Американское издание Wired провело собственное расследование кибератаки на энергосистему Украины

Американское издание Wired опубликовало собственное расследование кибератаки хакеров на энергосистему Украины, инцидента, который побудил весь мир задуматься о вопросах энергетической безопасности.

Источник приводит полный перевод текста, опубликованного на сайте Wired, доступ к которому все желающие могут получить по ссылке в конце заметки. Мы же в свою очередь выделим лишь основные и наиболее интересные моменты.

Все началось 23 декабря в 15:30 под конец рабочего дня в местном «Прикарпаттяоблэнерго», которое снабжает электричеством весь регион. Один из работников предприятия приводил в порядок бумаги на своем столе и вдруг заметил, как курсор его мышки вдруг начал самопроизвольно перемещаться по экрану. На его глазах состоялся запуск программы, управляющей работой областных подстанций, и последующее отключение соответствующих подстанций, лишившее тысячи жителей света и отопления. Все последующие действия оператора, направленные на восстановление контроля над ситуацией и возобновление работы подстанций, не принесли желаемого результата – злоумышленники изменили код доступа к системе на новый. Вследствие атаки в общей сложности было отключено примерно 30 подстанций. Также параллельно были атакованы еще два распределительных центра, что позволило отключить практически вдвое больше подстанций и погрузить около 230 тыс. жителей в беспросветную темноту.

По данным расследования, атаковавшие украинские электростанции не были просто оппортунистами. Это были хорошо обученные и ловкие стратеги, которые тщательно планировали нападение в течение многих месяцев.

«Это было блестяще», — цитирует источник слова Роберта Ли, который принимал участие в расследовании. Этот человек является бывшим специалистом по кибероперациям Военно-воздушных сил США и сооснователем Dragos Security, занимающейся вопросами безопасности инфраструктуры. По его словам, на разных этапах операции подключались игроки разного уровня, что еще раз говорит в пользу версии с хорошо спланированной и организованной общими усилиями совершенно разных людей или организаций – возможно киберпреступников и организаций государственного уровня – атаки. В то же время в отличие от украинских властей, которые сразу же обвинили российские спецслужбы, что неудивительно в нынешний ситуации, Ли не называет конкретные страны, которые могут быть замешаны в этом деле.

Отмечается, что системы контроля в Украине оказались на удивление более защищенными, чем многие американские, поскольку были хорошо отделены от корпоративных сетей мощными файрволлами. Впрочем, этого было недостаточно – отсутствие поддержки двухфакторной аутентификации позволило хакерам похитить логины и пароли, чтобы получить доступ к системам, управляющим рубильниками.

Электричество в Украине вернули довольно быстро: в разных районах это заняло от 1 до 6 часов. Тем не менее, согласно отчету США, центры контроля до сих пор не восстановились полностью. Системы удаленного управления 16 подстанций, которые были взломаны хакерами, до сих пор не функционируют должны образом – работники вынуждены все делать в ручном режиме. И это хорошо, случись такое в США, вернуть электричество было бы намного сложнее, поскольку там все на автоматике и никакого ручного управления нет.

Многие ведомства в США, включая ФБР и министерство внутренней безопасности США, помогли Украине в расследовании атаки.

В ходе расследования было установлено, что атака началась еще прошлой весной с фишинговой кампании, направленной на IT-специалистов и системных администраторов, которые работают в нескольких компаниях, отвечающих за распределение энергии в различных регионах Украины. В рамках фишинговой кампании работники трех таких компаний получили письма с зараженными Word-документами, содержащими макросы. После предоставления пользователем разрешения на включение макросов программа, которая называется BlackEnergy3 – различные вариации были обнаружены еще в нескольких системах в Европе и США – заражала машины и открывала бекдоры для хакеров. Отметим, что использование макросов – это старый метод из 90-х, который похоже снова становится актуальным. В результате злоумышленники получили доступ к корпоративным сетям.

