Кибератака в отношении компании со штатом в 15 человек недалеко от Салема, штат Орегон, работающей в сфере коммунальных услуг и сотрудничающей с правительственными агентствами, стала первым нападением в рамках крупнейшего из известных хакерских взломов, совершенных иностранным правительством в отношении сети электроснабжения США. Атака вызвала такую тревогу, что американские чиновники пошли на необычный шаг в начале 2018 года, публично обвинив во взломе российское правительство.
Реконструкция взлома выявила бросающуюся в глаза уязвимость в самом сердце системы электроснабжения Америки. Вместо того чтобы нанести удар непосредственно по коммунальным услугам, хакеры бросили силы против не имевшего никакой защиты уязвимого места сектора — сотен подрядчиков и субподрядчиков, таких как компания «Олл Уэйз», у которых не было никаких оснований находиться в полной боеготовности, опасаясь иностранных агентов. С этих ничтожных стартовых позиций хакеры пробрались вверх по системе снабжения. По оценкам некоторых экспертов, в результате атаки было взломано более двух десятков коммунальных служб.
Успех схемы был связан не столько с технической подкованностью — хотя хакеры и использовали ряд тонких тактик — сколько с тем, как они воспользовались доверительными бизнес-отношениями при помощи анонимности и мошенничества.
«Уолл-Стрит Джорнал» воссоздал в этой статье, как разворачивалась эта атака, при помощи документов, компьютерных записей и интервью с людьми, работающими в компаниях, ставших жертвами взлома, с действующими и бывшими правительственными чиновниками и следователями в области безопасности.
Под прицелом
Российские хакеры пытаются просочиться в компьютерные сети компаний, связанных с сетью энергоснабжения, действующих, по меньшей мере, в 24 штатах Америки, в Канаде и в Великобритании. Источник: документы, интервью с сотрудниками компаний, подвергнувшихся атаке, правительственные чиновники и следователи в области безопасности.
Американское правительство не называло компании из сферы коммунальных услуг и другие, которые попали под прицел. «Уолл-Стрит Джорнал» идентифицировал в их числе маленькие компании, такие как «Коммершал Контрэкторз» (Commercial Contractors Inc.) в Риджфилде, штат Вашингтон, и «Карлсон Тестинг Инк.» (Carlson Testing Inc.) в Тигарде, штат Орегон, а также крупные компании в сфере коммунальных услуг, такие как находящаяся в федеральной собственности «Бонневилль Пауэр Администрейшн» (Bonneville Power Administration) и «ПасифиКорп» (PacifiCorp), принадлежащая компании «Беркшир Хэтэуэй» (Berkshire Hathaway). Две компании из числа подвергшихся атаке занимаются строительством систем, обеспечивающих аварийное энергоснабжение военных баз.
В результате организованной Россией кампании Федеральное бюро расследований и департамент внутренней безопасности попытались пойти по следам взломщиков и оповестить возможных жертв. Некоторые компании не знали о взломе, пока им не сообщили об этом следователи государственных служб, другие не знали, что они стали жертвами взлома, пока с ними не связалась наша редакция.
«Россия подготовила поле боя, но не спустила крючок», — говорит Роберт П. Силверс (Robert P. Silvers), бывший заместитель секретаря по киберполитике в департаменте внутренней безопасности, а теперь бизнес-партнер в юридической компании «Пол Хейстингс» (Paul Hastings LLP).
Пресс-служба российского посольства в Вашингтоне не ответила на многочисленные просьбы прокомментировать представленную информацию. Россия ранее отрицала атаки в отношении жизненно важной инфраструктуры.
Первые жертвы
Летом 2016 года сотрудники американской разведки заметили признаки кампании по взлому американских коммунальных служб, рассказывает Жанетт Манфра (Jeanette Manfra), заместитель секретаря Агентства внутренней безопасности по вопросам кибербезопасности и коммуникациям. Использованные при атаке инструменты и тактика позволили предположить, что за попытками взлома стоят русские. Разведывательные агентства оповестили департамент внутренней безопасности, рассказывает госпожа Манфра.
