Західні фахівці з комп'ютерної безпеки, завершивши розслідування атак на українські енергомережі, прийшли до висновку, що Росія використовує Україну як полігон для комп'ютерних атак на життєво важливі об'єкти інфраструктури
Рік тому, коли з'явились перші чутки про те, що зникнення електрики в Україні є наслідками російських кібератак, ці повідомлення сприймались із видимим скепсисом. Падіння електромереж, які були регулярним явищем в період початків незалежності, і до кінця не зникли в наступні роки, далеко легше було пов'язати з технічними проблемами, форс-мажором у вигляді білок, птахів чи погано обрізаних гілок дерев, чи й бажанням диспетчерів зекономити потужність, аніж зі спланованими акціями російських хакерів.
Повірити в те, що хтось атакував сервери Центрвиборчкому чи банків, було легко, а в спрямовану атаку, приміром, на "Прикарпаттяобленерго" чомусь вірилось погано.
Проте коли розслідувати проблеми з електромережею прибули команди американських фахівців – як із приватних компаній, що спеціалізуються у сфері кібербезпеки, так і з урядових структур, в тому числі ФБР, стало зрозуміло, що злами, схоже, таки були.
А потім вся історія якось сама по собі розсмокталась. Себто Київобленерго, "Прикарпаттяобленрего" та інші компанії, що постраждали від атак хакерів, декілька разів на це поскаржились, президент України теж час від часу нагадує, скільки українських компаній зазнали атак російських хакерів – і на тому все.
Натомість результати розслідувань західних фахівців зараз зявляються у вигляді майже що літературних трилерів на ресурсах на кшталт Wired - культового журналу для гіків.
Відомою стала схема атаки російських хакерів – спочатку вони потрапляли в комп'ютерні системи енергокомпаній за допомогою віруса-троянця BlackEnergy, потім, отримавши контроль над максимумом машин та обладнання, розпочинали активну фазу атаки – відключення всього можливого обладнання, стирання прошивок на конверторах між серійними портами та сучасною езернет-мережею, за допомогою яких йшла комунікація зі старим обладнанням, після чого у діло вступав KillDisk – гидотний шматок коду для швидкого "забивання" нулями критично важливих частин на жорстких дисках. Після успішного завершення подібної атаки для "оживлення" енергорозподільчої системи потрібен значний час і чималі ресурси.
Така схема, за неперевіреними даними, була відпрацьована не тільки на енергетичних компаніях, але і проти "Укрзалізниці" та багатьох інших крупних українських компаній.
А причини, чому США направили на розслідування цих інцидентів кращих фахівців з комп'ютерної безпеки – як із державного, так і з приватного сектору, була проста. Троянець BlackEnergy періодично відловлюють на комп'ютерах енергогенеруючих та енергорозподільчих компаній США.
Після аналізу цих атак середовище західних фахівців з кібербезпеки, далеке від реалій українсько-російських стосунків, зробило простий і загалом логічний висновок – Росія, окрім всього решту, використовує Україну як полігон для відпрацювання кібернетичних атак на комерційні компанії, і, саме головне, на критичні об'єкти інфраструктури.
Більше того, з точки зору фахівців, Україна відбулась відносно малою кров'ю, оскільки відверто застаріле обладнання давало можливість українським операторам деактивувати електронні системи і вирішувати проблеми на рівні заліза, буквально вручну перекидаючи рубильники і запускаючи розподільні щити та трансформатори. У випадку подібної атаки на інфраструктуру США протидіяти їй і нейтралізувати наслідки було б на порядок важче, вважають західні фахівці з безпеки.
Одного разу нинішній керівник Держдепу США Рекс Тіллерсон на прес-конференції задав сакраментальне питання: "Чому американських платників податків повинна цікавити Україна?". Історія з хакерськими атаками на нашу енергетичну інфраструктуру, здається, дає чітку і предметну відповідь на це питання. Рік тому Росія ламала "Прикарпаттяобленерго". Півроку тому вона ламала сервери Демократичної партії США. Якщо вдавати, що нічого не відбувається, через рік-два Дональд Трамп може з'ясувати, що його валізка із червоною кнопкою – це просто валізка. Із купкою зіпсованих радіодеталей всередині.
Нагадаємо як це було: 23 грудня о 15:30 мешканці Івано-Франківська готувалися до завершення робочого дня і прямували додому холодними зимовими вулицями. Оператори місцевого «Прикарпаттяобленерго», яке постачає електрикою весь регіон, закінчували зміну. Але поки один з працівників упорядковував папери на своєму столі, курсор його мишки раптом почав самостійно переміщатися по екрану.
Він побачив як курсор попрямував прямо до іконки програми, яка контролює автоматичні рубильники обласних підстанцій, клікнув, відкрив вікно управління рубильниками і вимкнув підстанцію. Вискочило діалогове вікно з проханням підтвердити дію, а оператор продовжував ошелешено дивитися на те, як курсор кликав на кнопку підтвердження. Він знав, що десь за межами міста тисячі жителів залишилися без світла та опалення.
Оператор схопився за мишку і відчайдушно спробував повернути контроль над курсором, але той не реагував. Коли курсор попрямував до наступного перемикача, машина раптово розлогінила користувача і викинула з панелі управління. І хоча оператор намагався увійти назад в свій профіль, атакуючі поміняли його пароль, щоб не допустити авторизації. Все, що він міг робити – це безпорадно спостерігати за тим, як примари всередині екрану вимикали один рубильник за іншим, відключивши в загальній сумі близько 30 підстанцій. Але хакери не зупинилися і на цьому. Паралельно вони атакували ще два розподільних центри, відключивши практично вдвічі більше підстанцій, залишивши 230 000 жителів в темноті. А на додачу ще й відключили два запасних джерела електрики двох з трьох розподільних центрів, залишивши самих операторів без світла.
за матеріалами Depo.Світ
