Розслідування Wired: Як відбувалася атака на Прикарпаттяобленерго

 

/data/blog/101335/b4bf34d2c2a91de02ae21c5d399620c0.jpg

 

Хоча атака на «Прикарпаттяобленерго» в грудні минулого року, внаслідок якої сотні тисяч українців залишилися без світла майже на 6 годин, практично не викликала резонансу в Україні, вона змусила весь світ задуматися про питання енергетичної безпеки.

Після того випадку хакери знову намагалися атакувати українські держпідприємства, включаючи аеропорт «Бориспіль».

 

Американське видання Wired провело власне розслідування атаки і опублікувало велику статтю, переклад якої ми наводимо.

23 грудня о 15:30 мешканці Івано-Франківська готувалися до завершення робочого дня і прямували додому холодними зимовими вулицями. Оператори місцевого «Прикарпаттяобленерго», яке постачає електрикою весь регіон, закінчували зміну. Але поки один з працівників упорядковував папери на своєму столі, курсор його мишки раптом почав самостійно переміщатися по екрану.

Він побачив як курсор попрямував прямо до іконки програми, яка контролює автоматичні рубильники обласних підстанцій, клікнув, відкрив вікно управління рубильниками і вимкнув підстанцію. Вискочило діалогове вікно з проханням підтвердити дію, а оператор продовжував ошелешено дивитися на те, як курсор кликав на кнопку підтвердження. Він знав, що десь за межами міста тисячі жителів залишилися без світла та опалення.

Оператор схопився за мишку і відчайдушно спробував повернути контроль над курсором, але той не реагував. Коли курсор попрямував до наступного перемикача, машина раптово розлогінила користувача і викинула з панелі управління. І хоча оператор намагався увійти назад в свій профіль, атакуючі поміняли його пароль, щоб не допустити авторизації. Все, що він міг робити – це безпорадно спостерігати за тим, як примари всередині екрану вимикали один рубильник за іншим, відключивши в загальній сумі близько 30 підстанцій. Але хакери не зупинилися і на цьому. Паралельно вони атакували ще два розподільних центри, відключивши практично вдвічі більше підстанцій, залишивши 230 000 жителів в темноті. А на додачу ще й відключили два запасних джерела електрики двох з трьох розподільних центрів, залишивши самих операторів без світла.

 

Блискучий план

Хакери, які атакували українські електростанції, які не були просто опортуністами, які вчинили атаку, щоб перевірити свої можливості. Згідно з новими деталям розслідування, це були добре навчені і спритні стратеги, які ретельно планували напад протягом багатьох місяців. Спочатку вони провели розвідку внутрішніх мереж, потім добули дані операторів, а потім зробили синхронну атаку.

«Це було блискуче», – каже Роберт Лі, який брав участь в розслідуванні. Лі – колишній фахівець з кібероперацій Військово-повітряних сил США і співзасновник Dragos Security, що займається питаннями безпеки інфраструктури.

«Оцінюючи віртуозність атаки, люди зазвичай фокусуються на самому вірусі, – говорить він. – Але, як на мене, віртуозність криється в логістиці, плануванні, діях хакерів і … тому, що відбувається по ходу атаки. І ця атака була дуже віртуозною ».

Україна відразу ж звинуватила в атаці Росію. Чи йде від вказівки конкретних країн, проте каже, що є чіткі обриси того, що на різних етапах операції підключалися гравці різного рівня. Це підвищує ймовірність того, що атака була організована спільними зусиллями абсолютно різних людей або організацій – можливо кіберзлочинців і організацій державного рівня.

«Це повинна була бути добре спонсорована і натренована команда. Але не обов’язково держава », – говорить Лі.

Все могло початися з окремих кіберзлочинців, які отримали доступ до мережі, а потім передали його атакуючим з боку держави, щоб ті завершили роботу.

