На часах были нули, когда свет погас
Это была субботняя ночь прошлого декабря. Алексей Ясинский сидел на диване с женой и ребенком в своей квартире в Киеве. Сорокалетний эксперт по кибербезопасности и его семья смотрели фильм «Сноуден», когда в здании отключилось электричество.
«Хакеры не хотят, чтобы мы досмотрели фильм», — пошутила жена Ясинского. Она говорила о ситуации, которая случилась год назад, когда из-за кибератаки у четверти миллиона украинцев отключилось электричество. Ясинский, главный аналитик киевской компании, специализирующейся на кибербезопасности, не смеялся. Он посмотрел на часы — ровно полночь.
Ясинский прошел на кухню и зажег свечи. Он посмотрел в окно: во всех зданиях на горизонте не было света. Отметив точное время и дату, которая почти совпадала с прошлогодней хакерской атакой, Ясинский понял, что это был не обычный блэкаут.
В его голове засела мысль: в течение последних 14 месяцев Ясинский находился в центре кризиса. Список компаний и госпредприятий, которые обращались к эксперту, постоянно рос. Они хотели, чтобы Ясинский разобрался в кибератаках, которые поражали учреждения. Казалось, что за этим стоит одна и та же группа хакеров. Теперь он не мог подавить ощущение, что это те люди, за которыми он следит больше года, пришли к нему в дом.
Сейчас в Украине воплощается в жизнь сценарий кибервойны. Каждый блэкаут длился не более нескольких часов — столько времени, сколько нужно инженерам, чтобы вручную включить электричество. Но как доказательство концепции, атака создала новый прецедент: в тени России многолетний кошмар, когда хакеры останавливают механизмы современного общества, стал реальностью.
Блэкауты не были изолированными атаками. Они были частью цифрового блицкрига, который наносил ущерб Украине последние три года — непрерывное кибернападение, какого никогда не видел мир. Хакерская армия систематически подрывала практически все сектора Украины: медиа, финансы, транспорт, военный сектор, политику и энергетику. Волны вторжений уничтожали данные, разрушали компьютеры, а в некоторых случаях останавливали работу основных направлений организаций.
В декабре 2016 года Петр Порошенко заявил, что за два предыдущих месяца на 36 объектов в Украине было нанесено около 6500 кибератак. Международные аналитики были в шаге от того, чтобы приписать эти атаки Кремлю, но Порошенко не сомневался: по его словам, расследования, проведенные Украиной, указывают на «прямое или косвенное участие секретных служб России, которые развязали кибервойну против нашей страны».
С самого начала войны на Донбассе, один из главных фронтов этого противостояния был цифровым. В преддверии выборов 2014 года пророссийская группа хакеров «КиберБеркут», которую связывают с Кремлем, взломала сайт Центральной избирательной комиссии, чтобы анонсировать победу ультраправого кандидата в президенты Дмитрия Яроша. Администраторы сайта устранили неполадки меньше чем за час до объявления результатов выборов. Но та атака была только прелюдией к самому амбициозному эксперименту в цифровой войне, шквалу кибератак, которые начались осенью 2015 года и не прекращаются по сей день.
Бывший президент Украины Виктор Ющенко верит, что тактика России, как в интернете, так и за его пределами, имеет одну цель — «дестабилизировать ситуацию в Украине, заставить правительство выглядеть некомпетентным и уязвимым». Он связывает блэкауты и другие кибератаки с российской пропагандой в СМИ, террористической кампанией на Донбассе и своим отравлением.
«Россия никогда не признает Украину суверенной и независимой страной, — говорит Ющенко, на чьем лице все также виднеются шрамы от отравления. — Прошло 25 лет с развала СССР, но Россия до сих пор одержима империалистическим синдромом».
Но многие международные аналитики имеют более масштабную теорию об эпидемии кибератак в Украине. Они верят, что Россия используют Украину как полигон — лабораторию для улучшения новых способов ведения онлайн-войны. И цифровые взрывчатки, которые Россия устанавливала неоднократно в Украине — те же, что и устанавливались, по крайней мере однажды, в гражданской инфраструктуре США.
