ОАО «Гродно Азот» — одно из крупнейших предприятий Беларуси, государственный производитель азотных соединений и удобрений. С 2020 года руководство этого предприятия участвует в политических репрессиях в отношении сотрудников и обходит экономические санкции, введенные западными странами за поддержку режима Лукашенко. Систематическое нарушение прав человека в стенах «Гродно Азот» спровоцировало атаку Киберпартизан 17 апреля 2024 года.
🔥 Нарушена работа котельного цеха.
🔥 Зашифрована внутренняя почта, документооборот и сотни рабочих компьютеров.
🔥 Уничтожены бэкапы (резервные копии) баз данных, серверов, почты, документооборота.
🔥 Получен доступ к системам охраны и камерам наблюдения.
🔥 Взломан официальный сайт предприятия.
С чего началось
Киберпартизаны находились в сети «Гродно Азот» на протяжении нескольких месяцев. Мы проводили разведку, выкачивали нужную нам информацию и готовили атаку. Долгое время изучали производственные процессы предприятия, чтобы наше вмешательство не навредило обычным сотрудникам и жителям Гродно.
За время нахождения в сети мы нашли немало интересных документов. Например, ниже представлен документ, составленный от имени генерального директора «Гродно Азот» — И. В. Ляшенко, — который подтверждает атаку Киберпартизан на БелЖД в феврале 2022 года, сразу после вторжения РФ в Украину.
Тогда наша атака препятствовала передвижению военных эшелонов российских захватчиков. Но также отразилась на других процессах в стране, например, приостановила отправку вагонов с удобрениями в подсанкционном предприятии «Гродно Азот». Это редкий случай когда наша атака и ее эффективность подтверждены стороной противника.
Управляли целым предприятием
Со временем мы проникли во внутренний контур сети «Гродно Азот» — подсети управления производством.
В этом контуре можно остановить любой цех или линию производства. Даже полностью прекратить работу предприятия. Разумеется, мы не рассматривали такой вариант, так как это могло привести к реальной катастрофе и навредить мирным гражданам.
Участник «Киберпартизан», ответственный за эту операцию, поясняет:
Повезло, что взломали именно мы, а не какие-то злоумышленники, которые могли привести к катастрофе. Все линии производства опираются на энергию, горячую+холодную воду и пар. Эти продукты "производятся" в котельном цеху и ГТЭС (газотурбинной электростанции). Все это было под нашим контролем.
Киберпартизаны намеренно нарушили только работу котельного цеха, так как мы знали, что есть резервные источники для генерации энергии и ими смогут воспользоваться. Мы хорошо изучили внутренние процессы предприятия и знали, что это не приведет к опасным последствиям для людей. Но при этом мы продемонстрировали свои возможности, что реально можем управлять работой «Гродно Азот».
При Лукашенко предприятия находятся под слабой защитой в киберпространстве, так как не хватает хороших специалистов, которые согласились бы работать на режим. Это серьезнейший риск для безопасности всех граждан страны.
Как делится один из частников кибератаки:
Режим защищает эту сеть как коровник, а не как взрывоопасное предприятие. Мы уже освещали раньше эту тему с БелАЭС. Но режим не предпринял никаких существенных мер для повышения безопасности подобных объектов.
Теперь мы осветили эту тему заново, более ярко.
Как прошла атака
Когда мы в достаточной степени провели киберразведку и получили всю необходимую нам информацию, решили провести атаку на «Гродно Азот» и зашифровать все возможные данные.
17 апреля к 9 утра Киберпартизаны зашифровали сотни рабочих компьютеров. По нашим расчетам, от 500 до 1000 машин должны были быть заражены. Тогда же мы начали стирать данные. В общей сложности предприятие потеряло десятки терабайт информации: базы данных, их резервные копии, почта, документооборот и пр.
Так как работа внутренней сети была серьезно нарушена, сотрудники предприятия поняли, что проводится атака. Об этом даже написали на официальном канале еще до того, как мы сами сообщили о взломе.
При этом мы читали внутреннюю переписку сотрудников, где они обсуждают нашу атаку, буквально в «прямом эфире».
По завершению кибератаки мы также решили нарушить работу официального сайта «Гродно Азот». Это по сути только витрина, взлом сайта реально не мешает работе предприятия. Это было сделано в большей степени за тем, чтобы любой желающий мог посмотреть сам хотя бы некоторый результат нашей работы. Обычно наших подписчиков такое радует.
Но самые серьезные последствия несет, конечно, атака на саму внутреннюю сеть «Гродно Азот», и на предприятии это уже очень хорошо оценили.
Кибератака на ОАО «Гродно Азот» не только наказание руководства предприятия за многолетние политические репрессии в отношении сотрудников, но и предупреждение для остальных предприятий и организаций в Беларуси, которые также замечены в подобной деятельности. Мы наглядно показываем, что в том или ином виде расплата за издевательство над беларуским народом может настигнуть (и настигнет рано или поздно) каждого, кто в этом участвует. Сегодня это «Гродно Азот», завтра может быть руководство любого другого предприятия, учреждения, организации, которое нарушает базовые права человека на свободу слова и волеизъявления в Республике Беларусь.