Как Украина стала полигоном для российских кибератак

В Украине воплощается в жизнь сценарий кибервойны. Хакерская армия систематически подрывает практически все сектора Украины: медиа, финансы, транспорт, военный сектор, политику и энергетику. Волны вторжений уничтожали данные, разрушали компьютеры, а в некоторых случаях останавливали работу основных направлений организаций.

В декабре 2016 года Петр Порошенко заявил, что за два предыдущих месяца на 36 объектов в Украине было нанесено около 6500 кибератак. Международные аналитики были в шаге от того, чтобы приписать эти атаки Кремлю. А вот у  Порошенко не было сомнений, что к этому приложили руку секретные службы России.

С самого начала войны на Донбассе, один из главных фронтов этого противостояния был цифровым. В преддверии выборов 2014 года пророссийская группа хакеров «КиберБеркут», которую связывают с Кремлем, взломала сайт Центральной избирательной комиссии, чтобы анонсировать победу ультраправого кандидата в президенты Дмитрия Яроша. Но эта атака была только прелюдией к шквалу кибератак, которые начались осенью 2015 года и не прекращаются по сей день.

Многие международные аналитики верят, что Россия использует Украину как полигон — лабораторию для улучшения новых способов ведения онлайн-войны. И цифровые взрывчатки, которые Россия устанавливала неоднократно в Украине — те же, что и устанавливались, по крайней мере однажды, в гражданской инфраструктуре США.

Как все начиналось

Утром в октябре 2015 года директор безопасности медиахолдинга StarLightMedia Алексей Ясинский получил телефонный звонок. Накануне ночью два сервера StarLightMedia по непонятной причине «упали». Ясинского заверили, что серверы уже восстановили из резервных копий. Но он чувствовал себя неспокойно.

По прибытию в офис Ясинский вместе с администраторами компании обнаружил, что часть жесткого диска сервера, которая говорит компьютеру, где искать его операционную систему, была перезаписана нулями. Это обеспокоило их особенно, так как эти серверы были контроллерами домена, у них был доступ к сотням других машин корпоративной сети.

Ясинский быстро понял, что произошла атака намного хуже, чем казалась. Два поврежденных сервера установили вредоносное ПО на ноутбуки 13 сотрудников StarLightMedia. Тем не менее, Ясинский видел, что ему повезло. Просмотрев сетевой журнал, он обнаружил, что контроллеры домена преждевременно отключились. Атака должна была уничтожить более 200 ПК компании. Впоследствии Ясинский услышал от сотрудников компании ТРК, что они были менее удачливыми. Компания потеряла более 100 компьютеров после аналогичной атаки.

Ясинскому удалось вытащить копию вредоносной программы из сети StarLightMedia. Вернувшись домой, он проанализировал ее код. Эксперт по кибербезопасности был поражен: вредоносное ПО уклонилось от всех антивирусных сканирований и даже выдало себя за другой антивирус — Windows Defender.

Ясинский выяснил, что это вредоносная программа, известная как KillDisk — уничтожающий все данные паразит, который существует уже около десятилетия. Чтобы понять, как он попал в их систему, Ясинский и двое его коллег в StarLightMedia приступили к анализу сетевых журналов компании. Отслеживая признаки пребывания хакеров, они пришли к ужасающему выводу — злоумышленники находились в их системе более полугода. В итоге Ясинский определил часть вредоносного ПО, которое служил первоначальной опорой хакеров: это был универсальный троян, известный как BlackEnergy.

Вскоре Ясинский начал узнавать от коллег в других компаниях и в правительстве, что они также были взломаны почти аналогичным способом. Одной из жертв стала «Укрзалізниця». Другие компании попросили не упоминать их. Раз за разом хакеры использовали BlackEnergy для доступа и разведки, а затем KillDisk для уничтожения. Их мотивы оставались загадкой, но их знаки были повсюду.

Но даже тогда Ясинский не знал реальных масштабов угрозы. Например, он понятия не имел, что к декабрю 2015 года BlackEnergy и KillDisk также находились, но пока не «раскрывали» себя в системах по крайней мере трех крупнейших украинских энергетических компаний.

Сначала Роберт Ли обвинил белок

Это был сочельник 2015 года. На следующий день Роберт Ли должен был отправиться в родную Алабаму, чтобы отпраздновать свадьбу со своей девушкой. Незадолго до этого Ли ушел с работы в одной из спецслужб, название которой состоит из трех букв. Там он занимался кибербезопасностью критических объектов инфраструктуры. Теперь он планировал основать свой стартап, специализирующийся на кибербезопасности.

В то время как Ли готовился к свадьбе, он увидел новость, где сообщалось, что хакеры атаковали энергосистему на востоке Украины. Значительная часть страны осталась без электричества на шесть часов. Ли не придал значения новости. Он слышал ложные заявления о взломанных энергосистемах много раз. Причиной, как правило, был грызун или птица — идея о том, что белки представляют большую угрозу для энергосистемы стала шуткой в ​​отрасли.