Воскресным утром, в октябре 2015 года, за год до того, как Ясинский смотрел в окно из своей квартиры на темный горизонт, он сидел рядом с тем же окном, пил чай и ел хлопья. Ему позвонили по работе. На тот момент Ясинский работал директором безопасности медиахолдинга StarLightMedia. Накануне ночью два сервера StarLightMedia по непонятной причине «упали». Ясинского заверили, что серверы уже восстановили из резервных копий. Но он чувствовал себя неспокойно. Два устройства стали недоступны почти одновременно. «Такое случается, когда „падает“ один сервер. Но два одновременно? Это подозрительно».
Ясинский отправился в офис. По прибытию он вместе с администраторами компании обнаружил, что часть жесткого диска сервера, которая говорит компьютеру, где искать его операционную систему, была перезаписана нулями. Это обеспокоило их особенно, так как эти серверы были контроллерами домена, у них был доступ к сотням других машин корпоративной сети.
Ясинский быстро понял, что произошла атака намного хуже, чем казалась. Два поврежденных сервера установили вредоносное ПО на ноутбуки 13 сотрудников StarLightMedia. Тем не менее, Ясинский видел, что ему повезло. Просмотрев сетевой журнал, он обнаружил, что контроллеры домена преждевременно отключились. Атака должна была уничтожить более 200 ПК компании. Впоследствии Ясинский услышал от сотрудников компании ТРК, что они были менее удачливыми. Компания потеряла более 100 компьютеров после аналогичной атаки.
Ясинскому удалось вытащить копию вредоносной программы из сети StarLightMedia. Вернувшись домой, он проанализировал ее код. Эксперт по кибербезопасности был поражен: вредоносное ПО уклонилось от всех антивирусных сканирований и даже выдало себя за другой антивирус — Windows Defender.
На тот момент Ясинский уже 20 лет работал в сфере информационной безопасности. Он управлял массивными сетями и раньше сражался со сложными атаками. Но он никогда не анализировал такое утонченное цифровое оружие.
Ясинский выяснил, что это вредоносная программа, известная как KillDisk — уничтожающий все данные паразит, который существует уже около десятилетия. Чтобы понять, как он попал в их систему, Ясинский и двое его коллег в StarLightMedia приступили к анализу сетевых журналов компании. Отслеживая признаки пребывания хакеров, они пришли к ужасающему выводу — злоумышленники находились в их системе более полугода. В итоге Ясинский определил часть вредоносного ПО, которое служил первоначальной опорой хакеров: это был универсальный троян, известный как BlackEnergy.
Вскоре Ясинский начал узнавать от коллег в других компаниях и в правительстве, что они также были взломаны почти аналогичным способом. Одной из жертв стала «Укрзалізниця». Другие компании попросили не упоминать их. Раз за разом хакеры использовали BlackEnergy для доступа и разведки, а затем KillDisk для уничтожения. Их мотивы оставались загадкой, но их знаки были повсюду.
«С каждым шагом становилось понятно, что наш „Титаник“ нашел свой айсберг. Чем глубже мы копали, тем больше он был», — говорит Ясинский.
Но даже тогда Ясинский не знал реальных масштабов угрозы. Например, он понятия не имел, что к декабрю 2015 года BlackEnergy и KillDisk также находились, но пока не «раскрывали» себя в системах по крайней мере трех крупнейших украинских энергетических компаний.
Сначала Роберт Ли обвинил белок
Это был сочельник 2015 года. На следующий день Роберт Ли должен был отправиться в родную Алабаму, чтобы отпраздновать свадьбу со своей девушкой. Незадолго до этого Ли ушел с престижной работы в одной из спецслужб, название которой состоит из трех букв. Там он занимался кибербезопасностью критических объектов инфраструктуры. Теперь он планировал основать свой стартап, специализирующийся на кибербезопасности.
В то время как Ли готовился к свадьбе, он увидел новость, где сообщалось, что хакеры атаковали энергосистему на востоке Украины. Значительная часть страны осталась без электричества на шесть часов. Ли не придал значение новости — у него были дела важнее. Он слышал ложные заявления о взломанных энергосистемах много раз. Причиной, как правило, был грызун или птица — идея о том, что белки представляют большую угрозу для энергосистемы стала шуткой в отрасли.