Проникновению в сети SCADA, которые контролируют электросеть, предшествовали месяцы тщательного изучения возможности получения доступа к контроллерам домена Windows с целью сбора пользовательских данных. Как только злоумышленники попали в сеть SCADA начался долгий и сложный процесс подготовки к атаке. Он включал перенастраивание системы бесперебойной подачи электричества для двух центров распределения (чтобы оставить без света не только население, но и операторов) и подмену оригинальной прошивки оборудования (конвертеров последовательного интерфейса в Ethernet) на вредоносную. Нельзя также не отметить использование вируса под названием KillDisk для удаления всех файлов со станций оператора.

Что бы или кто бы не стоял за атакой на энергосистему Украины, это первое подобное нападение, которое стало важным прецедентом в вопросах обеспечения энергетической безопасности.

Источник: ain


  • Змей Горыныч

    «Отмечается, что системы контроля в Украине оказались на удивление более защищенными, чем многие американские, поскольку были хорошо отделены от корпоративных сетей мощными файрволлами»
    вам бы такого соседа

    • Chief Wiggum

      Мексиканцы отдыхают)

      • Змей Горыныч

        надо поменять Канаду и рашку местами))

        • botulidze

          создаем петицию?

        • mtt

          «Прибалтийские страны недавно заявили о том, что не могут развиваться, так как в соседях у них Россия. Мы можем посоветовать и помочь, чтоб в соседях у них были страны Африки. Переселим всех прибалтов на африканский континент, а африканское население – на территорию стран Прибалтики. Соответственно переименуем страны – думаю, многие жители африканских стран будут только рады. Эстония, Литва и Латвия станут развиваться невиданными темпами на африканском континенте, вызывая зависть у всех остальных стран, так как Россия будет от них далеко, а народ африканских стран получит уникальную возможность выстроить добрососедские отношения с новым соседом, чего не может сделать та же Литва» — Дональд Трамп.

    • mtt

      плохому танцору ..

    • Kirill Dnepropetrovets-Ts

      Ну, правда, хакеры могут взломать систему отнюдь не только «соседу».

  • Illya Evseev

    Вовремя нажатый ресет мог бы спасти ситуацию 😉

    • S.65241

      Нет. Не спас бы.

      • Illya Evseev

        Если он нажат на устройстве, которое соединяет технологическую сеть с Интернетом, то вполне мог 😉

  • Yury Andratsion

    «заметил, как курсор его мышки вдруг начал самопроизвольно перемещаться по экрану. На его глазах состоялся запуск программы, управляющей работой областных подстанций»

    Заметил. Пошел за попкорном и продолжил дальше смотреть?

  • Chief Wiggum

    «вдруг заметил, как курсор его мышки вдруг начал самопроизвольно перемещаться по экрану» — это TeamViewer, детка!

    • Dmitry Litvinov

      Это вирус, детка — TeamViewer с функцией самоустановки

    • Kirill Dnepropetrovets-Ts

      Это все устроили TeamViewer, дабы попиариться. х)

  • Dmitry Litvinov

    Мда, дисциплина некоторых наших IT-специалистов позволяет октрывать черт знает какие Word-документы и разрешать им исполнять макросы. Хотя имейлы, видимо были правдоподобные

  • Simon

    Один из работников предприятия приводил в порядок бумаги на своем столе и
    вдруг заметил, как курсор его мышки вдруг начал самопроизвольно
    перемещаться по экрану.

    То есть взломали изначально через Remote Desktop? Это просто сказка какая-то

    • Yu Ra

      Угу, если открыт RD на критической машине, да еще и машина во внешней сети — это ж какой подарочек то….

    • Кирилл Панькин

      При подключении через RD никакой курсор двигаться не будет, т.к. локальный сеанс будет закрыт. Скорее VNC-сервачок «впрыснули». И это вполне логично, если система имеет графический интерфейс. Чего париться, цель-то достигнута.

      • Simon

        Не нужно путать RPC и RD

        • Кирилл Панькин

          ???
          «То есть взломали изначально через Remote Desktop»
          Что я с чем путаю? ))

          • Simon

            «При подключении через RD никакой курсор двигаться не будет»

            То, о чём вы пишете — это RPC

          • Кирилл Панькин

            o_O
            Remote Procedure Call? Вы серьёзно???