На следующий день, перед самой свадьбой, Ли получил текст о предполагаемой кибератаке от Майка Ассанте, сотрудника SANS Institute, элитного учебного центра в сфере кибербезопасности. Ассанте считается одним из самых уважаемых экспертов в мире. И он рассказал Ли, что украинский блэкаут выглядит реальной хакерской атакой.

Источник в Украине тоже прислал ему сообщение: человек сообщил, что блэкаут действительно был и ему нужна помощь американского эксперта. Поэтому сразу после церемонии Ли стал переписываться с Ассанте.

Работая в тандеме с Ассантом, они анализировали карты Украины и схему энергосистемы страны.

Три пораженные электрические подстанции находились в разных регионах страны, в сотнях километрах друг от друга. «Это были не белки», — подытожил Ли. До самой ночи эксперт препарировал вредоносный KillDisk, который ему отправил источник из Украины. Через несколько дней он получил образец кода BlackEnergy и данные об атаках. Ли увидел, что вторжение началось с фишингового письма, которое выдавало себя за сообщение от украинского парламента. Вредоносный файл Word бесшумно запускал скрипт на устройствах жертв, устанавливая BlackEnergy.

Как оказалось, хакеры распространились по сетям энергетических компаний и в конечном итоге скомпрометировали VPN, которую предприятия использовали для удаленного доступа к своей сети.

Ли был поражен сходством между тактикой этих злоумышленников и группой хакеров, которая недавно приобрела известность как Sandworm.

Никто не знал о намерениях этих людей. Но все указывало на то, что они из России: компания, специализирующаяся на кибербезопасности FireEye выяснила, что одна из характерных техник группы была представлена на конференции российских хакеров. И когда инженерам FireEye удалось получить доступ к одному из незащищенных серверов, они нашли инструкции по использованию BlackEnergy на русском языке вместе с другими русскоязычными файлами.

Больше всего беспокоит американских аналитиков то, что цели Sandworm простираются западнее Атлантического океана. Ранее 2014 году правительство США сообщило, что хакеры запустили BlackEnergy в сетях американских энергокомпаний и предприятий по водоснабжению. Эти вторжения были также связаны с Sandworm.

Тушите свет

Несколько недель спустя в Киев прибыла команда американцев. Среди них были люди из ФБР, Министерства энергетики США, Министерства внутренней безопасности, организации North American Electric Reliability Corporation и другие. Среди них был также Ассанте.

В первый день прибывшие встретились с персоналом «Киевоблэнерго», одной из жертв атак. Инженеры украинской компании рассказали о рейде на свою сеть.

Во второй половине дня 23 декабря 2015 года сотрудники «Киевоблэнерго» беспомощно наблюдали за тем, как отключались подстанции за подстанциями, которые, по-видимому, управлялись невидимыми компьютерами в их сети.

Специалисты «Киевоблэнерго» определили, что нападавшие удаленно создали собственную копию управляющего программного обеспечения на ПК в далеком объекте, а затем использовали этот клон для отправки команд.

После того, как десятки тысяч украинцев остались без света, хакеры начали новую фазу атаки. Они переписали прошивку конвертеров serial-to-­ethernet — небольших коробок на серверах подстанций, которые переводили интернет-протоколы для взаимодействия со старым оборудованием. Переписав этот код — трюк, на создание которого, вероятно, потребовались недели, — хакеры надолго заблокировали устройства и не давали законным операторам управлять выключателями.

Хакеры также оставили одну из своих визитных карточек, запустив KillDisk, чтобы уничтожить несколько компьютеров компании. Но самый жестокий элемент взлома заключался в атаке по резервным батареям контрольных станций. Когда электричество отключилось в регионе, станции также потеряли электроэнергию. С предельной точностью хакеры создали блэкаут в блэкауте.

После встречи в «Хаятте» делегация отправилась в «Прикарпатьеоблэнерго», которое находится в Ивано-Франковске. В компании описали атаку, которая была идентична той, что произошла на «Киевоблэнерго». BlackEnergy, поврежденная прошивка, резервная система питания, KillDisk.

Но в этой операции злоумышленники сделали еще один шаг, завалив колл-центры компании фальшивыми телефонными звонками — возможно, чтобы не допустить предупреждения об отключении электроэнергии или просто чтобы добавить больше хаоса и унижения.

Было и еще одно различие. При атаке на «Прикарпатьеоблэнерго» хакеры не копировали ПО, чтобы через подделку отключать электроэнергию. Вместо этого они воспользовались инструментом службы поддержки компании, чтобы получить контроль над передвижениями мышки на компьютерах предприятия. Перед глазами сотрудников фантомные руки щелкали по десяткам выключателей, каждый из которых отвечал за конкретную станцию, и отключали их.

В августе 2016 года Алексей Ясинский покинул StarLightMedia. Он возглавил отдел исследований в киевской компании Information Systems Security Partners. Тогда она была мало кому известна. Но Ясинский превратил ее в компанию, которая де-факто стала первой отвечать на цифровую осаду Украины.

Вскоре после того как Ясинский поменял рабочее место, как будто по команде, страна попала под другую, даже более сильную волну атак. Среди жертв были пенсионный фонд Украины, Госказначейство, Министерства инфраструктуры, обороны и финансов.

