Как целая страна стала российским полигоном по подготовке к кибервойне. Часть вторая

27.06.2017, 16:52
Вирус-вымогатель уже здесь - фото 1
Вирус-вымогатель уже здесь

Окончание статьи статьи Энди Гринберга о том, как Украина стала полигоном для русских хакеров в грядущей кибевойне.

HOW AN ENTIRE NATION BECAME RUSSIA'S TEST LAB FOR CYBERWAR by Andy Greenberg

Вторая часть, часть первая

Никто не знает, как и где Sandworm нанесет следующий удар. Такая атака может быть нацелена не на распределительную или передающую станцию, а на генерирующие мощности, то есть, на электростанцию. Либо же в ходе такой атаки оборудование будет не просто отключаться, а выводиться из строя. В 2007 году группа исследователей из Национальной лаборатории Айдахо, в состав которой входил Майк Ассанте, продемонстрировала, что хакеры вполне могут разрушать электроэнергетическую инфраструктуру. В ходе эксперимента под названием «Аврора» использовались только цифровые команды, при помощи которых был безвозвратно выведен из строя дизельный генератор на 2,25 мегаватт. На видеозаписи эксперимента видно, как машина размером с гостиную начинает чихать, и в предсмертных судорогах изрыгает клубы белого и черного дыма. Такой генератор мало чем отличается от оборудования, подающего сотни мегаватт электроэнергии американским потребителям. При правильных действиях вполне можно привести в негодность генерирующее оборудование или массивные трансформаторы, которые составляют основу нашей системы электропередачи, и которые очень трудно заменить. «Вашингтон, округ Колумбия? Враждебное государство может отключить их на два месяца без проблем», - говорит Ли.

Анализируя CrashOverride, команда из ESET выяснила, что в эту вредоносную программу уже могли быть включены некие ингредиенты для проведения разрушительной атаки такого рода. Исследователи ESET заметили, что CrashOverride содержит код, нацеленный против вполне конкретного устройства компании Siemens, которое работает на электростанциях. Это оборудование действует как аварийный выключатель, предотвращающий опасные скачки напряжения на линиях электропередачи и в трансформаторах. Если CrashOverride сможет вывести из строя это защитное оборудование, аппаратуре электросети будет нанесен непоправимый ущерб. Возможно, зловреду это уже по силам.

Отдельный случай физического уничтожения это далеко не худшее из того, что могут сделать хакеры. Американское сообщество кибербезопасности часто говорит о «современных непреходящих угрозах», создаваемых изощренными злоумышленниками, которые не просто проникают в систему ради одной атаки, а остаются в ней, тихо и незаметно контролируя свою цель. В таком кошмарном сценарии, говорит Ли, американская инфраструктура взламывается упорно и последовательно. Это транспортные сети, трубопроводы, линии электропередачи, которые глубоко внедрившийся противник выводит из строя снова и снова. «Если делать это в нескольких местах, то отключения будут длиться в целом регионе на протяжении до месяца, — отмечает Ли. — А теперь подумайте, какие будут драматические перемены, если ключевые города на половине территории США на месяц лишатся электроэнергии».

Но одно дело размышлять о том, что может сотворить с американской энергосистемой такая страна как Россия, и совсем другое — понять, зачем ей это нужно. Комплексная атака на американскую энергосистему наверняка вызовет незамедлительные и очень серьезные ответные действия со стороны США. Некоторые аналитики из сферы кибербезопасности утверждают, что цели у России ограниченные: помешать американской стратегии ведения кибервойны. Отключив свет в Киеве и показав свою способность проникнуть в американскую сеть, Москва подает предупредительный сигнал, демонстрируя США, что им не стоит и пытаться проводить атаки по образу и подобию Stuxnet против России и ее союзников, таких как сирийский диктатор Башар аль-Асад. С ее точки зрения, все это — тактика сдерживания и устрашения.

Но Ли, принимавший участие в разработке сценариев военных игр во время своей службы в разведке, считает, что Россия все же может нанести удар по американским объектам электроэнергетики в качестве ответной меры, если поймет, что ее загнали в угол, скажем, если США пригрозят помешать военным действиям Москвы в Украине или в Сирии. «Когда ты лишаешь государство возможности играть мускулами, оно вынуждено огрызаться», — говорит он.

Конечно, такие люди как Ли уже больше десяти лет прорабатывают эти кошмарные сценарии в ходе военных игр. И несмотря на изощренность хакерских атак против украинской энергосистемы, даже они сами по себе не являются катастрофой, потому что свет в итоге все равно включился. Американские электроэнергетические компании уже усвоили горький опыт Украины, говорит Маркус Сакс (Marcus Sachs), работающий начальником службы безопасности в Североамериканской корпорации по вопросам надежности энергоснабжения. После атак 2015 года, отмечает он, его корпорация провела выездную презентацию и серию встреч с энергетическими компаниями, чтобы достучаться до их сознания и показать, что им нужно усиливать основополагающие меры кибербезопасности и чаще отключать удаленный доступ к своим важнейшим системам. «Трудно сказать, что мы неуязвимы. Уязвимо все, что связано друг с другом, — говорит Сакс. — Строить предположения и говорить о том, что сеть в миллисекундах от краха, это безответственно».

