Офтоп
Oleg Uppit

Crash Override: кто и как устроил кибератаку, оставившую без света несколько районов Киева Статьи редакции

И чем вирус, способный взламывать электросети, угрожает миру.

Фото Reuters

В середине декабря 2016 года пятая часть населения Киева на час осталась без электроснабжения. В январе специалисты предположили, что это было следствием хакерской атаки на оборудование электростанции «Укрэнерго», подобно произошедшей годом ранее в Ивано-Франковской области.

Но если 23 декабря 2015 года это был прямолинейный хакерский захват удалённого контроля над интерфейсами управления станции «Прикарпатьеоблэнерго» (один из сотрудников рассказывал, как курсор перемещался по монитору прямо у него на глазах, а он не мог его перехватить), то в этот раз лишь для того, чтобы доказать вмешательство взломщиков, потребовалось больше полугода. TJ изучил обнародованные отчёты экспертов по кибербезопасности.

Эволюция использованного софта

Неизвестно, как называют свой вирус хакеры, атаковавшие «Укрэнерго». В одном из документов инструмент взлома фигурирует как Industroyer, в другом — под названием Crash Override.

Сходств между двумя случившимися с разницей в год атаками усмотреть почти невозможно: они исчерпываются тем, что обе произошли в декабре и в обоих случаях жертвой были украинские энергосети. Технически же — ничего похожего.

Накануне Рождества 2015 года для взлома энергосистемы на Западной Украине использовались достаточно примитивные инструменты: трояны BlackEnergy и KillDisk для осуществления проникновения, а затем, для отключения системы —общедоступные средства удалённого контроля (хотя и полностью перехватывавшие управление, не давая пользователю действовать самостоятельно).

В 2016-м же обход систем безопасности осуществлялся скрытно и более профессионально. Часть экспертов предполагает, что, если в первом случае отключение выглядело скорее демонстрацией грубой силы или провокацией, то вторая атака была тест-драйвом нового программного обеспечения.

Кроме того, Crash Override — «гораздо более масштабируемый инструмент, чем то, что было использовано в 2015 году, — говорит Роберт Ли, основатель частной компании Dragos Inc, занимающейся исследованием и обеспечением кибербезопасности, — если полтора года назад для атаки на три региональных объекта нужны были 20 человек, координирующихся между собой, то в этот раз те же люди могут провести атаку на 15-20 не связанных между собой энергетических систем, если не больше».

Если это правда, то из этого может следовать несколько выводов разной степени катастрофичности.

Бэкдоры и заражённые системы

Во-первых, вполне вероятно, что системы электростанции, подвергшейся атаке, могут быть всё ещё заражены или иметь «чёрные ходы», оставленные хакерами для повторного проникновения. Дело в том, что ни представитель Dragos, ни эксперты одного из крупнейших игроков рынка электронной безопасности ESET не смогли выяснить, как именно было совершено проникновение (В ESET предполагают, что были использованы фишинговые электронные адреса, как это было в 2015-м, но подтверждения этому нет).

Зато известно, что в этот раз использованное вредоносное ПО работало по принципу «логической бомбы». Это значит, что оно было внешне независимо: для того, чтобы начать атаку, не нужно было непосредственное присутствие хакера в системе в момент запуска. Кроме того, было установлено, что Crash Override умеет подчищать следы своих действий после завершения нападения, а вот оставляет ли он бэкдоры (дефекты, которые в дальнейшем позволяют получить несанкционированный доступ к данным. — Прим. TJ), неизвестно.

Что ещё было взломано?

Во-вторых, нельзя сказать, какие ещё электростанции могут быть взломаны и в программное обеспечение каких из них уже внедрены вредоносные компоненты, ждущие своего часа.

Важно и то, что несмотря на то, что хакерская программа была ориентирована на стандартные протоколы работы софта «Укрэнерго», Роберт Ли отмечает, что вирус может легко приспособиться к дизайну других энергосетей. «Тревожно, что ничто не говорит про то, что это может случиться не только на Украине», говорит он.

Также эксперты подозревают, что, среди прочего, взломщики воспользовались уязвимостью оборудования компании Siemens, известной как SIPROTEC. А оборудование Siemens поставляется на электростанции по всему миру. Пользующаяся этой проблемой атака может заблокировать управление системой до того момента, пока её не перезапустит вручную оператор.

Впрочем, в июне 2017 года представители Siemens выступили с заявлением, что уязвимость была закрыта обновлением прошивки, вышедшим ещё летом 2015 года. В компании рассчитывают на то, что все ответственные пользователи установили его.

