Американские следователи отправились в Украину, чтобы получить сведения о недавнем сбое в работе энергосистемы страны, который, возможно, стал первой крупной кибератакой против гражданского населения.
Главный правоохранительный орган Украины, СБУ, публично заявил, что кибератака была проведена Россией и является частью продолжающейся войны за Крымский полуостров.
Если это так, то данный инцидент станет поворотной точкой применения действий компьютерных хакеров в ходе военных действий. Это пример того, что военные кибератаки могут быть эффективными на уровне физической дестабилизации ситуации.
Однако на данный момент многое неясно.
- Часть энергосистемы Украины дала сбой
23 декабря на значительной территории Украины наблюдались отключения электроэнергии. Прикарпаття Облэнерго, энергораспределительная компания, обслуживающая 538,000 потребителей, заявила о том, что 27 ее подстанций прекратили работу. В тот же момент «полностью прекратилась подача электроэнергии» в 103 населенных пункта, еще 186 населенных пункта оказались частично обесточены.
Тем временем, потребители в Украине не могли сообщить об отключениях. Колл-центры Прикарпаття Облэнерго и другого поставщика электроэнергии, Киевоблэнерго, оказались заблокированы.
Прикарпаття Облэнерго решило перейти на ручное управление и технические наряды отправились в регион вручную переводить выключатели в позицию «ВКЛ».
В течение нескольких часов подачу электроэнергии удалось восстановить.
Даже сегодня, почти месяц спустя, все еще не ясно, что именно стало причиной отключения. Но есть некоторые намеки на то, как эта атака начиналась.
- Компьютеры энергокомпании были заражены вредоносной программой
В официальном заявлении, опубликованном через 3 недели после инцидента, Прикарпаття Облэнерго заявило, что на ее компьютерную сеть была совершена «хакерская атака». Хакеры проникли в крайне чувствительные органы управления, отвечающие за подачу элекроэнергии.
Инженеры пытались включить энергоснабжение, но обнаружили, что вирус блокировал компьютеры, которые они использовали для наблюдения за оборудованием. Об этом сообщила ведущая организация компьютерной безопасности SANS Institute, чьи эксперты в области международной кибербезопасности провели непосредственный анализ вирусной программы.
Министерство национальной безопасности США, которое, по имеющейся информации, помогает украинским следователям, подтверждает заявление о взломе компьютеров. Судя по всему, кто-то из сотрудников энергокомпании открыл зараженный документ Microsoft Word.
МНБ подтвердило, что компьютеры были заражены новой версией мощной вредоносной программы под названием BlackEnergy 3.
- Эта программа связана с Россией
Кибероружие – тщательно изготовляемые инструменты, в которых иногда можно найти указания на их авторов. Американская компания по кибербезопасности iSight Partners составила профиль создателей BlackEnergy.
В прошлом iSight обнаружила, что вредоносная программа создавалась на компьютерах, на которых основным языком был русский. В некоторых случаях ее использовали для сбора информации о лицах, которых воспринимают как врагов России: украинским правительством и американскими учеными, изучающими российско-украинский конфликт.
Та же команда, что разработала BlackEnergy, по словам iSight, работала с ней снова. Это указывает на анализ последней версии программы, использованной в Украине.
«BlackEnergy – определенно российский инструмент», - сказал Джон Халтквист, глава отдела iSight, занимающегося аналитикой кибершпионажа. Хакер, принимавший участие в последней атаке, является «человеком российского происхождения, поддерживающим российские интересы».
- Одновременно была произведена атака на телефонные линии энергокомпаний
Хотя изначально Киевоблэнерго списала сбой в колл-центре на «технические неполадки инфраструктуры», многие эксперты считают, что это была скоординированная атака, направленная на продление периода энергосбоя.
Пока до сих пор не ясно, откуда поступали звонки. Зато вполне понятно, что это была преднамеренная атака.
«Удаленный противник провел лавинную адресацию колл-центра», - сказал Роберт М Ли, один из лучших мировых экспертов подобного рода взломов, во время презентации на конференции по кибербезопасности S4X16 в Майами-Бич. Ли ведет расследование этого инцидента.
«Атака заключалась в преднамеренном совершении тысяч телефонных звонков с целью закрыть доступ клиентам, пытающимся дозвониться и сообщить о сбое», - сказал он.
- Не хватает основных деталей
Пока слишком рано винить во всем Россию.
Эксперты в области кибербезопасности отмечают, что хотя BlackEnergy и имеет российское происхождение, любой опасный хакер мог использовать ее во время своей атаки.
Кроме того, хакеры не провоцировали отключение электроэнергии – вредоносная программа могла его ухудшить.
Пока же остается ответить на несколько крайне важных вопросов: Избрало ли российское правительство своей целью мирных жителей в Украине? Как Украина будет реагировать на взлом?
Возможно, ответы появятся лишь после того, как кибероперативная группа США закончит анализ улик.
США из всего этого могут извлечь один важный урок. В прошлом МНБ предупреждало, что BlackEnergy заразила множество промышленных систем управления, используемых в работе важнейших американских сетей. Американская энергосистема гораздо более автоматизирована, чем украинская.
И если какая-либо американская энергокомпания станет жертвой взлома, подобного тому, что произошел в Украине, вручную заново включить рубильники будет не так просто, предупреждает Ли.
