создатели Stuxnet столкнулись с проблемой, которая стара, как шпионаж: проникнув в систему, они могли уничтожить ключевую часть предприятия противника, но в таком случае о проникновении стало бы известно и доступ оказался бы перекрыт. С такой же дилеммой руководители британской разведки столкнулись в ходе Второй мировой войны, когда взломали код «Энигмы» и расшифровали военные переговоры нацистов. Если бы они стали активно использовать полученные в результате этого данные, немцы поняли бы, что союзники взломали их шифр, и сменили бы форму шифрования. В конце концов создатели Stuxnet, похоже, поступили так же, как британцы: они решили использовать свои секретные инструменты, чтобы постепенно ослаблять противника, вместо того чтобы нанести ему очевидный удар.

Но спустя время ситуация изменилась. Уже наметилась тенденция: электростанции стали новыми мишенями для кибератак. Вскоре оружие, разработанное хакерами для атаки на энергосистемы, нашло применение в полноценном конфликте. На этот раз, однако, никто не пытался действовать незаметно. Задача состояла не в том, чтобы ослабить противника, но в том, чтобы уничтожить его.

23 декабря 2015 года температура на Украине упала почти до нуля. Страна попала в ежегодные объятья холода. И около 16.00 более чем в сотне украинских городов, сел и деревень пропало электричество.

Страна привыкла к периодическим перебоям с электроэнергией, но в этот раз дело было в другом. Отключение оказалось вызвано не упавшим деревом и не порвавшимся под весом снега кабелем. Электроэнергия пропала в результате сложной и прекрасно спланированной хакерской кампании, на подготовку которой ушел не один год. И снова, по данным следователей, она родилась в ходе перекрестного опыления между организованной преступной группой и государственными хакерами.

В 2007 году в киберпреступном подполье появилась вредоносная программа BlackEnergy[330]. Во многих отношениях она была вполне стандартным образцом преступного программного обеспечения. Программа распространялась через спам-письма и заражала компьютер жертвы, а затем тайно позволяла использовать этот компьютер для забрасывания сайта мусорными запросами, то есть для организации классической распределенной атаки типа «отказ в обслуживании», уже знакомой нам по этой книге.

Но разработчики BlackEnergy этим не ограничились. Их вирус трансформировался в многоцелевой хакерский инструмент, способный управлять всем компьютером. Исследователи кибербезопасности заметили в нем характерные признаки, которые говорили, что новые версии BlackEnergy создавались одной и той же рукой: в частности, в коде каждой следующей версии содержались отсылки к научно-фантастическому роману «Дюна» – похоже, создатель программы был от него без ума[331]. В конце концов BlackEnergy попала в руки людям, которые преследовали гораздо более коварные цели, чем заражение компьютеров для организации DDoS-атак. И вскоре они использовали эту программу в самом сердце зоны, где полыхал серьезный конфликт.

В феврале 2014 года, после того как украинские мятежники свергли пророссийского президента Виктора Януковича, войска Российской Федерации вторглись на территорию Украины и оккупировали Крым – преимущественно русскоязычный южный регион, который долгое время оставался источником напряженности в отношениях между странами[332]. Это положило начало ожесточенному вооруженному конфликту.

Однако, по данным исследователей кибербезопасности, бои велись не только с помощью традиционного оружия. С мая 2014 года вредоносная программа BlackEnergy прикреплялась к документам, отправляемым на различные украинские адреса. Сотрудники шести железнодорожных компаний страны получили электронные письма, в которые были вложены «рекомендации по безопасности», где содержались примеры слабых паролей. Представителям региональных властей была разослана сделанная в PowerPoint презентация, в которой якобы перечислялись приметы людей, подозреваемых в связях с террористами. В теле- и радиовещательные компании были отправлены документы с наводками на участников украинских протестов. Во всех этих и многих других письмах был спрятан вирус BlackEnergy[333].

Он эксплуатировал широко распространенную технологию макрокоманд, или макросов. Это фрагменты компьютерного кода, которые содержатся, например, внутри документов Microsoft Word и презентаций PowerPoint и часто используются для автоматизации повторяющихся задач. Когда пользователю предлагается выбрать, использовать ли макрос, и он нажимает «да», его компьютер может подвергнуться заражению вредоносным программным обеспечением, скрытым в коде макроса, но жертва при этом не заметит ничего необычного в том документе, который читает.

Именно так хакеры проникли в энергетическую систему Украины.

В середине 2015 года электронные письма с вирусом получили сотрудники трех украинских энергетических компаний, которые владели подстанциями, откуда электричество поставлялось в дома и на предприятия, расположенные по всей стране. Трюк хакеров сработал: некоторые из получателей запустили макрос и заразили свои компьютеры вирусом BlackEnergy[334]. В результате, проникнув в значительную часть ключевых инфраструктурных объектов Украины, киберпреступники посвятили следующие четыре месяца подготовке к тому, чтобы одновременно вывести подстанции из строя. К счастью для хакеров, здесь они не столкнулись с одной из серьезных проблем, стоявших перед теми, кто атаковал иранскую атомную станцию.

Станция в Натанзе была сложной мишенью из-за наличия «воздушного зазора» между промышленным оборудованием и интернетом. По мере развития энергетических сетей эти зазоры постепенно закрывались. Специалисты по кибербезопасности, работающие в энергетическом секторе, с тревогой наблюдали, как онлайн выводится все большая его часть. «Это происходит под влиянием коммерческих факторов», – говорит Эндрю Цончев, эксперт по промышленной безопасности британской компании Darktrace, работающей в сфере кибербезопасности. В основе нарастающей тенденции к подключению промышленных объектов к интернету лежит два главных фактора: обслуживание, поскольку это позволяет инженерам контролировать и ремонтировать оборудование удаленно, в связи с чем меньшее число сотрудников справляется с большим числом объектов; и данные, которые служат источником жизненной силы для множества современных предприятий. «Чтобы работать эффективно и выдерживать конкуренцию, нужны данные, – говорит Цончев. – Все одержимы данными: им нужна телеметрия, анализ генерации энергии, информация об управлении энергосистемой. Это значит, что нужно прокладывать каналы между системами».

И каждый из этих каналов потенциально открывает новое направление для атаки.

Тем не менее, просто проникнув на компьютер сотрудника энергетической компании, хакер не сможет сразу обесточить всю страну. Компании вроде тех, что оказались под ударом на Украине, защищаются от низкоуровневого хакинга. Их компьютерные системы разделены на две части: информационные (IT) и операционные технологии (OT). Сфера IT похожа на компьютерную систему любой другой компании: в нее входят обычные компьютеры с обычными программами наподобие Word и Excel. Такими технологиями пользуются все, и хакеры, атакующие Украину, могли взломать их с помощью макросов.

Но компьютеры ОТ – совсем другое дело. На них установлены специализированные программы, управляющие гигантскими и сложными механизмами, используемыми для генерации электричества и снабжения электроэнергией миллионов домов. Большинство людей не имеет опыта обращения с такими системами. Кроме того, они часто разрабатываются под заказ для конкретной электростанции, в связи с чем хакеру сложно даже разобраться в их устройстве, не говоря уже о том, чтобы их атаковать. Стандартизированные и автоматизированные