Хакеры снова атаковали «Укрзалізницю», на этот раз «уронив» систему онлайн-бронирования на нескольких дней — в самый разгар сезона путешествий. Как и в 2015 году, в большинстве атак использовалась KillDisk. В случае с Министерством финансов атака удалила терабайты данных, в то время как орган готовил бюджет на следующий год.

Атака на Укрэнерго

16 декабря 2016 года Олег Зайченко сидел в комнате управления одной из подстанций на севере Киева. Он заполнял документы, когда внезапно раздался сигнал тревоги. Справа от себя Зайченко увидел, что два огня, указывающих на состояние выключателей системы передачи, переключились с красного на зеленый — на универсальном языке инженеров это означало, что они отключены. Специалист позвонил оператору в штаб-квартиру «Укрэнерго», чтобы предупредить его о рутинной аварии. В это время загорелся еще один зеленый индикатор. В то время как Зайченко в спешке объяснял ситуацию удаленному оператору, все больше индикаторов становились зелеными: сначала восемь, потом десять, потом двенадцать.

По мере того как ситуация обострялась, оператор приказал Зайченко выбежать на улицу и проверить физическое состояние оборудования. В этот момент 20-й и последний выключатель отключился, и огни в диспетчерской погасли.

В этот раз атака была произведена на подстанцию мощностью в 200 МВт — больше, чем суммарная мощность 50 распределительных устройств, которые подверглись атаке в 2015 году. К счастью, система «упала» всего на час — не слишком долго, чтобы начали замерзать трубы или местные жители начали паниковать, — прежде чем инженеры «Укрэнерго» начали вручную закрывать выключатели и возвращать все к сети.

Атака была выполнена с использованием адаптируемого вредоносного ПО известного как CrashOverride, которое закодировано для автоматического уничтожения сети. Стартап Роберта Ли Dragos и компания ESET определили, что CrashOverride мог «говорить» на языке протоколов системы управления сетью и, таким образом, отправлять команды непосредственно на оборудование.

И CrashOverride — это не просто одноразовый инструмент, ориентированный только на сеть «Укрэнерго». Исследователи говорят, что это многоразовое и адаптируемое оружие разрушения электрических сетей.

Никто не знает, как или где случатся последующие атаки Sandworm. Будущий взлом может быть нацелен не на распределительную или передающую станцию, а на конкретно электростанцию. Атака может быть создана не просто, чтобы отключить оборудование, а для того, чтобы его уничтожить.

Противостояние

Сейчас Ясинский уже два года сосредоточен на противостоянии с хакерской группировкой Sandworm, начиная с первой атаки на StarLightMedia.

Он говорит, что невозможно точно узнать, сколько украинских учреждений было поражено во время кибератак. На каждую общеизвестную цель есть, по крайней мере, одна тайная жертва, которая не подтвердила атаку, а также есть и другие компании, которые еще не обнаружили вредоносное ПО в своих системах.

Хакеры уже работают над своей следующей атакой. За Ясинским двое сотрудников очищают корпоративную систему от вредоносного ПО, которое компания получила накануне из новой волны фишинговых писем. Атаки, отметил Ясинский, разделились на сезонные циклы. В первые месяцы года хакеры закладывают основу будущей атаки, бесшумно проникают в устройства жертв и расширяют свои позиции. В конце года они нападают.

Ясинский знает, что основа для следующего вторжения уже заложена. Говоря о следующем раунде, Ясинский подчеркивает, что это похоже на подготовку к приближающемуся финальному экзамену. Но, по большому счету, он считает, что то, с чем Украина столкнулась в течение последних трех лет, возможно, было всего лишь серией тестов.

Он называет атаки одним словом: полигон. Учебная площадка. Ясинский предполагает, что даже в самых опасных атаках хакеры могли пойти дальше. Они могли бы уничтожить не только сохраненные данные Министерства финансов, но и его резервные копии. Вероятно, они могли бы вывести из строя станцию ​​«Укрэнерго» на более долгий срок или обеспечить постоянный физический вред сети.

«Они до сих пор играют с нами», — отмечает Ясинский. Каждый раз хакеры отступали перед достижением максимально возможного ущерба, как бы храня свои истинные возможности для какой-либо будущей операции.

Многие международные аналитики пришли к такому же выводу. Где лучше тренировать армию кремлевских хакеров — в цифровом бою или в неограниченной атмосфере горячей войны внутри сферы влияния Кремля?

По словам Томаса Рида, профессора Королевского колледжа Лондона, Россия также нащупывает границы вседозволенности. Кремль вмешался в украинские выборы и не получил отпор. Затем он пробовал аналогичную тактику в Германии, Франции и Соединенных Штатах. Российские хакеры безнаказанно отключили электроэнергию в Украине — логическую цепочку не трудно завершить.

Как будет выглядеть следующий шаг? В тусклой комнате лаборатории ISSP Ясинский признает, что не знает. Возможно, еще один блэкаут. Или, возможно, целенаправленная атака на предприятие, обеспечивающее водоснабжение. «Используйте свое воображение», — сухо говорит он.