Кремль хоче влаштувати Вашингтону “темну”

Пов’язані з Росією хакери атакували енергомережу США

Як пише The Wall Street Journal (WSJ), масштабна кампанія зі зламу мереж американських електроенергетичних компаній була проведена у 2017 році. Хакери могли організувати мас­штабне відключення електроенергії, причому кібератака, ймовірно, триває і зараз. До нападу, за даними міністерства національної безпеки США, причетні хакери з групи під назвою Energetic Bear, що працюють на Російську Федерацію (РФ).

Під прицілом – енергетичні та промислові підприємства

Хакери зламали мережі малих комунальних підприємств, а потім проникли в мережі постачальників, які, зі свого боку, працюють з великими компаніями, вважають у міністерстві. Для атак хакери використовували електронні листи, що дозволило їм потрапити в корпоративні мережі та вкрасти дані співробітників. Зловмисники могли вмикати і вимикати електрику й виводити з ладу потоки енергії, заявив глава аналітичного відділу системи промисловості й контролю міністерства нацбезпеки Джонатан Хомер, пише Німецька хвиля. Жертвами атаки стали сотні компаній, причому деякі фірми досі можуть навіть не здогадуватися про напад, адже дії хакерів складно виявити, оскільки вони використовують облікові дані співробітників. Міністерство нацбезпеки попереджало про напади на інфраструктуру США з боку російських груп ще з 2014 року, проте досі йшлося про кілька десятків, а не сотні жертв, уточнює WSJ.
Угруповання Energetic Bear (також відоме під назвами Dragonfly і Crouching Yeti) проявляє активність щонайменше з 2010 року. Його цілями переважно є енергетичні та промислові підприємства. Вашингтон вважає, що діяльність угруповання спонсорує РФ.

Першою жертвою була Україна

Варто зазначити, що загроза реальних масштабних відключень енергопостачання цілком реальна. На жаль, першим “піддослідним кроликом” стала Україна. 23 грудня 2015 року пов’язаним з РФ хакерам вдалось успішно атакувати комп’ютерні системи управління трьох українських енергопостачальних компаній. Найбільше постраждали споживачі “Прикарпаттяобленерго”: було вимкнено близько 30 підстанцій, майже 230 тис. людей залишались без світла протягом шести годин. Синхронних атак (але з меншими наслідками) зазнали також “Чернівціобленерго” та “Київобленерго”. Атака відбувалась із використанням троянської програми BlackEnergy.
Було встановлено, що вірус потрапив у мережі обленерго за допомогою спеціальних листів із використанням методів соціальної інженерії, надісланих на комп’ютери працівників електронною поштою. Листи мали вкладений документ-приманку, при перегляді якого жертві пропонується активувати макрос для коректнішого зображення вмісту.
Після цього на комп’ютері жертви створюється і запускається завантажувач шкідливої програми, причому звичайний користувач (нефахівець із кібербезпеки) цього навіть не помічає. Так само не реагують і стандартні антивірусні програми. Після цього група хакерів методом віддаленого доступу вручну починала роздавати системі неправильні команди, одночасно блокуючи системи контролю та знищуючи за допомогою утиліти KillDisk потрібну інформацію на серверах та робочих станціях. Одночасно група підтримки атакувала телефонні номери кол-центрів з метою відмови в обслуговуванні знеструмлених абонентів.
Це була, так би мовити, проба пера. 17 грудня 2016 року сталося раптове відключення частини київської енергомережі, яке тривало рівно одну годину. В результаті збою автоматики управління були повністю знеструмлені кілька підстанцій ПАТ “Київенерго” і ВАТ “Київобленерго”, в результаті чого без світла залишилися приблизно п’ята частина споживачів Київської агломерації (загальна кількість мешканців – 3,7 млн осіб). Також була знеструмлена Київська ГАЕС (гідроакумулювальна електростанція).
Ситуація зацікавила фахівців американської компанії Dragos та їхніх колег зі словацької ESET. Вони провели власне розслідування та дійшли висновку, що кібератаку здійснила команда хакерів під назвою Electrum, яка з високою часткою ймовірності пов’язана з хакерами з групи Sandworm, що виконує завдання спецслужб РФ.
На думку команди міжнародних експертів, ця атака була лише “показовим тренуванням” російських хакерів. “Їхньою метою було випробування нового шкідливого програмного забезпечення (ПЗ), що здатне спричинити масові відключення електроенергії в ме­жах цілої країни. В майбутньому під загрозою можуть опинитися енергосистеми не тільки України, але й країн Європейського Союзу та навіть США”, – йшлося у звіті команди експертів.
Для атаки група Elec­trum використовувала шкідливе ПЗ під назвою CrashOverride. Причому це був лише третій в історії випадок застосування комп’ютерного вірусу, призначеного для руйнування фізичних об’єктів. Уперше з такою метою програмне забезпечення під назвою Stuxnet було використане при спробі знищення центрифуг (через подачу неправильних команд, які розганяли центрифуги до критичних швидкостей) на ядерному об’єкті в Ірані у 2009 році. Тоді Тегеран в усьому звинуватив США та Ізраїль, але жодних доказів так і не навели.
Експерти вважають, що вірус на основі Crash­Override, який був випробуваний в Україні у грудні 2016 року, набагато небезпечніший, адже може автоматизувати масові відключення електроенергії, даючи можливість одночасно атакувати багато об’єктів. Фахівці ESET і Dragos виокремили головну відмінність між атаками на українські обленерго у грудні 2015-го року та енергосистему Києва наприкінці 2016-го. Якщо в першому випадку хакерам потрібно було вручну давати неправильні команди, одночасно блокуючи захисні зусилля системних адміністраторів атакованих мереж, то в другому випадку атака була повністю автоматизована. “Тепер атаки стануть набагато масштабнішими, – заявив тоді представник Dragos Роб Лі. – Якщо у 2015 році в атаці на три обленерго України брали участь 20 осіб, то тепер ці 20 чоловік можуть одночасно атакувати 10-15 обленерго”. За його словами, під час атаки на київську енергосистему вірус CrashOverride використовував поширені в Україні протоколи. “Водночас дизайн програми дозволяє легко адаптувати її під протоколи енергосистем країн ЄС та Сполучених Штатів”, – впевнений експерт.