В декабре 2016 года в расположенном в небольшом здании офисе в Доунерз-Гроув, Иллинойс, чуть меньше часа езды к западу от Чикаго, появился агент. Здесь размещалась небольшая частная компания «СФЕ Медиа» (CFE Media LLC), публикующая отраслевые журналы, такие как «Техника автоматизированного управления» и «Инженерный консалтинг».
Орудия труда
В ходе кибератак в отношении американских коммунальных служб российские хакеры украли реквизиты сотрудников для того, чтобы получить доступ к корпоративным системам, утверждают американские чиновники.
Адресный фишинг
Хакеры отправляли электронные письма с зараженными ссылками или приложениями, помогавшими украсть реквизиты адресата
«Водопой»
Хакеры разместили вредоносный код на сайтах, которые пользовались в компаниях доверием, например, в профессиональных публикациях, надеясь, что их посетят потенциальные жертвы. Код списывал конфиденциальную информацию посетителей.
Удаленный доступ
Получив реквизиты, хакеры использовали частные виртуальные сети и удаленные программы, размещающиеся на рабочем столе компьютера, чтобы оставаться незамеченными и сохранять доступ к внутренним сетям.
Источник: Департамент внутренней безопасности
Как следует из электронного письма компании «СФЕ Медиа», агент рассказал сотрудникам, что «весьма сведущие лица» загрузили вредоносный файл на сайт журнала «Техника автоматизированного управления». Агент предупредил, что файл может использоваться для совершения враждебных действий в отношении третьих лиц.
Контекст Стив Рурк (Steve Rourke), один из основателей «СФЕ Медиа», говорит, что его компания предприняла ряд действий по отладке зараженного сайта. Вскоре, однако, хакеры заразили другие специализированные издания компании вредоносным контентом, по данным специалистов по безопасности в подразделении «айДефенс» (iDefense) компании «Эксенчер» (Accenture) и «РискАйКью» (RiskIQ), компании по кибербезопасности из Сан-Франциско, которая позже проанализировала подробности атаки.
Подобно львам, преследующим жертву у водопоя, хакеры следовали за посетителями этих и других специализированных сайтов, надеясь зацепить инженеров и других специалистов и проникнуть в компании, где те работали. Русские могли в потенциале уничтожить «любого в этом секторе», говорит исследователь компании «РискАйКью» Йонатан Клийнсма (Yonathan Klijnsma).
Разместив код в несколько строк на сайтах, хакеры незаметно для ничего не подозревавших посетителей захватили пользовательские имена и пароли, согласно материалам правительственных совещаний и мнению экспертов по безопасности, анализировавших вредоносный код. Эта тактика дала русским возможность доступа к еще более чувствительным системам, говорили сотрудники департамента внутренней безопасности на производственных совещаниях в прошлом году.
Господин Вителло из компании «Олл Уэйз Экскавейтинг» понятия не имеет о том, как хакеры получили доступ к его почте. Он не помнит, что читал материалы на сайтах «СФЕ Медиа» или открывал вложения в почте. Однако вторжение было частью российской кампании, по данным компаний, специализирующихся на безопасности, изучавших эту хакерскую атаку.
Схема хакерской атаки
2 марта 2017 года хакеры воспользовались аккаунтом господина Вителло, чтобы осуществить массовую рассылку клиентам с целью направить адресатов в массовом порядке на сайт, тайно взломанный хакерами.
В электронном письме получателям сообщалось, что документ загрузится немедленно, но ничего не происходило. Получателей просили пройти по ссылке, по которой они могли «загрузить файл непосредственно». Тут капкан открывался, и адресат попадал на сайт imageliners.com.
Этот сайт, зарегистрированный на тот момент на имя Мэтта Хадсона (Matt Hudson), веб-разработчика в Колумбии, Южная Каролина, изначально был задуман как ресурс, позволяющий найти сдельную работу, делая комментарии к трансляциям. Однако в этот период сайт уже не действовал. По словам господина Хадсона, он не имел ни малейшего понятия, что русские захватили его сайт.
В день, когда были разосланы электронные письма — в тот же день, когда в Орегоне надрывался телефон в офисе господина Вителло — взлетела активность на сайте, искавшем комментаторов: сюда заходили пользователи с более, чем 300 IP-адресов, при том что за весь предыдущий месяц посетителей сайта можно было посчитать по пальцам одной руки. Многие из посетителей были потенциальными жертвами хакеров. Около 90 из всех IP-адресов — кодов, помогающих компьютерам находить друг друга в интернете — были зарегистрированы в Орегоне, как выяснилось при анализе, проведенном нашей редакцией.
