Х

Хакерська атака Росії на українську енергосистему: як це було

Це сталося 23 грудня минулого року, о 3:30 по обіді. Мешканці Івано-Франківської області на Заході України готувалися закінчити робочий день і йти додому холодними зимовими вулицями. У диспетчерській «Прикарпаттяобленерго», компанії, яка постачає електроенергію мешканцям регіону, також наближалося завершення робочої зміни операторів. Але саме тоді, коли один із співробітників приводив до ладу папери на своєму столі, на екрані його комп’ютера несподівано поповз курсор – сам по собі.

АВТОР: Кім Зеттер, Wired

Оператор дивився, як курсор цілеспрямовано наближався до кнопок, що керували системою автоматичного вимикання на районній підстанції. І як він натис на мітку, яка вмикала запобіжники і відключала підстанцію. На екрані з’явилося діалогове вікно «Підтвердити дію».

Приголомшений співробітник бачив, як курсор пересунувся на нього і натис «Так». Він розумів, що в цю мить десь в області тисячі мешканців залишилися без світла і обігріву.

Оператор схопився за мишку і відчайдушно намагався керувати курсором, але той не реагував. Тоді, коли курсор рухався в напрямку кнопок ще одного вимикача, комп’ютер несподівано відключив оператора від панелі управління. І хоч він відчайдушно намагався знову зайти в систему, нападники поміняли його пароль і заблокували вхід.

Все, що він міг зробити - це безпомічно дивитися на екран, де привиди з машини вимикали один запобіжник за іншим, зрештою «вирубавши» близько 30 підстанцій. Але на цьому вони не зупинилися. В той же час були атаковані ще два диспетчерські центри, тим самим майже подвоїлася кількість вимкнених підстанцій.

У темряві залишилися понад 230 тисяч місцевих мешканців. І ніби цього було замало, нападники ще й вимкнули системи резервного живлення в двох із трьох диспетчерських – і операторам самим довелося спотикатися в пітьмі.

Блискучий план

Хакери, які атакували дві розподільчі мережі в Україні – а це перша у світі підтверджена атака, спрямована на виведення з ладу енергосистеми – аж ніяк не були випадковими людьми, які вирішили при нагоді перевірити свої здібності. Згідно з новими подробицями, встановленими після ретельного дослідження хакерської атаки, це були добре підготовлені й обережні стратеги, які ретельно планували напад протягом багатьох місяців. Вони спочатку провели розвідку, вивчили мережу і здобули реквізити доступу операторів, після чого запустили синхронізовану атаку, дії якої були узгоджені, наче рухи в танці.

«Це було блискуче організовано, - каже Роберт М. Лі, який допомагав проводити розслідування. Лі – колишній офіцер підрозділу кібернетичної війни Військово-повітряних сил США та співзасновник компанії Dragos Security, яка займається безпекою об'єктів критичної інфраструктури. – Коли говорять про складність атаки, більшість людей має на увазі складність «шкідливого» програмного забезпечення. Для мене ж складність – це в першу чергу логістика, планування та порядок дій, і що саме відбувається під час атаки. І в цьому сенсі це був дуже складний напад».

Україна відразу вказала пальцем на Росію як на винуватця атаки. Лі відмовляється приписати її якомусь конкретному виконавцю, але каже, що є чіткі розмежування різних фаз операції, що вказує на кілька різних рівнів виконавців, які були задіяні в різних частинах нападу. Це підвищує вірогідність того, що це могла бути співпраця між цілком різними учасниками – імовірно, кіберзлочинцями та державними службами.

«Це мала бути добре профінансована і добре навчена команда... Але не обов'язково за нею стояла держава», - каже Лі. На старті це могли бути кіберзлочинці, які отримали початковий доступ до мережі. І передали її до нападників із держслужб, а ті вже зробили решту справи.

Як би там не було, експерти кажуть, що ця успішна атака багато чому вчить енергокомпанії та центри розподілу електроенергії тут в США. Як виявилося, системи управління в Україні були більш надійними, ніж деякі аналоги в США, бо вони були відокремлені від бізнесових комп’ютерних мереж диспетчерських центрів надійними фаєрволлами.

