Crash Override: кто и как устроил кибератаку, оставившую без света несколько районов Киева

И чем вирус, способный взламывать электросети, угрожает миру.

В середине декабря 2016 года пятая часть населения Киева на час осталась без электроснабжения. В январе специалисты предположили, что это было следствием хакерской атаки на оборудование электростанции «Укрэнерго», подобно произошедшей годом ранее в Ивано-Франковской области.

Но если 23 декабря 2015 года это был прямолинейный хакерский захват удалённого контроля над интерфейсами управления станции «Прикарпатьеоблэнерго» (один из сотрудников рассказывал, как курсор перемещался по монитору прямо у него на глазах, а он не мог его перехватить), то в этот раз лишь для того, чтобы доказать вмешательство взломщиков, потребовалось больше полугода. TJ изучил обнародованные отчёты экспертов по кибербезопасности.

Неизвестно, как называют свой вирус хакеры, атаковавшие «Укрэнерго». В одном из документов инструмент взлома фигурирует как Industroyer, в другом — под названием Crash Override.

Сходств между двумя случившимися с разницей в год атаками усмотреть почти невозможно: они исчерпываются тем, что обе произошли в декабре и в обоих случаях жертвой были украинские энергосети. Технически же — ничего похожего.

Накануне Рождества 2015 года для взлома энергосистемы на Западной Украине использовались достаточно примитивные инструменты: трояны BlackEnergy и KillDisk для осуществления проникновения, а затем, для отключения системы —общедоступные средства удалённого контроля (хотя и полностью перехватывавшие управление, не давая пользователю действовать самостоятельно).

В 2016-м же обход систем безопасности осуществлялся скрытно и более профессионально. Часть экспертов предполагает, что, если в первом случае отключение выглядело скорее демонстрацией грубой силы или провокацией, то вторая атака была тест-драйвом нового программного обеспечения.

Кроме того, Crash Override — «гораздо более масштабируемый инструмент, чем то, что было использовано в 2015 году, — говорит Роберт Ли, основатель частной компании Dragos Inc, занимающейся исследованием и обеспечением кибербезопасности, — если полтора года назад для атаки на три региональных объекта нужны были 20 человек, координирующихся между собой, то в этот раз те же люди могут провести атаку на 15-20 не связанных между собой энергетических систем, если не больше».

Если это правда, то из этого может следовать несколько выводов разной степени катастрофичности.

Во-первых, вполне вероятно, что системы электростанции, подвергшейся атаке, могут быть всё ещё заражены или иметь «чёрные ходы», оставленные хакерами для повторного проникновения. Дело в том, что ни представитель Dragos, ни эксперты одного из крупнейших игроков рынка электронной безопасности ESET не смогли выяснить, как именно было совершено проникновение (В ESET предполагают, что были использованы фишинговые электронные адреса, как это было в 2015-м, но подтверждения этому нет).

Зато известно, что в этот раз использованное вредоносное ПО работало по принципу «логической бомбы». Это значит, что оно было внешне независимо: для того, чтобы начать атаку, не нужно было непосредственное присутствие хакера в системе в момент запуска. Кроме того, было установлено, что Crash Override умеет подчищать следы своих действий после завершения нападения, а вот оставляет ли он бэкдоры (дефекты, которые в дальнейшем позволяют получить несанкционированный доступ к данным. — Прим. TJ), неизвестно.

Во-вторых, нельзя сказать, какие ещё электростанции могут быть взломаны и в программное обеспечение каких из них уже внедрены вредоносные компоненты, ждущие своего часа.

Важно и то, что несмотря на то, что хакерская программа была ориентирована на стандартные протоколы работы софта «Укрэнерго», Роберт Ли отмечает, что вирус может легко приспособиться к дизайну других энергосетей. «Тревожно, что ничто не говорит про то, что это может случиться не только на Украине», — говорит он.

Также эксперты подозревают, что, среди прочего, взломщики воспользовались уязвимостью оборудования компании Siemens, известной как SIPROTEC. А оборудование Siemens поставляется на электростанции по всему миру. Пользующаяся этой проблемой атака может заблокировать управление системой до того момента, пока её не перезапустит вручную оператор.

Впрочем, в июне 2017 года представители Siemens выступили с заявлением, что уязвимость была закрыта обновлением прошивки, вышедшим ещё летом 2015 года. В компании рассчитывают на то, что все ответственные пользователи установили его.

В-третьих, Crash Override или Industroyer, как бы он не назывался, —потенциально очень опасный вирус. В этом сходятся все эксперты. Ведь это всего второй раз в истории, когда целенаправленной хакерской атаке подвергаются (причём столь эффективно) объекты физической инфраструктуры. Первым был вирус Stuxnet, использованный в 2009 году спецслужбами США и Израиля для уничтожения обогащающих уран центрифуг в Иране.

Ещё один неприятный момент заключается в том, что Crash Override оперирует стандартными возможностями системы управления энергосетью, то есть использует взломанный софт не каким-то экзотическим способом, а по его прямому назначению, просто радикально. Дело в том, что в то время, когда эти протоколы разрабатывались, энергосистемы (а так же водопроводы, управляющие транспортом программы и всё прочее, что потенциально может быть заражено Crash Override) были автономными, а теперь в них можно вторгнуться извне. Как показал проведённый в 2007 году эксперимент, таким путём вполне можно добиться, например, самосожжения электрооборудования.

Автономность, риск уничтожения оборудования, а также то, что программа ориентируется не на искажение работы систем, а на перегрузку их в рамках существующего функционала —всё это вместе превращает Crash Override в очень опасный инструмент.

Так как прошлый взлом такого масштаба осуществляли совместно военные разведки двух технологически продвинутых государств, можно предположить, что слова президента Украины о том, что он видит за «рождественскими атаками» след пресловутых «российских хакеров», могут оказаться верны. С ним согласны и некоторые представители украинского сообщества кибербезопасности. В то же время преувеличивать сложность таких операций в современных условиях тоже не стоит. Например, общедоступный инструмент поиска портов веб-камер, роутеров и принтеров Shodan в 2015 году позволил хакерам обнаружить уязвимости в управлении сначала системой доступа к реактору одной из европейских ядерных станций, а затем ускорителем частиц, используемого экспериментаторами ЦЕРН.

Однако, поскольку пока никому из аналитиков не удалось найти следов создателей Crash Override, вопрос о том, в чьих руках находится оружие такой разрушительной силы, остаётся открытым.

#кибербезопасность #вирусы #украина #разборы