Остается неясно, что увидели жертвы, попав на взломанный сайт Хадсона. Файлы на сервере, просмотренные нашей редакцией, указывают, что посетители сайта могли видеть фальшивую страницу авторизации ресурса «Дропбокс» (Dropbox), облачного сервиса, позволяющего людям делиться документами и фотографиями. Этот трюк был задуман, чтобы вынудить пользователей сдать свои логины и пароли. Возможно также, что хакеры использовали этот сайт, чтобы открыть черный ход, ведущий к системам посетителей, что дало бы взломщикам контроль над компьютерами жертв.
Как только господин Вителло понял, что его электронная почта была взломана, он попытался предупредить своих адресатов, чтобы те не открывали никаких писем от него. Хакеры заблокировали это сообщение.
График активности сайта imageliners.com 2 марта 2017 года после рассылки писем с электронного ящика господина Вителло
Компания «Олл Уэйз Экскавейтинг» является государственным подрядчиком, предлагая свои услуги разным агентствам, в том числе Инженерному корпусу армии США, в распоряжении которого находятся десятки гидроэлектростанций федерального подчинения.
Около двух недель спустя хакеры снова использовали аккаунт господина Вителло, чтобы отправить множество электронных писем.
Одно из них было доставлено в компанию «Дэн Каффман Экскавейтинг Инк» (Dan Kauffman Excavating Inc.) в Линкольн-Сити, штат Орегон, в теме письма значилось: «Пожалуйста, подписанное соглашение с электронной подписью — проект финансирования».
Офис-менеджер Коринна Сойер (Corinna Sawyer) сочла формулировку странной и написала электронное письмо господину Вителло: «Только что получила ваше письмо, насколько я поняла, ваш ящик взломали».
В ответ ей пришло сообщение от злоумышленников, в распоряжении которых находился аккаунт господина Вителло: «Я действительно его отправил». Госпожа Сойер, которую эти слова все равно не убедили, позвонила господину Вителло, и тот сообщил ей, что, как и предыдущее письмо, это было фальшивкой.
Атака набирает обороты
Одной из компаний, получивших фальшивое электронное письмо, была маленькая фирма, предоставляющая специализированные услуги в Корваллисе, штат Орегон. В июле того года здесь появились агенты ФБР и рассказали сотрудникам компании, что ее система была повреждена в ходе «масштабной кампании», направленной против фирм в области энергоснабжения, по словам владельца самой фирмы.
Получив первое фальшивое электронное письмо от господина Вителло 2 марта, как говорится в соответствующем докладе о расследовании департамента внутренней безопасности, сотрудница фирмы в Корваллисе кликнула по ссылке, ведущей к взломанному сайту Хадсона. Ей предложили ввести имя пользователя и пароль. К вечеру того дня киберпреступники получили доступ к сети компании, согласно докладу, это не предавалось огласке, но освещалось нашим изданием.
Далее они взломали портал в защитной системе компании, отделяющей уязвимые внутренние сети от интернета, и создали новый аккаунт с широким доступом для администраторов, который они спрятали.
«Мы не знали и не зафиксировали этого», — говорит владелец компании.
Схема хакерской атаки
В июне 2017 года хакеры использовали системы компании из Корваллиса для «охоты». За следующий месяц они десятки раз выходили в сеть орегонской компании с компьютеров с IP-адресами, зарегистрированными в таких странах, как Турция, Франция и Нидерланды, нанеся удар, по меньшей мере, по шести компаниям в сфере энергоснабжения.
В ряде случаев хакеры просто изучали сайты своих новых мишеней, возможно, проводя таким образом разведку для нанесения новых ударов. В других случаях, как указано в отчете о следствии, они могли отталкиваться от систем своих жертв. Две из компаний, ставших мишенями, помогали армии США организовывать независимое электроснабжение на внутренних базах.
