Всё, что мы знаем о хакерских атаках на украинские электростанции

25.01.2016 15:09
1 256

Ким Цеттер из WIRED заинтересовался темой киберсаботажа на украинские электростанции и расспросил специалистов, что же всё таки произошло.

В 2007 году американское правительство продемонстрировало, как хакеры могут всего лишь 21 строчками кода физически уничтожить генератор электростанции. Многие специалисты от электроэнергетики тогда отреагировали на это крайне скептически. Некоторые даже обвинили правительство в том, что эта повод испугать общественность. Тогда была продемонстрирован Aurora Generator Test.

Такого рода атаки безусловно требуют огромное количество навыков и познаний, но хакерам необязательно нужно уничтожать гигантское оборудование, чтобы погрузить всех во мрак. Недавний взлом «Укрэнерго» показал, как легко это можно сделать.

В преддверии праздников в прошлом месяце, две электростанции в Украине сообщили, что хакеры взломали их систему, и из-за этого 80 000 человек остались без электричества. Злоумышленники также саботировали станции операторов, что усложнило возможность быстро восстановить электроснабжение. Свет появился спустя три часа, но от того, что хакеры повозились в системах управления, то рабочим пришлось объездить все подстанции и вручную включить там питание.

Несколько дней спустя украинские политики обвинили Россию в том, что она стоит за этой хакерской атакой. Разведка Украины обнаружила и пресекла запланированный саботаж «российских спецслужб» против украинской энергоинфраструктуры. На прошлой недели, бывший глава АНБ и ЦРУ генерал Майкл Хейден, выступая на конференции по безопасности S4, заявил, что обеспокоен этими кибератаками, потому что аналогичные могут последовать со стороны России и КНДР против США.

Если хакеры действительно стоят за отключением электричества в Украине, то это первый известный случай блэкаута из-за кибератаки. Но так ли это на самом деле? Насколько уязвима система безопасности США к подобным атакам? И действительно ли Россия стоит за всем этим?

Мы собрали всё, что знаем и не знаем об происшедшем, чтобы отделить факты от слухов. В том числе мы пообщались с украинским экспертом, который участвовал в расследование происшедшего, который заявляет, что не 2, а около 8 электростанций были целями в хакерских атаках.

Что именно произошло?

23 декабря около 5 вечера, когда у украинцев заканчивался рабочий день, «Прикарпаттяоблэнерго» в Ивано-Франковской области разместила информацию на своём вебсайте, что в Ивано-Франковске отключилось электричество. Компания попросила потребителей прекратить звонки в сервисный центр, пока причина не будет установлена.

Спустя полчаса компания сообщила о том, что отключение началось около 4 часов и распространилось на все восемь районов в Ивано-Франковской области.  И хотя электричество уже есть в самом городе, в области ещё продолжаются работы по восстановлению.

После этого компания сделала неожиданное заявление, что причиной отключения стало «вмешательство посторонних» в систему управления станции. Также компания сообщила, что массовые звонки в колл-центр создали дополнительные технические трудности.

Где-то в это же время, вторая энергокомпания, «Киевоблэнерго», сообщила о том, что тоже подверглись кибератакам. Злоумышленники нарушили работу 30 подстанций, лишив электричества 80 000 потребителей.

И как оказалось «Киеволбэнерго» также получил массу звонков. Николай Коваль, бывший глава Украинской CERT, который участвует в расследование кибератак, заявляет, что все звонки шли из-за рубежа.

Спустя недели всплыли новые подробности. В январе, украинские медиа заявили, что хакеры не только отрубили электричество, но заодно и «ослепили» станции мониторинга «Прикарпаттяоблэнерго». Деталей не так уж и много, но атакующие исказили информацию, убедив операторов, что станции работают корректно, хотя это было не так

Чтобы продлить отключение, мошенники скорее всего запустили TDoS против колл-центр не давая возможность потребителям сообщить о проблеме. TDoS-атака это тоже самое, что и DDoS-атаки, только вместо отправки потока данные на веб-сервера, идёт беспрерывная блокировка телефонной связи поддельными звонками.

Когда же в какой-то момент операторам стало известно об отключении, вредоносное ПО уже заразило ПК и серверы «Прикарпаттяоблэнерго» и парализовало работу электростанции. В системе позже обнаружили KillDisk, который стирает и перезаписывает данные в основных системных файлах, которые «крашат» работу компьютера. Также он подменяет основную загрузочную запись и инфицированные компьютеры не могут перезагрузиться.

«Это нанесло мощный урон машинам-операторам», — заявляет Коваль.

Можно подвести итог, что данная атака была хороша сорганизована.

«Использованные методы сами по себе не сложные, но их скоординированность и организация весьма хороши», — отмечает Роберт М. Ли — бывший глава CERT ВВС США и соучредитель Dragos Security.

Сколько взломали электростанций?

Официальная версия — две . Но Коваль заявляет, что сейчас известно еще о шести нападениях, а это значит, что список атакованных может быть еще больше.

Коваль — генеральный директор украинской фирмы Cys Centrum — заявляет, что не совсем ясно были ли у этих шести компаний блэкауты. Возможно это и произошло, но техники этих компаний быстро это заметили и устранили проблемы до того, как они навредили потребителям.

