Wired (США): новые улики указывают на то, как русские хакеры планировали разрушение электросетей

Свежий взгляд на отключение электричества на Украине в 2016 году свидетельствует о том, что эта кибератака должна была нанести гораздо больший ущерб.

Читать на сайте inosmi.ru
Материалы ИноСМИ содержат оценки исключительно зарубежных СМИ и не отражают позицию редакции ИноСМИ
Автор описывает кибератаку 2016-го года на электросеть Укрэнерго, в которой он обвиняет Россию. Хотя Москве тогда почему-то не удалось навредить Киеву. При этом автор сам же отмечает, что первыми такую атаку провели США и Израиль, внедрившие вирус Stuxnet в иранскую ядерную систему. Интересно, что автор упоминает и третью кибератаку РФ — на саудовский НПЗ. Странно: саудовцы вроде не жаловались.

Осуществленная в 2016 году кибератака на украинскую энергосистему до сих пор остается пугающей загадкой. В том году за два дня до Рождества русские хакеры внедрили в сети украинской компании энергоснабжения «Укрэнерго» уникальную вредоносную программу. Около полуночи они задействовали ее, чтобы сработали все автоматы защиты сетей на подстанции, находящейся севернее Киева. Это была одна из самых драматичных атак России на ее западного соседа в ходе длительной кибервойны. Автоматическое отключение электроэнергии было беспрецедентным, и оно оставило без электричества значительную часть украинской столицы.

Но уже через час операторы «Укрэнерго» смогли восстановить подачу электроэнергии. В связи с этим возникает вопрос: зачем русским хакерам создавать изощренное кибероружие и использовать его в самом центре электроэнергетической системы Украины, если это вызвало лишь одноразовое отключение электричества?

Новая теория может дать ответ на этот вопрос. Исследователи из фирмы промышленной кибербезопасности «Драгос» (Dragos) по минутам восстановили хронологию атаки 2016 года, изучив код вредоносной программы и сетевые журналы систем «Укрэнерго». Они говорят, что хакеры хотели не просто осуществить кратковременный сбой в работе украинской электросети. Они намеревались нанести серьезный и длительный ущерб, который вызывал бы перебои в электроснабжении в течение нескольких недель и даже месяцев. В случае такого развития событий русская хакерская программа вошла бы в тройку кодов, имевших целью не просто нарушить работу оборудования, но и уничтожить его, как это сделал Stuxnet в Иране в 2009 и 2010 годах, и как это должна была сделать вредоносная программа Triton на нефтеперерабатывающем заводе в Саудовской Аравии в 2017 году.

Коварной особенностью атаки против «Укрэнерго» было то, что русские хакеры, очевидно, намеревались причинить весь этот ущерб не в сам момент отключения, а позже, когда операторы сети начали бы восстанавливать подачу электричества. Таким образом, усилия компании по восстановлению электроснабжения вышли бы ей боком.

«Это закончилось обычным прямым сбоем в электроснабжении, однако задействованные инструменты и последовательность их использования убедительно говорят о том, что нападавшие хотели добиться чего-то большего, чем простого отключения света на несколько часов, — говорит аналитик „Драгос" Джо Словик (Joe Slowik), ранее возглавлявший группу компьютерной безопасности и реагирования на аварии в Национальной лаборатории в Лос-Аламосе, которая подчиняется Министерству энергетики. — Они пытались создать условия, вызывающие физический ущерб на подстанции, подвергшейся атаке».

Расставляя капканы

Нацеленная против Украины вредоносная программа, которую называют то Industroyer, то Crash Override, привлекла к себе внимание специалистов по кибербезопасности, когда в 2017 году ее первой обнаружила словацкая фирма кибербезопасности ESET. Она обладает уникальной способностью напрямую взаимодействовать с оборудованием электроэнергетической компании, отдавая в быстрой последовательности автоматизированные команды в четырех разных протоколах, используемых на различных предприятиях электроэнергетического комплекса, и включая автоматы защиты сети, из-за чего начинается масштабное отключение электроэнергии.

Однако новые выводы компании «Драгос» относятся к часто забываемому компоненту хакерской программы 2016 года, который ESET описала в своем первом анализе, но не смогла в полной мере понять. Компания отметила, что этот непонятный компонент, скорее всего, призван использовать известную уязвимость в оборудовании компании «Сименс», которое называется защитное реле «Сипротек». Защитные реле обеспечивают автоматическое отключение сети, следят за опасными частотами в электросети и за силой тока в электрооборудовании, передавая всю эту информацию операторам и автоматически задействуя автоматы защиты при обнаружении опасных отклонений, могущих повредить трансформаторы, расплавить провода, а в редких случаях даже ударить током работников. У этих защитных реле были изъяны в безопасности, и хотя «Сименс» в 2015 году выпустила программное исправление, на многих предприятиях уязвимости устранить не успели. По этой причине любой хакер, способный внедрить в это реле пакет данных, мог по сути дела ввести его в состояние спячки, которое предназначено для установки программных обновлений, и тогда данное устройство стало бы бесполезным, пока его не перезагрузят вручную.

