyšetřovatelů zřejmě vyvolat havárii, která by měla za následek vážnou nehodu se ztrátou lidských životů. Podle analýz útoku mělo být zřejmě právě toto cílem útoku. Kdo bude další Dobrou zprávou je, že řídicí systémy typu Triconexu jsou přizpůsobeny na míru danému průmyslovému procesu, a útok tedy nelze jednoduše zopakovat v libovolném dalším podniku, který je tímto systémem vybaven. Napadení a ovládnutí daného řídicího systému nutně neznamená, že dojde k selhání celého bezpečnostního systému, který mívá celou řadu vrstev. Událost tedy rozhodně neznamená, že všechny provozy jsou náhle v nebezpečí, spíše by mohla být symptomatickým příkladem vývoje, před kterým někteří bezpečnostní odborníci varují už delší dobu: totiž dalšího zvyšování závažnosti kyberzločinu. Podle některých kriminalistů a počítačových odborníků je jen otázkou blízké budoucnosti, kdy si „hacking“ přímo či nepřímo vyžádá i lidské oběti na životech. Ať už se bude jednat například o narušení bezpečnostních pojistek v průmyslovém provozu a možnou následnou havárii, případně útok menšího rozsahu, který může například připravit pasažéry v automobilu o vládu nad ním či vyřadit kardiostimulátor vybrané oběti. Jde o velmi náročné útoky, které (například jako zmiňovaný Stuxnet) s velkou pravděpodobností mohou nejspíše provést státní organizace. Zřejmě k tomu došlo i v případě malwaru Trisis, jak naznačují některé skutečnosti. Za prvé se nepodařilo identifikovat žádný možný finanční motiv k útoku. Za druhé byl kód prakticky od základu nově napsaný, nikoliv složený z „dílů“ (modulů) dostupných na černém trhu. Především ale vyžadoval opravdu důkladnou, dlouhou a tedy nepochybně drahou přípravu. Malware je údajně napsaný v pěti různých programovacích jazycích, tedy týmem s poměrně širokou škálou specializací a šíří znalostí. V daném případě padá podezření především na Írán, který je ideovým protivníkem Saúdské Arábie v oblasti. Navíc se všeobecně předpokládá, že na saúdskoarabskou petrochemickou infrastrukturu už v minulosti zaútočil. Na vrub Íránu by údajně měla padat i odpovědnost za již zmíněný útok ve společnosti Aramco v roce 2012, který tehdy vyřadil desítky tisíc počítačů ve společnosti a narušil její provoz na celé měsíce.