Впрочем, на следующий день, перед самой свадьбой, Ли получил текст о предполагаемой кибератаке от Майка Ассанте, сотрудника SANS Institute, элитного учебного центра в сфере кибербезопасности. Это привлекло внимание Ли: когда дело доходит до киберугроз для электросетей, Ассанте считается одним из самых уважаемых экспертов в мире. И он рассказал Ли, что украинский блэкаут выглядит реальной хакерской атакой.
Сразу после того, как Ли дал обет и поцеловал невесту, источник в Украине тоже прислал ему сообщение: человек сообщил, что блэкаут действительно был и ему нужна помощь американского эксперта. Для Ли, который провел свою карьеру, готовясь к кибератакам инфраструктуры, наконец-то наступил момент, который он ожидал годами. Поэтому он ушел с церемонии и стал переписывать с Ассанте.
Вскоре Ли добрался до компьютера в родительском доме, который находился неподалеку. Работая в тандеме с Ассантом, они анализировали карты Украины и схему энергосистемы страны.
Три пораженные электрические подстанции находились в разных регионах страны, в сотнях километрах друг от друга. «Это были не белки», — подытожил Ли. До самой ночи эксперт препарировал вредоносный KillDisk, который ему отправил источник из Украины. Через несколько дней он получил образец кода BlackEnergy и данные об атаках. Ли увидел, что вторжение началось с фишингового письма, которое выдавало себя за сообщение от украинского парламента. Вредоносный файл Word бесшумно запускал скрипт на устройствах жертв, устанавливая BlackEnergy.
Как оказалось, хакеры распространились по сетям энергетических компаний и в конечном итоге скомпрометировали VPN, которую предприятия использовали для удаленного доступа к своей сети.
Глядя на методы нападавших, Ли начал формировать представление о том, кто были хакерами. Он был поражен сходством между тактикой этих злоумышленников и группой хакеров, которая недавно приобрела известность как Sandworm.
Никто не знал о намерениях этих людей. Но все указывало на то, что они из России: компания, специализирующаяся на кибербезопасности FireEye выяснила, что одна из характерных техник группы была представлена на конференции российских хакеров. И когда инженерам FireEye удалось получить доступ к одному из незащищенных серверов, они нашли инструкции по использованию BlackEnergy на русском языке вместе с другими русскоязычными файлами.
Больше всего беспокоит американских аналитиков то, что цели Sandworm простираются западнее Атлантического океана. Ранее 2014 году правительство США сообщило, что хакеры запустили BlackEnergy в сетях американских энергокомпаний и предприятий по водоснабжению. Эти вторжения были также связаны с Sandworm.
Для Ли пазл сложился: похоже, что та же самая группа, которая только что выключила свет четверти миллиона украинцев, недавно заразила компьютеры американских электрических подстанций теми же вредоносными программами.
Прошло всего несколько дней после рождественского блэкаута, и Ассанте подумал, что еще рано начинать обвинять в атаке какую-либо конкретную группу хакеров — не говоря уже о правительстве. Но Ли мысленно поднял тревогу. Нападение на Украину представляло собой нечто большее, чем просто далекое исследование. «Противник, который уже нацелился на американские энергетические компании, пересек черту и атаковал энергосистему. Это была непосредственная угроза США».
В холодный ясный день несколько недель спустя в Киев прибыла команда американцев. Среди них были люди из ФБР, Министерства энергетики США, Министерства внутренней безопасности, организации North American Electric Reliability Corporation и другие. Среди них был также Ассанте.
В первый день прибывшие собрались в конференц-зале отеля «Хаятт» с персоналом «Киевоблэнерго», одной из жертв атак. В течение следующих нескольких часов инженеры украинской компании рассказали о рейде на свою сеть.
Во второй половине дня 23 декабря 2015 года сотрудники «Киевоблэнерго» беспомощно наблюдали за тем, как отключались подстанции за подстанциями, которые, по-видимому, управлялись невидимыми компьютерами в их сети.
