Расследование показало, что за крупной кибер-атакой на нефтехимическом заводе в Саудовской Аравии, стоит российский институт.
Калифорнийское секьюрити-агентство FireEye Intelligence пришло к выводу, что нападение на саудовский химический объект, который привел к аварийному закрытию, был скоординирован и поддержан московским ФГУП «Центральный научно-исследовательский институт химии и механики» (ЦНИИХМ).
Агентство связало IP-адреса, а также модели поведения и совместимость часовых поясов с Россией и неидентифицированными сотрудниками, работающими в этом учреждении.
«Поведенческие артефакты также указывают на то, что операторы TEMP.Veles базируются в Москве, оказывая некоторую дополнительную поддержку сценарию, в котором ЦНИИХМ, российская исследовательская организация в Москве, также участвует в активности TEMP.Veles», - сказано в докладе. TEMP.Veles это название вредоносной программы (malware), которая поразила компьютеры саудовского нефтегиганта.
Нефтяные и газовые фирмы на Ближнем Востоке все больше опасаются внешних и внутренних угроз их данным и операциям после волны кибератак против их объектов, особенно в 2012 и 2013 годах. Четыре года назад кибер-атака на саудовскую «Арамко», которая составляет 12,9% от общего объема добычи нефти, уничтожила данные на 30 000 компьютерах. Тогда в нападениях обвинили Иран, который отрицает свою причастность, заявляя, что претензии были «политически мотивированными».
Атаки, которые также повлияли на системы добытчика природного газа Катара RasGas, были одним из самых разрушительных для энергетического сектора.
Последние откровения FireEye по поводу участия России, скорее всего, откроют вопросы о возможных мотивах для этой атаки, особенно учитывая, что Саудовская Аравия и Россия сейчас сближаются на энергетических рынках.