          • Simon

            Вполне. Remote Desktop — это, буквально, удалённый рабочий стол. Что предполагает управление удалённым компьютером посредством трансляции интерфейса рабочего стола этого компьютера на удалённый терминал, используя, как раз, текущий сеанс. RPC, например DCOM или Java RMI, как раз позволяют по TCP совершать вызовы на локальной машине, никаким образом не касаясь текущего сеанса или интерфейса.

            Либо вы имеете ввиду виндовый RDP, но это не тот случай, который описан в статье.

          • Кирилл Панькин

            Вы меня, кажется, не поняли.
            Я имел в виду, что никакого курсора не будет вообще, т.к. у Remote Desktop нет возможности управлять мышкой или клавиатурой параллельно текущем пользователю, как в случая с Radmin, VNC, TV, etc. Или локальный сеанс блокируется, или подключение происходит в параллельном сеансе (если доступен режим Terminal Server).
            Потому в описанной ситуации скорее использовано что-то вроде VNC.

          • Simon

            Вы меня тоже, кажется, не поняли. Говоря Remote Desktop я имел ввиду технологию удалённого рабочего стола как таковую, а не Remote Desktop Protocol (RDP), который разработала Microsoft

  • Підпільний Кіндрат

    Скандалы, интриги, расследования.

  • UA

    З якого порносайту і що саме скачав работнік перед тим як » курсор его мышки вдруг начал самопроизвольно перемещаться по экрану».

    «приводил в порядок бумаги на своем столе», не можна просто взяти і повірити в будь-яку брехню работніка. Він же не скаже що гладив свого пітона на робочому місці, якщо саме цим і займався.

    • John Doe

      Чтобы отключить энергосистему — выложили вирус на порносайт. Какой хитрый план!

      • Melissa

        всегда так делают

  • Сергей Кузнецов

    Если я получаю Word-документ, с макросами, которых быть не должно в принципе — то первый возникающий вопрос: какого хрена ?
    И вообще — без антивируса и без мозга подпускают к рубильникам нынче ?

    • Кирилл Панькин

      «без мозга подпускают к рубильникам»
      А-ха-ха! К рубильникам! )))))) Какие мелочи, ей-богу… Без мозга нынче подпускают и к куда более серьёзным рычагам.

    • Kelarlee

      Приведу собственный пример. Скажу сразу, я не программист, не системный администратор и в кибер безопасности ничего не понимаю. По работе нужно было сделать в ворде документ с макросом и передать его паре коллег для работы с этим документом. Так как этот документ использовался часто, всплывающее окошко ворда, в котором говорится что то вроде «для безопасности макросы отключены, нажмите тут что бы включить» уже порядком начало надоедать. Естественно для простоты запуска и уменьшения телодвижений коллеги и я в том числе полезли в настройки и включили запуск макросов по умолчанию, дабы это назойливое окошко каждый раз не выскакивало. Что вы порекомендуете делать в данной ситуацией ?
      P.S. Антивирусы не всегда могут обнаружить выполнение макросов.
      P.P.S *после таких новостей и удивления от того, что макросы могут такое натворить, включил обратно защиту от макросов.

      • antidotcb

        добавить сертификат к макросам, и добавить в разрещенные для запуска. ещё лучше вынести во внешнюю библиотеку, которую установить на все компьютеры.
        окошко отключать не рекомендую.

        • unk32

          Выполнять открытие документов в песочнице без доступа к системе.

          • antidotcb

            Ну это сознательные товарищи делают. Плюс если действительно качественно спланированная атака с активным использованием соц инжинерии — то шанс значительно вырастает, что какой нибудь документ таки проскочит мимо этого алгоритма действий.
            Если бы это было в 1 клик — то было бы здорово, но учитывая сколько лишних действий, а программисты почту не особо любят, а документы (кроме man-ов) всякие отчетности и прочую ИТ «бюррократию» тем более, за то что она и так драгоценное время у кодинга крадёт… Да и в целом заставить каждого довольно открывать именно так сложно — люди разные, некоторым вообще похеру на проект и на офис и прочую (встречал лично) — им лиш бы интернет был и было тепло, и зарплату платили.

