Російські хакери атакували водо- та гідроелектростанції США та Європи

Російські хакери атакували цифрові системи греблі гідроелектростанції у Франції та водопостачання в США й Польщі. Відповідальність за це взяли Cyber ​​Army of Russia (Reborn), пише Wired. А компанія з кібербезпеки Mandiant простежила зв’язки цієї групи з іншою — Sandworm, яку роками ідентифікували як підрозділ російської військової розвідки ГРУ. 

Що зробили російські хакери

Група Cyber ​​Army of Russia публікували в Telegram усі атаки на об’єкти критичної інфраструктури.

• У січні цьогоріч у США вони показали маніпуляції з програмними інтерфейсами систем управління водоканалів у техаських містах Абернаті і Мюлшу. Наслідки: місцеві чиновники підтвердили «певний рівень збоїв», наприклад у Мюлшу переповнився резервуар з водою. Але обслуговування клієнтів водоканалів не припинялося. Також у січні з’явилося ще одне відео кібератаки на каналізаційну систему польського села Видміни. Про наслідки видання не зазначило.
• У третьому відео, яке з’явилося в березні, хакери записали втручання в систему керування дамбою гідроелектростанції Courlon Sur Yonne у Франції. Це відео було опубліковано відразу після заяви президента Еммануеля Макрона, що він відправить французьких військових в Україну для допомоги у війні проти росії. Наслідки: російські хакери стверджували, що знизили рівень води у французькій дамбі та припинили потік електроенергії, яку вона виробляє. Але ні завод, ні власник греблі, ні компанія не відповіли на запит журналістів про це.

Cyber ​​Army of Russia пов’язана з Sandworm

У Mandiant кажуть, що знайшли «численні переконливі докази» того, що Cyber ​​Army of Russia були створені за підтримки Sandworm — групи хакерів, які мають зв’язки з російською військовою розвідкою. Саме вони стояли за кібератакою на енергосистему України 10 жовтня 2022 року. Також вони атакували оператора мобільного зв’язку «Київстар», через яку в українців зник інтернет і зв’язок. 

• Доказом є те, що акаунти на YouTube для Cyber ​​Army of Russia були створені з IP-адреси, яка контролюється Sandworm.
• Або ж те, що Sandworm проникав у мережу жертви і заражав її шкідливим ПЗ для знищення вмісту комп’ютерів. Але тільки після того, як викрадав дані з мережі, які в кількох випадках були згодом оприлюднені в повідомленнях у Telegram-каналі Cyber ​​Army of Russia.

У звіті Mandiant йдеться, що Sandworm відійшов від більш підривних операцій і дедалі частіше бере на себе роль шпигуна і підтримки фізичних воєнних зусиль Росії. Наприклад, використовує програмне забезпечення Infamous Chisel для зараження пристроїв Android українських військових для отримання розвідданих із поля бою.