Успешная кибератака на электросети — это кошмар, который заставляет экспертов разведки и служб безопасности просыпаться по ночам. Теперь эта угроза перестала быть теоретической: перебои в работе украинской электросети были вызваны действиями хакеров. Каким слабым местом они воспользовались? Как это часто бывает, человеческой глупостью.
Сценарий с отключением электроэнергии настолько страшен, что бывший ведущий программы Nightline Тед Коппел (Ted Koppel) недавно написал об этом книгу. В этой книге, которая называется «Lights Out: A Cyberattack, A Nation Unprepared, Surviving the Aftermath», Коппел заявил, что США совершенно не готовы к атаке на одну из трех электросетей, обеспечивающих электричеством всю страну. Он пишет:
«Если противник нашей страны поставит цель нанести максимальный ущерб максимальному числу американцев, самой подходящей для этой цели мишенью будут наши электросети».
Украина испытала на себе воздействие подобных перебоев 23 декабря, когда электричества лишились 1,4 миллиона жителей Ивано-Франковска и области на западе Украины. Почти сразу после отключения электроэнергии компания «Прикарпатьеоблэнерго» сообщила, что оно было вызвано «вмешательством сторонних лиц в работу телемеханики – автоматической системы контроля и управления энергооборудованием». Спустя пять дней украинская разведка сообщила, что ей удалось предотвратить «попытку российских спецслужб атаковать компьютерные сети энергетического комплекса Украины» — то есть могли быть и другие отключения, но агентству удалось их предотвратить.
Новые подробности этой истории поступили от компании ESET, расположенной в Братиславе и занимающейся кибербезопасностью. Эта компания решила немного подстраховаться — это обычное явление при анализе хакерских атак — но она сообщила, что отключение электроэнергии в Ивано–Франковске было вызвано действием вредоносной программы BlackEnergy. Прежде она использовалась для кражи секретной информации с зараженных компьютеров. Однако в 2014 году американская правительственная Команда экстренного реагирования на кибератаки промышленных систем управления обнаружила вариант этого вируса, который способен вызывать перебои в работе промышленных систем управления.
Этот троян является модульным, а это значит, что он может выполнять различные задачи. В случае с взломом украинской электросети он включал в себя компонент, который способен прерывать определенные процессы в системе управления сетью, уничтожая диск зараженного компьютера. В то же время он открывает бэкдор системы управления электросетью, которая позволяет хакерам контролировать ее удаленно. Эксперты ESETнаписали следующее:
«Мы полагаем, что с высокой долей вероятности описанный выше набор инструментов был использован для отключения электроэнергии в Ивано–Франковской области».
Возможно, вирус BlackEnergy был создан Россией. Команда реагирования на компьютерные угрозы в Украине CERT-UA недавно опубликовала пост, в котором рассказывалось об атаке BlackEnergy на некоторые украинские СМИ. Имена некоторых файлов, прописавшихся на зараженных компьютерах — ololo.exe и trololo.exe — являются ссылками на российские интернет–мемы. Эксперт ESET Антон Черепанов перечислил другие подобные зацепки.
То, что это оружие было использовано для отключения электроэнергии на больших участках страны, это плохие новости. Если его применили на Украине, значит, его можно использовать где угодно — в том числе в США, где Исламское государство, по слухам, уже пыталось взломать электросеть, но не смогло из-за отсутствия необходимых технологий. В своей книге Коппел пишет:
«Мы можем найти некоторое утешение в мыслях о том, что такая атака требует тщательной подготовки и глубоких знаний, касающихся работы системы и ее слабых мест. Но тревожит то, что некоторые страны уже успели накопить необходимый опыт и что преступные и террористические организации сейчас находятся в процессе его приобретения».
Если технологии, способные вызвать отключение электроэнергии, где-либо существуют, они рано или поздно попадут в руки тех, кому они необходимы. То же самое можно сказать и о знаниях, касающихся конкретных промышленных систем.
Компьютерные системы электросетей невозможно отключить от интернета, потому что они зависят от программ, которые в режиме реального времени следят за балансом потребности в электроэнергии и объемов ее поставок. Это делает их уязвимыми по определению: если система подключена к интернету, люди имеют к ней доступ, и в этом заключена потенциальная проблема.
BlackEnergy заражает компьютеры благодаря простому трюку. Украинская компания CyS Centrum описала его в своем блоге. Сотрудники компании получают электронное письмо, якобы содержащее президентский указ о военной мобилизации и файлы Excel, содержащие списки сотрудников компании, которые должны быть мобилизованы или освобождены от мобилизации. Открывая один из этих файлов, пользователь видит подсказку, предлагающую ему включить макросы, потому что файл был создан при помощи новой версии Microsoft Office. Как только пользователь делает это, вирус заражает его компьютер.
Все, у кого есть уши и компьютер, уже сотни раз слышали о том, что нельзя открывать вложения в письмах, которые приходят без предварительного уведомления, даже от надежных отправителей. Тем не менее, пользователи по всему миру продолжают это делать.
Недовольные сотрудники — это еще один источник опасности. В Техасе в 2009 году один такой сотрудник, по некоторым сообщениям, саботировал систему управления спросом и подачей одной электростанции. Это не привело к отключению электроэнергии, но, если бы у этого человека были соответствующие инструменты, он мог бы этого добиться.
Единственный способ предотвратить инциденты, подобные отключению электроэнергии в Ивано-Франковске, это научить сотрудников энергетических компаний безопасному использованию электронной почты (или даже полностью лишить их возможности открывать вложения), чтобы бывшие сотрудники не могли помочь преступникам получить доступ к корпоративным системам, и продвигать идею энергетической независимости своих граждан. Чем больше людей установят солнечные батареи, тем меньше вреда смогут причинить отключения электроэнергии.