Но спустя время ситуация изменилась. Уже наметилась тенденция: электростанции стали новыми мишенями для кибератак. Вскоре оружие, разработанное хакерами для атаки на энергосистемы, нашло применение в полноценном конфликте. На этот раз, однако, никто не пытался действовать незаметно. Задача состояла не в том, чтобы ослабить противника, но в том, чтобы уничтожить его.
23 декабря 2015 года температура на Украине упала почти до нуля. Страна попала в ежегодные объятья холода. И около 16.00 более чем в сотне украинских городов, сел и деревень пропало электричество.
Страна привыкла к периодическим перебоям с электроэнергией, но в этот раз дело было в другом. Отключение оказалось вызвано не упавшим деревом и не порвавшимся под весом снега кабелем. Электроэнергия пропала в результате сложной и прекрасно спланированной хакерской кампании, на подготовку которой ушел не один год. И снова, по данным следователей, она родилась в ходе перекрестного опыления между организованной преступной группой и государственными хакерами.
В 2007 году в киберпреступном подполье появилась вредоносная программа BlackEnergy[330]. Во многих отношениях она была вполне стандартным образцом преступного программного обеспечения. Программа распространялась через спам-письма и заражала компьютер жертвы, а затем тайно позволяла использовать этот компьютер для забрасывания сайта мусорными запросами, то есть для организации классической распределенной атаки типа «отказ в обслуживании», уже знакомой нам по этой книге.
Но разработчики BlackEnergy этим не ограничились. Их вирус трансформировался в многоцелевой хакерский инструмент, способный управлять всем компьютером. Исследователи кибербезопасности заметили в нем характерные признаки, которые говорили, что новые версии BlackEnergy создавались одной и той же рукой: в частности, в коде каждой следующей версии содержались отсылки к научно-фантастическому роману «Дюна» – похоже, создатель программы был от него без ума[331]. В конце концов BlackEnergy попала в руки людям, которые преследовали гораздо более коварные цели, чем заражение компьютеров для организации DDoS-атак. И вскоре они использовали эту программу в самом сердце зоны, где полыхал серьезный конфликт.
В феврале 2014 года, после того как украинские мятежники свергли пророссийского президента Виктора Януковича, войска Российской Федерации вторглись на территорию Украины и оккупировали Крым – преимущественно русскоязычный южный регион, который долгое время оставался источником напряженности в отношениях между странами[332]. Это положило начало ожесточенному вооруженному конфликту.
Однако, по данным исследователей кибербезопасности, бои велись не только с помощью традиционного оружия. С мая 2014 года вредоносная программа BlackEnergy прикреплялась к документам, отправляемым на различные украинские адреса. Сотрудники шести железнодорожных компаний страны получили электронные письма, в которые были вложены «рекомендации по безопасности», где содержались примеры слабых паролей. Представителям региональных властей была разослана сделанная в PowerPoint презентация, в которой якобы перечислялись приметы людей, подозреваемых в связях с террористами. В теле- и радиовещательные компании были отправлены документы с наводками на участников украинских протестов. Во всех этих и многих других письмах был спрятан вирус BlackEnergy[333].
Он эксплуатировал широко распространенную технологию макрокоманд, или макросов. Это фрагменты компьютерного кода, которые содержатся, например, внутри документов Microsoft Word и презентаций PowerPoint и часто используются для автоматизации повторяющихся задач. Когда пользователю предлагается выбрать, использовать ли макрос, и он нажимает «да», его компьютер может подвергнуться заражению вредоносным программным обеспечением, скрытым в коде макроса, но жертва при этом не заметит ничего необычного в том документе, который читает.
Именно так хакеры проникли в энергетическую систему Украины.
В середине 2015 года электронные письма с вирусом получили сотрудники трех украинских энергетических компаний, которые владели подстанциями, откуда электричество поставлялось в дома и на предприятия, расположенные по всей стране. Трюк хакеров сработал: некоторые из получателей запустили макрос и заразили свои компьютеры вирусом BlackEnergy[334]. В результате, проникнув в значительную часть ключевых инфраструктурных объектов Украины, киберпреступники посвятили следующие четыре месяца подготовке к тому, чтобы одновременно вывести подстанции из строя. К счастью для хакеров, здесь они не столкнулись с одной из серьезных проблем, стоявших перед теми, кто атаковал иранскую атомную станцию.
