Россия отключила энергосистему Украины?
В канун Рождества примерно 700 тысяч украинцев лишились электричества. Многое указывает на то, что здесь действовали российские хакеры. Это может стать прелюдией новых киберударов.
Американские представители давно уже предупреждали о том, что хакеры при помощи своих инструментов взлома могут отключать электросети. Не исключено, что связанная с Россией группировка именно так и поступила на Украине, лишив 23 декабря примерно 700 тысяч человек электроэнергии и продемонстрировав, что кибернетическое оружие стало инструментом современной войны.
Подробностей этой атаки, в результате которой пострадала одна украинская энергетическая компания, а еще две могли стать объектами для нанесения ударов, на сегодняшний день известно немного. Однако украинские власти уже обвинили Москву в том, что это она является причиной декабрьских перебоев с подачей электроэнергии. А теперь и ведущая американская фирма по вопросам кибербезопасности заявляет, что данные ее анализа указывают на причастность к этим действиям связанных с Россией хакеров, которые, судя по всему, часто действуют по указке Кремля.
Компания iSight Partners проанализировала некий код, найденный в пораженных компьютерных системах Украины, и пришла к выводу, что ответственность за это нападение наверняка несет хакерская группа под названием Sandworm, которая, по ее мнению, связана с Москвой. Из-за компьютерного взлома на несколько часов было отключено электричество в Ивано-Франковской области на западе Украины.
Американские представители давно уже предупреждают о том, что атаки, отмеченные на западе Украины, могут быть применены и против Соединенных Штатов. Отключив часть энергосистемы, действующие от имени иностранного государства хакеры могут парализовать целые районы страны и нанести огромный экономический ущерб. Такого рода предостережения называют то неизбежным итогом цифровой революции в военном деле, то нелепым паникерством, помогающим увеличивать оборонные расходы на кибероружие. Если эти предположения подтвердятся, то атака на западе Украины станет первым случаем применения цифрового оружия в целях отключения электричества на большой территории.
Агентство национальной безопасности адресовало вопросы по поводу отчета iSight Министерству внутренней безопасности, которое отказалось от комментариев. Белый дом на вопросы по поводу отчета тоже не ответил. От комментариев также воздержалось ЦРУ.
Если окажется, что события на Украине являются результатом работы группы хакеров, то отключение электроэнергии станет наглядным примером того, как цифровые средства можно использовать в качестве наступательного оружия 21-го века. Хотя кибероружие сегодня часто называют новым шагом в современной войне, достичь реальных физических результатов при помощи цифровых средств (скажем, взломать систему, чтобы что-то взорвать) по-прежнему крайне сложно. Американо-израильский вирус Stuxnet, атаковавший используемые в иранской ядерной программе центрифуги, до настоящего времени является одним из немногих примеров успешного применения кодов в диверсионной деятельности.
Директор iSight по анализу кибершпионажа Джон Халтквист (John Hultquist) признал, что его аналитики не смогли стопроцентно подтвердить факт использования Sandworm в интересах российского государства. Этот вирус получил такое название (Sandworm переводится как «песчаный червь» — прим. перев.) потому, что хакерская группа часто использует в своем коде ссылки на Вселенную Дюны из серии научно-фантастических книг «Хроники Дюны». Халтквист уже несколько лет наблюдает за тем, как операции с использованием данной вредоносной программы проводятся явно в соответствии с российскими национальными интересами.
«Они охотятся за целями, не имеющими непосредственной денежной ценности и влияющими только на работу правительства», — заявил Халтквист Foreign Policy.
В прошлом году iSight заметила, как эта хакерская группа удаляет видеозаписи и прочий контент с серверов украинских средств массовой информации во время октябрьских общенациональных выборов. Она также отмечает случаи, когда хакеры пытались взламывать сети институтов ЕС, НАТО и американских государственных органов. Эта группа, по словам Халтквиста, неоднократно осуществляла разведывательные операции против европейских энергетических компаний. Не исключено, что это была подготовка к нанесению по ним киберударов.
