23 декабря 2015 года на значительной территории Ивано-Франковской области Украины отключилось электричество. Без света остались более 230 тысяч человек. Компания «Прикарпатьеоблэнерго» заявила, что «систему фактически хакнули». Это оказалось правдой. Издание Wired рассказывает о сложной и очень продуманной атаке, в ходе которой хакерам удалось проникнуть в систему и отключить три десятка подстанций.
Оператор одного из центров управления подстанциями около 15:30 заметил, как курсор на его мониторе дернулся, хотя сам он не шевелил мышкой. Курсор двинулся в сторону переключателя, отвечающего за рубильник на одной из подстанций. И дернул его. Оператор схватил мышь, но курсор его не слушался. Оператора выкинуло из системы управления подстанциями.
Как говорит специалист по безопасности Роберт Ли из компании Dragos Security, ко взлому хакеры готовились не меньше полугода. Сначала они внедрили на компьютеры программу Blackenergy 3. Для этого они использовали старый способ: пользователям сети отправляли фишинговые письма с файлами Microsoft Word, которые при открытии предлагали установить макрос. Тот, в свою очередь, вызывал вредоносную программу.
Внутренние сети распределительных центров были хорошо отделены от системы управления подстанциями при помощи файерволов. Wired отмечает, что защита была лучше, чем в американских компаниях, управляющих американской электросетью. Тем не менее, хакерам удалось ее взломать. Они получили данные пользователей для подключения к системе управления подстанциями через VPN и могли подключаться под видом добросовестных пользователей.
На изучение того, как устроена сеть распределительных центров и как она связана с системой управления подстанций, у злоумышленников ушло несколько месяцев. За это время они также написали новую прошивку для конвертеров на подстанциях, которые получают сигнал через интернет и передают его рубильникам. Как отмечают эксперты, это был первый взлом, когда перепрошивалось непосредственно оборудование.
При начале атаки хакеры отключили источники бесперебойного питания у двух из трех распределительных центров, в сеть которых у них был доступ. После этого они запустили гигантский поток звонков в колл-центр «Прикарпатьеоблэнерго», чтобы жители не могли сообщить об отключении энергии. Одновременно они отключили 30 подстанций и перепрошили там конвертеры таким образом, что операторы перестали видеть их состояние удаленно. Переключить рубильник стало возможно только физически. Кроме того, на компьютерах операторов хакеры запустили программу, которая сделала невозможной перезагрузку.
Таким образом, операторы остались без компьютеров и без возможности включить рубильники удаленно. Свет восстановили через шесть часов. До сих пор рубильники на подстанциях невозможно переключить удаленно, только физически. Энергетикам придется заменить конвертеры, испорченные хакерами. Wired отмечает, что в США последствия такой атаки были бы куда серьезнее: там на подстанциях рубильники нельзя переключить руками.
Украинские власти считают, что за атакой стоит Россия. Reuters также указывал, что программу Blackenergy ранее использовали российские хакеры. В пользу того, что следы ведут в Россию, говорит время отключения энергии: это произошло вскоре после того, как украинские активисты обесточили Крым. Тем не менее, специалисты, опрошенные Wired, не смогли точно сказать, кто стоит за атакой. В принципе, хакеры могли взломать украинскую энергосистему, а потом продать свои наработки России.
Возможно, обесточивание Ивано-Франковской области было связано с планами Украины национализировать энергоактивы, принадлежащие российскому олигарху, связанному с Владимиром Путиным. В тексте не называется его имя, но, известно, что энергетический бизнес на Украине, в частности, ведет Евгений Гинер. Ему частично принадлежит компания VS Energy, в чьей собственности находится «Севастопольэнерго» и «Одессаоблэнерго».
Эксперты указывают, что атака была чем-то спровоцирована. «Глядя на данные, можно сказать, что если бы они планировали ее дольше, они могли бы сделать больше. Поэтому это выглядит, как что-то их заставило начать атаку [именно тогда]», — заявил Роберт Ли. (англ. яз.)