          • unk32

            По идее это должна была сделать сама Майкрософт со своим офисом. Ненормально когда текстовый редактор имеет доступ ко всей системе.

    • unk32

      А вопрос «какого хрена через 20 лет через бейсиковый макрос в продукте известной корпорации всё еще можно заразить систему» не возникает?

  • MVM

    Из отчета следует, что между офисной и пром. сетями имелся VPN мостик. По нему и перешли…

  • Soroka

    Ти диви, а мудрі коментатор на атісі, пам’ятається проводили своє розслідування, де вся причина була в сторожі, який хотів подивитися кіно з флешки на робочому місці.

  • botulidze

    Внимание, спец в треде:
    авторитетно заявляю что моя домашняя файлопомойка защищена лучше, чем все «Прикарпаттяоблэнерго».

    • pumv

      Видимо, вы тратите на это чуть больше денюжек на легальный защищенный софт, чем облэнерги, да?

      • OlegProton

        А Вы видели какие дореволюционные ПК стоят на подстанциях?
        На некоторых даже не Windows 95…

    • loladin

      это только ваше мнение.

  • Pavel Don

    Ок, открыл какой-то Вася документ и что дальше? У него прав как кот наплакал. Или эти документы подсунули админам и те как безмозглые дети позапускали документы с макросами? Явно недоработка админов. Я уже не говорю о том, что сейчас везде используются как минимум смарткарты, а максимум двойная авторизация и такой прокол еще более маловероятный, так как никакой VNC не вытянул бы удаленно данные такой карты.

    • loladin

      смарткарты и двойная авторизации обычно в таких учереждениях не применяется

      • pumv

        Теперь будут. Причем по всему миру) Сгорела заготовочка-то ))))

    • antidotcb

      разработчики обычно сидят с админскими правами. судя по всему они были первыми кто попал под удар, через них вышли на «продакшн».

      • Pavel Don

        С админскими, разве что для своей тачки. А для домена весьма низкие права. Разработчик мало имеет прав в домене. Ему это не нужно для работы. Он же не заливает напрямую свои изменения на рабочий сервер (или что там у них) :).

        • antidotcb

          согласен — но этого более чем достаточно чтобы начать заражение всей сети и добраться до админских тачек, а дальше много ума не надо

        • unk32

          Чем ближе к госслужбе тем ниже квалификация. Во-первых на такие зарплаты мало кто пойдет, а во-вторых если даже их многократно повысить то кто ж туда возьмет не своих кумовьев или людей хоть и тупых но испольнительных.

  • Elder

    Короче рубильник — наше всё.

  • mtt

    >В то же время в отличие от украинских властей, которые сразу же обвинили российские спецслужбы, что неудивительно в нынешний ситуации
    неужели. назовите хотя бы одну причину, по которой это не могла сделать страна, не буду называть ее по имени, назначающая свободнымнирабам мэров, премьеров, президентов?
    >Ли не называет конкретные страны, которые могут быть замешаны в этом деле.
    иными словами, пруфов у нас нет, остается ли безпруфно пи#деть всякими левыми намеками.

  • Cooler

    А ні кого не зацікавило ціль даної атаки? Вам не здається, що це наче якась замануха. В тому сенсі, що невже вони майже рік планували відключення електрики на 6 годин, чому саме той регіон? Чому саме той день? Можливо відключення було потрібно для взлому ще чогось? Який прфіт з того?

    • pumv

      Уже заинтересовало! Давайте, откройте нам глаза! 8)

      • Cooler

        я не знаю цього, просто так дивно, нашо воно кому здалося відрубати гуцулам світло, нічого ж критичного не сталося, нічого не вкрадено (або ми про це не знаємо) і над цим працювала ціла команда, ціла спец операція…

        • antidotcb

          помоему все логично.
          если предположить в 2014 сценарий войны, то это отключение на 6 часов превратилось бы в отключение на месяцы.
          а так как война не началась, решили просто «открыть карты» и показать «кто в доме главный», так как дыра не пригодилась.
          Учитывая что в Украине я работал как раз над SCADA системами могу сказать одну неприятную вещь.
          Они не только электроэнергию контроллируют, но и перекачку газа и нефти… и результаты вредоносного вмешательства в эти системы как раз могли бы привести к более печальным результатам.

