Как происходила атака на украинские электростанции — расследование Wired

Несмотря на то, что атака на «Прикарпаттяоблэнерго» в декабре прошлого года, вследствие которой сотни тысяч украинцев остались без света почти на 6 часов, практически не вызвала резонанса в Украине, она заставила весь мир задуматься о вопросах энергетической безопасности. После того случая хакеры вновь пытались атаковать украинские госпредприятия, включая аэропорт «Борисполь». Американское издание Wired провело собственное расследование атаки и опубликовало большую статью, перевод которой мы приводим.

Электрические подстанции

23 декабря в 15:30 жители Ивано-Франковска готовились к завершению рабочего дня и направлялись домой холодными зимними улицами. Операторы местного «Прикарпаттяоблэнерго», которое снабжает электричеством весь регион, заканчивали смену. Но пока один из работников приводил в порядок бумаги на своем столе, курсор его мышки вдруг начал самостоятельно перемещаться по экрану.

Он увидел как курсор направился прямо к иконке программы, контролирующей автоматические рубильники областных подстанций, кликнул, открыл окно управления рубильниками и выключил подстанцию. Выскочило диалоговое окно с просьбой подтвердить действие, а оператор продолжал ошарашенно смотреть на то, как курсор кликал на кнопку подтверждения. Он знал, что где-то за пределами города тысячи жителей лишились света и отопления.

Оператор схватился за мышку и отчаянно попытался вернуть контроль над курсором, но тот не реагировал. Когда курсор направился к следующему переключателю, машина внезапно разлогинила пользователя и выбросила из панели управления. И хотя оператор пытался войти обратно в свой профиль, атакующие поменяли его пароль, чтобы не допустить авторизации. Все, что он мог делать – это беспомощно наблюдать за тем, как призраки внутри экрана выключали один рубильник за другим, отключив в общей сумме около 30 подстанций. Но хакеры не остановились и на этом. Параллельно они атаковали еще два распределительных центра, отключив практически вдвое больше подстанций, оставив 230 000 жителей в темноте. А вдобавок еще и отключили два запасных источника электричества двух из трех распределительных центров, оставив самих операторов без света.

Блестящий план

Хакеры, которые атаковали украинские электростанции, не были просто оппортунистами, которые совершили атаку, чтобы проверить свои возможности. Согласно новым деталям расследования, это были хорошо обученные и ловкие стратеги, которые тщательно планировали нападение в течение многих месяцев. Сначала они провели разведку внутренних сетей, потом добыли данные операторов, а потом совершили синхронную атаку.

«Это было блестяще», — говорит Роберт Ли, который принимал участие в расследовании. Ли – бывший специалист по кибероперациям Военно-воздушных сил США и сооснователь Dragos Security, занимающейся вопросами безопасности инфраструктуры. «Оценивая виртуозность атаки, люди обычно ФОКУСируются на самом вирусе, — говорит он. – Но, как по мне, виртуозность кроется в логистике, планировании, действиях хакеров и… том, что происходит по ходу атаки. И эта атака была очень виртуозной».

Украина сразу же обвинила в атаке Россию. Ли уходит от указания конкретных стран, однако говорит, что есть четкие очертания того, что на разных этапах операции подключались игроки разного уровня. Это повышает вероятность того, что атака была организована общими усилиями совершенно разных людей или организаций – возможно киберпреступников и организаций государственного уровня.

«Это должна была быть хорошо спонсированная и натренированная команда. Но не обязательно государство», — говорит Ли. Все могло начаться с отдельных киберпреступников, которые получили доступ к сети, а потом передали его атакующим со стороны государства, чтобы те завершили работу.

Тем не менее, успешная атака в Украине преподает множество уроков электростанциям и распределительным центрам в США, говорит эксперт. Системы контроля в Украине оказались на удивление более защищенными, чем многие американские, поскольку были хорошо отделены от корпоративных сетей мощными фаерволлами. Но защита все же оказалась недостаточной – удаленная авторизация сотрудников в систему управления и работы с данными SCADA не требовала двухфакторной аутентификации, что позволило хакерам похитить логины и пароли, чтобы получить доступ к системам, управляющим рубильниками.

Электричество в Украине вернули довольно быстро: в разных районах это заняло от 1 до 6 часов. Однако спустя два месяца после атаки, центры контроля до сих пор не восстановились полностью, согласно отчету США. Специалисты по безопасности от Украины и США, которые были привлечены для расследования, говорят, что хакеры взломали ПО 16 подстанций, в следствие чего они перестали удаленно отвечать на команды операторов. Электричество есть, но работники все еще вынуждены контролировать переключатели вручную.

И это более оптимистичный результат, чем то, что могло бы произойти в США, по словам эксперта. В Штатах многие системы управления электростанциями не обладают функциональностью ручного управления. А значит, будь аналогичная система взломана, вернуть электричество было бы намного сложнее.

