Содержание
В течение многих лет отраслевые эксперты говорили, что хакеры могут атаковать критически важную инфраструктуру, включая транспорт, промышленный контроль и энергосистемы. Но после недавней атаки на украинскую электрическую сеть группа российских хакеров перевела нас из области «мог» в «смог». Вот все, что вам нужно знать об атаке.
Что случилось на Украине?
23 декабря отключение электроэнергии произошло в Ивано-Франковской области Украины, оставив около половины 1,4 миллиона человек в регионе без электричества. Детали атаки все еще прорабатываются, но, похоже, группа российских хакеров начала скоординированную многопользовательскую атаку на ряд региональных центров распределения электроэнергии в регионе.
Помимо непосредственной атаки на распределительные центры, злоумышленники также нацеливались на телефонные системы, не позволяя клиентам сообщать о сбоях в электроснабжении, и использовали меры, чтобы техническим специалистам было труднее обнаружить сбой.
По данным ESET, хакеры использовали вредоносное ПО
называется BlackEnergy для заражения компьютеров в электросети и еще один инструмент под названием KillDisk для их отключения. KillDisk очень разрушителен: он может стереть части зараженного жесткого диска
перезаписать их и значительно затруднить восстановление данных. Эта версия KillDisk также была настроена специально для промышленных систем.
Также в атаку был включен безопасный бэкдор SSH
, предоставляя хакерам полный доступ к зараженным системам. Было ли само вредоносное ПО ответственно за закрытие сети или хакеры использовали этот бэкдор для доступа к элементам управления, не сразу понятно. Это может потенциально быть важным отличием, так как вредоносное ПО, используемое в атаке, может быть причиной выключения или просто активатором.
BlackEnergy использовался в ряде атак на украинские объекты в течение прошлого года, включая нападения на украинские медийные компании в преддверии украинских выборов. Россия и Украина вовлечены в продолжающуюся кибервойну, в которой обе стороны проводят многочисленные атаки, от кибершпионажа и камер видеонаблюдения до DDoS-атак.
и замораживание средств на счетах PayPal.
Как заразились энергетические компании?
ESET сообщает, что вредоносное ПО было доставлено через зараженные макросы в документах Microsoft Office
, метод, который восстанавливает некоторую популярность. Сотрудникам энергетических компаний были отправлены электронные письма, которые, по-видимому, пришли из украинского парламента. Такая практика называется фишинг-фишингом.
— и документы, прикрепленные к этим электронным письмам, побуждали пользователей запускать макросы, тем самым заражая их компьютеры.
Вредоносная программа, использованная в атаке, была обнаружена на компьютерах нескольких энергетических компаний в начале года, что указывает на то, что этот взлом, вероятно, был запланирован заранее, что подтверждается сложностью атаки на несколько систем. Вполне возможно, что первоначальное намерение было отключить всю страну.
Нападение напоминает нападение, которое было использовано против официальных лиц НАТО и Украины в 2014 году; этот воспользовался эксплойтом нулевого дня
в Microsoft Windows. Группа использовала этот эксплойт, чтобы шпионить за официальными лицами НАТО и Украины, и обнаружение взлома было первым, когда Sandworm сообщил об этом.
Кто или что такое Sandworm?
Sandworm — это название хакерской группы
широко распространено мнение, что стоит за этой атакой. Вредоносная программа BlackEnergy тесно связана с этой группой, которая скрывает в своем коде ссылки на классический научно-фантастический роман Фрэнка Герберта «Дюна» («Песчаный червь» — это ссылка на существо в романе, которое можно увидеть ниже на обложке «Еретики Дюны»).
Поскольку их мишенями в основном были противники России, были некоторые предположения о том, могут ли они получить поддержку российского правительства, что делает эти атаки еще более серьезным вопросом. Конечно, возложить вину за эти атаки очень сложно; на данный момент мы не совсем уверены, что Sandworm стоит за атаками, а тем более Кремлем.
Тем не менее, потенциальные связи с российским правительством делают этот вопрос тревожным. Вероятно, это первая успешная атака на энергосистему, а это означает, что Россия продвигает свои возможности кибервойны. США и Израиль продемонстрировали аналогичные способности с червем Stuxnet
это уничтожило ядерные центрифуги в Иране, но специально нацеливание на энергосистему с помощью этой сложной, многофазной атаки — это отдельная история.
Находятся ли Соединенные Штаты в опасности?
Исторически сложившиеся отношения между США и Россией заставляют многих задуматься о том, готовы ли США к этому типу атак, и общий ответ «нет» вызывает беспокойство. Конечно, с некоторыми из ведущих экспертов по кибербезопасности в мире, работающими на АНБ, у нас есть некоторые из лучших средств защиты, но факт остается фактом, что это беспрецедентная атака.
В дополнение к очевидному овладению Россией кибервойной, факт, что значительная часть нашей критической инфраструктуры устарела, особенно когда речь идет о кибербезопасности, также вызывает обеспокоенность. В 2014 году Даниэль Росс, генеральный директор компании по разработке программного обеспечения для обеспечения безопасности Promisec, сказал Forbes, что критически важные системы инфраструктуры находятся под угрозой, потому что «большинство из них используют очень старую или потенциально не исправленную версию Windows из-за того, что их не очень часто снимают ».
Бюро по подотчетности правительства США также сделало аналогичные заявления, когда кибер-критическая инфраструктура и федеральные информационные системы составили свой список «высокого риска» в 2015 году. Короче говоря, США, вероятно, подвержены риску.
Без разрушительной кибератаки кажется маловероятным, что законодатели будут готовы выделять огромные суммы денег, которые потребуются для надлежащей защиты критической инфраструктуры США и федеральных информационных систем от широкомасштабных атак, подобных той, которая была совершена в Украине. Мы можем только надеяться, что это событие послужит примером для тех, кто отвечает за киберзащиту, и побудит их принять более решительные меры по обеспечению безопасности критически важной инфраструктуры.
Еда на вынос
Кибервойна развивается быстрыми темпами, и теперь была четко продемонстрирована способность специально предназначаться для частей критической инфраструктуры с помощью многоэтапной, хорошо спланированной атаки. Мы не знаем наверняка, стояла ли за этим Россия, но похоже, что русская хакерская банда, возможно, при поддержке российского правительства, была инициатором атаки. И США не готовы защищаться от такой атаки.
Что последует за электросетями? Нападения на конкретные здания или сооружения? Может быть, военные базы? Больницы? Оборонные подрядчики? К сожалению, возможности кажутся почти безграничными, и все, что мы можем сделать, это подождать и посмотреть. То, как Россия, Украина и США продвигаются вперед, может очень сильно повлиять на мировую кибервойну.
Разве эта атака на энергосистему Украины заставляет вас нервничать? Считаете ли вы, что ваша страна достаточно обеспокоена кибербезопасностью? Или вы думаете, что это будет тревожный звонок по всему миру? Поделитесь своими мыслями ниже!
Изображение предоставлено: TUBS через Wikimedia Commons (отредактировано), Menna через Shutterstock.com, Kodda через Shutterstock.com,.