Проте, успішна атака в Україні викладає безліч уроків електростанціям і розподільним центрам в США, говорить експерт. Системи контролю в Україні виявилися напрочуд більш захищеними, ніж багато американських, оскільки були добре відділені від корпоративних мереж потужними фаєрволлами. Але захист все ж виявився недостатнім – дистанційна авторизація співробітників в систему управління і роботи з даними SCADA не вимагала двофакторної аутентифікації, що дозволило хакерам викрасти логіни і паролі, щоб отримати доступ до систем, керуючими рубильниками.

Електрику в Україні повернули досить швидко: в різних районах це зайняло від 1 до 6 годин. Однак через два місяці після атаки, центри контролю досі не відновилися повністю, згідно зі звітом США. Фахівці з безпеки від України і США, які були залучені для розслідування, кажуть, що хакери зламали ПО 16 підстанцій, в наслідок чого вони перестали віддалено відповідати на команди операторів. Електрика є, але працівники все ще змушені контролювати перемикачі вручну.

І це більш оптимістичний результат, ніж те, що могло б статися в США, за словами експерта. У Штатах багато систем управління електростанціями не володіють функціональністю ручного управління. А значить, будь аналогічна система зламана, повернути електрику було б набагато складніше.

 

Хронологія атаки

Багато агентства в США, включаючи ФБР і міністерство внутрішньої безпеки США, допомогли українцям в розслідуванні атаки. Серед комп’ютерних експертів, які вели розслідування, були Лі і Майкл Ассанте, обидва викладають комп’ютерну безпеку в інституті SANS в Вашингтоні і планують опублікувати звіт з аналізом того, що сталося. Вони кажуть, що були приємно здивовані, виявивши, що українські енергорозподільчі компанії зберегли великий журнал логів фаєрволла і системи, які допомогли їм реконструювати події – нетиповий скарб для будь-якої корпоративної системи і ще більш рідкісний звір для інфраструктурного середовища, яке рідко має можливість формування логів подій .

Згідно Лі і українському експерту з безпеки, який взяв участь в розслідуванні, атака почалася ще минулої весни з фішингової кампанії, спрямованої на IT-фахівців і системних адміністраторів, які працюють в декількох компаніях, що відповідають за розподіл енергії в Україні. В Україні 24 області, кожна з яких поділена на 11-27 районів, з різними енергорозподільними компаніями в кожному окремому регіоні. В рамках фішингової кампанії працівники трьох з цих компаній отримали листи з прикріпленими до них зараженими Word-документами. Коли співробітник відкривав вкладення, відкривалося діалогове вікно, яке просило включити макроси для документа. Якщо співробітник погоджувався, програма, яка називається BlackEnergy3 – варіації інфікували ще кілька систем в Європі і США – заражала машини і відкривала бекдоров для хакерів. Цей метод досить примітний, оскільки більшість вторгнень в наші дні відбувається через помилку в коді або незахищеність ПО; але в цей раз хакери використовували вбудовану функцію Microsoft Word. Використання макросів – це олдскульний метод з 90-х, до якого хакери повернулися в ряді кількох недавніх атак.

Внутрішнє вторгнення дало хакерам доступ не далі корпоративних мереж. Але їм все ще треба було проникнути всередину мереж SCADA, які контролюють електромережу. Компанії добре сегрегованого ці мережі, використовуючи фаєрволли, так що у атакуючих залишалося лише два варіанти: знайти слабкості, які дозволять проскочити крізь фаєрволли або ж знайти інший спосіб. Вони вибрали другий варіант.

Багато місяців вони проводили ретельну розвідку, вивчаючи і отримуючи доступ до контролерів домену Windows, в яких містилися дані про користувача акаунтах. Так вони зібрали дані користувачів, деякі з яких використовували VPN, щоб підключатися до SCADA віддалено. Як тільки вони потрапили в мережу SCADA, вони повільно почали підготовку до атаки.

В першу чергу хакери перенастроїли системи безперебійної подачі електрики, що відповідають за запасне живлення для двох центрів розподілу. Їм було недостатньо просто занурити людей в темряву – вони хотіли, щоб оператори теж залишилися без світла. Це був зухвалий і агресивний крок. Крок, який повинен був бути інтерпретований, як «fuck you» в сторону енергетичних компаній, говорить Лі.

