23 декабря 2015 года на части Ивано-Франковской области отключилось электричество. Буквально сразу же появилась версия о том, что это был результат хакерской атаки. Уже в феврале эту версию подтвердило Министерство внутренней безопасности США. Оно не сообщило кто стоит за кибератаками. Но американская кибер-компания iSight Partners и некоторые другие фирмы связывают инцидент с российской хакерской группой, известной под названием Sandworm.Издание Wired, где рассказывает новые подробности об этой атаке. Публикуем статьи а переводе "Медузы".
Оператор одного из центров управления подстанциями около 15:30 заметил, как курсор на его мониторе дернулся, хотя сам он не шевелил мышкой. Курсор двинулся в сторону переключателя, отвечающего за рубильник на одной из подстанций. И дернул его. Оператор схватил мышь, но курсор его не слушался. Оператора выкинуло из системы управления подстанциями.
Как говорит специалист по безопасности Роберт Ли из компании Dragos Security, ко взлому хакеры готовились не меньше полугода. Сначала они внедрили на компьютеры программу Blackenergy 3. Для этого они использовали старый способ: пользователям сети отправляли фишинговые письма с файлами Microsoft Word, которые при открытии предлагали установить макрос. Тот, в свою очередь, вызывал вредоносную программу.
Внутренние сети распределительных центров были хорошо отделены от системы управления подстанциями при помощи файерволов. Wired отмечает, что защита была лучше, чем в американских компаниях, управляющих американской электросетью. Тем не менее, хакерам удалось ее взломать. Они получили данные пользователей для подключения к системе управления подстанциями через VPN и могли подключаться под видом добросовестных пользователей.
На изучение того, как устроена сеть распределительных центров и как она связана с системой управления подстанций, у злоумышленников ушло несколько месяцев. За это время они также написали новую прошивку для конвертеров на подстанциях, которые получают сигнал через интернет и передают его рубильникам. Как отмечают эксперты, это был первый взлом, когда перепрошивалось непосредственно оборудование.
При начале атаки хакеры отключили источники бесперебойного питания у двух из трех распределительных центров, в сеть которых у них был доступ. После этого они запустили гигантский поток звонков в колл-центр «Прикарпатьеоблэнерго», чтобы жители не могли сообщить об отключении энергии. Одновременно они отключили 30 подстанций и перепрошили там конвертеры таким образом, что операторы перестали видеть их состояние удаленно. Переключить рубильник стало возможно только физически. Кроме того, на компьютерах операторов хакеры запустили программу, которая сделала невозможной перезагрузку.
Таким образом, операторы остались без компьютеров и без возможности включить рубильники удаленно. Свет восстановили через шесть часов. До сих пор рубильники на подстанциях невозможно переключить удаленно, только физически. Энергетикам придется заменить конвертеры, испорченные хакерами. Wired отмечает, что в США последствия такой атаки были бы куда серьезнее: там на подстанциях рубильники нельзя переключить руками.
Украинские власти считают, что за атакой стоит Россия. Reuters также указывал, что программу Blackenergy ранее использовали российские хакеры. В пользу того, что следы ведут в Россию, говорит время отключения энергии: это произошло вскоре после того, как украинские активисты обесточили Крым. Тем не менее, специалисты, опрошенные Wired, не смогли точно сказать, кто стоит за атакой. В принципе, хакеры могли взломать украинскую энергосистему, а потом продать свои наработки России.