Те, кто интересуются кибервойнами, обратили внимание в этом месяце на публикацию доклада разведки о том, что российские хакеры дистанционно вывели из строя водяной насос на станции в Иллинойсе. Доклад породил десятки сенсационных сообщений на тему первого в истории США разрушения хакерами инфраструктуры страны. Некоторые приписали это воздействию своего собственного американского вируса Stuxnet.
Но все оказалось совсем не так. Через неделю после появления доклада Министерство национальной безопасности резко опровергло доклад, заявив, что не смогло обнаружить доказательств взлома. По правде говоря, водяной насос просто сгорел, как это нередко с ними происходит, а финансируемый правительством аналитический центр ошибочно связал сбой с интернет-подключением с российского IP-адреса несколько месяцев назад.
Теперь, как говорится в эксклюзивном интервью с Threat Level, владелец этого российского IP-адреса заявил, что один телефонный звонок мог бы предотвратить череду ошибок, которые привели к сенсационной ложной тревоге.
«Я мог бы все поправить с помощью всего одного телефонного звонка, и все бы рассеялось, – сказал Джим Мимлиц (Jim Mimlitz), основатель и владелец компании Navionics Research, который помогал создать систему управления станции. – Они решили, что Мимлиц никогда не бывал в России. Им бы не стоило так думать».
Небольшая субподрядная компания Мимлица помогла создать систему диспетчерского управления и сбора данных SCADA, используемую службой регионального водоснабжения Curran Gardner в окрестностях города Спрингфилд (штат Иллинойс), и оказывала ей периодическую поддержку. Его компания специализируется на системах SCADA, которые используются для контроля и мониторинга инфраструктуры и технологического оборудования.
Мимлиц рассказал, что в июне этого года он и его семья проводили отпуск в России, когда кто-то из Curran Gardner обратился к нему по мобильному телефону за консультацией по какому-то вопросу и попросил его удаленно проверить некоторые данные файлов памяти на компьютере SCADA.
Мимлиц, не сказав о своем отпуске в России, под своими параметрами доступа удаленно вошел в систему и проверил данные. Он также входил в систему со своего мобильного телефона во время посадки самолета в Германии.
«Я не управлял системой и не вносил каких-либо изменений, и ничего не включал и не выключал», — сказал Мимлиц службе Threat Level.
Но пять месяцев спустя, когда водяной насос сломался, российский IP-адрес стал главным героем фильма «Красная паника» (Red Scare) в версии 21 века.
8 ноября сотрудник службы водоснабжения района, расследовавший выход из строя насоса, обратился в организацию, обслуживающую их компьютеры, чтобы проверили. Ремонтник просмотрел, кто заходил в систему SCADA, и увидел подключение к ней с русского IP адреса в июне. Имя пользователя Мимлиц стояло в журнале рядом с IP-адресом.
Служба водоснабжения района передала информацию в Агентство охраны окружающей среды EPA, которое управляет сельскими системами водоснабжения. «Почему мы сделали это? Я думаю, просто из лишней предосторожности, — говорит администратор службы Дон Крейвен (Don Craven). — Когда у нас возникают проблемы, мы всегда, так или иначе, сообщаем об этом EPA».
Но оттуда информация попала в Центр терроризма и разведки штата Иллинойс, так называемый объединенный центр, в который входит полиция штата Иллинойс и представители ФБР, Министерства национальной безопасности и других правительственных учреждений.
Хотя имя пользователя Мимлиц было связано с подключением с российского IP-адреса в журнале SCADA, никто из объединенного центра не удосужился позвонить ему, чтобы спросить, входил ли он в систему из России. Вместо этого 10 ноября центр опубликовал доклад под названием «Кибервторжение в систему общественного водоснабжения района», связав поломку водяного насоса с входом в систему с компьютера из России за пять месяцев до этого и безо всяких оснований утверждая, что злоумышленник из России включал и отключал систему SCADA, отчего и сгорел насос.
«И в этот момент ... начался настоящий ад», — сказал Крейвен.
