Перебои в подаче электроэнергии в столице Украине и ряде ее пригородов в декабре прошлого года, были результатом хакерской атаки, считают эксперты, изучающие инцидент. Инцидент произошел ближе к полуночи 17 декабря. Света не было чуть больше часа, сообщает BBC.
Компания по кибербезопасности Information Systems Securit Partners (ISSP), которая расследует данный инциндент по заказу “Укрэнерго”, связывает его с аналогичным взломом и отключением электроэнергии “Прикарпатьеоблэнерго” в 2015 году.
Как пишет Republic, год назад большая часть Ивано-Франковской области погрузилась во тьму. 225 тысяч человек оставались без света три часа. Это была первая не только в истории Украины, но и в мире успешная атака на энергетический объект. Атаке подверглась компания “Прикарпатьеоблэнерго”. Хакеры сначала проникли во внутреннюю сеть компании, а затем отключили подачу энергии. Обнаружившие атаку операторы доступ к управлению обратно получить не смогли. “В странах СНГ хакерам играет на руку технологическая отсталость. Ситуацию спасло то, что сотрудники ногами дошли до подстанций и переключили рубильники”, — говорит Александр Гостев, главный эксперт Лаборатории Касперского.
Первые атаки на инфраструктурные объекты Украины начались еще в мае 2014 года. Как писала в своем отчете Cys Centrum, тогда случилась первая массовая рассылка фишинговых писем, которые содержали вложенный Excel-файл с вредоносным кодом. Основными адресатами были железнодорожные предприятия, но письмо получили в том числе и в “Прикарпатьеоблэнерго”. Письмо было отправлено якобы из Министерства промышленности Украины. В нем представитель ведомства просил проверить, не содержатся ли в файле пароли от компьютеров предприятия.
Вредоносную программу BlackEnergy, код которой содержался в фишинговом письме, написал еще в 2007 году украинский хакер Дмитрий Олексюк (Cr4sh), но потом якобы продал код за 700 долларов. Изначально с помощью BlackEnergy можно было создавать бот-сети для DDoS-атак. Но потом появилось еще несколько версий программы, которые получили расширенный функционал. В отчетах об атаках на “Прикарпатьеоблэнерго” фигурирует уже BlackEnergy 3. Создатели новой версии BlackEnergy, как пишут специалисты Cys Centrum, оставили в коде послание: в грубой форме на английском языке они написали, что Касперский не сможет распознать эту программу, а Cisco поблагодарили за уязвимости в ее телекоммуниционном оборудовании.
После заражения компьютера хакеры начали искать в системе предприятия новые уязвимости, которые позволяли им глубже проникать в компьютерную сеть. Набор уязвимостей называется связкой, говорит участник хакерских форумов в теневом интернете: “О том, какую связку использовали, считается даже неприличным спрашивать друг у друга”. Есть универсальные решения, вроде программы Blackhole от российского хакера Paunch (Дмитрий Федотов), которая была одной из самых популярных в 2011—2012 годах. Они содержат набор эксплойтов — небольших программ, способных задействовать ту или иную уязвимость для поражения сети. Аренда Blackhole в 2012 году стоила 50 долларов в сутки, причем ее создатели даже предоставляли свои серверы. По оценке антивирусной компании AVG, в том же году 49% вирусов распространялось с помощью BlackHole. В 2013 году Федотова задержали и в апреле 2016-го приговорили к семи годам колонии. Но на его место пришли другие.
Ответственность за атаку на энергетические объекты в Украине никто на себя не взял. ISSP утверждает, что взломы 2015 и 2016 годов связаны между собой и еще с несколькими хакерскими взломами систем государственных органов, которые также были осуществлены в декабре. Речь идет об информационныъ системах “Укрзализныци”, нескольких министерств и пенсионного фонда.
По словам представителя ISSP Алексей Ясинский, “атаки 2016 и 2015 годов не сильно отличаются - единственное отличие между ними в том, что в 2016-м она была более масштабной и организованной”.
Марина Кротофил, эксперт Honeywell Industrial Cyber Security Lab, которая также принимала участие в исследовании, отметила, что “атака 2016 года не должна была привести к длительным и серьезным последствиям”. “Это было больше похоже на демонстрацию силы”, — сказала она Motherboard.
Ясинский считает, что над обоими взломами работали несколько криминальных групп. Они, вероятно, экспериментировали с различными техниками, которые потом могут быть использованы в других странах для кибердиверсий.
Например, как утверждает The Washington Post, хакеры совершили нападение на электрические распределительные сети в штате Вермонт на севере США. В результате расследования удалось найти следы, которые явно указывают на причастность хакерской организации “Степь гризли”, которую ФБР считают российской и уже ранее связывало с многочисленными кибератаками в США, в частности, в транспортной и банковской сферах.
Американским правоохранительным органам пока не удалось выяснить, с какой целью хакеры атаковали энергораспределительную сеть в США. По одной из версий, целью кибератаки было просто попытка выяснить, насколько далеко хакеры могут зайти в своих действиях.
В конце декабря 2016 года Петр Порошенко заявил, что за последние два месяца года хакеры совершали нападения на государственные органы нашей страны около 6500 раз. По его мнению, это доказывает, что Россия ведет кибервойну против Украины.
“Террористические акты и диверсии на важные объекты инфраструктуры остаются сегодня возможными”, — заявил Петр Порошенко во время заседания Совета национальной безопасности и обороны. “Расследование ряда инцидентов указывает на прямое или косвенное участие в них российских служб безопасности”, — заявил он.