xDedic. В частности, она обеспечила злоумышленникам удаленный доступ к IT-компонентам фальшивой электростанции Cybereason и дала им возможность управлять ею.
Следующие несколько дней исследователи из Cybereason наблюдали за работой хакеров. У них на глазах совершались вполне заурядные киберпреступления. С помощью попавших под их контроль компьютеров хакеры майнили криптовалюту (занимались «криптоджекингом», о котором упоминалось ранее) и устраивали flood-атаки на различные сайты. Словом, не делали ничего необычного.
Затем кое-что изменилось. Сотрудники Cybereason заметили, что в систему вошел новый пользователь. Учитывая связи первых хакеров с преступным дарквеб-форумом, в Cybereason полагают, что злоумышленники продали свой доступ кому-то еще, однако сама транзакция осталась за кадром. Новые хакеры не проявляли интереса к простым, но прибыльным киберпреступлениям, которыми занималась первая группа. Наблюдая за ними, исследователи пришли к выводу, что у них лишь одна цель – найти связь между подключенными к интернету IT-компонентами системы и OT-компьютерами, которые управляли электростанцией (или управляли бы, если бы она была настоящей).
За пару недель хакеры нашли слабое место, обнаружив компьютеры, связывающие информационные технологии с операционными. И на этом остановились.
Исследователи Cybereason не знают наверняка, что стало причиной для прекращения хакерской работы, но у Барака есть предположение: «Возможно, злоумышленник понял, что попал в ловушку. Как бы тщательно мы ни работали, всех аспектов настоящей электростанции в лаборатории не воссоздать».
Таким образом, в Cybereason создали ловушку для хакеров – «горшочек с медом», или honeypot. Этот эксперимент показал компании, как киберпреступники взламывают предприятия энергетического сектора, однако не имел никаких реальных последствий. Украине между тем реальных последствий было не избежать.
Хакеры проникали все глубже в системы трех украинских распределительных компаний, применяя примерно такие же тактики, как в эксперименте Cybereason. Вскоре они нашли идеальный способ отключить подачу электроэнергии в тысячи домов.
В энергосети есть высоковольтные выключатели. Подобно тем выключателям, которые установлены у вас дома, в определенных обстоятельствах они разрывают электрическую цепь и останавливают ток. В отличие от ваших домашних выключателей, они огромны. Чтобы перекрыть подачу электроэнергии от компании клиентам и погрузить дома во тьму, хакерам необходимо было перевести эти выключатели в состояние ВЫКЛ. Высоковольтные выключатели разбросаны по всей Украине и находятся во многих километрах от электростанций. Но ими удаленно управляли три энергетические компании, которые использовали для этого компьютер с человеко-машинным интерфейсом, или HMI. Он был главным связующим звеном между IT-компонентами и OT-устройствами, управляющими работой механизмов.
Хакеры добыли доступ к этому HMI-компьютеру, используя пароли, которые украли, когда взломали устройства сотрудников энергетической компании. Теперь они получили возможность управлять высоковольтными выключателями по всей стране и прерывать подачу энергии в любое время.
К 23 декабря 2015 года все было готово. В 15:35, примерно за час до захода солнца, хакеры приступили к делу и всего за полчаса нанесли удары по всем трем распределительным компаниям[336]. Сообщается, что на глазах у сотрудников одного из предприятий, «Прикарпатьеоблэнерго», курсор мышки сам пополз по экрану к иконке программы управления HMI[337]. Затем призрачная рука один за другим перевела все выключатели в положение ВЫКЛ, перекрыв подачу электричества в тысячи жилых домов.
Инженеры тотчас попытались изменить положение выключателей и возобновить подачу электроэнергии, но хакеры были на шаг впереди: они подготовили первую из целой серии тщательно спланированных контрмер, свидетельствующих о сложности этой атаки.
Хакеры поняли, что выключатели обмениваются информацией с компьютерами энергетической компании с помощью специальных устройств для преобразования последовательного интерфейса в Ethernet (которые превращают сигналы, поступающие с выключателей, в трафик для передачи по интернету). Сразу после начала атаки злоумышленники отправили на эти устройства фальшивое обновление. Получив, преобразователи установили его и тотчас оказались выведены из строя. В результате, когда сотрудники станции попытались связаться с устройствами, чтобы перевести выключатели в положение ВКЛ и возобновить подачу электроэнергии, оказалось, что преобразователи их больше не слушаются[338]. Поскольку станцию лишили возможности работать с выключателями удаленно, инженеров пришлось отправить на места, чтобы сделать все вручную, а это оказалось весьма проблематично, в связи с чем подача энергии наконец возобновилась лишь через несколько часов.
Когда сотрудники электростанции подошли к телефону, чтобы вызвать помощь, они столкнулись с другой помехой. Киберпреступники перерезали телефонные линии.