В 2017 году ESET заметила тревожные последствия от внедрения этого компонента вредоносной программы и дала понять, что создатели Industroyer очень хотят причинить физический ущерб. Но было совершенно непонятно, каким образом этот компонент, воздействующий на защитное реле «Сипротек», может нанести более долговременный ущерб. В конце концов, хакеры просто отключили электричество в «Укрэнерго», но при этом не стали создавать опасные скачки напряжения при помощи вывода из строя этих реле.

Анализ «Драгос» может дать ответы на эти вопросы, вызывающие беспокойство у «Укрэнерго». Компания получила ее сетевые журналы (она отказалась сообщить, где) и впервые смогла восстановить порядок действий хакеров. Сначала те включили все автоматы защиты на подстанции, вызвав отключение электричества. Через час они запустили программу для стирания следов своей работы, которая отключила компьютеры на подстанции, лишив ее работников возможности следить за цифровыми системами. И лишь после этого хакеры воспользовались компонентом воздействия на реле «Сипротек», намереваясь тихо вывести из строя эти безотказные устройства, чтобы никто из операторов не заметил недостающие меры защиты.

Сейчас аналитики «Драгос» уверены: замысел заключался в том, чтобы вынудить инженеров «Укрэнерго» в ответ на отключение поспешно возобновить подачу электроэнергии на оборудование подстанции. Сделав это вручную, без защитных реле, они могли создать опасную перегрузку по силе тока в трансформаторе или в линии высокого напряжения. Это могло привести к катастрофическому ущербу, вызвав длительные перебои в подаче электроэнергии. А еще могли пострадать работники.

В конечном итоге план провалился. По причинам, которые «Драгос» не может объяснить (может, хакеры допустили ошибку в системных настройках сети), предназначавшиеся для защитных реле «Укрэнерго» пакеты вредоносных данных ушли не на те IP-адреса. Может быть, операторы компании включили подачу электроэнергии быстрее, чем ожидали хакеры, и предотвратили диверсию против защитных реле. Но даже если бы атака на эти реле достигла своей цели, имеющиеся на станции резервные защитные реле смогли бы предотвратить катастрофу. Правда, аналитики «Драгос» говорят, что не имея полного представления о системах безопасности «Укрэнерго», они не могут стопроцентно исключить возможные последствия.

Директор «Драгос» по исследованию угроз Серджио Кальтаджироне (Sergio Caltagirone) утверждает, что в любом случае последовательность событий вызывает тревогу, указывая на наличие опасной тактики, которую в свое время не удалось распознать. Хакеры угадали реакцию оператора энергосистемы и попытались воспользоваться ею для усиления ущерба от кибератаки. «Отпечатками их пальцев заляпана вся кнопка, — говорит Кальтаджироне. — Они заранее разработали атаки, наносящие серьезный и даже опасный для жизни ущерб в момент, когда ты начинаешь реагировать на происшествие. В итоге ты страдаешь от собственных ответных действий».

Пристрастие к разрушению

Угроза разрушительных атак против объектов электроэнергетики лишает инженеров кибербезопасности сна и покоя более десяти лет. Все началось в 2007 году, когда Национальная лаборатория в Айдахо продемонстрировала возможность вывода из строя огромного дизель-генератора весом 27 тонн. Для этого достаточно было подать серию цифровых команд на подключенное к нему защитное реле. Проводивший эти испытания инженер Майк Ассанте (Mike Assante) рассказал в 2017 году нашему изданию, что наличие во вредоносной программе компонента, воздействующего на защитные реле, указывает на то, что разрушительные атаки типа украинской могут стать реальностью. «Это действительно очень важно, — предупредил умерший в этом году Ассанте. — Пожар в трансформаторе — он огромный. Мощное облако черного дыма, которое внезапно превращается в огненный шар».

Если окажется, что новая теория «Драгос» об украинской аварии в энергосистеме соответствует действительности, это будет всего третий случай, когда вредоносная программа используется для проведения разрушительной диверсии с целью нанесения физического ущерба. Первым был американо-израильский вирус Stuxnet, который примерно 10 лет назад вывел из строя тысячу иранских центрифуг ядерного обогащения. В конце 2017 года в сети саудовского НПЗ была обнаружена вредоносная программа Triton, или Trisis, которая вывела из строя системы инструментальной безопасности, следящие за опасными состояниями на промышленных предприятиях. Эта кибератака, следы которой привели в Москву в Центральный научно-исследовательский институт химии и механики, просто вызвала остановку саудовского НПЗ. Но последствия могли оказаться намного серьезнее, включая аварии со смертельным исходом в случае взрыва или утечки газа.

Больше всего Кальтаджироне беспокоит то, что после этих событий прошло много времени, и занимающиеся взломом систем промышленного управления хакеры могли разработать много новинок. «У нас уже есть два события, указывающих на серьезное пренебрежение человеческой жизнью, — говорит он. — Но самое опасное заключается в том, чего мы не видим».

Обсудить
Рекомендуем