Федеральные чиновники заявили, что хакеры, работающие на Россию, в прошлом году унесли жизни «сотен жертв» в ходе гигантской по масштабам и длительной по времени кампании, во время которой они проникли в диспетчерские пункты американских электроэнергетических компаний, где могли вызвать отключения электроэнергии. Официальные лица также сообщили, что данная кампания, вероятно, продолжается.
Чиновники министерства внутренней безопасности заявили, что российские хакеры, которые работали на спонсируемую государством теневую группу, ранее идентифицированную как «Драгонфлай» или «Энерджи Бэар», с относительной легкостью взломали считающиеся «безопасными» или изолированными сети, принадлежащие коммунальным службам, сначала проникнув в сети ключевых поставщиков, которые доверяли отношениям с энергетическими компаниями.
«Они дошли до того, что могли сбросить выключатели», а также нарушили поставки энергии, рассказал руководитель группы по анализу систем промышленной безопасности министерства внутренней безопасности Джонатан Хомер.
С 2014 года министерство предупреждает об угрозе со стороны российской группы для критической инфраструктуры руководителей коммунальных служб, допуская их к секретной информации. Однако брифинг в понедельник был первым, на котором ведомство выдало информацию такой же степени детализации в несекретной обстановке. Имена жертв продолжают скрываться, но теперь сообщается, что их сотни, а не несколько десятков, как говорилось ранее.
Также сообщается, что некоторые компании до сих пор могут не знать, что были скомпрометированы, потому что в ходе атак, для того чтобы попасть внутрь инженерных сетей, использовались учетные данные фактических сотрудников, потенциально делая эти вторжения более сложными для обнаружения.
Эксперты уже давно предупреждают о российской угрозе.
«Они вторгаются в наши сети для проведения либо ограниченных, либо широкомасштабных атак, — говорит бывший заместитель помощника министра обороны Майкл Карпентер, который теперь является старшим директором Центра Пенна Байдена в Пенсильванском университете, — Они ведут на Западе скрытую войну».
Россия отрицает факт наличия среди целей объектов критической инфраструктуры.
Господин Хомер рассказал, что в ходе кибератаки, о которой в США стало известно весной 2016 года, и которая продолжалась в течение 2017 года, эксплуатировались связи коммунальных служб с поставщиками, имеющими специальный доступ к обновлению программного обеспечения, запускающими диагностику оборудования и выполняющими другие услуги, необходимые для поддержания в рабочем состоянии миллионов единиц оборудования.
Злоумышленники начали с использования обычных инструментов — фишинговых электронных писем и атак по методу «водопоя» (watering hole attack — прим. перев.), которые обманом заставляют жертв вводить свои пароли на поддельных веб-сайтах — чтобы скомпрометировать корпоративные сети поставщиков, многие из которых были небольшими компаниями без больших бюджетов на кибербезопасность.
Оказавшись внутри сетей поставщиков, они переключились на свои реальные цели: коммунальные сети. Во многих случаях для них было относительно легко украсть учетные данные поставщиков и получить прямой доступ к инженерным сетям.
Затем они начали похищать конфиденциальную информацию. Например, хакеры собрали данные о том, как были сконфигурированы инженерные сети, какое оборудование использовалось, и как оно контролировалось. Они также ознакомились с тем, как должны работать объекты, потому что злоумышленники «должны научиться нормальному и сделать его ненормальным», чтобы вызвать сбои, сказал господин Хомер.
По его словам, их цель — замаскироваться под «людей, которые ежедневно соприкасаются с этими системами».
Министерство внутренней безопасности собирается провести брифинги — их запланировано четыре — в надежде на более высокую степень сотрудничества в отрасли. Ведомство пытается узнать, имели ли место новые заражения, а также известны ли русским способы преодолеть усовершенствования систем безопасности, такие как, например, многоуровневая аутентификация.
Кроме того, министерство ищет доказательства того, что русские автоматизируют свои атаки, что, по мнению исследователей, может быть предвестником значительного увеличения попыток взлома. «Для придания большего размаха им в конечном итоге придется это автоматизировать», — сказал господин Хомер.
«Вы можете видеть рост числа случаев, когда правительство делится угрозами и уязвимостями», — говорит Скотт Ааронсон, эксперт по кибербезопасности «Эдисон Электрик Инститъют», торговой группы в сфере коммунальной индустрии. По его словам, обмен информацией и обнаружение случаев проникновения стали намного эффективнее с тех пор, как начались атаки хакеров из «Драгонфлай».
Как заявили следователи, пока неясно, использовали ли хакеры свой доступ, чтобы подготовить поле боя к какому-то разрушительному удару в будущем. Например, многие эксперты опасаются, что квалифицированный специалист может использовать неограниченный доступ для изменения настроек оборудования. Это может повлиять на их надежность с самой неожиданной стороны, заставляя инженеров коммунальных служб делать то, что приведет к значительному ущербу и, возможно, длительным отключениям.