В ноябре 2001 года, когда мир ещё пребывал в изумлении от атак 11 сентября и начала операций США в Афганистане, мало кем была замечена новость: 31 октября суд Maroochy Shire в австралийском Квинсленде приговорил к двум годам заключения и огромному штрафу компьютерщика по имени Витек Боден. Он был признан виновным в том, что посредством серии дистанционных взломов в системе цифрового управления насосами выпустил более 1200 кубометров сточных вод из канализации в парки и реки, а также на территорию отеля Hyatt Regency. Тем самым он нанёс большой ущерб природе и одарил местных жителей непередаваемыми ароматами, а затраты на очистку составили более миллиона австралийских долларов. Это было первой в истории успешной хакерской атакой на инфраструктуру «в материальном мире», а не на сугубо цифровые цели.

Зачем же почтенный 49-летний компьютерщик Витек Боден учинил эту локальную экологическую катастрофу? Ранее Боден работал в компании Hunter Watertech, которая с 1997 по 1999 годы установила на 142 насосах местной канализации свою систему SCADA (АСУТП, автоматизированная система управления технологическим процессом). Обширная сеть канализационных протоков в шире Маручи в совокупности имеет длину 880 километров, и связать всё это проводной связью посчитали слишком дорогим предприятием. Система из 142 автоматизированных насосов и 2 центральных компьютеров управлялась через радиосигналы, позволявшие получать цифровой доступ к терминалам контроллеров насосов и даже их ПО. Именно этой работой в её цифровой части Витек и руководил со стороны подрядчика — и в подробностях знал, как и что здесь работает. Видимо, в силу сложного характера Боден вскоре перебил все тарелки с коллегами и руководством Hunter Watertech, уволился в декабре 1999 года и подал заявление в администрацию шира Маручи, предложив им свои услуги как специалиста по IT широкого профиля. Ему дважды отказали — и окончательно взбешённый компьютерщик решил отомстить и администрации, и бывшим коллегам.

В конце австралийского лета, предположительно, с рубежа января и февраля 2000 года, Боден начал реализовывать свой план мести. Как предполагается, ещё во время работы в компании, задумав уйти, он оставил в ПО управления свои «закладки» и бэкдоры. При увольнении он прихватил с собой список всех рабочих частот, запасной контроллер с рацией Motorola M120, состыковал их с ноутбуком — и стал ломать систему. Насосные станции были оборудованы цифровыми контроллерами HWT PDS Compact 500, связанными с центральными компьютерами системы по радиосигналам через сеть ретрансляторов, каждый со своей частотой. Они как принимали сигналы на управления насосами, так и передавали на центральные компьютеры данные с разнообразных датчиков: от работоспособности систем до химического состава воды. Несмотря на то, что шум вокруг хакерских взломов не прекращался с конца 80-х — разработчики SCADA от Hunter Watertech были достаточно легкомысленны. Через любой из контроллеров на насосах можно было получать доступ к обоим центральным управляющим компьютерам, а также к остальным 141 контроллеру. Впрочем, до этого случая попыток злонамеренного взлома АСУТП зафиксировано не было, и разработчики рубежа 90-х и 2000-х годов не слишком задумывались о подобных рисках.

Витек Боден самописным способом «научил» свой ноутбук «прикидываться» для системы различными контроллерами — и стал манипулировать действиями сети насосных станций через другие контроллеры, создавая сбои в её работе. Операторы стали замечать, что число сбоев резко увеличилось: насосы произвольно выключались, не подавали сигналы о проблемах, вываливались из сети, давали ошибочные данные о содержании веществ в воде и степени её очищенности на выходе из очистных сооружений. Полная переустановка ПО на контроллерах и замена проблемных контроллеров ничего не давали. Проблема усугублялась и тем, что контроллеры не вели логи подключений, а быстро прописать их ведение не получилось. Чтобы его было трудно засечь, взломы Боден устраивал с оборудованного рацией ноутбука из салона своего автомобиля, разъезжая по разным уголкам Маручи.

Разобраться в ситуации поручили одному из инженеров-программистов Hunter Watertech по фамилии Ягер. Он принялся отслеживать, записывать и анализировать все сигналы с контроллеров, сообщения и трафик в радиосети системы. Вскоре он пришёл к выводу, что речь идёт не о технических сбоях, а о злонамеренном вмешательстве в работу АСУТП канализации. Удалось вычислить и наиболее вероятную точку взлома: контроллер на насосной станции №14, который технически был совершенно исправен, но раз за разом давал в систему странные команды. Тем временем ситуация ухудшалась: 10 марта произошёл эпизод выброса 264 тысяч галлонов канализационных вод с переполненной насосной станции с весьма неприятными последствиями для местных жителей и природы, а также отеля сети Hyatt в семи милях ниже по реке.