Еще в 2013 году Sandworm атаковал компьютеры НАТО, и исследователи заметили, как эта хакерская группа нацелилась на промышленные системы управления, в которых используется программное обеспечение General Electric. Она также неоднократно нападала на европейские телекоммуникационные компании.
В программе Sandworm используется инструмент взлома под названием BlackEnergy. Присутствие этой программы в одной из пораженных компьютерных систем Украины является ключевым доказательством, заставившим iSight указать пальцем на эту хакерскую группу. В 2014 году американские власти предупредили операторов промышленных систем управления о том, что BlackEnergy может быть применен для заражения их сетей.
Более того, iSight выяснила, что в зараженных украинских системах также содержится инструмент очистки. Это программа, удаляющая компьютерные данные, которую можно использовать для сокрытия следов кибератаки. Она носит название KillDisk, и ее также заметили в ходе прошлогодних кибератак на украинских выборах.
Однако сообщество кибербезопасности пока не пришло к единому выводу о том, что же именно демонстрирует присутствие BlackEnergy и KillDisk. KillDisk — это обычная программа очистки, а эксперты по промышленной безопасности говорят, что одного только удаления данных недостаточно для отключения электроэнергии. BlackEnergy может дать хакерам удаленный доступ к системе, но сама по себе эта программа не в состоянии создать перебои в подаче электроэнергии.
Специалист по промышленной безопасности Ральф Лангнер (Ralph Langner), известный своим исчерпывающим анализом Stuxnet, при помощи которого США и Израиль пытались нанести ущерб иранской ядерной программе, заявил, что само по себе присутствие BlackEnergy и KillDisk отнюдь не доказывает, что электроэнергия была отключена посредством кибероружия, и что к этому был причастен Sandworm.
В результате разведывательной деятельности этого червя BlackEnergy присутствует в сотнях компьютеров, управляющих энергосистемами. По словам Лангнера, его попадание на Украину нельзя считать неожиданностью, а корпящие над имеющимся в наличии кодом аналитики не смогли определить, как именно хакеры отключили электричество на западе Украины.
Проанализировавшие эту атаку исследователи не нашли никаких кодов, которые можно было бы использовать для нападения на промышленные системы управления. Как отмечает Лангнер, без таких кодов нет оснований называть произошедшее отключение электроэнергии результатом кибератаки. «Когда мы их увидим, у нас появятся доказательства, — говорит он. — Что касается Stuxnet, все было понятно из кода: это была физическая кибератака на иранские предприятия по обогащению».
Исследовавший обнаруженный в украинских компьютерах код Роберт Ли (Robert M. Lee), который работает инструктором в Escal Institute of Advanced Technologies, а ранее служил в ВВС офицером по кибероперациям, заявил, что анализ атак пока находится лишь на начальном этапе. Хотя при помощи BlackEnergy и KillDisk можно определить вероятных исполнителей, они дают очень мало информации о механизме действий в ходе кибернападения. «Скорее всего, общая концепция об атаке на украинскую энергосистему будет соответствовать действительности, однако точные методы ее осуществления могут остаться неизвестными», — сказал Ли.
Если подтвердится, что отключение электроэнергии на западе Украины было вызвано кибератакой, это можно будет назвать крупной эскалацией в применении и распространении кибероружия. Но если за этой атакой стоит связанная с Россией хакерская группа, выяснить ее мотивы будет сложно. В последние месяцы Россия пытается приглушить боевые действия на востоке Украины, а ее военное вмешательство в Сирии как минимум отчасти направлено на ослабление изоляции, в которой она оказалась после аннексии Крыма. Отключение электроэнергии на западе Украины произошло в очень неудобный для Москвы момент — как раз тогда, когда она не желает нагнетать напряженность.
Но одно вероятное объяснение такой операции все же существует. Недавно украинские активисты разрушили линии электропередачи, идущие в Крым, из-за чего на этом отнятом Россией полуострове произошло массовое отключение электричества. Отключение электроэнергии тысячам жителей западной Украины могло стать возмездием за эту диверсионную акцию, сказал бывший посол США на Украине Стивен Пайфер (Steven Pifer), в настоящее время возглавляющий Инициативу контроля вооружений и нераспространения в Институте Брукингса (Brookings Institution).