Кожна компанія використовувала різну систему управління розподілом електрики, і хакери уважно вивчили кожну з них. Потім вони написали шкідливе ПЗ, яким підмінили оригінальну прошивку обладнання – конвертерів послідовного інтерфейсу в Ethernet – на дюжині підстанцій (конвертери використовувалися для процесингу команд, що відправляються з мережі SCADA на системи контролю підстанцій). Відключення конвертерів забезпечило те, що оператори не змогли б віддалено включити рубильники назад після відключення електрики.

«Заміна оригінальних прошивок шкідливими для здійснення специфічних операцій в промислових системах контролю – це ніколи раніше не використовувалося, – говорить Лі. – З точки зору атаки, це було просто шикарно. Я маю на увазі, що вони реально круто впоралися ».

Та ж сама модель конвертерів serial-Ethernet, яка використовується в Україні, використовується і в енергосистемі США.

Озброєні вірусним ПО хакери були готові до нападу.

Десь близько 15:30 23 грудня вони проникли в мережу SCADA через вкрадені паролі до VPN і відправили команди відключити системи безперебійників, які вони вже раніше перенастроїли. Після цього, вони почали відкривати рубильники. Але перед цим хакери здійснили атаку на телефонну систему колл-центру, щоб запобігти можливості приймати дзвінки від людей, які повідомляють про поломку. TDOS-атаки схожі на DDoS-атаки, які відправляють величезну кількість даних на веб-сервери. В цьому випадку телефонні системи центру були забиті тисячами фіктивних дзвінків, які, як виявилося, йшли з Москви, для того, щоб ніхто інший не міг додзвонитися. Чи зазначає, що цей крок демонструє, наскільки детально і витончено хакери підійшли до атаки. Кіберзлочинці і навіть деякі державні структури можуть виявитися не в змозі врахувати всі деталі.

«Витончені хакери прораховують навіть малоймовірні негативні сценарії, для того щоб переконатися, що нічого не зможе піти не так», – говорить Лі.

Цей крок дав хакерам більше часу, щоб завершити основну місію, оскільки до того моменту, як оператор помітив факт злому, вже був відключений ряд підстанцій. Лі і Ассантетакож відзначають, що, якщо це була політична атака Росії проти України, то TDoS-атака переслідувала ще одну мету – привести в лють українців і підірвати їх довіру до влади і енергетичних корпорацій.

Крім того, що хакери відключили підстанції, вони ще й переписали прошивку їх конвертерів все тим же вірусним ПО, щоб зробити їх системи невідновні, і відключили можливість отримувати віддалені команди.

«Як тільки ти переписуєш прошивку, шляху назад немає. Тобі доводиться йти на точку і робити все вручну, – каже Лі. – Перепрошивка пристроїв на підстанціях означає, що систему не можна полагодити без заміни обладнання ».

Після цього хакери використовували вірус під назвою KillDisk, щоб стерти всі файли зі станцій оператора, щоб привести і їх в неробочий стан. KillDisk витирає або переписує необхідні системні файли, приводячи до непрацездатності ПО.

Деякі компоненти KillDisk запускаються вручну, але Лі каже, що в двох випадках хакери використовували логічну бомбу, яка автоматично запустила KillDisk через 90 хвилин після атаки. Тобто близько 17:00, якраз в той час, коли «Прикарпаттяобленерго» опублікувало на своєму сайті новину про те, про що і так знали жителі регіону – що світло відключене. У тій же замітці вони переконували, що вони намагаються виявити причину проблеми. Через півгодини, коли KillDisk закінчував свою брудну роботу і розвіював останні сумніви операторів щодо причин події, компанія опублікувала друге звернення до жителів, пояснюючи, що причиною затемнення стали хакери.

 

Винна Росія?