Специалисты «Киевоблэнерго» определили, что нападавшие удаленно создали собственную копию управляющего программного обеспечения на ПК в далеком объекте, а затем использовали этот клон для отправки команд.
После того, как десятки тысяч украинцев остались без света, хакеры начали новую фазу атаки. Они переписали прошивку конвертеров serial-to-ethernet — небольших коробок на серверах подстанций, которые переводили интернет-протоколы для взаимодействия со старым оборудованием. Переписав этот код — трюк, на создание которого, вероятно, потребовались недели, — хакеры надолго заблокировали устройства и не давали законным операторам управлять выключателями.
Хакеры также оставили одну из своих визитных карточек, запустив KillDisk, чтобы уничтожить несколько компьютеров компании. Но самый жестокий элемент взлома заключался в атаке по резервным батареям контрольных станций. Когда электричество отключилось в регионе, станции также потеряли электроэнергию. С предельной точностью хакеры создали блэкаут в блэкауте.
После встречи в «Хаятте» делегация отправилась в «Прикарпатьеоблэнерго», которое находится в Ивано-Франковске. В компании описали атаку, которая была идентична той, что произошла на «Киевоблэнерго». BlackEnergy, поврежденная прошивка, резервная система питания, KillDisk.
Но в этой операции злоумышленники сделали еще один шаг, завалив колл-центры компании фальшивыми телефонными звонками — возможно, чтобы не допустить предупреждения об отключении электроэнергии или просто чтобы добавить больше хаоса и унижения.
Было и еще одно различие. При атаке на «Прикарпатьеоблэнерго» хакеры не копировали ПО, чтобы через подделку отключать электроэнергию. Вместо этого они воспользовались инструментом службы поддержки компании, чтобы получить контроль над передвижениями мышки на компьютерах предприятия. Перед глазами сотрудников фантомные руки щелкали по десяткам выключателей, каждый из которых отвечал за конкретную станцию, и отключали их.
В августе 2016 года, спустя восемь месяцев после рождественского блэкаута, Алексей Ясинский покинул StarLightMedia. Чтобы не отставать от хакеров, ему нужно было получить более целостное представление об их работе, а Украине необходимо было последовательнее реагировать на действия наглой организации, которой стала Sandworm.
Ясинский возглавил отдел исследований в киевской компании Information Systems Security Partners. Тогда она была мало кому известна. Но Ясинский превратил ее в компанию, которая де-факто стала первой отвечать на цифровую осаду Украины.
Вскоре после того как Ясинский поменял рабочее место, как будто по команде, страна попала под другую, даже более сильную волну атак. Среди жертв были пенсионный фонд Украины, Госказначейство, Министерства инфраструктуры, обороны и финансов.
Хакеры снова атаковали «Укрзалізницю», на этот раз «уронив» систему онлайн-бронирования на нескольких дней — в самый разгар сезона путешествий. Как и в 2015 году, в большинстве атак использовалась KillDisk. В случае с Министерством финансов атака удалила терабайты данных, в то время как орган готовил бюджет на следующий год.
16 декабря 2016 года Олег Зайченко сидел в комнате управления одной из подстанций на севере Киева. Он заполнял документы, когда внезапно раздался сигнал тревоги. Справа от себя Зайченко увидел, что два огня, указывающих на состояние выключателей системы передачи, переключились с красного на зеленый — на универсальном языке инженеров это означало, что они отключены. Специалист позвонил оператору в штаб-квартиру «Укрэнерго», чтобы предупредить его о рутинной аварии. В это время загорелся еще один зеленый индикатор. В то время как Зайченко в спешке объяснял ситуацию удаленному оператору, все больше индикаторов становились зелеными: сначала восемь, потом десять, потом двенадцать.
По мере того как ситуация обострялась, оператор приказал Зайченко выбежать на улицу и проверить физическое состояние оборудования. В этот момент 20-й и последний выключатель отключился, и огни в диспетчерской погасли.