Разрушение физической инфраструктуры

В-третьих, Crash Override или Industroyer, как бы он не назывался, потенциально очень опасный вирус. В этом сходятся все эксперты. Ведь это всего второй раз в истории, когда целенаправленной хакерской атаке подвергаются (причём столь эффективно) объекты физической инфраструктуры. Первым был вирус Stuxnet, использованный в 2009 году спецслужбами США и Израиля для уничтожения обогащающих уран центрифуг в Иране.

Ещё один неприятный момент заключается в том, что Crash Override оперирует стандартными возможностями системы управления энергосетью, то есть использует взломанный софт не каким-то экзотическим способом, а по его прямому назначению, просто радикально. Дело в том, что в то время, когда эти протоколы разрабатывались, энергосистемы (а так же водопроводы, управляющие транспортом программы и всё прочее, что потенциально может быть заражено Crash Override) были автономными, а теперь в них можно вторгнуться извне. Как показал проведённый в 2007 году эксперимент, таким путём вполне можно добиться, например, самосожжения электрооборудования.

Автономность, риск уничтожения оборудования, а также то, что программа ориентируется не на искажение работы систем, а на перегрузку их в рамках существующего функционала всё это вместе превращает Crash Override в очень опасный инструмент.

Кто это сделал?

Так как прошлый взлом такого масштаба осуществляли совместно военные разведки двух технологически продвинутых государств, можно предположить, что слова президента Украины о том, что он видит за «рождественскими атаками» след пресловутых «российских хакеров», могут оказаться верны. С ним согласны и некоторые представители украинского сообщества кибербезопасности. В то же время преувеличивать сложность таких операций в современных условиях тоже не стоит. Например, общедоступный инструмент поиска портов веб-камер, роутеров и принтеров Shodan в 2015 году позволил хакерам обнаружить уязвимости в управлении сначала системой доступа к реактору одной из европейских ядерных станций, а затем ускорителем частиц, используемого экспериментаторами ЦЕРН.

Однако, поскольку пока никому из аналитиков не удалось найти следов создателей Crash Override, вопрос о том, в чьих руках находится оружие такой разрушительной силы, остаётся открытым.

{ "author_name": "Oleg Uppit", "author_type": "self", "tags": ["\u0443\u043a\u0440\u0430\u0438\u043d\u0430","\u0440\u0430\u0437\u0431\u043e\u0440\u044b","\u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","\u0432\u0438\u0440\u0443\u0441\u044b"], "comments": 21, "likes": 32, "favorites": 4, "is_advertisement": false, "subsite_label": "flood", "id": 45480, "is_wide": true, "is_ugc": true, "date": "Mon, 19 Jun 2017 23:10:08 +0300", "is_special": false }
0
21 комментарий
Популярные
По порядку
Написать комментарий...

Небесный браслет

7

этим вирусом был Владимир Путин

Ответить

Зеленый волк

6

Похоже у нас тоже кто-то каждый год в июне устраивает кибератаку, так как мы на две недели остаемся без горячей воды.

Ответить

Сознательный инструмент

6

В клубе TJ есть главный электрик страны? Неужели электросети управляются неким (условно) ПК на винде с подключением к интернету? Мне кажется, власти всех стран поняли, что кибератаки — это идеальная отмаза для любой "шалости".

Ответить

Седой хот-дог

Егор
3

Комментарий удален по просьбе пользователя

Ответить

Сознательный инструмент

G
0

Очень странно) Написал комментарий выше.

Ответить

Отвратительный Мика

Егор
2

Работаю в сфере АСУТП на энергообъектах. Чаще всего встречал распределенные системы. Есть два уровня управления оборудованием: нижний (контроллеры, УСПД, как раз специализированные устройства со спец. ПО), верхний ("обычные" компьютеры - сервера, АРМы - с "обычным" ПО, хотя встречаются тенденции ставить Линукс или какую-нибудь экзотическую сборку винды). Логика управления оборудованием крутится в контроллерах. На компьютерах осуществляется отображение информации, подача команд управления, архивирование и прочее. Но всё же для этого используется спец. ПО - SCADA. Они разные, без наличия и знания конкретной SCADA-системы осуществлять какое-то управление затруднительно. Хотя в статье было указано, что перехватывалось удаленное управление самим компьютером. Часто сеть объекта всё же изолирована от внешнего мира. А если нет, то обязательны маршрутизаторы, фаерволы, антивирусы и прочее. С переменным успехом эти требования соблюдаются. Антивирус ставится даже на изолированные компьютеры. Логины-пароли тоже обычно выставляются. Про безопасность на АЭС не скажу, но на ТЭЦ примерно так.

