Хакерские атаки, которые выводят из строя электросети, саботируют водоснабжение и другие критически важные для жизни общества системы — об этом эксперты по безопасности предупреждают уже десятилетия.
Одной холодной декабрьской ночью на Украине эта угроза стала реальностью. Система электроснабжения была дважды отключена через интернет, и сто тысяч людей оказались без электричества.
На часах было без семи минут полночь, когда 17 декабря прошлого года в части Киева внезапно пропало электричество. Свет погас, экраны телевизоров померкли, вентиляция перестала работать.
Пока что ничего необычного. Перебои с электроснабжением случаются повсюду. Чаще всего их быстро устраняют, особенно если это произошло в современной электросети, каждая часть которой подключена к интернету и может управляться дистанционно.
Но именно в этом происшествии кое-что вызывало беспокойство. На вид не было никаких неисправностей. Электростанция «Южная» («Пивнична»), которая снабжает электричеством часть города, просто-напросто была отключена. Это произошло через интернет: станция относится к числу современных и дистанционно управляемых через защищенные соединения, которые используются техниками.
Проблема же была в том, что никто из сотрудников энергетической компании этого не делал. Разве что, заключили следователи, техническое оборудование удивительным образом сломалось. Или кто-то взломал систему компании и получил настолько обширный доступ к управлению, что смог — или смогли — отключить электричество в одной из европейских столиц, даже не находясь там физически.
Прошло некоторое время, прежде чем ситуация прояснилась, но не случайно версия хакерской атаки изначально была в числе основных. Ровно годом раньше электричество тоже пропало — и в тот раз причиной точно было хакерское проникновение. Впервые в мире электроснабжение страны было частично нарушено в результате направленной хакерской атаки.
Тогда, в декабре 2015 года, все началось с того, что один из персональных компьютеров повел себя странно. Это было в городе Ивано-Франковск, что на западе Украины. Оператор местной энергетической компании — работающей под девизом «It’s always brighter with us!» — готовил отчет по работе за день. Когда он поднял глаза от своих бумаг, он вдруг увидел, как курсор мышки начал двигаться сам по себе. Он запустил систему, управляющую электросетью, и начал искать кнопки отключения.
Оператор схватил мышку, но совершенно потерял контроль над компьютером. Вскоре он обнаружил, что пароли поменялись, и он ничего не мог поделать.
Для специалистов по компьютерной безопасности во всем мире это стало знаком. Опасения, которые они высказывали уже многие годы, оказались обоснованными. Разговоры о цифровом оружии и компьютерной войне больше не относились лишь к области теорий.
«Именно этого люди и боялись. Чего-то более масштабного, направленной атаки в рамках большого конфликта, которую уже можно будет назвать применением кибероружия», — говорит Роберт Мальмгрен (Robert Malmgren), эксперт по кибербезопасности, специализирующийся на промышленных системах и получающий задания от многих игроков энергетической сферы.
«То, что это случилось именно на Украине, не стало полной неожиданностью. Там одновременно столько всего произошло: нападения на власти, на СМИ, на промышленность и многое другое».
Атака, которую описала газета Wired, была не единственной. В один и тот же момент, синхронно, нападению подверглись три разных энергетических компании, словно во время военной операции. Агрессоры продемонстрировали свои невероятные возможности. Они смогли разработать собственные манипуляционные программы, которые устанавливали в сетевой контроллер электросети, а также сложные программы для атаки.
Использовали целый ряд методов. Сначала отключалась резервная система. Агрессоры активировали функцию, которая называется Killdisk и удаляет абсолютно всю информацию с жестких дисков. Даже телефон клиентской службы энергетической компании был выведен из строя с помощью сверхнагрузки. Кому-то удалось заставить целую телефонную сеть, вероятно, в России, забрасывать клиентскую службу множеством автоматических звонков, в результате чего настоящие клиенты не могли пробиться и сообщить о том, что электричества нет.
В общем, было сделано все, чтобы усложнить восстановление электроснабжения. К тому времени, когда произошли атаки, как показало дальнейшее расследование, у злоумышленников уже минимум полгода был доступ к системе.
«Это очень многое говорит о том, насколько сложная работа была проделана. Им удалось проникнуть сразу во много мест и провести согласованную акцию. Все указывает на то, что у них большие ресурсы и много времени», — говорит Роберт Мальмгрен.
Вопрос в том, кто это — «они». Большие и ресурсозатратные атаки обычно с большой долей вероятности приписывают государствам. Но и в таком случае есть несколько вариантов: начиная с того, что проникновение и саботаж выполнены службой разведки и военными киберподразделениями, и заканчивая тем, что в стране могут действовать независимые группы, а государство их не трогает, пока их акции совпадают с его интересами. Есть и промежуточный вариант, когда государство поддерживает хакерские группы, киберпреступников или политически мотивированных активистов, но держится на достаточном расстоянии, чтобы успешно отрицать свое участие при разоблачении.
Украина без обиняков возложила ответственность на Россию. Действительно, много следов ведет именно туда, хотя далеко не все из тех, кто расследовал это дело, уверены, как именно атака связана с российскими властями.
«Напрашивается вывод, что это связано с конфликтом с Россией. Но найти кибердоказательства никогда не бывает легко», — говорит Роберт Мальмгрен.
Роберт М. Ли (Robert M. Lee), создатель собственной охранной компании, входил в ту международную экспертную группу, которую пригласили на Украину после первой атаки. Прошлой весной он был в Стокгольме и выступал на конференции по кибербезопасности 4Sics. Он делает два вывода о взломанной электросети. Во-первых, за всем этим стоит очень мощный исполнитель, они, по-видимому, даже смогли протестировать свои методы перед тем, как пойти в наступление.
Во-вторых, агрессоры могли нанести гораздо больший ущерб. Около 250 потребителей остались в тот раз без электричества. А могло быть значительно больше.
«По моему мнению, они сдерживались. По какой-то причине они не нанесли столько вреда, сколько могли бы. Они вторглись в гораздо большее число мест, но атаковать решили только три».
Вторая атака, этой зимой, все еще расследуется. Много деталей неизвестно или держатся в секрете. Но некоторые следователи прервали молчание. Один из них — Алексей Ясинский. Недавно на конференции по кибербезопасности S4 во Флориде он и его коллега Марина Крутова рассказали о некоторых сделанных выводах.
Во-первых, нет никаких сомнений в том, что и обрыв в декабре 2016 года случился в результате атаки. Некоторые параллели просто жуткие. Обе атаки произошли в декабре, но проникновение началось еще в июле. Кто бы за ними ни стоял, эти акции могли продолжаться месяцами.
Оба раза использовались умело выполненные целевые рассылки псевдописем, вместе с которыми на компьютеры адресатов попадали трояны, впустившие затем за собой агрессоров. В остальном атаки несколько отличаются, но совершенно ясно, что и второй раз за нападением стояла группа, располагающая большими ресурсами.
«Нападающие должны хорошо знать оборудование и промышленные системы. Такую информацию просто так в интернете не найдешь. Я считаю, это очень тревожные события», — сказала Марина Крутова в своем выступлении.
У Алексея Ясинского есть свое объяснение, почему раз за разом нападают именно на Украину.
«У нас есть основания думать, что Украина стала тренировочной площадкой для тестирования методов атак, которые потом будут использовать по всему миру».