6 сентября на сайте WIRED появилась заметка о новом вторжении известной группы хакеров в энергосети Европы и США. Threatpost изучил доступную информацию об аналогичных инцидентах.

В декабре 2015 года улицы украинского Ивано-Франковска остались без света. Диспетчер управляющей компании “Прикарпатьеоблэнерго” не смог восстановить контроль над управлением сетью, который перешел к хакерам. Злоумышленники отключили несколько десятков подстанций и нанесли ущерб еще двум компаниям. 230 тысяч жителей города остались без света.

В 2015–2016 похожие сообщения стали поступать из европейских стран. Так, неизвестным удалось получить контроль над оборудованием британского оператора EirGrid в Уэльсе и Северной Ирландии. Тогда хакеры, используя IP-адреса, прописанные в Гане и Болгарии, незаконно получили доступ к сети Vodafone. В США неизвестные проникли в операционные сети нескольких энергетических компаний. При этом риску подверглись ключевые части системы, которая поставляет электричество для сотен миллионов людей.

Представители энергетических компаний попытались “сохранить лицо” и поспешили опровергнуть информацию о взломах.

В то же время под удар попали украинские электросети. Атака хакеров в этой стране началась с фишинговой кампании, направленной на IT-персонал энергетических компаний и системных администраторов. Фишинговые письма с документом Word в аттаче были адресованы сотрудникам трех из 24 энергетических компаний, существующих в Украине. При открытии документа появлялось окно с просьбой включить выполнение макросов. Если пользователь делал это, то на компьютер устанавливалась программа под названием BlackEnergy3 с бэкдором для удаленного доступа.

Фишинг дал злоумышленникам доступ к корпоративным сетям, а для проникновения в систему SCADA требовалось проникнуть через файервол. Хакеры добрались до контроллеров домена Windows, управляющих взаимодействиями пользователя и домена, включая вход в систему и проверку подлинности. Оттуда они заполучили учетные записи сотрудников с паролями к VPN-сервисам, которые использовались для удаленного доступа к SCADA.

Преступники изменили конфигурацию UPS, обеспечивающих резервное питание в центрах управления, и смогли лишить энергоснабжения и потребителей, и диспетчеров компаний.

В расследовании украинского инцидента участвовали эксперты по кибербезопасности из Европы и США. “Многие люди фокусируются на программных зловредах, которые использовались в атаках. Но для меня изощренность атаки заключается в уровне логистики и планирования операции, а также в том, что происходит во время нее. Данный случай — действительно утонченная работа”, — отметил американский эксперт Роберт Ли (Robert M. Lee).

В то же время эксперты связывают взломы энергетических компаний с деятельностью хакерской группировки DragonFly. Ее атаки строятся по схожему сценарию, и для их предотвращения недостаточно простого удаления вредоносных программ из зараженных сетей. Для успешного противодействия угрозам требуется, в частности, использование длинных случайных паролей, которые невозможно угадать, когда злоумышленники получают соответствующий криптографический хеш.

Группа Dragonfly известна по крайней мере с 2011 года, но до сих пор о ее участниках почти нет сведений. После активизации внимания со стороны исследователей и правительств отдельных государств об этой группировке несколько лет ничего не было слышно. Но в 2014 году она вновь проявила себя. С 2015 года говорят о кампаниях Dragonfly 2.0, в которых используется похожая тактика и инструменты.

С декабря 2015 года атакам подверглись организации в США, Швейцарии, Турции и Украине. Исследователи заявляют, что определить страну, где базируются хакеры, пока невозможно. По имеющимся данным, часть кодовых цепочек написана на французском и русском языках. При этом эксперты допускают, что это могло быть сделано для того, чтобы запутать следы.

Категории: Хакеры