Українська розвідка з абсолютною впевненістю заявила, що за атакою стоїть Росія, але не надала ніяких доказів. З огляду на відносини між двома країнами, це не виглядає надуманим варіантом розвитку подій. Відносини між країнами почали псуватися після того, як Росія анексувала Крим в 2014 році, а нова влада Криму почала націоналізувати місцеві енергетичні компанії, розсердивши українських власників. Якраз перед грудневим затемненням проукраїнські активісти фізично атакували підстанції, які постачають електрику в Крим, залишивши два мільйони кримчан без електрики в регіоні, включеному Росією. У тому числі і базу російського флоту. Звідси і з’явилися грізні припущення, що відключення в Україні мають зв’язок з атакою на кримські підстанції.

Але хакери, які напали на українські енергетичні компанії, почали свою діяльність як мінімум за шість місяців до пошкодження кримських підстанцій. Таким чином, за словами Лі, відключення в Криму могло стати каталізатором атаки, але не могло бути початковою причиною. Лі говорить, атакуючі могли не планувати атаку саме на цей час, але після атаки на кримські підстанції вони могли поміняти плани.

«Дивлячись на дані, схоже, що вони могли зробити більш успішну атаку, якби збирали інформацію і планували напад довше. Так що, схоже, щось змусило їх почати раніше », – коментує експерт.

Він передбачає, що якщо Росія дійсно стоїть за атакою, то причина може бути зовсім іншою. Наприклад, недавно український парламент розглядав законопроект про націоналізацію приватних енергетичних компаній. Деякі з них належать могутньому російському олігархові з близького оточення Путіна. Лі говорить, що, можливо, атака на український енергосектор повинна була стати посланням українській владі не продовжувати приватизацію.

Такі висновки підтверджує ще один аспект нападу: хакери могли нанести куди більшу шкоду, якби фізично знищили обладнання підстанцій, за рахунок чого відновити електрозабезпечення було б набагато складніше. Уряд США продемонструвало приклад атаки 2007 року, в ході якої хакери фізично знищили енергетичний генератор, відправивши лише 21 рядок вірусного коду. Лі говорить, що всі деталі української атаки вказують на те, що вона повинна була служити сигналом.

«Ми хочемо, щоб нас помітили, і хочемо відправити вам повідомлення, – інтерпретує Лі. – Це дуже мафіозний стиль: ах, ви думаєте, що можете вимкнути електрику в Криму? Тоді ми вимкнемо електрику вам! »

Що б не стояло за знеструмленням, це була перша подібна атака, яка стала прецедентом і розкрила загрозу безпеці електростанціям по всьому світу. Оператор «Прикарпаттяобленерго» міг і не знати, що віщує ця дивна поведінка курсора миші. Зате тепер люди, які відповідають за електростанції, попереджені. Ця атака була досить скороминущою і безпечною. Наступна такою може не бути.

 

ain.ua


09.03.2016 1376 3
Коментарі (3)

Vic Gla 2016.03.10, 13:11
Модератору. Сам прийняв таке рішення чи дзвонив зацікавленим особам? ___ ??? :)
Vic Gla 2016.03.10, 13:14
О! Бачу дане повідомлення проскочило... Для тих хто не розуміє про що мова попереднє повідомлення було міні розслідування про систему SCADA яку пан Бубен купив чи попросив у "братів із півночі" в далекому 2009 про що є повідомлення на оффсайті http://www.oe.if.ua/showarticle.php? id=476
Vic Gla 2016.03.10, 13:17
Тому не потрібно було проводити розслідування журналом Вайред а просто знати що дана система зазделегідь встановлена з бекдорами які чекали свого часу... і риторичне питання СБУ та прокуратура проводять розслідування чи вже ні? До речі на попередній пост модератором було відхилено публікацію з реплікою "Думаєш такий мудрий?" Дане повідомлення від модератора заскрінене.
26.03.2024
Вікторія Матіїв

Під час війни людина відчуває цілий спектр емоцій. Як українським родинам впоратись з такими випробуваннями — журналістка Фіртки розпитала у лікаря-психіатра, психолога та консультанта в напрямку когнітивно-поведінкової терапії Миколи Демківа.

683
21.03.2024
Тетяна Дармограй

Що робити та куди звертатися рідним зниклих військовослужбовців,  як відбувається процес пошуку та чому не варто поширювати у соцмережах персональну інформацію зниклого, розповіла представниця Уповноваженого з питань осіб, безвісти зниклих за особливих обставин в Івано-Франківській області Наталя Пасічник.