15 июня хакеры посетили сайт компании «РеЭнерджи Холдингз» (ReEnergy Holdings LLC). Компания, специализирующаяся на возобновляемых источниках энергии, построила небольшую электростанцию, позволяющую военному гарнизону Форт Драм в западном Нью-Йорке функционировать даже в случае перебоев в общедоступной электросети. В Форте Драм располагается одна из наиболее часто развертываемых дивизий армии США. Рассматривается предложение по строительству здесь системы перехвата (ПРО) стоимостью 3,6 миллиарда долларов для защиты Восточного побережья от межконтинентальных баллистических ракет.
Компания «РиЭнерджи», принадлежащая частному инвестору «Риверстоун Холдингз» (Riverstone Holdings LLC), пережила вторжение, но ее генерирующие мощности не были затронуты, рассказывает источник, знакомый с данным вопросом. Армия знала об инциденте, рассказал пресс-секретарь, отказавшись, однако, предоставить дальнейшие подробности.
В тот же самый день хакеры стали осуществлять попытки взлома сайта независимой компании в сфере электроснабжения «Корпорации Атлантик Пауэр» (Atlantic Power Corp.), продающей электричество более, чем десяти компаниям в сфере коммунальных услуг в восьми штатах и двух провинциях Канады. Хакеры не только загрузили с сайта файлы, они посетили также страницу авторизации частной виртуальной сети компании (или VPN), канала к компьютерным системам фирмы для людей, работающих удаленно, как следует из отчета.
Компания «Атлантик Пауэр» сообщила в своем письменном заявлении, что она регулярно сталкивается с попытками злоумышленных деяний, но не комментировала их в деталях. «Насколько мы знаем, ни одна из систем компании ни разу не была взломана», — говорилось в заявлении.
Около полуночи 28 июня того года хакеры использовали сеть компании из Корваллиса для электронной переписки с небольшой деревообрабатывающей компанией в Мичигане под названием «ДеВандж Констракшн». Электронные письма были написаны якобы ее сотрудником по имени Рик Харрис (Rick Harris), выдуманным хакерами.
Схема хакерской атаки
Возможно, системы компании «ДеВандж Констракшн» уже были скомпрометированы. С электронных адресов «ДеВандж» энергетические компании приходили заявления от несуществующих людей, ищущих работу в области систем промышленного контроля, согласно данным экспертов по безопасности и электронным письмам, проанализированным нашим изданием. Фальшивые резюме были прикреплены к письмам, при открытии вложения компьютеры получателей меняли настройки, чтобы отправить информацию авторизации на взломанные серверы.
Наше издание идентифицировало, по меньшей мере, три компании в сфере коммунальных услуг, получивших такие электронные письма: вашингтонскую «Франклин» (Franklin PUD), «Дэарилэнд Пауэр Кооператив» (Dairyland Power Cooperative) в Висконсине и нью-йоркскую «Государственную корпорацию электричества и газа» (State Electric & Gas Corp.). Все три компании утверждают, что они знали о хакерской кампании, но не считают, что они стали ее жертвами.
Один из сотрудников «ДеВандж» рассказал, что в компанию приходили федеральные агенты. Владелец компании Джим Белл (Jim Bell) отказался обсуждать этот инцидент.
30 июня того же года хакеры попытались добиться удаленного доступа к компании в штате Индиана, которая, как и «РиЭнерджи», устанавливает оборудование, позволяющее государственному оборудованию функционировать в случае перебоев в гражданской сети электроснабжения. Эта компания, «Энерджи Системз Груп» (Energy Systems Group Ltd.) из города Ньюборга, штат Индиана, отделение корпорации «Вектрен» (Vectren Corp.), отказывается говорить о том, был ли осуществлен хакерский взлом, но утверждает, что уделяет огромное внимание кибербезопасности.
На сайте компании говорится, что одним из ее клиентов является Форт Детрик, военная база в Мэриленде, где располагаются сложные лаборатории, защищающие США от биологического оружия. Форт Детрик передал наши вопросы официальным представителям армии, рассказавшим, что они серьезно относятся к кибербезопасности, но отказавшимся давать дальнейшие комментарии.
Летом 2017 года хакеры избрали в качестве своей мишени компании, помогающие коммунальным службам управлять своими компьютерными системами контроля. 1 июля хакеры использовали компанию в Корваллисе, чтобы нанести удар по двум английским компаниям, «Северн Контролз» (Severn Controls Ltd.) и «Оукмаунт Контрол Системз» (Oakmount Control Systems Ltd.). Далее они нанесли удар по «Симкисс Контрол Системз» (Simkiss Control Systems Ltd.), также в Англии, и получили доступ к «информации об аккаунтах и управлении системой», по данным правительственного отчета.
