Американское издание Wired провело собственное расследование кибератаки на энергосистему Украины

Американское издание Wired опубликовало собственное расследование кибератаки хакеров на энергосистему Украины, инцидента, который побудил весь мир задуматься о вопросах энергетической безопасности.

Источник приводит полный перевод текста, опубликованного на сайте Wired, доступ к которому все желающие могут получить по ссылке в конце заметки. Мы же в свою очередь выделим лишь основные и наиболее интересные моменты.

Все началось 23 декабря в 15:30 под конец рабочего дня в местном «Прикарпаттяоблэнерго», которое снабжает электричеством весь регион. Один из работников предприятия приводил в порядок бумаги на своем столе и вдруг заметил, как курсор его мышки вдруг начал самопроизвольно перемещаться по экрану. На его глазах состоялся запуск программы, управляющей работой областных подстанций, и последующее отключение соответствующих подстанций, лишившее тысячи жителей света и отопления. Все последующие действия оператора, направленные на восстановление контроля над ситуацией и возобновление работы подстанций, не принесли желаемого результата – злоумышленники изменили код доступа к системе на новый. Вследствие атаки в общей сложности было отключено примерно 30 подстанций. Также параллельно были атакованы еще два распределительных центра, что позволило отключить практически вдвое больше подстанций и погрузить около 230 тыс. жителей в беспросветную темноту.

По данным расследования, атаковавшие украинские электростанции не были просто оппортунистами. Это были хорошо обученные и ловкие стратеги, которые тщательно планировали нападение в течение многих месяцев.

«Это было блестяще», — цитирует источник слова Роберта Ли, который принимал участие в расследовании. Этот человек является бывшим специалистом по кибероперациям Военно-воздушных сил США и сооснователем Dragos Security, занимающейся вопросами безопасности инфраструктуры. По его словам, на разных этапах операции подключались игроки разного уровня, что еще раз говорит в пользу версии с хорошо спланированной и организованной общими усилиями совершенно разных людей или организаций – возможно киберпреступников и организаций государственного уровня – атаки. В то же время в отличие от украинских властей, которые сразу же обвинили российские спецслужбы, что неудивительно в нынешний ситуации, Ли не называет конкретные страны, которые могут быть замешаны в этом деле.

Отмечается, что системы контроля в Украине оказались на удивление более защищенными, чем многие американские, поскольку были хорошо отделены от корпоративных сетей мощными файрволлами. Впрочем, этого было недостаточно – отсутствие поддержки двухфакторной аутентификации позволило хакерам похитить логины и пароли, чтобы получить доступ к системам, управляющим рубильниками.

Электричество в Украине вернули довольно быстро: в разных районах это заняло от 1 до 6 часов. Тем не менее, согласно отчету США, центры контроля до сих пор не восстановились полностью. Системы удаленного управления 16 подстанций, которые были взломаны хакерами, до сих пор не функционируют должны образом – работники вынуждены все делать в ручном режиме. И это хорошо, случись такое в США, вернуть электричество было бы намного сложнее, поскольку там все на автоматике и никакого ручного управления нет.

Многие ведомства в США, включая ФБР и министерство внутренней безопасности США, помогли Украине в расследовании атаки.

В ходе расследования было установлено, что атака началась еще прошлой весной с фишинговой кампании, направленной на IT-специалистов и системных администраторов, которые работают в нескольких компаниях, отвечающих за распределение энергии в различных регионах Украины. В рамках фишинговой кампании работники трех таких компаний получили письма с зараженными Word-документами, содержащими макросы. После предоставления пользователем разрешения на включение макросов программа, которая называется BlackEnergy3 – различные вариации были обнаружены еще в нескольких системах в Европе и США – заражала машины и открывала бекдоры для хакеров. Отметим, что использование макросов – это старый метод из 90-х, который похоже снова становится актуальным. В результате злоумышленники получили доступ к корпоративным сетям.

Проникновению в сети SCADA, которые контролируют электросеть, предшествовали месяцы тщательного изучения возможности получения доступа к контроллерам домена Windows с целью сбора пользовательских данных. Как только злоумышленники попали в сеть SCADA начался долгий и сложный процесс подготовки к атаке. Он включал перенастраивание системы бесперебойной подачи электричества для двух центров распределения (чтобы оставить без света не только население, но и операторов) и подмену оригинальной прошивки оборудования (конвертеров последовательного интерфейса в Ethernet) на вредоносную. Нельзя также не отметить использование вируса под названием KillDisk для удаления всех файлов со станций оператора.

Что бы или кто бы не стоял за атакой на энергосистему Украины, это первое подобное нападение, которое стало важным прецедентом в вопросах обеспечения энергетической безопасности.

Источник: ain