Согласно результатам исследования одной американской компании, работающей в сфере кибербезопасности, хакеры, связанные с российским правительством, создали вредоносную программу, которая потенциально может нанести серьезный вред электросетям США.
Эта вредоносная программа, получившая название CrashOverride, однажды уже нарушила работу электросети — это произошло в декабре прошлого года на Украине. Тогда хакеры на короткое время остановили подачу пятой части вырабатываемого в Киеве электричества.
Этот вирус, если его модифицировать, может быть применен и против американских систем передачи и распределения электроэнергии, причем эффект будет катастрофическим, как сообщил Серджио Кальтаджироне (Sergio Caltagirone), директор по разведке угроз безопасности компании Dragos, которая проводила исследование и опубликовала его итоги в понедельник, 12 июня.
«Это кульминация более чем десяти лет теории и проработки сценариев атак, — предупредил Кальтаджироне. — Это фактор, кардинально меняющий правила игры».
Исследование компании Dragos опубликовано в то самое время, когда правительство США расследует прошлогоднюю широкомасштабную, амбициозную кампанию российского правительства, направленную на то, чтобы нарушить ход президентских выборов в США и оказать влияние на их исход. В рамках этой кампании Россия применила множество методов, в том числе взломала сотни политических и иных организаций и оказывала влияние посредством социальных сетей.
Компания Dragos назвала группу хакеров, создавших эту новую вредоносную программу, Electrum, и эксперты компании с высокой долей уверенности заявили, что Electrum использовали те же компьютерные системы, что и хакеры, атаковавшие украинские электросети в 2015 году. Та хакерская атака, оставившая без электричества 225 тысяч украинцев, была проведена хакерами российского правительства — к такому выводу пришли другие американские эксперты. Чиновники правительства США так и не выступили с официальными заявлениями о причастности российского правительства к той атаке, но некоторые из них в частных беседах признаются, что они согласны с выводами частных компаний.
«Атаку на электросети Украины совершила та же российская группа хакеров, которая атаковала американские промышленные системы контроля», — сказал Джон Халтквист (John Hultquist), который анализировал оба инцидента, когда он работал в компании iSight Partners, которая теперь принадлежит FireEye, где он возглавляет аналитический отдел, занимающийся вопросами кибершпионажа. Команда Халтквиста назвала эту группу хакеров Sandworm.
«Мы считаем, что Sandworm каким-то образом связана с российским правительством. Но мы не знаем точно, являются ли они подрядчиками или действующими сотрудниками правительственных структур, — сказал он. — Мы считаем, что они связаны со службами безопасности».
Sandworm и Electrum могут оказаться одной группой хакеров или двумя отдельными группами, работающими внутри одной организации, однако данные экспертизы показывают, что они связаны, о чем сообщил глава Dragos Роберт Ли (Robert M. Lee).
Министерство внутренней безопасности, которое ведет работу с владельцами ключевых объектов национальной инфраструктуры, не ответило на просьбу прокомментировать ситуацию.
Эксперты в области энергетики утверждают, что новая вредоносная программа представляет собой вескую причину для беспокойства, и что предприятия пытаются разработать методы противостояния хакерам, пытающимся взломать их системы.
«Американские предприятия занимаются усовершенствованием своих систем безопасности, но такие инструменты хакеров, как это, несут в себе серьезные риски для бесперебойной работы энергетических систем», — отметил Майкл Ассанте (Michael J. Assante), который работал в Idaho National Labs и был главой отдела безопасности в Североамериканской корпорации по обеспечению надежности электроэнергетических систем (North American Electric Reliability Corporation).
CrashOverride стала второй вредоносной программой, специально разработанной для нарушения работы и вывода из строя промышленных систем контроля и управления. Stuxnet, вредоносная программа, созданная США и Израилем для нанесения ущерба ядерному потенциалу Ирана, представляла собой продвинутое оружие военного назначения, способное нарушать работу центрифуг для обогащения урана.
В 2015 году россияне использовали вредоносные программы, чтобы получить доступ к энергосистемам на западе Украины, но, по словам Халтквиста, именно хакеры, сидевшие за клавиатурами, манипулировали системами контроля и управления, а не вирус.
Что касается CrashOverride, «больше всего тревожит то, что это является частью более масштабной схемы», как сказал один из экспертов Dragos Дэн Гантер (Dan Gunter).
По словам Гантера этот вирус похож на швейцарский армейский нож, в котором есть разные инструменты для выполнения разных задач.
Теоретически эту вредоносную программу можно модифицировать так, чтобы при помощи нее можно было атаковать различные типы промышленных систем контроля. Однако, по словам Ли, пока противник не продемонстрировал такого уровня совершенства.
Между тем, по мнению Гантера, у хакеров, вероятно, были такие эксперты и такие ресурсы, которые позволили им не только разработать программу, но и испытать ее. «Это свидетельствует о существовании более масштабной программы, подобной тем, которые зачастую связаны с правительством или щедро финансируемыми коллективными операциями».
Одной из самых опасных особенностей CrashOverride является то, что она дает возможность манипулировать настройками систем контроля электросетей. Она находит ключевые компоненты, которые управляют автоматическими выключателями, что позволяет прерывать подачу электричества. Эта программа способна контролировать выключатели даже в тех случаях, когда оператор электросетей пытается вмешаться и восстановить подачу, что приводит к длительному перерыву в подаче электроэнергии.
В этой вредоносной программе также присутствует компонент для удаления самого вируса в компьютерной системе, которая контролирует выключатели, заставляя оператора переходить в режим ручного управления — то есть ему необходимо отправиться на станцию, чтобы восстановить подачу электроэнергии.
По словам Ли, имея в своем распоряжении такой вирус, хакеры способны атаковать сразу множество объектов, закладывая в их системах «бомбы с часовым механизмом», которые затем могут сработать одновременно. Таким образом, они могут провоцировать отключения в нескольких районах одновременно.
По словам Ли, длительность отключений может достигать нескольких часов, иногда пары дней. Это объясняется тем, что на американских предприятиях работают операторы, которых специально обучают тому, как нужно действовать в случае перебоев с подачей электроэнергии, вызванных ураганами. «Они умеют восстанавливать подачу в ручном режиме», — добавил он.
Поэтому, по его словам, хотя этот вирус является «существенным скачком вперед в этой области, ни о каком сценарии судного дня речь пока не идет».
Образцы этого вируса были впервые обнаружены экспертами словацкой компании ESET, которые передали часть этих образцов Dragos. Эксперты ESET назвали эту вредоносную программу Industroyer.