Хакеры угрожают украинским энергосетям. За кибератакой на облэнерго читается российский почерк
Когда в конце декабря появились сообщения о сбоях в работе региональных дистрибьюторов электроэнергии – Киевоблэнерго, Прикарпатьеоблэнерго и Черновцыоблэнерго – мало кто догадывался о масштабах проблемы. Сейчас эксперты утверждают, что за сбоями 23 декабря стоят атаки хакеров, которые являются очень редким случаем проникновения в систему энергоснабжения.
Служба безопасности Украины, комментируя отсутствие электричества в большей части Ивано-Франковской области в тот день, заявила об обнаружении вредоносных программ в компьютерных сетях Прикарпатьеоблэнерго. При этом вирусная атака сопровождалась непрерывными звонками на номера техподдержки компании. В СБУ подозревают, что атака была организована из России.
Уже 4 января нынешнего года аналитики американской iSIGHT Partners, занимающейся вопросами безопасности, получили примеры вирусного кода и подтвердили, что именно он стал причиной отключения электричества в декабре. В истории кибератак насчитывается всего один или два случая, когда путем проникновения извне хакерам удалось что-то подобное.
Подобные технологии были использованы при кибератаке на ядерные объекты Ирана в 2009-2010 годах, когда были выведены из строя около 1.000 из 19.000 центрифуг по обогащению урана. В 2014-м BlackEnergy был использован для атаки на информационные системы НАТО
Эксперты словацкого производителя антивирусов ESET говорят, что облэнерго были инфицированы вирусным пакетом BlackEnergy. Он был создан в 2007 году и обновлен в 2014-м, когда в него среди прочих была добавлена функция, делающая невозможной перезагрузку зараженного компьютера. Позже в пакет включили компонент KillDisk, который уничтожает самые важные части жесткого диска и блокирует системы промышленного управления. Последняя версия BlackEnergy дает хакерам постоянный доступ к инфицированным компьютерам.
BlackEnergy является классической троянской программой, которая устанавливает себя на компьютере, если его пользователь по неосторожности открыл присланный ему файл с инфекцией. В ESET подозревают, что в случае с украинскими энергокомпаниями роль троянского коня сыграли файлы Microsoft Office.
Украинская компания CyS Centrum располагает примерами таких писем, которые рассылались с почтового сервера Верховной Рады rada.gov.ua. Так, в начале 2015 года с этого почтового сервера приходило сообщение, где вирус был спрятан во вложенном Excel-файле с некими списками по мобилизации.
Компонент KillDisk, использованный в атаке на облэнерго, включал в себя дополнительные функции, которые позволяют не просто сделать перезагрузку компьютера невозможной, но и блокируют автоматизированную систему управления производством электроэнергии, делая ее восстановление намного более сложным. Ранее не было известно, что KillDisk способен отключать критически важные системы и предоставлять хакерам удаленный доступ к компьютерам.
Майкл Ассанте, директор американской компании SANS ICS, занимающейся защитой автоматизированных систем управления, считает, что анализ кибератаки на украинские облэнерго требует значительно большего времени, чтобы прийти к точным выводам. Еще слишком рано утверждать, что декабрьский случай не был обычной DDoS атакой. Не до конца понятно, система управления облэнерго отключилась или просто перешла в режим ручного управления. Хотя если удастся подтвердить, что это был вирус, то случай действительно уникальный.
"Я бы предостерег от поспешных предположений, что это однозначно была российская атака на украинскую инфраструктуру", - говорит НВ Ассанте. Но при этом добавляет, что сообщество борцов с кибератаками в последнее время очень озабочено распространением вирусного пакета BlackEnergy, которое связывают с активностью российских хакеров.
Во время местных выборов в 2015 году использование BlackEnergy и KillDisk было замечено при атаке на интернет-ресурсы группы StarLightMedia Виктора Пинчука. Тогда же был очень существенно поврежден видеоархив телеканала ICTV, тоже входящего в эту группу. В 2014-м от внешней атаки пострадала Центральная избирательная комиссия.
Есть стереотип, что хакер – это бедный бородатый программист, сидящий в толстых очках перед монитором с кружкой месячного кофе. Это не так
Подобные технологии были использованы при кибератаке на ядерные объекты Ирана в 2009-2010 годах, когда были выведены из строя около 1.000 из 19.000 центрифуг по обогащению урана. В 2014-м BlackEnergy был использован для атаки на информационные системы НАТО, государственных органов Польши.
"Атака такого уровня – технически достаточно непростая вещь", - комментирует случившееся на облэнерго Виктор Жора, директор украинской компании Инфосейф ИТ, специализирующейся на информационной безопасности. На вопрос НВ о том, не угрожают ли аналогичные атаки безопасности украинских атомных электростанций, эксперт отвечает, что внедрить в их компьютеры вредоносный код не так просто, поскольку на АЭС системы управления отделены от внешних сетей. Это тот случай, когда отсталость систем управления украинской энергосистемы повышают ее уровень защищенности. Даже перегрузить систему банальной DDoS атакой в таком случае невозможно.
Для внедрения вредоносного кода на интересующий хакеров объект используются методы социальной инженерии или агенты внутри организаций. Как правило, разработчики атаки знают, какая система безопасности используется на объекте, и пишут код так, чтобы ее обойти. В России подобные задачи по плечу не только сообществу киберпреступников, но и Федеральной службе безопасности, считает эксперт.
"Очевидно, что к разработке и реализации таких атак привлекается достаточно обширный коллектив аналитиков и программистов, - добавляет Жора. - Это могут быть десятки человек, причем совершенно не обязательно, что все из них знают, чем в реальности занимаются". Он не исключает, что в атаке на облэнерго могли участвовать и украинские хакеры, поскольку BlackEnergy является распространенным инструментом атак для всего восточно-европейского пространства. У украинских айтишников могут быть свои счеты с властью, учитывая многочисленные претензии к ним со стороны МВД и налоговой службы в последнее время.
Юрий Марченко, генеральный директор компании Накитель, украинского разработчика технологических решений для безопасности, считает, что организовать атаку, подобную нападению на облэнерго, невероятно сложно. Поэтому он пришел к выводу, что без условного "дяди Васи с монтировкой" не обошлось. Кто-то из персонала облэнерго мог быть подкуплен для выведения оборудования из строя. "Да и не факт, что на компьютерах облэнерго были установлены последние заплатки для антивируса и операционной системы", - добавляет эксперт. Он подчеркивает, что если бы атаки на энергосистему не были сверхсложными, мы бы уже стали свидетелями не одной взорванной хакерами АЭС.
Интересно, что устаревшая операционная система Windows XP, которая до сих популярна в Украине, более устойчива к атакам с использованием BlackEnergy, чем ее более поздние версии. В целом же, отмечает Марченко, в развитых странах для критических важных систем Windows практически не используется, а ставка делается на операционные системы на базе Unix, одной из которых является Mac OS. Количество прописанных под нее вирусов очень невелико, если сравнивать с Windows. Попытки установить операционную систему на базе Unix в украинских госорганах ничем не увенчались.
Что касается мотивации хакеров, то она бывает разной – от желания поиграть мускулами до нахождения уязвимых мест в системе для последующей продажи модели решения проблемы. Хотя более известные хакерские группы имеют свои политические или религиозные взгляды, которые они и отстаивают, а мотив заработка денег отходит на второй план.
"Есть стереотип, что хакер – это бедный бородатый программист, сидящий в толстых очках перед монитором с кружкой месячного кофе. Это не так, - говорит Марченко. - Хакер обычно – это очень хороший программист, у которого уже есть деньги".