Когда хакеры попали в систему?

Это также не понятно. Пока Коваль работал в украинском CERT, его команде удалось сорвать вторжение на несколько электростанций. Первые попытки предпринимались в марте 2015, когда неизвестные использовали фишинг для получение доступа к важной информации. Однако команде Ковалёва удалось остановить их в июле. Блэкаут не произошел, однако в системе была найдено вредоносное ПО BlackEnergy2, названное так из-за его частого использования против коммунальных предприятий в разных странах, включая и США. BlackEnergy2 — это троянский вирус, имеющий модульную структуру, который открывает доступ к системе и может встраивать в неё плагины с дополнительными возможностями.

Почему это важно? Потому что компонент KillDisk, который был найден на «Прикарпаттяоблэнерго» используются вместе с BlackEnergy3, усовершенствованным вариантом BlackEnergy2, таким образом связывая обе атаки. Хакеры задействовали BlackEnergy3, как разведчика в других вторжениях, а потом установили BlackEnergy2 на конкретных компьютерах. У BlackEnergy3 больше возможностей, чем у раннего варианта, поэтому он используется в первую очередь, для попадания в сеть и в поиске конкретных систем, представляющих интерес. После, внедряется BlackEnergy2, который осуществляет более специфическую деятельность.

BlackEnergy3 — причина отключения?

Скорее всего нет. BlackEnergy3 не способен сделать также, как и другие вредоносные ПО, которые были найдены на машинах. Коваль полагает, что хакеры использовали BlackEnergy3 для того, чтобы проникнуть в бизнес-сети предприятия, а через них оказаться уже в системах управления. И после того, как они попали на эти машины им не понадобилось уничтожать энергосистему, они просто могли её контролировать.

Очень легко получить доступ к компьютеру оператора хотя необходимо время, чтобы выйти на них. BlackEnergy нападающих, которых он обнаружил в Июле, были крайне хорошо подготовлены для латентного передвижения через сети. «Им стоит лишь раз попасть в сеть и они полностью могут её контролировать»,— замечает Коваль.

Было еще одно предположение, что KillDisk стал причиной блэкаута, когда стёр некоторые данные из системы управления. Однако Scada не работает таким образом, отмечает Майкл Ассанте, глава SANS ICS, который проводит тренинги по кибербезопасности для электростанций и для других индустриальных отраслей. «Вы можете потерять систему, но это не приведёт к отключению электричества», — говорит он.

Виновата ли в этом Россия?

Учитывая сложившийся политический климат, вполне. Отношения между страны стали очень напряжёнными со времён аннексии Крыма в 2014. И буквально перед блэкаутом, проукраинские активисты взорвали подстанцию, которая подавала электричество в Крым, в результате чего прекратилось электроснабжение в аннексированный регион. Есть подозрения, что недавние блэкауты в Западной Украине — это ответка.

Но мы как говорили уже раньше, атрибуция виновного — непростое дело и может быть использовано в политических целях.

Компания, специализирующаяся на кибербезопаности, iSight Partners также считает, что Россия виновата. Потому что ранее BlackEnergy пользовалась киберпреступная группа Sandworm Team, которые, как считает iSight Partners, связана с Россией. Однако это зацепка основывается на том факте, что проводящиеся кампании этой группы схожи с интересами путинского режима — её цели официальные лица Украины и члены НАТО.  iSight также полагает, что BlackEnergy и KillDisk связаны с вредоносным ПО, который использовался во время выборов в Украине в октябре.

Однако другие компании например ESET, сомневается на этот счёт. С того самого момента, как BlackEnergy появилась в 2010 году, он претерпел значительные изменения и использовались против разных отраслей во многих странах. «Нельзя сказать определённо, что данное ПО  управляется одной группой или несколькими», —полагает Роберт Липовский, главный исследователь по вредоносному ПО в ESET.

На этой неделе украинские власти обвинили РФ еще в одном киберпреступление, направленном на сеть Киевского аэропорта в Борисполе. Данные предположения основываются на том, что найденные вирусы в системах аэропорта (которые также могут быть связать с BlackEnergy) и на сервере командного центра были залиты с IP-адреса, который находится в России.

Уязвимы ли американские электростанции к таким атакам?

В определенной степени — да. «Несмотря на всё, что говорят представители власти в СМИ, это также возможно в США», — отмечает Ли. Однако последствия были менее чудовищные из-за различные в электросистемах. Но восстановить их будет намного сложнее в случае чего, из-за того, что в основном они автоматизированы, в отличие от ручного управления у украинцев, если падает система SCADA.

Ясно одно, атакующие системы электростанций в Украине могли нанести ущерб посерьезнее, на подобие Aurora Generator Test. Насколько это легко сделать — вопрос спорный. «Но это вполне осуществимо», — заявляет Ассанте, который является одним из создателей этого теста.

Что сделали украинские хакеры, это не предел, того что они могли сделать, это всего лишь предел, того что они выбрали сделать.

Оригинальная статья: wired.com

Рассказать

Читайте также