Але, все ж таки, недостатньо надійними – від співробітників, які дистанційно під’єднувалися до мережі SCADA (Supervisory Control and Data Acquisition – дистанційне управління та відстеження даних), яка керувала електромережею, не вимагалося застосування двофакторної аутентифікації (принцип ідентифікації користувача, який використовує два різних типи підтвердження, наприклад, логін і пароль на сайті, після чого на телефон користувача приходить SMS із додатковим паролем доступу – прим. перекл.). Це дало змогу зловмисникам викрасти їхні паролі й отримати доступ до критично важливих систем, які керували системами вимкнення електроенергії.

Енергія в Україні вимикалася ненадовго: від однієї до шести годин у районах, що потрапили під атаку. Але і через два місяці після нападу диспетчерські центри не функціонують в повному обсязі, згідно з нещодавнім звітом США.

Українські та американські експерти з кібербезпеки кажуть, що нападники переписали вбудоване програмне забезпечення (firmware) на критично важливих пристроях 16 підстанцій, після чого вони перестали реагувати на будь-які дистанційні команди операторів. Підстанції працюють, але вмикати і вимикати струм треба вручну.

Це насправді кращий результат, ніж те, що могло статися в США, - кажуть експерти. Бо там багато систем керування об’єктами енергетики взагалі не мають запасного ручного управління. Тобто, якби нападники заблокували автоматичні системи, співробітникам було б набагато важче відновити енергопостачання.

Хронологія атаки

Допомогу Україні в розслідуванні атаки надав цілий ряд американських служб, включно з ФБР та міністерством національної безпеки. Серед комп’ютерних експертів, які давали консультації під час ширшого розслідування, були Лі та Майкл Дж. Ассанте. Обидва викладали комп’ютерну безпеку в SANS Institute, й обидва планують оприлюднити звіт за підсумками свого аналізу.

Вони кажуть, що дослідники були приємно здивовані, коли виявили, що українські енергопостачальні компанії використовували широкий набір фаєрволлів та системних логів, які допомогли реконструювати події – нетривіальна удача для будь-якої корпоративної мережі, але ще більш рідкісна для систем критичної інфраструктури, які рідко мають надійний функціонал з реєстрації внутрішніх подій.

За твердженням Лі та українського експерта з безпеки, який допомагав у розслідуванні, атаки почалися минулої весни із «вузькоспрямованої» фішингової кампанії, націленої на комп’ютерний персонал та системних адміністраторів, які працювали у різноманітних компаніях, відповідальних за постачання електроенергії в усій Україні.

В країні 24 області, кожна розділена на 11-17 районів. Окремі компанії-обленерго обслуговують кожну область. Під час фішингової кампанії співробітники трьох обенерго отримали по електронній пошті заражений документ Word в приєднаному до листа файлі. Коли співробітники клікали по файлу, з’являлося вікно із запитом про дозвіл увімкнути виконання програми-макроса для цього документа.

Якщо користувач погоджувався, програма під назвою BlackEnergy3 – варіанти якої раніше заражали інші системи в Європі та США – інфікувала їхні машини і відкривала «чорний хід» для хакерів. Метод характерний, бо більшість сучасних зламів використовують помилки в коді або вразливості в комп’ютерній програмі; у цьому ж випадку нападники використали штатну функціональність програми Microsoft Word.

Зараження через макроси Word – це метод із «старої школи» 1990-х, який нападники нещодавно реанімували і застосували в чисельних атаках.

Початкове вторгнення пропустило нападників у корпоративні мережі компаній, але не далі. Та їм треба було дістатися до мереж SCADA, які, власне, і контролювали електропостачання. Компанії розважливо відокремили ці мережі фаєрволлами, тому в нападників залишилися два варіанти: або знайти вразливість, що дозволить «пробитися» крізь фаєрволл, або знайти інший спосіб проникнення. Вони вибрали другий варіант.

Протягом багатьох місяців вони проводили масштабну розвідку, досліджували та описували мережі і здобували доступ до служби Windows Domain Controllers, яка керує екаунтами користувачів мереж. Тут вони зібрали реквізити співробітників, у тому числі паролі від захищеної мережі VPN, яку працівники енергокомпаній використовували для віддаленого підключення до мережі SCADA. Як тільки вони проникли в цю мережу, то почали повільно готуватися до нападу.

