Декабрьское отключение электричества в Киеве было вызвано новым вирусом CrashOverride

Эксперты называют инцидент, произошедший в ночь с 17 на 18 декабря 2016 года под Киевом, тестированием возможностей нового вируса. CrashOverride (или как его также называют в словацкой ESET — Industroyer) примечателен тем, что нацелен конкретно на подрыв работы электрических сетей. Он работает через промышленные протоколы коммуникации, которые используют во всем мире в энергетической инфраструктуре, системах контроля транспорта и других системах критической инфраструктуры (таких как водоснабжение и газоснабжение). 

Украинская энергосистема однажды уже пострадала от кибератаки, которая вызвала отключение электроэнергии, затронувшей около 230 000 людей в западных областях. Но в декабре 2015 года хакеры не использовали специально разработанных вирусов, а отключили свет, получив контроль над системами SCADA «Прикарпатьеоблэнерго». Это была сложная длительно планируемая атака, которая требовала работы команды пары десятков хакеров.

Схема работы Industroyer / CrashOverride. Изображение: ESET

Опасные особенности

В случае с инцидентом на подстанции «Северная», CrashOverride позволил отключить свет гораздо меньшими усилиями, чем годом ранее. Фактически, ПО могло действовать в автоматическом режиме. Также, как и в Stuxnet, атакующие могли запрограммировать работу нового вируса, чтобы он действовал самостоятельно, без связи со злоумышленниками.

CrashOverride все же коммуницирует с командными серверами, спрятанными в TOR-сети через бэкдор. Он также устанавливает в зараженной системе дополнительный бэкдор, на случай если основной будет обнаружен или закрыт. Вирус также содержит модуль, стирающий критические части системного регистра и перезаписывающий файлы, чтобы после атаки система не загружалась и было сложнее найти следы атаки.

На этом опасные особенности вируса не заканчиваются. CrashOverride — модульное ПО, состоящее из нескольких заменяемых блоков. Основной модуль «полезной нагрузки» состоит из четырех компонентов, которые разработаны для того, чтобы получить контроль над автоматическими выключателями на электрической подстанции.

Такие выключатели могут находится в двух позициях: открытой и закрытой. «Открывая» переключатель, соединение линии размыкается и ток перестает проходить. Они лежат в основе распределения электроэнергии по сети. CrashOverride может послать переключателем именно такой сигнал, лишив контроля операторов. Восстановить подачу электроэнергии можно только в ручную, физически попав на пострадавшую подстанцию.

Схема модулей Industroyer / CrashOverride. Изображение: ESET

Модульная система позволяет легче адаптировать CrashOverride под особенности разных энергопредприятий, использовать его многократно и даже запускать одновременные атаки на множество целей.

«Опасность Industroyer состоит в том, что он использует протоколы для того, для чего они были разработаны. Проблема в том, что эти протоколы были спроектированы десятки лет назад. Тогда индустриальные системы должны были быть изолированы от внешнего мира. Поэтому их коммуникационные протоколы не были разработаны с безопасностью на уме», — говориться в исследовании ESET.

При этом, благодаря тому, что протоколы коммуникаций, используемые вирусом, являются широко распространенными в мире, с помощью CrashOverride можно атаковать энергосистемы других стран. «Потенциальный урон огромен. Если это не тревожный звоночек, то я не знаю, что им еще может быть», — прокомментировал ситуацию журналу Wired исследователь ESET Роберт Липовский.

Несмотря на пугающую угрозу, исследователи Dragos не однократно подчеркивают, что CrashOverride способен вызывать отключения электроэнергии на часы или в случае атаки на несколько объектов — дни. Речи не идет о неделях. «Электросеть — хорошо спроектированная система. Несмотря на то, что ей возможно нанести урон, важно понимать, что в нациях по всему миру электроэнергетическое сообщество проектировало систему надежной и безопасной. [У такого подхода] есть естественный побочный эффект в виде повышенной безопасности», — говорится в исследовании Dragos.

Откуда уши растут

Ни одна из исследовательских фирм не смогла установить способ, которым вирус проник в системы «Укрэнерго», управляющей пострадавшей подстанцией. В ESET предполагают, что злоумышленники могли использовать фишинговые письма, с помощью которых заразили сеть «Прикарпатьеоблэнерго» в 2015 году. В январе 2016 года от имени «Укрэнерго» злоумышленники также рассылали письма с зараженными вложениями, но тогда компании удалось это обнаружить. 

Ни ESET, ни Dragos также не смогли явно указать на разработчиков CrashOverride. Подозрения все же звучат в сторону России. В начале года исследователи из Honeywell и киевской фирмы ISSP, вовлеченные в расследование инцидента «Укрэнерго», уже утверждали, что последняя атака — дело рук тех же, кто атаковал «Прикарпатьеоблэнерго». Ее и вирус Blackenergy, использовавшийся зимой 2015 года, связывают с хакерской группировкой Sandworm. 

Причастность этой группы к прошлогодней атаке подтверждают и в Dragos. «[Компания] отслеживает группу, стоящую за CrashOverride, как Electrum и с высокой уверенностью оценивает через конфиденциальные источники, что Electrum имеет прямые связи с Sandworm». Последнюю, в свою очередь, связывают с российскими спецслужбами. 

Напомним, ранее мы рассказывали о вирусе WCry, который заразил сотни тысяч компьютеров по всему миру.