          • bucrarcub

            «если предположить в 2014 сценарий войны, то это отключение на 6 часов превратилось бы в отключение на месяцы.»
            з чого б то?

          • antidotcb

            Из-за военных действий, и продолжение атаки. Плюс имея полный доступ к SCADA контроллерам, можно с умом перенаправить потоки и спалить магистраль (как было в Индии в середине 2012)

        • pumv

          Скорее всего, валить хотели всю энергосистему, а пробились только к гуцулам… Решили, что и этого достаточно. И понеслась.

    • vywert

      1) Никто не знал, за какое время восстановят статус-кво. Ни мы, ни они.
      2) Атака проводилась в нескольких регионах, но в Ивано-Франковской области последствия были наиболее ощутимыми.
      3) Это могла быть и просто проверка устойчивости информационных систем электрогенерирующих компаний и времени и способности восстановления работы. Напомню, прошло уже 3 месяца, но «До настоящего момента системы удаленного управления 16 подстанций, которые были взломаны хакерами, до сих пор не функционируют должны образом – работники вынуждены все делать в ручном режиме. »

      4) Любая структура требует оправдания своему существованию — гаишники должны штрафовать, налоговики должны проводить проверки, хакеры на государственной службе должны взламывать и выводить из строя ИТ-системы противника.

    • Viktor Sopilniak

      Т.е. параллели с отключением Крыма от энергосистемы Украины вы не наблюдаете?

    • unk32

      Во-первых они судя по информации делали это сразу в нескольких регионах (в одном получилось, в других возможно состояние такое аховое что компьютеры там для «косынки» только). Почему? В Кремле есть некоторое представление о «цветных» революциях (возможно из американских фильмов что вот выдали в эфир что власти бяки так сразу и революция) — они думали что можно американцам вот так на пустом месте взять, наколоть апельсины антикозлином, и будет революция. Возможно они хотели сделать свою еще одну «Русскую весну» вырубив электричество, мы типа сразу за вилы, долой, и понеслась.

  • MultiTAB

    Алло, алло, у меня тут какой то самопроизвольный курсор мыши….

  • mtt

    >В то же время в отличие от украинских властей, которые сразу же обвинили российские спецслужбы, что неудивительно в нынешний ситуации
    неужели. назовите хотя бы одну причину, по которой это не могла сделать страна, не буду называть ее по имени, назначающая свободнымнирабам мэров, премьеров, президентов?
    >Ли не называет конкретные страны, которые могут быть замешаны в этом деле.
    иными словами, пруфов у нас нет, остается лишь беспруфно пи#деть всякими левыми намеками.

  • hero

    >В то же время в отличие от украинских властей, которые сразу же обвинили российские спецслужбы, что неудивительно в нынешний ситуации
    неужели. назовите хотя бы одну причину, по которой это не могла сделать страна, не буду называть ее по имени, назначающая свободнымнирабам мэров, премьеров, президентов?

    >Ли не называет конкретные страны, которые могут быть замешаны в этом деле.
    иными словами, пруфов у нас нет, остается лишь беспруфно пи#деть всякими левыми намеками.

  • Victor Piven

    Вот поэтому порой задумываешься, что имеет смысл строить небольшие Электро станции, где в случае чего без электричества осталось бы не 230 тысяч, а несколько тысяч, если не меньше людей.

    Дальше вот одному мне кажется странным, что можно тупо подключиться к Облэнерго, запустить программу и отключить подстанции?!

    Где безопасность, где разрешение на отключение, пароли доступа на каждую подстанцию?
    Не говоря про специальные карты, проверку отпечатков пальцев или сетчатки глаза.

    И в целом мне вот месяца 3 старый email бомбят спамом и подставными сайтами.
    Но ума хватает проверять email отправителя, а если и переходить то в «песочнице» или «виртуальной машине».

    • Ростислав

      Если вы читали статью, то «тупо» подключится к Облэнерго не выйдет. Прошла длительная и спланированная акция.

      • Mr. Green

        своих же администраторов рук дело.