Примара нового Чорнобиля

Наслідки від атаки CrashOverride можуть виявитися значно серйознішими, ніж тимчасова втрата контролю над енергосистемою. Фахівці ESET стверджують, що шкідлива програма має потенціал для завдання фізичної шкоди устаткуванню. За їхніми даними, CrashOverride може використовувати відому уразливість цифрового реле Siprotec. Такі реле встановлені для захисту, контролю й управління лініями електропередач. 
Майк Ассанте, працівник американської компанії у сфері кібербезпеки SANS Institute, каже, що відімкнення цифрового реле може призвести до теплового перевантаження ліній електропередач. Це своєю чергою означатиме провисання або розплавлення дротів, ушкодження трансформаторів, генераторів, перемикачів та іншого обладнання, яке перебуває під напругою. Ще страшніший варіант: зовнішнє управління графітовими стрижнями, що “гасять” ядерний реактор. Теоретично в такий спосіб можна “розігнати” АЕС до технологічно не­передбаченої швидкості – саме це й стало причиною вибуху в Чорнобилі.
Таким чином Crash­Override може забезпечити проведення спланованої атаки одночасно на багато об’єктів енергосистеми. Отже, це спричиняє ризик віялових відімкнень по всій країні, коли перевантаження “перетікає” з одного регіону в інший.

РФ входить до трійки країн, які найактивніше шпигують за Федеративною Республікою Німеччина (ФРН). Про це йдеться у щорічній доповіді Федеральної служби захисту конституції ФРН. “РФ, Китай та Іран – головні гравці, які стоять за шпигунською активністю щодо ФРН”, – наголошується в документі. Як стверджують експерти, російська розвідка зокрема вклала багато сил і засобів у стеження з використанням кіберпростору. Відзначається, що атаки зачіпають усі сфери, в тому числі політику і економіку, а особлива увага приділяється питанням, які безпосередньо стосуються Москви. Зокрема, інтерес викликає політика Берліна в НАТО і ЄС, напруженість у відносинах Європи та Туреччини. Водночас ситуація в Україні, яка була на першому плані у 2014 – 2015 роках, нині значно менше цікавить розвідку РФ.
Дійшло до того, що німецьким держслужбовцям, які вирішили відвідати Чемпіонат світу з футболу в РФ, рекомендували не брати із собою смартфони. У спеціальній інструкції наголошувалося на заміні смартфона на старий кнопковий мобільний без доступу до інтернету і списку службових контактів. “У минулому вже були інциденти в РФ і Туреччині, коли у мандрівників на деякий час забирали телефони, а потім повертали без пояснень. Згодом з’ясовувалося, що дані з них були зчитані”, – розповів представник німецького МВС Тобіас Дункель.
Стурбовані й у Таллінні. Естонські спецслужби розкрили діючих в країні агентів впливу РФ. “Ми встановили мережу агентів впливу РФ, яка складається з політиків, журналістів, дипломатів та бізнесменів”, – заявив під час виступу на Форумі безпеки в Аспені (США) генеральний директор департаменту зовнішньої розвідки Естонії Мікк Марран, передає Delfi. Він наголосив, що підпорядковане йому відомство “чітко бачить, що ці люди нав’язують російський план дій”. Також Мік Марран підкреслив, що загроза з боку РФ не минула, навіть незважаючи на зустріч Дональда Трампа і Володимира Путіна. За його словами, Москва продовжує нарощувати використання агентів впливу. Він зазначив, що РФ забезпечує їм увагу мас-медіа, політичну підтримку, ексклюзивні бізнес-можливості та в окремих випадках фінансову допомогу.
коментарі відсутні
Для того щоб залишити коментар необхідно
0.9385 / 4.45MB / SQL:{query_count}