На сайте компании «Симкисс» говорится, что она предлагает на рынке инструменты, позволяющие получать удаленный доступ к промышленным системам управления. Среди их клиентов числятся крупные производители электрооборудования и коммунальные компании, в том числе «Национальная сеть электроснабжения», отвечающая за линии электропередач в Великобритании и в некоторых частях США, где ей принадлежат коммунальные компании в Нью-Йорке, на Род-Айленде и в Массачусетсе.
Компании «Оукмаунт», «Северн» и «Симкисс» отказались давать какие-либо комментарии, а, по данным «Национальной сети электроснабжения», ее кибербезопасность работает «в соответствии с лучшими образцами в индустрии». К осени того года хакеры вновь обратились к орегонской компании «Дэн Кауффман Экскавейтинг», взломав ее сеть 18 сентября, по данным самой фирмы. Они затаились на месяц. Далее, вечером 18 октября приблизительно 2300 контактам компании были высланы электронные письма. В сообщениях говорилось: «Привет, Дэн использовал "Дропбокс", чтобы поделиться с тобой папкой!». В них также содержалась ссылка со словами «Посмотреть папку».
Среди получателей были сотрудники «ПасифиКорп», коммунальной службы, работающей в нескольких штатах; «Бонневилль Пауэр администрейшн», базирующаяся в Портленде, штат Орегон, управляющая 75% высоковольтных линий передач, и Инженерный корпус армии США.
Федеральные чиновники говорят, что хакеры хотели найти способ объединить корпоративные сети коммунальных служб, подключенные к интернету, и их аварийные сети, защищенные от сети в целях безопасности.
Такие «соединения» порой принимают форму «джамп-боксов», компьютеров, дающих техникам способ действовать в обеих системах. В отсутствие должной системы защиты эти соединения позволят злоумышленникам пройти под крепостным рвом и проникнуть в замок.
На заседании по вопросу коммунальных служб летом прошлого года Джонатан Хоумер (Jonathan Homer), отвечающий за кибербезопасность в промышленных системах управления в департаменте внутренней безопасности, заявил, что русские проникли в зону системы управления коммунальных служб через плохо защищенные джамп-боксы. Хакеры получили «законный доступ на правах администратора», как он сказал на одном совещании, и готовились предпринять действия, которые могли временно вывести систему энергоснабжения из строя.
Как говорят в компании «ПасифиКорп», там используется многослойная защита в системе управления рисками, и она не подвергалась нападениям при каких-либо хакерских кампаниях.
Начальник отдела информационной безопасности компании «Бонневилль» Гэри Додд (Gary Dodd) говорит, что не верит, что его компания была взломана, хотя там получили подозрительные электронные письма и от «Олл Уэйз Экскавейтинг», и от «Дэн Кауффман Экскавейтинг». «Возможно, что-то просочилось, но я так не считаю», — говорит он.
Армейский корпус также не дает никаких комментариев по вопросам кибербезопасности.
Огласка
Американские власти предупредили общественность о хакерской кампании в информационном письме, опубликованном в октябре 2017 года. Они связали ее с подпольной группой, называемой то «Овод» (Dragonfly), то «Энергичный мишка» (Energetic Bear), которую исследователи в сфере безопасности связали с российскими властями.
В марте 2018 года США пошли еще дальше, опубликовав отчет, где ответственность за враждебные действия возлагалась на «киберпреступников», работающих на российское правительство, утверждалось также, что хакеры действовали, по меньшей мере, с марта 2016 года. Власти обычно не называли стран, замешанных в кибератаках, не желая предавать огласке известную им информацию.
Короткое замыкание
Российские хакеры нанесли удар по системам управления компьютеров.
Схема хакерской кибератаки
Хакер
Российские хакеры используют вредоносные электронные письма, чтобы получить информацию о реквизитах работников компании коммунальных услуг.
Компьютер сотрудника
Используя украденные реквизиты, хакеры осуществляют удаленный доступ к рабочим станциям энергоснабжения и вводят вредоносный код.