Хронология атаки

Многие агентства в США, включая ФБР и министерство внутренней безопасности США, помогли украинцам в расследовании атаки. Среди компьютерных экспертов, которые вели расследование, были Ли и Майкл Ассант, оба преподают компьютерную безопасность в институте SANS в Вашингтоне и планируют опубликовать отчет с анализом произошедшего. Они говорят, что были приятно удивлены, обнаружив, что украинские энергораспределительные компании сохранили большой журнал логов фаерволла и системы, которые помогли им реконструировать события – нетипичное сокровище для любой корпоративной системы и еще более редкий зверь для сетей объектов критической инфраструктуры, которая редко обладает возможностью формирования логов событий.

Согласно Ли и украинскому эксперту по безопасности, который принял участие в расследовании, атака началась еще прошлой весной с фишинговой кампании, направленной на IT-специалистов и системных администраторов, которые работают в нескольких компаниях, отвечающих за распределение энергии в Украине. В Украине 24 области, каждая из которых поделена на 11-27 районов, с разными энергораспределительными компаниями в каждом отдельном регионе. В рамках фишинговой кампании работники трех из этих компаний получили письма с прикрепленными к ним зараженными Word-документами. Когда сотрудник открывал вложение, открывалось диалоговое окно, которое просило включить макросы для документа. Если сотрудник соглашался, программа, которая называется BlackEnergy3 – вариации инфицировали еще несколько систем в Европе и США – заражала машины и открывала бекдоры для хакеров. Этот метод довольно примечателен, поскольку большинство вторжений в наши дни совершается через ошибку в коде или незащищенность ПО; но в этот раз хакеры использовали встроенную функцию Microsoft Word. Использование макросов – это олдскульный метод из 90-х, к которому хакеры вернулись в ряде нескольких недавних атак.

Внутреннее вторжение дало хакерам доступ не дальше корпоративных сетей. Но им все еще надо было проникнуть внутрь сетей SCADA, которые контролируют электросеть. Компании хорошо сегрегировали эти сети, используя фаерволлы, так что у атакующих оставалось лишь два варианта: найти слабости, которые позволят проскочить сквозь фаерволлы или же найти другой способ. Они выбрали второй вариант.

Многие месяцы они проводили тщательную разведку, изучая и получая доступ к контроллерам домена Windows, в которых содержались данные о пользовательских аккаунтах. Так они собрали данные пользователей, некоторые из которых использовали VPN, чтобы подключаться к SCADA удаленно. Как только они попали в сеть SCADA, они медленно начали подготовку к атаке.

В первую очередь хакеры перенастроили системы бесперебойной подачи электричества, отвечающие за запасное питание для двух центров распределения. Им было недостаточно просто погрузить людей в темноту — они хотели, чтобы операторы тоже остались без света. Это был дерзкий и агрессивный шаг. Шаг, который должен был быть интерпретирован, как «fuck you» в сторону энергетических компаний, говорит Ли.

Каждая компания использовала разную систему управления распределением электричества, и хакеры внимательно изучили каждую из них. Потом они написали вредоносное ПО, которым подменили оригинальную прошивку оборудования — конвертеров последовательного интерфейса в Ethernet — на дюжине подстанций (конвертеры использовались для процессинга команд, отправляемых из сети SCADA на системы контроля подстанций). Отключение конвертеров обеспечило то, что операторы не смогли бы удаленно включить рубильники обратно после отключения электричества. «Замена оригинальных прошивок вредоносными для осуществления специфических операций в промышленных системах контроля — это никогда раньше не использовалось, — говорит Ли. – С точки зрения атаки, это было просто шикарно. Я имею в виду, что они реально круто справились». Та же самая модель конвертеров serial-Ethernet, которая используется в Украине, используется и в энергосистеме США.

Вооруженные вирусным ПО хакеры были готовы к нападению.

Где-то около 15:30 23 декабря они проникли в сеть SCADA через украденные пароли к VPN и отправили команды отключить системы бесперебойников, которые они уже ранее перенастроили. После этого, они начали открывать рубильники. Но перед этим хакеры совершили атаку на телефонную систему колл-центра, чтобы предотвратить возможность принимать звонки от людей, сообщающих о поломке. TDOS-атаки похожи на DDoS-атаки, которые отправляют огромное количество данных на веб-серверы. В этом случае телефонные системы центра были забиты тысячами фиктивных звонков, которые, как оказалось, шли из Москвы, для того, чтобы никто другой не мог дозвониться. Ли отмечает, что этот шаг демонстрирует, насколько детально и утонченно хакеры подошли к атаке. Киберпреступники и даже некоторые государственные структуры зачастую оказываются не в состоянии учесть все детали. «Изощренные хакеры просчитывают даже маловероятные негативные сценарии, для того чтобы убедиться, что ничего не сможет пойти не так», — говорит Ли.

