Из-за оживленных дискуссий вокруг потенциального взлома энергосетей может показаться, что такие атаки происходят каждый день. Регуляторы, разведывательные службы, поставщики систем безопасности — все они радостно подхватили горячую тему и активно спекулируют на вероятности взлома энергосистем хакерами, спонсируемыми иностранными спецслужбами. Разговоры о том, что злоумышленники могут выключить электричество по всей стране (и обязательно морозной зимой), помогают некоторым организациям добиваться увеличения своего влияния и, конечно, выделяемых на оборону бюджетов.

Однако один из экспертов, выступивший на саммите Security Analyst Summit, не разделяет расхожего мнения. Исследователь провел соответствующий эксперимент, смоделировав систему управления питанием, обычно используемую на электростанциях.

Для успешной атаки на сеть недостаточно фишингового сообщения или эксплойт-пака — нужны гораздо более серьезные ресурсы.

«Это очень, очень нелегко. Недостаточно быть хакером, работающим на АНБ или ФСБ. Вам понадобится помощь инженера-электрика, чтобы понять, что вообще происходит во время атаки», — утверждает Деван Чаудхури (Dewan Chowdhury), основатель MalCrawler. Заказчики атаки Stuxnet не полагались только на хакеров, способных доставить червя в системы завода, считает эксперт. «Когда дело доходит до основной фазы атаки, нужен инженер подстанции, который точно знает, что делать», — говорит Чаудхури.

Еще одной преградой для взлома энергосистем является высокая стоимость атаки. Устройства, используемые в подстанциях, могут стоить около $5 тыс., а их конфигурация может обойтись более чем в $100 тыс.

«Это очень непростые вещи, для понимания которых нужны уникальные навыки, — говорит Чаудхури. — Вам нужны непосредственно инженеры подходящего профиля, способные понять логику работы этих систем».

Если задача — отключить питание, то более действенным способом может оказаться армия грызунов или снежный буран, нежели хакер, не очень сведущий в системах промышленной автоматизации.

«Энергосеть спроектирована таким образом, чтобы обеспечить электропитание любой ценой, — подчеркнул Чаудхури. — Если отключилась одна подстанция, проблема решается за секунды. А для того чтобы вывести из строя высоковольтные подстанции и таким образом отключить магистральную электросеть, нужны невероятные ресурсы».

Однако Чаудхури предупредил, что хакеры, связанные со спецслужбами, разрабатывают атаки на критическую инфраструктуру (в том числе энергосети) и даже добиваются успеха. Приманка в виде модели системы управления питанием, которую разработала компания Чаудхури, должна была выявить порядок действий атакующих, проникших в сеть.

Получение доступа к системе управления питанием дает хакеру возможность перехватить контроль над энергосетью. Оставленные исследователями лазейки были адаптированы под различные регионы и в некоторых случаях разработаны для привлечения внимания известных APT-группировок, атакующих объекты критической инфраструктуры. Чаудхури рассказал, что файловая система приманки содержала поддельные диаграммы, обычную инженерную документацию, файлы AutoCAD, данные о расположении подстанций.

APT-группировки смогли «захватить» контроль над распределением электроэнергии и реле, способными отключить электростанцию от магистральной сети и потенциально лишить электричества тысячи человек.

Также внимание хакеров должны были привлечь такие уловки, как неправильно сконфигурированные системы, незащищенные Wi-Fi-сети и другие приемы.

Потенциальные взломщики реагировали по-разному. Большей частью атакующие пытались установить слежку, похитить технические данные, составить карту сетей SCADA или внедрить вредоносное ПО. Имея возможность перехватить контроль над электросетью, группировки продемонстрировали различные качества: американцы, русские и китайцы решили быть джентльменами и не тронули сеть. Злоумышленники с Ближнего Востока, напротив, пытались вывести сеть из строя.

«Данные их вообще не интересуют, — признал Чаудхури. — Как только они захватывали контроль над системой управления питанием, они бросались во все тяжкие и делали все, что хотели».

В противоположность им влиятельные группировки дистанцировались от нанесения прямого ущерба электросети, но тем не менее пытались заполучить данные, необходимые для взлома.

«Если кто-то захочет взломать энергосети, ему понадобится эксперт, разбирающийся в теме, для чего злоумышленники и собирали различные данные, — подытожил Чаудхури. — Все энергосистемы разные. На подстанциях, принадлежащих одной и той же энергетической компании, могут использоваться совершенно разные системы и оборудование. Для успешной атаки нужно разбираться в конфигурации энергосети, и, если вы хотите вывести сеть из строя при помощи вредоносной программы, без этого не обойтись».

Категории: Главное, Кибероборона, Уязвимости, Хакеры