Как хакеры тушили свет
Примечание редакции. Публикуем перевод статьи журнала Wired о том, как был совершён взлом электросети в Украине, если вы вдруг пропустили.
23 декабря 2015 года на значительной территории Ивано-Франковской области Украины отключилось электричество. Без света остались более 230 тыс. человек. Компания «Прикарпатьеоблэнерго» заявила, что «систему фактически хакнули». Это оказалось правдой. Издание Wired рассказывает о сложной и очень продуманной атаке, в ходе которой хакерам удалось проникнуть в систему и отключить три десятка подстанций.
Оператор одного из центров управления подстанциями около 15:30 заметил, как курсор на его мониторе дёрнулся, хотя сам он не шевелил мышкой. Курсор двинулся в сторону переключателя, отвечающего за рубильник на одной из подстанций. И дёрнул его. Оператор схватил мышь, но курсор его не слушался. Оператора выкинуло из системы управления подстанциями.
Как говорит специалист по безопасности Роберт Ли из компании Dragos Security, ко взлому хакеры готовились не меньше полугода. Сначала они внедрили на компьютеры программу Blackenergy 3. Для этого они использовали старый способ: пользователям сети отправляли фишинговые письма с файлами Microsoft Word, которые при открытии предлагали установить макрос. Тот, в свою очередь, вызывал вредоносную программу.
Внутренние сети распределительных центров были хорошо отделены от системы управления подстанциями при помощи файерволов. Wired отмечает, что защита была лучше, чем в американских компаниях, управляющих американской электросетью. Тем не менее, хакерам удалось её взломать. Они получили данные пользователей для подключения к системе управления подстанциями через VPN и могли подключаться под видом добросовестных пользователей.
На изучение того, как устроена сеть распределительных центров и как она связана с системой управления подстанций, у злоумышленников ушло несколько месяцев. За это время они также написали новую прошивку для конвертеров на подстанциях, которые получают сигнал через интернет и передают его рубильникам. Как отмечают эксперты, это был первый взлом, когда перепрошивалось непосредственно оборудование.
При начале атаки хакеры отключили источники бесперебойного питания у двух из трёх распределительных центров, в сеть которых у них был доступ. После этого они запустили гигантский поток звонков в колл-центр «Прикарпатьеоблэнерго», чтобы жители не могли сообщить об отключении энергии. Одновременно они отключили 30 подстанций и перепрошили там конвертеры таким образом, что операторы перестали видеть их состояние удалённо. Переключить рубильник стало возможно только физически. Кроме того, на компьютерах операторов хакеры запустили программу, которая сделала невозможной перезагрузку.
Таким образом, операторы остались без компьютеров и без возможности включить рубильники удалённо. Свет восстановили через шесть часов. До сих пор рубильники на подстанциях невозможно переключить удалённо, только физически. Энергетикам придётся заменить конвертеры, испорченные хакерами. Wired отмечает, что в США последствия такой атаки были бы куда серьёзнее: там на подстанциях рубильники нельзя переключить руками.
Украинские власти считают, что за атакой стоит Россия. Reuters также указывал, что программу Blackenergy ранее использовали российские хакеры. В пользу того, что следы ведут в Россию, говорит время отключения энергии: это произошло вскоре после того, как украинские активисты обесточили Крым. Тем не менее, специалисты, опрошенные Wired, не смогли точно сказать, кто стоит за атакой. В принципе, хакеры могли взломать украинскую энергосистему, а потом продать свои наработки России.
Возможно, обесточивание Ивано-Франковской области было связано с планами Украины национализировать энергоактивы, принадлежащие российскому олигарху, связанному с Владимиром Путиным. В тексте не называется его имя, но, известно, что энергетический бизнес в Украине, в частности, ведёт Евгений Гинер. Ему частично принадлежит компания VS Energy, в чьей собственности находится «Севастопольэнерго» и «Одессаоблэнерго».
Эксперты указывают, что атака была чем-то спровоцирована. «Глядя на данные, можно сказать, что если бы они планировали её дольше, они могли бы сделать больше. Поэтому это выглядит, как что-то их заставило начать атаку [именно тогда]», — заявил Роберт Ли. (англ. яз.)
Источник: Медуза
В самурая немає мети, є лише шлях.
Ваш донат – наша катана. Кнопки нижче!