Этот шаг дал хакерам больше времени, чтобы завершить основную миссию, поскольку к тому моменту, как оператор заметил факт взлома, уже был отключен ряд подстанций. Ли и Ассант также отмечают, что, если это была политическая атака России против Украины, то TDoS-атака преследовала еще одну цель – привести в ярость украинцев и подорвать их доверие к власти и энергетическим корпорациям.

Помимо того, что хакеры отключили подстанции, они еще и переписали прошивку их конвертеров все тем же вирусным ПО, чтобы сделать их системы невосстановимыми, и отключили возможность получать удаленные команды. «Как только ты переписываешь прошивку, пути назад нет. Тебе приходится идти на точку и делать все вручную, — говорит Ли. — Перепрошивка устройств на подстанциях означает, что систему нельзя починить без замены оборудования».

После этого всего хакеры использовали вирус под названием KillDisk, чтобы стереть все файлы со станций оператора, чтобы привести и их в неработоспособное состояние. KillDisk вытирает или переписывает необходимые системные файлы, приводя к неработоспособности ПО.

Некоторые компоненты KillDisk запускаются вручную, но Ли говорит, что в двух случаях хакеры использовали логическую бомбу, которая автоматически запустила KillDisk спустя 90 минут после атаки. То есть около 17:00, как раз в то время, когда «Прикарпаттяоблэнерго» опубликовало на своем сайте новость о том, о чем и так знали жители региона – что свет отключен. В той же заметке они убеждали, что они пытаются обнаружить причину проблемы. Спустя полчаса, когда KillDisk заканчивал свою грязную работу и развеивал последние сомнения операторов касательно причин произошедшего, компания опубликовала второе обращение к жителям, объясняя, что причиной затмения стали хакеры.

Виновата Россия?

Украинская разведка с абсолютной уверенностью заявила, что за атакой стоит Россия, но не предоставила никаких доказательств. Учитывая отношения между двумя странами, это не выглядит надуманным вариантом развития событий. Отношения между странами начали портиться после того, как Россия аннексировала Крым в 2014 году, а новые власти Крыма начали национализировать местные энергетические компании, разозлив украинских собственников. Аккурат перед декабрьским затмением проукраинские активисты физически атаковали подстанции, поставляющие электричество в Крым, оставив два миллиона крымчан без электричества в регионе, аннексированном Россией. В том числе и базу российского флота. Отсюда и появились грозные предположения, что отключения в Украине имеют связь с атакой на крымские подстанции.

Но хакеры, напавшие на украинские энергетические компании, начали свою деятельность как минимум за шесть месяцев до повреждения крымских подстанций. Таким образом, по словам Ли, отключение в Крыму могло стать катализатором атаки, но не могло быть изначальной причиной. Ли говорит, атакующие могли не планировать атаку именно на это время, но после атаки на крымские подстанции они могли поменять планы.

«Глядя на данные, похоже, что они могли совершить более успешную атаку, если бы собирали информацию и планировали нападение дольше. Так что, похоже, что-то вынудило их начать раньше», — комментирует эксперт.

Он предполагает, что если Россия действительно стоит за атакой, то причина может быть совершенно иной. Например, недавно украинский парламент рассматривал законопроект о национализации частных энергетических компаний. Некоторые из них принадлежат могущественному российскому олигарху из близкого окружения Путина. Ли говорит, что, возможно, атака на украинский энергосектор должна была стать посланием украинской власти не продолжать приватизацию.

Такие выводы подтверждает еще один аспект нападения: хакеры могли нанести куда больший вред, если бы физически уничтожили оборудование подстанций, за счет чего восстановить электрообеспечение было бы намного сложнее. Правительство США продемонстрировало пример атаки 2007 года, в ходе которой хакеры физически уничтожили энергетический генератор, отправив лишь 21 строку вирусного кода. Ли говорит, что все детали украинской атаки указывают на то, что она должна была служить сигналом. «Мы хотим, чтобы нас заметили, и хотим отправить вам сообщение, — интерпретирует Ли. – Это очень мафиозный стиль: ах, вы думаете, что можете выключить электричество в Крыму? Тогда мы выключим электричество вам!»

Что бы ни стояло за обесточиванием, это была первая подобная атака, которая стала прецедентом и вскрыла угрозу безопасности электростанциям по всему миру. Оператор «Прикарпаттяоблэнерго» мог и не знать, что предвещает это странное поведение курсора мыши. Зато теперь люди, отвечающие за электростанции, предупреждены. Эта атака была довольно мимолетной и неопасной. Следующая такой может не быть.