Спочатку нападники переконфігурували пристрої безперебійного живлення (UPS), відповідальні за енергопостачання двох диспетчерських центрів. Було недостатньо занурити у темряву споживачів – нападники хотіли, щоб після вимкнення світла оператори також "осліпли". Це був потужний і агресивний крок, щось у сенсі «гігантського fuck you» для енергокомпаній, каже Лі.

Кожне обленерго використовувало власну систему управління розподілом енергії у своїх мережах, і під час фази розвідки нападники ретельно вивчили кожну з них. Тоді вони написали шкідливий мікрокод, яким замінили справжній «вбудований» мікрокод (firmware) на конвертерах із серійного інтерфейсу на інтерфейс Ethernet у більш ніж десяти підстанціях (ці конвертери застосовуються для обробки команд, які надходять від мережі SCADA до систем управління підстанцією).

Виведення з ладу конвертерів не давало операторам змогу посилати віддалені команди для повторного включення запобіжників після того, як енергію було вимкнуто. «Перезапис специфічних промислових програм шкідливими версіями – такого раніше ніколи не робили, - каже Лі. – З точки зори нападників це було прекрасно втілено. Мушу сказати, вони постаралися як слід.»

Та ж сама модель конвертерів із серійного інтерфейсу на інтерфейс Ethernet використовується і в американських енергорозподільчих мережах.

Маючи на озброєнні шкідливий мікрокод, нападники були готові здійснити атаку.

Приблизно о 3:30 по обіді 23 грудня вони зайшли в мережі SCADA через вкрадені логіни й паролі до мережі VPN, і послали команди на вимкнення систем безперебійного живлення, які вони вже переконфігурували раніше. Після цього вони почали вимикати запобіжні системи, які переривали живлення.

Але перед цим вони запустили по телефону атаку по методиці «відмова від обслуговування» на кол-центри обленерго, щоб користувачі не могли до них додзвонитися і повідомити про аварію. Телефонна відмова від обслуговування подібна до атак DDoS, коли на веб-сервери надсилають потік даних і «топлять» їх у ньому.

У цьому випадку телефонні системи кол-центрів були «затоплені» тисячами фіктивних дзвінків, які, судячи з усього, надходили з Москви, - щоб реальні користувачі не могли крізь них пробитися. Лі зазначає, що цей крок демонструє високий рівень складності та планування, притаманний нападникам. «Складність – це коли узгоджені зусилля застосовуються навіть щодо малоймовірних сценаріїв, щоб пересвідчитися, що вони перекривають всі аспекти того, що може піти не так», - каже він.

Цей крок, без сумніву, надав нападникам більше часу на виконання їхнього завдання, бо тоді, коли оператор, чию машину захопили, помітив, що відбувається, декілька підстанцій вже були вимкнені. Але якщо це була політична хакерська атака Росії проти України, то відмова в телефонному сервісі мала ще одну мету, про яку кажуть Лі та Ассанте: викликати невдоволення споживачів в Україні та послабити їхню довіру до українських енергокомпаній та до уряду.

Після того, як нападники вимкнули запобіжники і відключили низку підстанцій від мережі, вони також переписали програмний мікрокод на конвертерах із серійного інтерфейсу на інтерфейс Ethernet, замінивши «справжнє» програмне забезпечення шкідливим, і тим самим вивівши з ладу конвертери, які перестали виконувати команди.

«Як тільки мікрокод на обладнанні переписаний, виправити це неможливо. Треба фізично бути на підстанції і керувати перемиканнями вручну, - каже Лі. – Якщо ці шлюзи виведені з ладу внаслідок модифікації мікрокоду, їх не можна відновити, аж поки не буде встановлене й інтегроване нове обладнання».

Завершивши всі ці дії, зловмисники застосували програму під назвою KillDisk для знищення файлів з комп’ютерів операторів підстанцій, тим самим вивівши і їх з ладу. KillDisk стирає чи перезаписує дані в критично важливих системних файлах, викликаючи їхнє «зависання». А так як він перезаписує також і головний файл завантаження (т.зв. master boot record), то заражені комп’ютери неможливо перезапустити.

