Декабрьское отключение электричества в Киеве было вызвано новым вирусом CrashOverride
Эксперты
Украинская энергосистема однажды уже пострадала от кибератаки, которая вызвала отключение электроэнергии, затронувшей около 230 000 людей в западных областях. Но в декабре 2015 года хакеры не использовали специально разработанных вирусов, а отключили свет, получив контроль над системами
Схема работы Industroyer / CrashOverride. Изображение: ESET
Опасные особенности
В случае с инцидентом на подстанции «Северная», CrashOverride позволил отключить свет гораздо меньшими усилиями, чем годом ранее. Фактически, ПО могло действовать в автоматическом режиме. Также, как и в Stuxnet, атакующие могли запрограммировать работу нового вируса, чтобы он действовал самостоятельно, без связи со злоумышленниками.
CrashOverride все же коммуницирует с командными серверами, спрятанными в TOR-сети через
На этом опасные особенности вируса не заканчиваются. CrashOverride — модульное ПО, состоящее из нескольких заменяемых блоков. Основной модуль «полезной нагрузки» состоит из четырех компонентов, которые разработаны для того, чтобы получить контроль над автоматическими выключателями на электрической подстанции.
Такие выключатели могут находится в двух позициях: открытой и закрытой. «Открывая» переключатель, соединение линии размыкается и ток перестает проходить. Они лежат в основе распределения электроэнергии по сети. CrashOverride может послать переключателем именно такой сигнал, лишив контроля операторов. Восстановить подачу электроэнергии можно только в ручную, физически попав на пострадавшую подстанцию.
Схема модулей Industroyer / CrashOverride. Изображение: ESET
Модульная система позволяет легче адаптировать CrashOverride под особенности разных энергопредприятий, использовать его многократно и даже запускать одновременные атаки на множество целей.
«Опасность Industroyer состоит в том, что он использует протоколы для того, для чего они были разработаны. Проблема в том, что эти протоколы были спроектированы десятки лет назад. Тогда индустриальные системы должны были быть изолированы от внешнего мира. Поэтому их коммуникационные протоколы не были разработаны с безопасностью на уме», — говориться в исследовании ESET.
При этом, благодаря тому, что протоколы коммуникаций, используемые вирусом, являются широко распространенными в мире, с помощью CrashOverride можно атаковать энергосистемы других стран. «Потенциальный урон огромен. Если это не тревожный звоночек, то я не знаю, что им еще может быть», —
Несмотря на пугающую угрозу, исследователи Dragos не однократно подчеркивают, что CrashOverride способен вызывать отключения электроэнергии на часы или в случае атаки на несколько объектов — дни. Речи не идет о неделях. «Электросеть — хорошо спроектированная система. Несмотря на то, что ей возможно нанести урон, важно понимать, что в нациях по всему миру электроэнергетическое сообщество проектировало систему надежной и безопасной. [У такого подхода] есть естественный побочный эффект в виде повышенной безопасности», — говорится в
Откуда уши растут
Ни одна из исследовательских фирм не смогла установить способ, которым вирус проник в системы «Укрэнерго», управляющей пострадавшей подстанцией. В ESET предполагают, что злоумышленники могли использовать фишинговые письма, с помощью которых заразили сеть «Прикарпатьеоблэнерго» в 2015 году. В январе 2016 года от имени «Укрэнерго» злоумышленники также рассылали письма с зараженными вложениями, но тогда компании удалось это обнаружить.
Ни ESET, ни Dragos также не смогли явно указать на разработчиков CrashOverride. Подозрения все же звучат в сторону РоSSии. В начале года исследователи из Honeywell и киевской фирмы ISSP, вовлеченные в расследование инцидента «Укрэнерго», уже утверждали, что последняя атака — дело рук тех же, кто атаковал «Прикарпатьеоблэнерго». Ее и вирус Blackenergy, использовавшийся зимой 2015 года, связывают с хакерской группировкой Sandworm.
Причастность этой группы к прошлогодней атаке подтверждают и в Dragos. «[Компания] отслеживает группу, стоящую за CrashOverride, как Electrum и с высокой уверенностью оценивает через конфиденциальные источники, что Electrum имеет прямые связи с Sandworm». Последнюю, в свою очередь, связывают с роSSийскими спецслужбами.