11.34.46 Американське видання Wired провело власне розслідування кібератаки на енергосистему України | |
Джерело наводить повний переклад тексту, опублікованого на сайті Wired, доступ до якого всі бажаючі можуть отримати за посиланням в кінці замітки. Ми ж в свою чергу виділимо лише основні і найбільш цікаві моменти. Все почалося 23 грудня о 15:30 під кінець робочого дня в місцевому «Прикарпаттяобленерго», яке постачає електрикою весь регіон. Один з працівників підприємства упорядковував папери на своєму столі і раптом помітив, як курсор його мишки раптом почав мимовільно переміщатися по екрану. На його очах відбувся запуск програми, що управляє роботою обласних підстанцій, і подальше відключення відповідних підстанцій, що позбавила тисячі жителів світла та опалення. Всі подальші дії оператори, спрямовані на відновлення контролю над ситуацією і відновлення роботи підстанцій, не принесли бажаного результату - зловмисники змінили код доступу до системи на новий. Внаслідок атаки в цілому було відключено приблизно 30 підстанцій. Також паралельно були атаковані ще два розподільних центри, що дозволило відключити практично вдвічі більше підстанцій і занурити близько 230 тис. жителів в безпросвітну темряву. За даними розслідування, які атакували українські електростанції були просто опортуністами. Це були добре навчені і спритні стратеги, які ретельно планували напад протягом багатьох місяців. «Це було блискуче», - цитує джерело слова Роберта Лі, який брав участь в розслідуванні. Ця людина є колишнім фахівцем з кібероперацій Військово-повітряних сил США і співзасновником Dragos Security, що займається питаннями безпеки інфраструктури. За його словами, на різних етапах операції підключалися гравці різного рівня, що ще раз свідчить на користь версії з добре спланованою і організованою спільними зусиллями абсолютно різних людей або організацій - можливо кіберзлочинців і організацій державного рівня - атаки. У той же час на відміну від української влади, які відразу ж звинуватили російські спецслужби, що не дивно в нинішній ситуації, Лі не називає конкретні країни, які можуть бути причетні до цієї справи. Відзначається, що системи контролю в Україні виявилися напрочуд більш захищеними, ніж багато американських, оскільки були добре відділені від корпоративних мереж потужними файрволлами. Втім, цього було недостатньо - відсутність підтримки двофакторної аутентифікації дозволило хакерам викрасти логіни і паролі, щоб отримати доступ до систем, керуючим рубильниками. Електрику в Україні повернули досить швидко: в різних районах це зайняло від 1 до 6 годин. Проте, згідно зі звітом США, центри контролю досі не відновилися повністю. До теперішнього моменту системи віддаленого управління 16 підстанцій, які були зламані хакерами, досі не функціонують повинні чином - працівники змушені все робити в ручному режимі. І це добре, якби таке трапилось в США, повернути електрику було б набагато складніше, оскільки там все на автоматиці і ніякого ручного управління немає. Багато відомств в США, включаючи ФБР і міністерств внутрішньої безпеки США, допомогли Україні в розслідуванні атаки. В ході розслідування було встановлено, що атака почалася ще минулої весни з фішинговою кампанії, спрямованої на IT-фахівців і системних адміністраторів, які працюють в декількох компаніях, що відповідають за розподіл енергії в різних регіонах України. В рамках фішингової кампанії працівники трьох таких компаній отримали листи із зараженими Word-документами, що містять макроси. Після надання користувачем дозволу на включення макросів програма, яка називається BlackEnergy3 - різні варіації були виявлені ще в декількох системах в Європі і США - заражала машини і відкривала бекдори для хакерів. Відзначимо, що використання макросів - це старий метод з 90-х, який схоже знову стає актуальним. В результаті зловмисники отримали доступ в корпоративні мережі. Проникненню в мережі SCADA, які контролюють електромережу, передували місяці ретельного вивчення можливості отримання доступу до контролерів домену Windows з метою збору даних користувача. Як тільки зловмисники потрапили в мережу SCADA почався довгий і складний процес підготовки до атаки. Він включав перенастроювання системи безперебійної подачі електрики для двох центрів розподілу (щоб залишити без світла не тільки населення, але й операторів) і підміну оригінальної прошивки обладнання (конвертерів послідовного інтерфейсу в Ethernet) на заражену. Не можна також не відзначити використання вірусу під назвою KillDisk для видалення всіх файлів зі станцій оператора. Що б або хто б не стояв за атакою на енергосистему України, це перший подібний напад, який став важливим прецедентом в питаннях забезпечення енергетичної безпеки. Джерело: ain | |
|
Всього коментарів: 0 | |