Деякі з компонентів KillDisk потрібно запускати вручну, але Лі каже, що нападники у двох випадках застосували так звану «логічну бомбу», яка запустила KillDisk автоматично через 90 хвилин після початку атаки. Це сталося орієнтовно о п’ятій вечора, приблизно в той же час, коли Прикарпаттяобленерго розмістило на своєму сайті новину, яку вже знали її споживачі – що у певних районах вимкнуто електроенергію, і що вони старанно працюють над пошуком джерела проблеми.

Через півгодини, коли KillDisk мав зробити свою брудну справу і в операторів не залишилося сумнівів щодо причини масштабного блекауту, компанія розмістила друге повідомлення – про те, що до цього причетні хакери.

Чи була причиною Росія

Українські розвідувальні служби заявили з повною впевненістю, що за атаками стоїть Росія, - хоч і не надали жодних підтверджень на підтримку цієї заяви. Але якщо врахувати політичну напругу між двома націями, цей сценарій не виглядає перебільшенням.

Стосунки між Росією та Україною погіршилися після того, як Росія в 2014 році анексувала Крим, а нова кримська влада почала націоналізувати енергокомпанії, які належали Україні. Після цього, безпосередньо перед грудневою аварією, проукраїнські активісти фізично пошкодили лінії електропередач, які подавали енергію до Криму, залишивши два мільйони мешканців без електроенергії - так само як і базу російського флоту в Криму. Активно поширювалися версії, що енергетична аварія в Україні була помстою за атаку на кримські підстанції.

Але нападники, які зробили своєю мішенню українські енергокомпанії, почали свої дії принаймні за півроку до того, як активісти пошкодили ЛЕП до Криму. Тобто, хоч це і могло стати каталізатором для атаки на українські енергокомпанії, очевидно, що початкова мотивація була іншою, - каже Лі. Він заявляє, що кримінальне розслідування дає підстави вважати, що нападники мали інші плани, але пришвидшили їхнє виконання після подій навколо енергопостачання до Криму.

«Аналіз даних свідчить, що їм було б вигідніше довше збирати інформацію та здійснювати планування – тоді вони б могли досягти більшого. Тож виглядає так, що вони поспішили запустити атаку».

Він розмірковує над тим, що якщо за атакою дійсно стоїть Росія, її мета могла бути цілком іншою. Наприклад, нещодавно в українському парламенті розглядався закон про приватизацію енергокомпаній. Деякі з них належать російським олігархам, тісно пов’язаним з Путіним. Лі каже, що є можливість того, що атака на українські енергокомпанії була своєрідним посланням українській владі: не проводьте приватизацію.

Цей аналіз підкріплений іншим ракурсом інциденту: факт, що хакери могли завдати значно більшої шкоди, якби вони вирішили фізично пошкодити обладнання підстанцій, після чого було б набагато складніше відновити енергопостачання. Уряд США у 2007 році показав, як саме хакери можуть фізично зруйнувати генератори енергії, просто надіславши 21 рядок «шкідливого» комп’ютерного коду.

Лі стверджує, що все, пов’язане з атакою на українську енергосистему, свідчить про те, що це було послання. «Ми хочемо, щоб ви про нас знали, і ми посилаємо вам повідомлення», - так він це інтерпретує. «Це виглядає дуже по-мафіозному, щось на кшталт «Ви думаєте, що можете вимкнути Криму електроенергію? Гаразд, ми можемо вимкнути електроенергію всім вам».

Але яким би не було підґрунтя енергоаварії, це перша у своєму роді атака, яка створює зловісний прецедент щодо захищеності енергомереж усюди в світі.

Оператор в Прикарпаттяобленерго не міг знати, що означає блимання маленького курсора на його екрані. Але тепер люди, відповідальні за енергопостачання в різних країнах світу, отримали попередження. Ця атака була порівняно короткотривалою і незначною за наслідками. Наступного разу все може бути інакше.

сша переклад україна росія енергетика досвід

Знак гривні
Знак гривні