В этот раз атака была произведена на подстанцию мощностью в 200 МВт — больше, чем суммарная мощность 50 распределительных устройств, которые подверглись атаке в 2015 году. К счастью, система «упала» всего на час — не слишком долго, чтобы начали замерзать трубы или местные жители начали паниковать, — прежде чем инженеры «Укрэнерго» начали вручную закрывать выключатели и возвращать все к сети.
Атака была выполнена с использованием адаптируемого вредоносного ПО известного как CrashOverride, которое закодировано для автоматического уничтожения сети. Стартап Роберта Ли Dragos и компания ESET определили, что CrashOverride мог «говорить» на языке протоколов системы управления сетью и, таким образом, отправлять команды непосредственно на оборудование.
И CrashOverride — это не просто одноразовый инструмент, ориентированный только на сеть «Укрэнерго». Исследователи говорят, что это многоразовое и адаптируемое оружие разрушения электрических сетей.
Никто не знает, как или где случатся последующие атаки Sandworm. Будущий взлом может быть нацелен не на распределительную или передающую станцию, а на конкретно электростанцию. Атака может быть создана не просто, чтобы отключить оборудование, а для того, чтобы его уничтожить.
Сейчас Ясинский уже два года сосредоточен на противостоянии с хакерской группировкой Sandworm, начиная с первой атаки на StarLightMedia. Он рассказывает, что пытался поддерживать беспристрастный взгляд на злоумышленников, которые обыскивают его страну. Но когда блэкаут затронул и его дом, то он почувствовал себя «ограбленным».
Ясинский говорит, что невозможно точно узнать, сколько украинских учреждений было поражено во время кибератак. Любая цифра может быть заниженной. На каждую общеизвестную цель есть, по крайней мере, одна тайная жертва, которая не подтвердила атаку, а также есть и другие компании, которые еще не обнаружили вредоносное ПО в своих системах.
Хакеры уже работают над своей следующей атакой. За Ясинским двое сотрудников очищают корпоративную систему от вредоносного ПО, которое компания получила накануне из новой волны фишинговых писем. Атаки, отметил Ясинский, разделились на сезонные циклы. В первые месяцы года хакеры закладывают основу будущей атаки, бесшумно проникают в устройства жертв и расширяют свои позиции. В конце года они нападают.
Ясинский знает, что основа для следующего вторжения уже заложена. Говоря о следующем раунде, Ясинский подчеркивает, что это похоже на подготовку к приближающемуся финальному экзамену. Но, по большому счету, он считает, что то, с чем Украина столкнулась в течение последних трех лет, возможно, было всего лишь серией тестов.
Он называет атаки одним словом: полигон. Учебная площадка. Ясинский предполагает, что даже в самых опасных атаках хакеры могли пойти дальше. Они могли бы уничтожить не только сохраненные данные Министерства финансов, но и его резервные копии. Вероятно, они могли бы вывести из строя станцию «Укрэнерго» на более долгий срок или обеспечить постоянный физический вред сети.
«Они до сих пор играют с нами», — отмечает Ясинский. Каждый раз хакеры отступали перед достижением максимально возможного ущерба, как бы храня свои истинные возможности для какой-либо будущей операции.
Многие международные аналитики пришли к такому же выводу. Где лучше тренировать армию кремлевских хакеров — в цифровом бою или в неограниченной атмосфере горячей войны внутри сферы влияния Кремля?
По словам Томаса Рида, профессора Королевского колледжа Лондона, Россия также нащупывает границы вседозволенности. Кремль вмешался в украинские выборы и не получил отпор. Затем он пробовал аналогичную тактику в Германии, Франции и Соединенных Штатах. Российские хакеры безнаказанно отключили электроэнергию в Украине — логическую цепочку не трудно завершить.
Как будет выглядеть следующий шаг? В тусклой комнате лаборатории ISSP Ясинский признает, что не знает. Возможно, еще один блэкаут. Или, возможно, целенаправленная атака на предприятие, обеспечивающее водоснабжение. «Используйте свое воображение», — сухо говорит он.
«Киберпространство не является самоцелью — утверждает Ясинский. — Это среда». И эта среда во всех отношениях связана механизмами самой цивилизации.
Напомним, ранее AIN.UA рассказывал о вирусе-вымогателе XData, который атаковал украинцев.