Элиас Гролл (Elias Groll)
Foreign Policy, США
Американские представители давно уже предупреждали о том, что хакеры при помощи своих инструментов взлома могут отключать электросети. Не исключено, что связанная с Россией группировка именно так и поступила на Украине, лишив 23 декабря примерно 700 тысяч человек электроэнергии и продемонстрировав, что кибернетическое оружие стало инструментом современной войны.
Подробностей этой атаки, в результате которой пострадала одна украинская энергетическая компания, а еще две могли стать объектами для нанесения ударов, на сегодняшний день известно немного. Однако украинские власти уже обвинили Москву в том, что это она является причиной декабрьских перебоев с подачей электроэнергии. А теперь и ведущая американская фирма по вопросам кибербезопасности заявляет, что данные ее анализа указывают на причастность к этим действиям связанных с Россией хакеров, которые, судя по всему, часто действуют по указке Кремля.
Компания iSight Partners проанализировала некий код, найденный в пораженных компьютерных системах Украины, и пришла к выводу, что ответственность за это нападение наверняка несет хакерская группа под названием Sandworm, которая, по ее мнению, связана с Москвой. Из-за компьютерного взлома на несколько часов было отключено электричество в Ивано-Франковской области на западе Украины.
Американские представители давно уже предупреждают о том, что атаки, отмеченные на западе Украины, могут быть применены и против Соединенных Штатов. Отключив часть энергосистемы, действующие от имени иностранного государства хакеры могут парализовать целые районы страны и нанести огромный экономический ущерб. Такого рода предостережения называют то неизбежным итогом цифровой революции в военном деле, то нелепым паникерством, помогающим увеличивать оборонные расходы на кибероружие. Если эти предположения подтвердятся, то атака на западе Украины станет первым случаем применения цифрового оружия в целях отключения электричества на большой территории.
Агентство национальной безопасности адресовало вопросы по поводу отчета iSight Министерству внутренней безопасности, которое отказалось от комментариев. Белый дом на вопросы по поводу отчета тоже не ответил. От комментариев также воздержалось ЦРУ.
Если окажется, что события на Украине являются результатом работы группы хакеров, то отключение электроэнергии станет наглядным примером того, как цифровые средства можно использовать в качестве наступательного оружия 21-го века. Хотя кибероружие сегодня часто называют новым шагом в современной войне, достичь реальных физических результатов при помощи цифровых средств (скажем, взломать систему, чтобы что-то взорвать) по-прежнему крайне сложно. Американо-израильский вирус Stuxnet, атаковавший используемые в иранской ядерной программе центрифуги, до настоящего времени является одним из немногих примеров успешного применения кодов в диверсионной деятельности.
Директор iSight по анализу кибершпионажа Джон Халтквист (John Hultquist) признал, что его аналитики не смогли стопроцентно подтвердить факт использования Sandworm в интересах российского государства. Этот вирус получил такое название (Sandworm переводится как «песчаный червь» — прим. перев.) потому, что хакерская группа часто использует в своем коде ссылки на Вселенную Дюны из серии научно-фантастических книг «Хроники Дюны». Халтквист уже несколько лет наблюдает за тем, как операции с использованием данной вредоносной программы проводятся явно в соответствии с российскими национальными интересами.
«Они охотятся за целями, не имеющими непосредственной денежной ценности и влияющими только на работу правительства», — заявил Халтквист Foreign Policy.
В прошлом году iSight заметила, как эта хакерская группа удаляет видеозаписи и прочий контент с серверов украинских средств массовой информации во время октябрьских общенациональных выборов. Она также отмечает случаи, когда хакеры пытались взламывать сети институтов ЕС, НАТО и американских государственных органов. Эта группа, по словам Халтквиста, неоднократно осуществляла разведывательные операции против европейских энергетических компаний. Не исключено, что это была подготовка к нанесению по ним киберударов.
Еще в 2013 году Sandworm атаковал компьютеры НАТО, и исследователи заметили, как эта хакерская группа нацелилась на промышленные системы управления, в которых используется программное обеспечение General Electric. Она также неоднократно нападала на европейские телекоммуникационные компании.