1964 7
19.03.2024
Тіна Любчик

Комітет з питань національної безпеки, оборони та розвідки активно працює над поданими правками щодо нового законопроєкту про мобілізацію. Журналістка Фіртки поспілкувалася з політтехнологом, військовим юристом, Володимиром Бондаренком щодо актуальних питань призову.

1140 2
19.03.2024

Сьогодні й роботодавці, й експерти звертаються до абітурієнтів: зважайте на ті спеціальності, які будуть потрібні Україні під час відбудови, адже велике відновлення почнеться одразу після Перемоги.

562
24.02.2024
Вікторія Матіїв

Спроби створити музей у Долині виникали ще у 60-х роках. Проте тільки 23 грудня 1997 року Долинська районна рада прийняла остаточне рішення щодо нього. Журналістка Фіртки поспілкувалася з директоркою закладу Ксенею Циганюк. 

6909 61
01.02.2024
Вікторія Косович

Івано-Франківськ є градом безлічі упереджень і масок: для перших — фортеця, заснована поляками, для других — відголос австрійського «золотого віку» з його залізницями, для третіх — серце гуцульської культури, плач трембіт.  

11407 6

Піст – невід’ємна частина християнського  життя, встановлена Богом.

344

Друзі путіна зустрілись у резиденції рудого Донні у Флориді, де обговорили план путіна по капітуляції України, і після цієї поїздки Орбан розкрив – як за 24 год Трамп планує припинити війну.

1095

Чим ближче до виборів в США, тим більше трампісти вдаються до маніпуляцій у своїй пропаганді. У контексті України вони, переставивши все з ніг на голову, намагаються переконувати, ніби це демократи, а не республіканці, заблокували допомогу Україні.

1120

Кожен із нас не раз потрапляв у ситуацію, коли ми замислювались давати, чи ні милостиню людині, яка звертається про допомогу біля церкви, на вулиці чи в інших громадських місцях.  

1115
29.03.2024

З кожним днем війни стає дедалі важливіше зберігати емоційну стабільність і свідомо дбати про своє психічне здоров’я.   

83
24.03.2024

Нутриціологиня пояснила, чому не можна забороняти собі фастфуд та солодощі. А також порадила, як їх вписати у свій раціон.

292
18.03.2024

Сьогодні, 18 березня 2024 року, в УГКЦ в Україні розпочинається період Великого посту. Пригадуємо канони партикулярного права УГКЦ, в яких ідеться про те, коли і як треба постити.  

1093
29.03.2024

Старий сидів біля оазису, біля входу в одне близькосхідне місто. До нього підійшов юнак і запитав...

659
25.03.2024

Йдеться про зміни в молитвах «Вірую» («Символ віри»), «Царю Небесний» та митаревій молитві.

763
21.03.2024

Релігійна громада отримала всі дозвільні документи та незабаром розпочне будівництво поруч з Садовим товариством та міським озером.

2958
15.03.2024

Отець каже: виконайте заповідь Божу – вшануйте свято Боже молитвою у храмі, а житейське на цей день відкладіть.

4454
29.03.2024

Мурали або стінописи сьогодні не є чимось незвичним. У містах України, зокрема й в Івано-Франківську, на вільних стінах будинків час від часу з'являються різноманітні нові прояви вуличного мистецтва.  

18448
29.03.2024

Комітет з питань національної безпеки, оборони та розвідки розглянув майже 90% законопроєкту про мобілізацію.  

85
26.03.2024

У Верховній Раді зареєстрували проєкт закону про внесення змін до Кримінального кодексу України щодо встановлення відповідальності за привласнення державних функцій.   

329
22.03.2024

На початку лютого 2024 року замість Валерія Залужного Збройні сили України очолив Олександр Сирський, який до цього командував Сухопутними військами.  

360
17.03.2024

Продовжує зменшуватися кількість тих, хто вважає, що держава виконує свої зобов'язання перед ветеранами російсько-української війни.  

670