      • Victor Piven

        Я отбросил этап внедрения, оставил лишь часть, где вдруг курсор зашевелился и достаточно было запустить программу.

        • Ростислав

          Ну так многое можно упростить. Например пуск ракеты свести к нажатию на красную кнопку, опустив процесс разработки ракеты и прочее.

    • Mr. Green

      У меня вот эпично драйвер сам установлся. (Были скачаны). Комп не перезагружался

      • Victor Piven

        Смотри обновы Windows, там есть пункт «получать обновления и других продуктов».

        Вот Windows и качает драйвера, обновы Office и ещё чего-то там.

        • Mr. Green

          Не-не-не. Я скачал драйвер через GFE, но кнопку Експресс обновления не нажимал. Так получилось (не знал что драйвер багнутый). Потом смотрю иконка с восклицательным знаком пропала. Гляжу — а 362 уже установлен. Такое в первый раз вижу.

  • dobrodum

    Оффтоп.
    Установил новый драйвер (вирус), бесконечная перезагрузка, зашел в «безопасный режим», удалил драйвера через DDU. Сделал чистку реестра через поиск по названию NVIDIA. Теперь не могу установить любую версию, пишет такое: http://i75.fastpic.ru/big/2016/0309/06/fd536f458f54a5264f94c4849b831b06.jpg, а если устанавливать через GeForce Experience, пишет такое: http://i74.fastpic.ru/big/2016/0309/bf/55a8ae840127460ed7c775d48abf10bf.jpg. Устанавливаются только драйвера через «виндовс апдейт» версии 358.91. Монитор один. Подскажите может кто сталкивался, как решить проблему и установить драйвера?

    • unk32

      У меня под 10-кой только через DDU и можно драйвера Nvidia обновлять. Там вроде советуется еще через DDU (кнопка есть насколько помню) выключить установку виндовых драйверов, иначе Nvidia не может установить свои из-за того что параллельно винда уже ставит свои.

      • dobrodum

        Пробовал уже через ДДУ, не помогло. Помогла установка не пакетом все сразу, а поочередно, но не все модули устанавливаются, хотя основные установил. Драйвер, физикс, экспириенс.

    • vywert

      Экспресс-установка драйвера NVIDIA GeForce 364.47 может навредить системе http://ru.gecid.com/news/ekspress-ustanovka_drajvera_nvidia_geforce_364_47/

      Оно?

      • dobrodum

        Да. Но мне нужно решение проблемы, а не новость о оной ))

        • vywert

          Я вам удочку, а вы от меня рыбу хотите, да ещё жареную 🙂

          http://forums.overclockers.ru/viewtopic.php?f=123&t=553260
          http://forum.overclockers.ua/viewtopic.php?f=23&t=150007&start=20

          насколько я понял, полного решения проблемы ещё нет. Ну, кроме полной перестановки винды.

          • dobrodum

            Рыбак блин )) Я уже сижу на тех форумах, решения нет 🙁 Жду новых дров от нвидиа, надеюсь они все исправят гады такие. Поломали мне систему.

          • Змей Горыныч

            у меня через джифорс экспириенс не хотел обновы искать, решение было скачать с офсайта экспириенс (раньше был с асус супорт)
            ну хз, перезагружал?)

          • dobrodum

            Обновы качает через экспириенс. Просто новый релиз поломал все, на форумах Нвидиа гневные опусы. И я на свою голову установил этот релиз глючный 🙁

          • Денис Викторович

            Вопрос глупый но все же, вручную установить драйвер в диспетчере устройств пробовали?

  • OlegProton

    Это ж каким нужно быть дебилом что б открыть приложенный файл из почты от не понятно кого…

  • wakeup5000

    Зачем автоматике управление облэнерго вообще доступ в интернет?
    У нас мощные фаерволлы? Не смешите. Разве что вахтерша и бумажный документооборот — тогда да, не все пройдут )))

  • Kirill Dnepropetrovets-Ts

    Интересно, а если сейчас вновь проведут атаку — история повторится или нужные меры уже предприняты?

  • Naz

    Зачем таки важные системы, подключать к всемирной паутине? Почему нельзя всю управляющую составляющую изолировать, чтоб взлом возможен был только локально?