Станция в Натанзе была сложной мишенью из-за наличия «воздушного зазора» между промышленным оборудованием и интернетом. По мере развития энергетических сетей эти зазоры постепенно закрывались. Специалисты по кибербезопасности, работающие в энергетическом секторе, с тревогой наблюдали, как онлайн выводится все большая его часть. «Это происходит под влиянием коммерческих факторов», – говорит Эндрю Цончев, эксперт по промышленной безопасности британской компании Darktrace, работающей в сфере кибербезопасности. В основе нарастающей тенденции к подключению промышленных объектов к интернету лежит два главных фактора: обслуживание, поскольку это позволяет инженерам контролировать и ремонтировать оборудование удаленно, в связи с чем меньшее число сотрудников справляется с большим числом объектов; и данные, которые служат источником жизненной силы для множества современных предприятий. «Чтобы работать эффективно и выдерживать конкуренцию, нужны данные, – говорит Цончев. – Все одержимы данными: им нужна телеметрия, анализ генерации энергии, информация об управлении энергосистемой. Это значит, что нужно прокладывать каналы между системами».
И каждый из этих каналов потенциально открывает новое направление для атаки.
Тем не менее, просто проникнув на компьютер сотрудника энергетической компании, хакер не сможет сразу обесточить всю страну. Компании вроде тех, что оказались под ударом на Украине, защищаются от низкоуровневого хакинга. Их компьютерные системы разделены на две части: информационные (IT) и операционные технологии (OT). Сфера IT похожа на компьютерную систему любой другой компании: в нее входят обычные компьютеры с обычными программами наподобие Word и Excel. Такими технологиями пользуются все, и хакеры, атакующие Украину, могли взломать их с помощью макросов.
Но компьютеры ОТ – совсем другое дело. На них установлены специализированные программы, управляющие гигантскими и сложными механизмами, используемыми для генерации электричества и снабжения электроэнергией миллионов домов. Большинство людей не имеет опыта обращения с такими системами. Кроме того, они часто разрабатываются под заказ для конкретной электростанции, в связи с чем хакеру сложно даже разобраться в их устройстве, не говоря уже о том, чтобы их атаковать. Стандартизированные и автоматизированные хакерские программы, по словам Цончева, в таких случаях не работают: «Атаки должны быть персонализированными, поскольку персонализированы и системы. Это очень серьезное испытание. Оно по плечу лишь самым талантливым людям, получающим великолепное финансирование».
К несчастью для украинских энергетических компаний, хакеры, взломавшие их в 2015 году, и правда были талантливы и не нуждались в деньгах. Проникнув в IT-систему, они заметили нечто весьма полезное: обычные офисные компьютеры для повседневного использования были связаны с мощными ОТ-устройствами, сделанными под заказ.
Изучая устройство этой сети, они стали готовиться к атаке.
Хакеры присматриваются к энергосетям много лет – возможно, отчасти из любопытства, но также с прицелом на поиск промышленных секретов, которые можно продать или использовать другим способом. В последнее время, однако, исследователи кибербезопасности заметили существенное изменение в том, как хакеры ведут себя в энергетическом секторе, и это хорошо иллюстрирует один интересный эксперимент.
В июле 2018 года израильская компания Cybereason, работающая в сфере кибербезопасности, создала фальшивую станцию электропередачи[335]. Для этого в ходе консультаций с одной авторитетной американской фирмой были разработаны такие же ОТ-программы, какие обычно используются крупными энергетическими предприятиями. Сотрудники Cybereason связали свои компьютеры с компонентами фальшивой станции точно так же, как если бы она была реальной, подключили систему к сети и подготовили страницу входа, с которой инженеры, удаленно управляющие предприятием, получают доступ в систему. Чтобы дать хакерам шанс, они специально установили слабые пароли.
Разумеется, у Cybereason не было ни доступа к настоящей электростанции, ни штата рабочих в спецовках. Но любому хакеру, наткнувшемуся на экспериментальную подстанцию Cybereason в интернете, показалось бы, что он взламывает реальную функционирующую часть энергосети где-то на северо-востоке США. Поразительно, как быстро злоумышленники нашли и атаковали эту фальшивую электростанцию.
«Нас просканировали через несколько мгновений после подключения к сети, – говорит Израэль Барак, директор Cybereason по информационной безопасности. – Уже через пять-десять минут они принялись искать информацию для входа в систему».
Всего через два дня фальшивую электростанцию взломали. Сотрудникам Cybereason не составило труда понять, откуда к ним пришли хакеры: при взломе использовалась программа, которая активно распространялась на преступном дарквеб-форуме