Готовивший отчет объединенного центра предположил, что кто-то взломал компьютер Мимлица и похитил его параметры доступа, чтобы использовать их для взлома системы SCADA службы Curran Gardner и вывести из строя водяной насос. Пока не ясно, кто первым пришел к такой мысли: тот, кто обслуживает компьютер, или уже в объединенном центре.
Пресс-секретарь полиции штата Иллинойс, которая отвечает за объединенный центр, указала на местных представителей национальной безопасности, ФБР и других агентств, отвечающих за сбор информации, опубликованной объединенным центром.
«Мы не готовили доклад, — сказала пресс-секретарь Моник Бонд (Monique Bond). — Доклад создавали ряд учреждений, включая Министерство национальной безопасности, а мы в основном были лишь посредниками. Он исходит не из [объединенного центра], но озвучен [объединенным центром]».
Но Министерство национальной безопасности указывает пальцем на объединенный центр, заявляя, что если бы доклад был согласован с ним, то шесть разных служб должны были бы подписаться под ним.
Последовавшие сообщения в СМИ назвали вторжение первой реальной хакерской атакой по взлому системы SCADA в США, о чем Вайс (Weiss) и другие в индустрии безопасности предупреждали, что это произойдет в ближайшие годы.
Хакерская атака стала новостью для Мимлица.
Он произвел простейшие подсчеты, взглянув в регистрацию данных своего телефона, и понял, что российский хакер, о котором сообщают СМИ, это он.
Команды из ФБР и группы по ликвидации чрезвычайных ситуаций промышленных киберсистем министерства национальной безопасности ICS-CERT прибыли в Иллинойс для расследования вторжения и быстро определили после разговора с Мимлицем и изучения журналов, что доклад объединенного центра был необоснованным и лучше бы он вообще не появлялся на свет.
«Я общался очень тесно с ФБР и по громкой связи с командой CERT, и все они очень умные ребята и очень профессиональные», — сказал Мимлиц.
Следователи из национальной безопасности также быстро определили, что поломка насоса вообще не была результатом взлома.
«Система имеет много возможностей регистрации, — сказал Мимлиц. — Она регистрирует все. Все записи показали, что насос сломался из-за какого-то электро-механического сбоя. Но это не имеет ничего общего с системой SCADA».
Мимлиц сказал, что в записях также ничего не указывает, что система SCADA включалась и выключалась.
Он прояснил еще одну тайну из доклада объединенной группы. В докладе говорится, что в течение двух-трех месяцев до сбоя насоса операторы Curran Gardner отметили «глюки» в своих системах удаленного доступа, предположив, что сбои были связаны с подозрительным кибер-вторжением.
Но, как сказал Мимлиц, система удаленного доступа была старой и с ней постоянно были проблемы, пока она не была усовершенствована специалистами обслуживания.
«Они внесли ряд изменений около года назад, что создало проблемы при входе, — сказал он. — Компьютер был старый... и они произвели изменения в сети, которые, как я думаю, были сделаны некорректно. Я думаю, именно поэтому появились проблемы».
Джо Вайс говорит, что он шокирован тем, как такой отчет был выпущен без какой-либо предварительной проверки и подтверждения информации, содержащейся в нем.
«Если вы не можете доверять информации, поступающей от объединенного центра, какова же цель публикации им чего бы то ни было? Это здравый смысл, — сказал он. — Когда вы читаете то, что в этом [докладе], это очень, очень страшно. Почему министерство национальной безопасности не сообщило, что оно получило эту [информацию], но она предварительная?»
На вопрос, проводит ли расследование объединенный центр, каким образом неподтвержденная и основанная на ложных предположениях информация попала в распространенный доклад, пресс-секретарь Бонд сказала, что расследования такого рода является обязанностью министерства национальной безопасности и других учреждений, которые готовили доклад. Центр, по ее словам, расследует, как Вайс получил копию доклада, чего не должно было случиться.
«Мы очень обеспокоены утечкой регулируемой информации, — сказала Бонд. — Наше внутреннее расследование направлено на то, как ушла эта информация, как конфиденциальная или регулируемая информация получила распространение и попала в руки пользователей, которые не входят в перечень получателей такой информации. Это главный вопрос».