К несчастью для украинских энергетических компаний, хакеры, взломавшие их в 2015 году, и правда были талантливы и не нуждались в деньгах. Проникнув в IT-систему, они заметили нечто весьма полезное: обычные офисные компьютеры для повседневного использования были связаны с мощными ОТ-устройствами, сделанными под заказ.

Изучая устройство этой сети, они стали готовиться к атаке.

Хакеры присматриваются к энергосетям много лет – возможно, отчасти из любопытства, но также с прицелом на поиск промышленных секретов, которые можно продать или использовать другим способом. В последнее время, однако, исследователи кибербезопасности заметили существенное изменение в том, как хакеры ведут себя в энергетическом секторе, и это хорошо иллюстрирует один интересный эксперимент.

В июле 2018 года израильская компания Cybereason, работающая в сфере кибербезопасности, создала фальшивую станцию электропередачи[335]. Для этого в ходе консультаций с одной авторитетной американской фирмой были разработаны такие же ОТ-программы, какие обычно используются крупными энергетическими предприятиями. Сотрудники Cybereason связали свои компьютеры с компонентами фальшивой станции точно так же, как если бы она была реальной, подключили систему к сети и подготовили страницу входа, с которой инженеры, удаленно управляющие предприятием, получают доступ в систему. Чтобы дать хакерам шанс, они специально установили слабые пароли.

Разумеется, у Cybereason не было ни доступа к настоящей электростанции, ни штата рабочих в спецовках. Но любому хакеру, наткнувшемуся на экспериментальную подстанцию Cybereason в интернете, показалось бы, что он взламывает реальную функционирующую часть энергосети где-то на северо-востоке США. Поразительно, как быстро злоумышленники нашли и атаковали эту фальшивую электростанцию.

«Нас просканировали через несколько мгновений после подключения к сети, – говорит Израэль Барак, директор Cybereason по информационной безопасности. – Уже через пять-десять минут они принялись искать информацию для входа в систему».

Всего через два дня фальшивую электростанцию взломали. Сотрудникам Cybereason не составило труда понять, откуда к ним пришли хакеры: при взломе использовалась программа, которая активно распространялась на преступном дарквеб-форуме xDedic. В частности, она обеспечила злоумышленникам удаленный доступ к IT-компонентам фальшивой электростанции Cybereason и дала им возможность управлять ею.

Следующие несколько дней исследователи из Cybereason наблюдали за работой хакеров. У них на глазах совершались вполне заурядные киберпреступления. С помощью попавших под их контроль компьютеров хакеры майнили криптовалюту (занимались «криптоджекингом», о котором упоминалось ранее) и устраивали flood-атаки на различные сайты. Словом, не делали ничего необычного.

Затем кое-что изменилось. Сотрудники Cybereason заметили, что в систему вошел новый пользователь. Учитывая связи первых хакеров с преступным дарквеб-форумом, в Cybereason полагают, что злоумышленники продали свой доступ кому-то еще, однако сама транзакция осталась за кадром. Новые хакеры не проявляли интереса к простым, но прибыльным киберпреступлениям, которыми занималась первая группа. Наблюдая за ними, исследователи пришли к выводу, что у них лишь одна цель – найти связь между подключенными к интернету IT-компонентами системы и OT-компьютерами, которые управляли электростанцией (или управляли бы, если бы она была настоящей).

За пару недель хакеры нашли слабое место, обнаружив компьютеры, связывающие информационные технологии с операционными. И на этом остановились.

Исследователи Cybereason не знают наверняка, что стало причиной для прекращения хакерской работы, но у Барака есть предположение: «Возможно, злоумышленник понял, что попал в ловушку. Как бы тщательно мы ни работали, всех аспектов настоящей электростанции в лаборатории не воссоздать».

Таким образом, в Cybereason создали ловушку для хакеров – «горшочек с медом», или honeypot. Этот эксперимент показал компании, как киберпреступники взламывают предприятия энергетического сектора, однако не имел никаких реальных последствий. Украине между тем реальных последствий было не избежать.

Хакеры проникали все глубже в системы трех украинских распределительных компаний, применяя примерно такие же тактики, как в эксперименте Cybereason. Вскоре они нашли идеальный способ отключить подачу электроэнергии в тысячи домов.

В энергосети есть высоковольтные выключатели. Подобно тем выключателям, которые установлены у вас дома, в определенных обстоятельствах они разрывают электрическую цепь и останавливают ток. В отличие от ваших домашних выключателей, они огромны. Чтобы перекрыть подачу электроэнергии от компании клиентам и погрузить дома во тьму, хакерам необходимо было перевести эти выключатели в состояние ВЫКЛ. Высоковольтные выключатели разбросаны по всей Украине и находятся во многих километрах от электростанций. Но ими удаленно управляли три энергетические компании, которые использовали для этого компьютер с человеко-машинным интерфейсом, или HMI. Он был главным связующим звеном между IT-компонентами и OT-устройствами, управляющими работой механизмов.

Хакеры добыли доступ к этому HMI-компьютеру, используя пароли, которые украли, когда взломали устройства сотрудников энергетической компании. Теперь они получили возможность управлять высоковольтными выключателями по всей стране и прерывать подачу энергии в любое время.

К 23 декабря 2015 года все было готово. В 15:35, примерно за час до захода солнца, хакеры приступили к делу и всего за полчаса нанесли удары по всем трем распределительным компаниям[336]. Сообщается, что на глазах у сотрудников одного из предприятий, «Прикарпатьеоблэнерго», курсор мышки сам пополз по экрану к иконке программы управления HMI[337]. Затем призрачная рука один за другим перевела все выключатели в положение ВЫКЛ, перекрыв подачу электричества в тысячи жилых домов.

Инженеры тотчас попытались изменить положение выключателей и возобновить подачу электроэнергии, но хакеры были на шаг впереди: они подготовили первую из целой серии тщательно спланированных контрмер, свидетельствующих о сложности этой атаки.

Хакеры поняли, что выключатели обмениваются информацией с компьютерами энергетической компании с помощью специальных устройств для преобразования последовательного интерфейса в Ethernet (которые превращают сигналы, поступающие с выключателей, в трафик для передачи по интернету). Сразу после начала атаки злоумышленники отправили на эти устройства фальшивое обновление. Получив, преобразователи установили его и тотчас оказались выведены из строя. В результате, когда сотрудники станции попытались связаться с устройствами, чтобы перевести выключатели в положение ВКЛ и возобновить подачу электроэнергии, оказалось, что преобразователи их больше не слушаются[338]. Поскольку станцию лишили возможности работать с выключателями удаленно, инженеров пришлось отправить на места, чтобы сделать все вручную, а это оказалось весьма проблематично, в связи с чем подача энергии наконец возобновилась лишь через несколько часов.

Когда сотрудники электростанции подошли к телефону, чтобы вызвать помощь, они столкнулись с другой помехой. Киберпреступники перерезали телефонные линии.

Такие важные инфраструктурные объекты, как энергетические компании и диспетчерские вышки, должны иметь свой собственный – независимый и надежный – источник электропитания, на случай если что-то пойдет не так. Он называется источником бесперебойного питания, или ИБП, и включается при отключении