Такие важные инфраструктурные объекты, как энергетические компании и диспетчерские вышки, должны иметь свой собственный – независимый и надежный – источник электропитания, на случай если что-то пойдет не так. Он называется источником бесперебойного питания, или ИБП, и включается при отключении электроэнергии. Телефонная система украинских распределительных компаний была подключена к такому ИБП, поэтому должна была работать даже в случае обесточивания предприятия. Заметив это, хакеры вывели из строя ИБП. В результате сотрудники станций не могли даже ни с кем связаться, не говоря уже о том, чтобы вернуть себе контроль над объектами.
К тому времени температура на Украине опустилась до шести градусов. В отсутствие электроэнергии более сотни городов, сел и деревень полностью погрузились во тьму, а еще сто восемьдесят шесть испытывали частичные перебои с электричеством. Без света оказалось около двухсот двадцати пяти тысяч человек. Но если встревоженные люди пытались позвонить в энергетическую компанию, чтобы выяснить, что происходит, или сообщить о проблеме, у них ничего не выходило из-за очередного трюка хакеров, которые с помощью компьютерной программы заваливали кол-центр одной из компаний звонками, создавая затор на коммутаторе[339].
Но последний туз пока оставался у злоумышленников в рукаве. Они понимали, что через некоторое время сотрудники станции попытаются перезагрузить компьютерную систему, чтобы решить проблему, и подготовили для них неприятный сюрприз. Хакеры перепрограммировали компьютеры компании таким образом, чтобы после перезагрузки на них запустилась программа KillDisk. Как следует из названия, она, по сути, стирает с компьютера всю информацию, выводя его из строя. Когда сотрудники электростанций нажимали на кнопку перезагрузки, надеясь положить конец этому кошмару и восстановить подачу энергии, они стирали данные с каждого компьютера, к которому прикасались[340].
В итоге работа электростанций была прервана на три часа, и еще несколько часов ушло на возобновление подачи электроэнергии. В городах по всей стране погас свет и перестали работать электрические системы отопления. Люди доставали свечи и одеяла, по-прежнему не зная, что стало причиной аварии.
Когда масштаб атак на украинские энергетические компании стал очевиден и появились новости о том, что предприятия подверглись взлому, тревога охватила и сферу технологической безопасности, и некоторые области энергетического сектора, представители которого до той поры небезосновательно полагали, что киберпреступники не проявляют к нему интереса. Может, одна ночь без электроэнергии не так уж и страшна, но опасения вызывал потенциал, о котором свидетельствовала такая атака. Она не имела прецедентов и рождала в воображении ужасающие образы мира, в котором хакеры способны своевольно выводить из строя энергосистемы целых стран.
Даже не подумав отступить, когда о взломе стало известно, хакеры заполучили еще более мощное оружие и через год атаковали украинские электростанции снова.
Как и BlackEnergy, вирус CrashOverride был разработан для того, чтобы вывести из строя электростанции и погрузить Украину во тьму. Однако на этот раз в него была встроена программа для автоматического управления его работой. Этот вирус, как Stuxnet, мог работать на электростанции «вслепую», не полагаясь на человека. На этот раз он заразил одну станцию, а не три, как в ходе прошлой атаки. Но это не повод вздохнуть с облегчением, поскольку он проник на важнейшую передающую станцию, которая, по данным журнала Wired, обладала мощностью двести мегаватт, что было больше совокупной мощности трех распределительных станций, атакованных в 2015 году[341].
Украинские атаки не просто показали, как легко некоторые энергосети могут оказаться жертвой хакеров. Они произошли в разгар ожесточенного территориального спора и пробудили страх, что новая тактика применения кибероружия проходит испытания в зонах, которые уже втянуты в серьезный конфликт.
«Берегитесь! Это место, где можно творить ужасные вещи, не боясь ни ответа, ни преследования, – сказал посол НАТО Кеннет Гирс, который занимается вопросами кибербезопасности, в интервью журналисту Wired Энди Гринбергу, написавшему подробный материал об атаках. – Украина – это не Франция и не Германия. Многие американцы не сумеют даже найти ее на карте, поэтому там можно упражняться»[342].
Многие представители военного и разведывательного сообщества давно понимали, что в будущем кибероружие превратится в так называемый фактор повышения боевой эффективности, который будет усугублять традиционные конфликты в таких местах, как Украина. Проблема в том, что пока мировые политические, дипломатические и юридические сферы не могут понять, как подобные тактики вписываются в традиционные способы ведения войны и какие правила к ним применимы. Опасения вызывает тот факт, что на этой цифровой нейтральной полосе новые техники будут испытываться и совершенствоваться без оглядки на сопутствующий ущерб и далеко идущие последствия.