Для проверки своей версии, Ягер временно переписал идентификатор станции №14 на №3. 16 марта 2000 года, когда в системе в очередной раз возникли сбои, Ягер отследил появление насосной станции №14. С её контроллера поступали инструкции, направленные на очередное нарушение работы системы. Программисту удалось на какое-то время отсечь злоумышленника и заблокировать вредоносное вмешательство, но вскоре его собственный компьютер оказался отключён от сети. Теперь Боден использовал идентификационный номер №1 для отправки сообщений, и вернулся к своим действиям с ещё большим размахом. Число и масштабы сбоев и сбросов канализационных вод росли. И Ягер, и его коллеги днями и ночами пытались пресечь взломы и вернуть систему в штатное состояние, но с весьма сомнительными успехами. До центральных компьютеров системы Боден добраться не смог, но, с другой стороны, и их возможности при всех усилиях не позволяли оперативно пресечь сбои. Чтобы носиться между 142 станциями, устраивающими сбои в произвольном порядке, у коммунальщиков Маручи и инженеров Hunter Watertech попросту не хватало сотрудников.

Шансы на поимку хакера, который всегда действовал из разных мест шира Маручи из салона автомобиля, были призрачными. Однако вечером 23 апреля Боден в очередной раз вошёл в систему под видом контроллера №4, и вырубил уведомления о переполнении сразу четырёх насосных станций. Вскоре после этого его внезапно остановила дорожная полиция за нарушение ПДД: видимо, сдали нервы. Содержимое салона показалось копам, уже знавшим о выбросах канализации и предполагаемой вине некого хакера, подозрительным — и не зря. В машине нашли «позаимствованные» им у Hunter Watertech контроллер и рацию, а также ноутбук, на котором обнаружилось ПО для управления автоматикой канализации. Логи показали, что только с 7 апреля имел место 31 взлом, общее количество доказанных в итоге эпизодов составило 46 — а реальное, вероятно, было выше, но логи старше 29 февраля отсутствовали из-за переустановки программы либо установки новой версии с правками. Впрочем, Ягер после задержания всё яростно отрицал, утверждал, что все вещи в машине законно принадлежат ему, а ноутбук он использовал для подработки в соседнем Рэйнбоу-Бич — и потребовал его немедленно вернуть.

Ягер, другие инженеры Hunter Watertech и сотрудники коммунальных служб дали показания по делу. Они признались, что компьютерные навыки и познания Витека Бодена значительно превосходили их собственные. Осознав, что ноутбук содержит слишком много цифровых улик, и удалить данные с него не получится, Боден сменил линию на утверждения, что большинство сбоев были вызваны не его действиями, а попытками криворуких сотрудников компании ему помешать. И что именно они и были причиной выбросов канализации. Суд признал, что ряд сбоев трудно достоверно связать с его действиями, но в остальном доказательная база была вполне убедительной и однозначной. 31 октября Витек Боден был осуждён на два года в тюрьме и штрафу в размере 7500 австралийских долларов в возмещение части расходов на очистку территории Маручи от последствий канализационных выбросов. В целом эти расходы составили для администрации Маручи 176 тысяч австралийских долларов (около 88 тысяч долларов США по курсу 2001 года, или 160 тысяч долларов США 2025 года). Ну а Hunter Watertech вся эта история с обиженным программистом стоила миллиона австралийских долларов, они же полмиллиона американских.

Спустя несколько лет историей заинтересовалась американская корпорация MITRE, работающая с американскими силовыми структурами в том числе по вопросам компьютерной безопасности, что не помешало ей, как было рассказано в цикле о хакерской группе Карла Коха, долгое время не замечать у себя же эпичную дыру. В 2008 году она выпустила пространный доклад о произошедшем с точки зрения (не)соблюдения мер цифровой защиты компьютерных сетей с точки зрения американского стандарта NIST Special Publication 800-53, введённого в 2005 году. Вывод был таков:

Кибератаки 2000 года в шире Маручи важны, поскольку они представляют собой публичную запись преднамеренной целенаправленной атаки, предпринятой компетентным лицом на систему управления промышленными процессами. Атака, совершенная инсайдером, не являющимся сотрудником, демонстрирует ряд критических физических, административных и связанных с цепочкой поставок уязвимостей систем управления промышленными процессами. Ключевой проблемой является устранение уязвимостей, исходящих от поставщиков или других лиц за пределами организации. Персонал подрядчиков и субподрядчиков часто упускается из виду как потенциальный источник атаки. Технические проблемы демонстрируют сложность выявления кибератаки на систему управления и восстановления контроля над «захваченной» системой. Получив предупреждение об атаке такого типа, владельцы и операторы АСУТП могут иметь адекватные средства контроля для защиты своих активов. Однако решительный и осведомленный злоумышленник, такой как Витек Боден, потенциально может обойти эти средства контроля.

В 2017 году своё исследование взлома канализации в Маручи выпустил и MIT — впрочем, оно больше касалось вопросов предотвращения подобного в организационном и управленческом измерениях.

В мае 2002 года Боден попытался просить об уменьшении срока, но безуспешно. Дальнейшие следы его теряются — в сети нет ни единого его фото, как и фотографий вызванного его действиями разлива канализации. Вероятно, они остались где-то в местных бумажных газетах. Ну а взломы критической инфраструктуры после этого эпизода постепенно стали отмечаться всё чаще — в том числе уже со стороны не просто хакеров, а крупных организаций и государственных силовых структур. Став одной из неприятных сторон реальности XXI века, в которой цифровое и материальное всё менее отделимы друг от друга.

© 2025 ООО «МТ ФИНАНС»