Издание Wired рассказало о сложной и продуманной атаке, которая в декабре прошлого года позволила хакерам проникнуть в компьютерные системы «Прикарпатьеоблэнерго» и оставить без электричества около 230 тысяч человек, проживающих на территории Ивано-Франковской области Украины.
Атаки осуществлялись с помощью вредоносных программ, установленных макросами из документов Microsoft Office.
23 декабря прошлого года оператор одного из центров управления электрическими подстанциями заметил, что курсор на его мониторе начал двигаться, хотя сам он не управлял мышью. В какой-то момент курсор переместился к переключателю, который отвечает за включение и выключению рубильника. Оператор схватил мышь и попытался отвести курсор в сторону, но тот не слушался. После этого оператора выкинуло из системы управления подстанциями, а электричество в Ивано-Франковской области было отключено. Починить систему удалось только через несколько часов.
По мнению Роберта Ли, специалиста по безопасности из компании Dragos Security, хакеры готовились к этой атаке не менее полугода. Вначале они внедрили на компьютеры энергостанции вирус Blackenergy 3. Для этого они отправили на электронные почтовые ящики нескольких сотрудников предприятия фишинговые письма с файлами Microsoft Word. В этих документах содержались макросы, которые при запуске скачивали с удалённых серверов вредоносные программы.
Внутренние компьютерные сети распределительных центров были надёжно отделены от системы управления подстанциями с помощью файерволов. По мнению международныъ специалистов по безопасности, защита в этих сетях была лучше, чем в американских компаниях, занимающихся управлением электросетями. Несмотря на это, хакеры смогли взломать файервол, получили данные пользователей, необходимые для подключения к системе управления подстанциями через VPN, и могли удалённо подключиться к системе под видом сотрудников «Прикарпатьеоблэнерго».
В течение нескольких месяцев хакеры изучали, как устроена сеть распределительных центров и каким образом она связана с системой управления подстанциями. Одновременно с этим они занимались написанием новой прошивки. До этого случая ни одна хакерская группировка не осуществляла взлом, сопряжённый с перепрошивкой столь сложной системы.
В начале атаки хакеры выключили источники бесперебойного питания у двух из трёх распределительных центров, к которым у них имелся удалённый доступ. После этого они запустили DDoS-атаку на колл-центр «Прикарпатьеоблэнерго», чтобы пользователи не смогли дозвониться до компании и сообщить о выключении энергии. Параллельно с этим они выключили тридцать подстанций и перепрошили их конвертеры так, чтобы операторы «Прикарпатьеоблэнерго» не смогли дистанционно увидеть их техническое состояние. На компьютерах, которые управляли этими подстанциями, была запущена программа, которая препятствовала перезагрузке системы.
Операторы остались без удалённого доступа к подстанциям и не могли включить рубильники без физического доступа к ним. Подача электричества в Ивано-Франковской области была восстановлена лишь спустя шесть часов. Система остаётся частично неработоспособной до сих пор — у операторов всё ещё нет удалённого доступа к рубильникам. Энергетикам предстоит заменить конвертеры, которые были испорчены хакерами. По мнению американских специалистов по безопасности, если бы такая атака была проведена в США, всё было бы намного серьёзнее, поскольку у современных энергетических систем нет рубильников, которые можно включать и отключать руками — такие действия сейчас производятся только на программном уровне.
По мнению украинских властей, за этой атакой стоят российские хакеры, которых финансирует государство. Wired предполагает, что обесточивание Ивано-Франковской области связано с планами Украины национализировать энергоактивы, которые принадлежат Евгению Гинеру, российскому олигарху, связанному с Владимиром Путиным. Издание также считает, что хакеры готовились нанести более серьёзный урон системе энергообеспечения Ивано-Франковской области, но кто-то поторопил их начать атаку на несколько месяцев раньше.