В программе Sandworm используется инструмент взлома под названием BlackEnergy. Присутствие этой программы в одной из пораженных компьютерных систем Украины является ключевым доказательством, заставившим iSight указать пальцем на эту хакерскую группу. В 2014 году американские власти предупредили операторов промышленных систем управления о том, что BlackEnergy может быть применен для заражения их сетей.
Более того, iSight выяснила, что в зараженных украинских системах также содержится инструмент очистки. Это программа, удаляющая компьютерные данные, которую можно использовать для сокрытия следов кибератаки. Она носит название KillDisk, и ее также заметили в ходе прошлогодних кибератак на украинских выборах.
Однако сообщество кибербезопасности пока не пришло к единому выводу о том, что же именно демонстрирует присутствие BlackEnergy и KillDisk. KillDisk — это обычная программа очистки, а эксперты по промышленной безопасности говорят, что одного только удаления данных недостаточно для отключения электроэнергии. BlackEnergy может дать хакерам удаленный доступ к системе, но сама по себе эта программа не в состоянии создать перебои в подаче электроэнергии.
Специалист по промышленной безопасности Ральф Лангнер (Ralph Langner), известный своим исчерпывающим анализом Stuxnet, при помощи которого США и Израиль пытались нанести ущерб иранской ядерной программе, заявил, что само по себе присутствие BlackEnergy и KillDisk отнюдь не доказывает, что электроэнергия была отключена посредством кибероружия, и что к этому был причастен Sandworm.
В результате разведывательной деятельности этого червя BlackEnergy присутствует в сотнях компьютеров, управляющих энергосистемами. По словам Лангнера, его попадание на Украину нельзя считать неожиданностью, а корпящие над имеющимся в наличии кодом аналитики не смогли определить, как именно хакеры отключили электричество на западе Украины.
Проанализировавшие эту атаку исследователи не нашли никаких кодов, которые можно было бы использовать для нападения на промышленные системы управления. Как отмечает Лангнер, без таких кодов нет оснований называть произошедшее отключение электроэнергии результатом кибератаки. «Когда мы их увидим, у нас появятся доказательства, — говорит он. — Что касается Stuxnet, все было понятно из кода: это была физическая кибератака на иранские предприятия по обогащению».
Исследовавший обнаруженный в украинских компьютерах код Роберт Ли (Robert M. Lee), который работает инструктором в Escal Institute of Advanced Technologies, а ранее служил в ВВС офицером по кибероперациям, заявил, что анализ атак пока находится лишь на начальном этапе. Хотя при помощи BlackEnergy и KillDisk можно определить вероятных исполнителей, они дают очень мало информации о механизме действий в ходе кибернападения. «Скорее всего, общая концепция об атаке на украинскую энергосистему будет соответствовать действительности, однако точные методы ее осуществления могут остаться неизвестными», — сказал Ли.
Если подтвердится, что отключение электроэнергии на западе Украины было вызвано кибератакой, это можно будет назвать крупной эскалацией в применении и распространении кибероружия. Но если за этой атакой стоит связанная с Россией хакерская группа, выяснить ее мотивы будет сложно. В последние месяцы Россия пытается приглушить боевые действия на востоке Украины, а ее военное вмешательство в Сирии как минимум отчасти направлено на ослабление изоляции, в которой она оказалась после аннексии Крыма. Отключение электроэнергии на западе Украины произошло в очень неудобный для Москвы момент — как раз тогда, когда она не желает нагнетать напряженность.
Но одно вероятное объяснение такой операции все же существует. Недавно украинские активисты разрушили линии электропередачи, идущие в Крым, из-за чего на этом отнятом Россией полуострове произошло массовое отключение электричества. Отключение электроэнергии тысячам жителей западной Украины могло стать возмездием за эту диверсионную акцию, сказал бывший посол США на Украине Стивен Пайфер (Steven Pifer), в настоящее время возглавляющий Инициативу контроля вооружений и нераспространения в Институте Брукингса (Brookings Institution).
Элиас Гролл (Elias Groll)
Foreign Policy, США