Scada-сервер
С зараженной рабочей станции хакеры могут получить доступ к системе диспетчерского управления и сбора данных (Scada).
Электрическое оборудование
Scada контролирует активы компании коммунальных услуг, включая подстанции и электроэнергетическое оборудование.
Источники: департамент внутренней безопасности (хакерская атака), министерство энергетики (сеть Scada).
В апреле 2018 года ФБР письменно оповестило по меньшей мере две компании о том, что они могли получить вредоносные электронные письма от господина Вителло из компании «Олл Уэйз экскавейтинг».
Одной из компаний была «Коммершал Контракторс» из Риджфилда, штат Вашингтон, помогавшая при ремонте офиса компании «Бонневилль Пауэр администрейшн». По словам президента компании Эрика Мани (Eric Money), сотрудники сочли, что они не открывали зараженных писем. Однако наше издание выяснило, что компьютер с IP-адресом, связанным с компанией, заходил на взломанный сайт господина Хадсона в день атаки.
Вторая компания, оповещенная ФБР, «Карлсон Тестинг» из Тигарда, штат Орегон, выполняла работы для коммунальных служб, в том числе для «Портленд Дженерал Электрик» (Portland General Electric), «ПасифиКорп», «Нортуэст Нэчурал Газ» (Northwest Natural Gas) и «Боннвилль Пауэр Администрейшн».
Викрам Такур (Vikram Thakur), технический директор оперативной группы службы безопасности калифорнийской компании «Симантек» (Symantec Corp.), занимающейся кибербезопасностью, говорит, что его фирма знает от своих клиентов из коммунальной сферы и от других компаний, работающих в области кибербезопасности, что, по меньшей мере, 60 компаний в сфере коммунальных услуг стали мишенью хакерской атаки, и некоторые из них расположены за пределами США. Было взломано свыше двух десятков компаний, говорит он, добавляя, что хакеры проникли достаточно глубоко, чтобы попасть в системы управления восьми или более компаний. Он отказался назвать их.
Правительство все еще не уверено, сколько коммунальных служб и поставщиков услуг было скомпрометировано при российской атаке.
Велло Коив (Vello Koiv), президент инженерно-строительной компании «ВАК» (VAK Construction Engineering Services) Бивертоне, штат Орегон, работающей как субподрядчик Армейского корпуса, «ПасифиКорп», «Бонневилль» и коммунальной компании «Ависта» (Avista Corp) в Спокане, штат Вашингтон, говорит, что кто-то в его компании клюнул на наживку, содержавшуюся в одном из зараженных писем, но его технические специалисты засекли проблему, так что «дело не получило развития». В компании «Ависта» отказались давать комментарии относительно кибератак.
Господин Коив говорит, что он продолжил получать вредоносные письма в 2018 году. «Русские они или нет, я не знаю. Но кто-то до сих пор пытается проникнуть в наш сервер».
Осенью прошлого года в отношении компании «Олл Уэйз Экскавейтинг» снова была организована хакерская атака.
В написании статьи помогала Лиза Шварц (Lisa Schwartz).
Схемы выполнены Джоэлем Иствудом (Joel Eastwood) и Анджелой Кальдерон (Angela Calderon).
Материалы ИноСМИ содержат оценки исключительно зарубежных СМИ и не отражают позицию редакции ИноСМИ.
Факт регистрации пользователя на сайтах РИА Новости обозначает его согласие с данными правилами.
Пользователь обязуется своими действиями не нарушать действующее законодательство Российской Федерации.
Пользователь обязуется высказываться уважительно по отношению к другим участникам дискуссии, читателям и лицам, фигурирующим в материалах.
Публикуются комментарии только на русском языке.
Комментарии пользователей размещаются без предварительного редактирования.
Комментарий пользователя может быть подвергнут редактированию или заблокирован в процессе размещения, если он:
В случае трехкратного нарушения правил комментирования пользователи будут переводиться в группу предварительного редактирования сроком на одну неделю.
При многократном нарушении правил комментирования возможность пользователя оставлять комментарии может быть заблокирована.
Пожалуйста, пишите грамотно – комментарии, в которых проявляется неуважение к русскому языку, намеренное пренебрежение его правилами и нормами, могут блокироваться вне зависимости от содержания.