Ответить

Сознательный инструмент

Отвратительный
0

Отличный ответ!

Ответить

Зенитный пришелец

Егор
1

Вообще-то всё в отчёте написано: https://dragos.com/blog/crashoverride/CrashOverride-01.pdf
Электросети управляются сложно устроенными сетями из компьютеров и микроконтроллеров. Такая сеть обычно связана с интернетом через два брандмауэра.

Ответить

Длительный пёс_анон

Егор
0

Сложную сеть без компа не разрулить наверное, а по на нем иногда надо обновлять (до хоть бы и через флешку)

Ответить

Правоохранительный Орзэмэс

Егор
0

а чем они должны управляться по твоему? ты не представляешь какой иногда древний софт рулит железом в критических местах.

Ответить

Сознательный инструмент

sf
0

В том то и дело, что явно не распространенной осью. Во-первых —
да, в силу устаревшего оборудования и железа. Во-вторых — я полагаю, что электросети — важнейший объект стратегического значения, и вряд ли его функциональные узлы могут быть доступны извне — как в случае с АЭС и пультом запуска ядерного оружия. Мне кажется, там, по логике, должны стоять какие-нибудь Эльбрусы за семью паролями непонятного кода советских времен. А удаленный доступ к электросетям — это вообще что-то из ряда вон выходящее.

Ответить

Могучий калькулятор

3

Даже на заводе, на котором я работал 9 лет назад сеть контроллеров технологических линий была физически разделена с той, в которой есть инет

Ответить

Способный мангал

1

Комментарий удален по просьбе пользователя

Ответить

Небесный хот-дог

1

Ну а кто ещё кроме фсб-шных хакеров это мог бы быть.

Ответить

Специфический фонарь

Антон
0

Что эти нацисты себе позволяют? Наговаривают на самые честные спецслужбы в мире.

Ответить

Откровенный алмаз

Tapac
0

Путин тебе электричество отключил а ты сидишь на диване и поливаешь дерьмом студентов которые против путина на митинг вышли с голыми руками в самом центре москвы

Ответить

Новенький Мика

Антон
0

Не обязательно фсбши, скорее просто резиденты РФ

Ответить

Специфический фонарь

1

в этот раз использованное вредоносное ПО работало по принципу «логической бомбы». Это значит, что оно было внешне независимо: для того, чтобы начать атаку, не нужно было непосредственное присутствие хакера в системе в момент запуска.

Вот это хорошо, т.к. есть шанс, что выйдет из-под контроля и выведет инфраструктуру страны, из которой было инициировано применение этого ПО.
С ним согласны и некоторые представители украинского сообщества кибербезопасности.

Да как-бы и не только украинского и уже давно занимаются противодействием.

Ответить

Показательный файл

Tapac
0



Вот это хорошо, т.к. есть шанс, что выйдет из-под контроля и выведет инфраструктуру страны, из которой было инициировано применение этого ПО.

Как ты себе это представляешь, интересно.

Ответить

Показательный файл

Алишер
0

Зафейлил цитатку :(

Ответить

Химический кот

0

Словно сюжет "Крепкого Орешка 4.0" прочитал

Ответить
Читать все 21 комментарий
Обсуждаемое
Новости
«В******йте или уё*****те»: глава Xsolla объяснил массовые увольнения расставанием с теми, кто «отсиживался»
IT-компания рассказала о недостаточном росте и начала поиски пиарщика.
Новости
Любовь Соболь приговорили к одному году и шести месяцам ограничения свободы по «санитарному делу»
На финальной части оглашения приговора юрист не присутствовала.
Интернет
Ходьба по краю: Amouranth — самая популярная стримерша на Twitch. Она не играет в игры и ведёт провокационные трансляции
Пока девушку смотрят миллионы зрителей, «хардкорные» пользователи считают, что её стримы в бассейне и ASMR с облизыванием микрофона олицетворяют всё худшее в современном Twitch.
Популярное за три дня
Новости
Участницы рекламы «ВкусВилла» из семьи с ЛГБТ-парой уехали жить в Испанию
Чтобы начать «новую жизнь».
Животные
В Нью-Йорке кот несколько минут бегал по бейсбольному стадиону от стюардов под одобрительные крики болельщиков
Он прервал матч «Нью-Йорк Янкис» и «Балтимор Ориолс»..
Наука
Что случилось с «Наукой» и как это отразится на МКС — рассказ NASA и объяснения Роскосмоса
Инцидент с российским модулем стал крупнейшим в истории Международной космической станции.
null