Хакерская атака на энергосети Украины в декабре 2015 года

Материал из Documentation.

Хакерская атака на энергосети Украины в декабре 2015 года — крупная хакерская атака, осуществлённая в декабре 2015 года на электроэнергетические сети Украины. В результате атаки множество потребителей были временно отключены от электроснабжения.

Это первый в мире подтверждённый случай выведения из строя электрической сети с помощью хакерской атаки.^[1]

Согласно заявлениям американской компании SANS ICS, занимающейся вопросами кибербезопасности, злоумышленники внедрили в управляющее программное обеспечение энергетической компании «Прикарпатьеоблэнерго» вирусное приложение, с помощью которого дистанционно отключили подачу электричества. Кроме того, киберпреступники атаковали центр обслуживания, в результате чего потребители не могли сообщить о возникших перебоях в течение нескольких часов. По заявлениям специалистов компании SANS ICS, данная атака была очень хорошо спланирована.^[2]

[править] Ход событий

Подготовка к атаке началась весной 2015 года с фишинговой кампании, направленной на IT-персонал энергетических компаний и системных администраторов. На Украине 24 области, по 11-27 районов в каждой области. В каждой области своя компания, которая управляет распределением электричества в сети. Фишинговые письма с документом Word в аттаче были направлены сотрудникам трёх таких компаний. При запуске документа появлялось окно с просьбой включить выполнение макросов. Если пользователь делал это, то на компьютер устанавливалась программа под названием BlackEnergy3 с бэкдором для удалённого доступа. Уязвимости в Word и установка троянов через макросы — древняя техника, которая в последнее время снова стала популярной.^[3]

Фишинговая атака давала злоумышленникам доступ только в корпоративную сеть. Чтобы проникнуть в систему SCADA, нужно было пробиться через файрвол. В течение нескольких месяцев хакеры вели разведку. Они получили доступ к контроллерам домена Windows, которые управляют взаимодействиями пользователя и домена, включая процессы входа пользователя в систему, проверку подлинности и поиски в каталоге. Оттуда взяли учётные данные сотрудников, в том числе пароли от VPN-сервисов, которые использовались работниками в удалённом режиме для доступа в систему SCADA. Проникнув в SCADA, хакеры начали медленно готовиться к проведению атаки.^[4]

Сначала они изменили конфигурацию источников бесперебойного питания (UPS), которые обеспечивали резервное питание в двух центрах управления, чтобы отключить свет одновременно и жителям страны, и диспетчерам на предприятии. Это вопиющее и агрессивное действие, считает эксперт Роберт Ли.^[5]

В каждой компании своя сеть распределения электроэнергии, и на этапе разведки хакеры осторожно изучили эти сети. Затем они написали оригинальные версии прошивок для конвертеров serial-to-Ethernet на подстанциях. Эти устройства передают команды от контрольного центра на подстанцию. Вывод конвертера из строя делает невозможным удалённое управление подстанцией. «Вредоносное обновление прошивки для конкретной операции никогда не использовалось раньше, — комментирует Роберт Ли. — С точки зрения атаки, это очень круто. Я имею в виду, действительно отличная работа».^[6]

Вооружённые вредоносными прошивками, хакеры были готовы начать атаку.^[7]

23 декабря 2015 года примерно в 15:30 они вошли в систему SCADA по чужим паролям через VPN и отправили команды на отключение заранее переконфигурированных UPS. Затем начали открывать доступ к подстанциям и отключать их одну за одной. Прямо перед этим была организована телефонная TDoS-атака на колл-центры энергетических компаний, чтобы потребители не могли дозвониться и преждевременно сообщить диспетчерам об отключении света. Роберт Ли отмечает, что телефонный DDoS показывает высокий уровень сложности и планирования всей операции. «Что делают утончённые хакеры, так это прилагают согласованные усилия даже с учётом маловероятных сценариев, чтобы гарантированно устранить все возможные проблемы», — говорит он.^[8]

Проведение TDoS давало нападавшим чуть больше времени. Пока диспетчеры заметят странную активность на компьютерах, часть подстанций уже будет отключена.^[9]

После отключения мощности на подстанциях хакеры заменили прошивку на установленных там конвертерах serial-to-Ethernet. По завершении операции они запустили зловред под названием KillDisk, чтобы стереть файлы и MBR на компьютерах в центрах управления.^[10]

Установленные логические бомбы запускали KillDisk по таймеру через 90 минут после начала атаки, то есть примерно в 17:00. Именно в это время «Прикарпатьеоблэнерго» опубликовало на своём веб-сайте сообщение с информацией о том, что и так было известно гражданам: электричество в ряде районов отключено и ведётся расследование причин сбоя.^[11]

Через полчаса, когда KillDisk завершил своё дело, «Прикарпатьеоблэнерго» опубликовало ещё одно сообщение: причиной сбоя названа хакерская атака.^[12]

[править] Расследование

Несколько американских агентств помогали Украине в расследовании атаки, включая ФБР и министерство внутренней безопасности США. Среди консультантов были эксперты Роберт Ли и Майкл Ассанте (Michael J. Assante), оба ведут курсы по компьютерной безопасности в вашингтонском SANS Institute.^[13]

Наличие в энергетических компаниях Украины продвинутой системы файрволов и системных логов помогло воссоздать хронологию событий.^[14]