Для тех, кто следит за Sandworm почти три года, разговоры о вероятности нападения на американскую энергосистему это уже не ложная тревога. Джон Халтквист (John Hultquist), руководящий командой исследователей FireEye, которая первой обнаружила группировку Sandworm и дала ей описание, считает, что враг уже у ворот. «Мы видим, как эти силы демонстрируют свою способность отключать электроэнергию, и проявляют интерес к американским системам», — говорит он. Спустя три недели после атаки в Киеве в 2016 году он написал в Твиттере предсказание и прицепил его к своему профилю в назидание грядущим поколениям: «Когда команда Sandworm пригвоздит, наконец, важнейшие объекты западной инфраструктуры, а люди будут реагировать на это с большим удивлением, клянусь, это будет для меня поражением».

Офис фирмы Ясинского Information Systems Security Partners занимает невысокое здание в промышленном районе Киева, окруженное грязными спортивными площадками и ветхими серыми многоэтажками, доставшимися Украине в наследство от Советского Союза. Ясинский сидит в слабоосвещенной комнате за круглым столом, на котором лежат огромные схемы энергосети, где показаны сложные узлы, точки разветвления и соединения. Каждая схема представляет собой график вторжения Sandworm. Он уже почти два года исследует работу этой хакерской группы, начав с той первой памятной атаки на StarLightMedia.

Ясинский говорит, что старается бесстрастно анализировать действия злоумышленников, которые терроризируют его страну. Но когда четыре месяца назад свет отключили в его собственном доме, у него возникло такое ощущение, что его ограбили. «Это было как насильственное действие, момент, когда ты осознаешь, что твое личное пространство это просто иллюзия».

Ясинский говорит, что невозможно точно узнать, сколько именно украинских организаций подверглись кибератакам в ходе это неослабевающей кампании. Любой подсчет наверняка окажется недооценкой. На каждый известный объект нападения приходится как минимум одна жертва, не желающая признаваться, что она подверглась хакерскому взлому. А ведь есть еще и другие объекты, на которых действия хакеров пока не обнаружены.

Как раз во время встречи с Ясинским в Украине идет новая волна цифрового вторжения. Рядом с ним сидит пара бородатых сотрудников, которые прилипли к клавиатурам и экранам, разбираясь во вредоносной программе, которую их компания получила за день до этого с новой партией фишинговых сообщений. Ясинский заметил, что эти атаки носят сезонный и цикличный характер: в начале года хакеры закладывают основы, тихо проникая на объекты и расширяя свой плацдарм. А в конце года они наносят удар с задействованием всех сил и средств. Ясинский уже знает: пока он анализирует прошлогоднюю атаку на электроэнергетическую систему, хакеры уже готовят почву для декабрьских сюрпризов 2017 года.

По словам Ясинского, ожидание новой волны атак похоже на подготовку к приближающемуся заключительному экзамену. Но по большому счету он считает, что события последних трех лет в Украине это просто серия практических тренировок и испытаний.

Действия атакующих он называет одним русским словом: полигон. Украина стала испытательной площадкой и тренировочной базой. В ходе самых разрушительных атак, отмечает Ясинский, хакеры могли зайти намного дальше. Они могли уничтожить не только данные министерства финансов, но и резервные копии. Не исключено, что у них была возможность отключить передающие станции «Укрэнерго» на больший срок или вообще вывести из строя всю сеть, говорит он. Такую сдержанность хакеров отметили и американские аналитики Ассанте и Ли. «Они все еще играют с нами», — говорит Ясинский. Всякий раз хакеры отступают, не причиняя максимально возможный ущерб. Они как будто скрывают свои истинные силы и способности для неких операций в будущем.

Многие эксперты по вопросам глобальной кибербезопасности пришли к единому мнению. Где еще обучать армию кремлевских хакеров навыкам цифрового боя, как не в сфере российского влияния, в стране, где идет реальная война и где все средства хороши? «Перчатки сняты, и начался кулачный бой. Это то место, где можно творить худшие злодеяния, не опасаясь возмездия и судебного преследования, — говорит Кеннет Гирс. — Украина это не Франция и не Германия. Многие американцы даже не могут найти ее на карте, и поэтому там можно практиковаться». (На встрече дипломатов в апреле госсекретарь США Рекс Тиллерсон даже задал вопрос: «Почему американских налогоплательщиков должна интересовать Украина?»)

В обстановке такого пренебрежения Россия не только по максимуму проверяет свои технические возможности, говорит Томас Рид (Thomas Rid), работающий на кафедре военных исследований в Королевском колледже Лондона. Она также испытывает пределы терпения международного сообщества. Кремль вмешался в украинские выборы и не понес практически никакого наказания. После этого он применил аналогичную тактику в Германии, Франции и США. Русские хакеры безнаказанно отключали электричество в Украине, и в связи с этим легко можно сделать дедуктивное заключение. «Они проверяют красные линии, пытаясь понять, что можно делать безнаказанно, — говорит Рид. — Они бьют и ждут, не нанесем ли мы ответный удар. Если нет, можно делать следующий ход».

Каким он будет, этот следующий ход? Сидя в темной лаборатории своей компании в Киеве, Ясинский признается, что он этого не знает. Может, очередное отключение, может, целенаправленная атака на систему водоснабжения. «Подключите свое воображение», — сухо предлагает он.

За его спиной сквозь жалюзи пробивается тусклый вечерний свет, очерчивая его темный силуэт. «Киберпространство — это не самоцель, — говорит Ясинский. Это среда». И эта среда со всех сторон подключена к аппаратуре цивилизации.

Перевод ИноСМИ

Wired Magazine

Публикации