©Dmitry Gaich 2020
На Западе, в частности, в США в последнее время постоянно и целенаправленно утверждается, что хакеры, в том числе контролируемые правительством России, не только вмешивались в политические и общественные процессы других стран, в том числе в проведение выборов президента США, но и, кроме того, проводили атаки на объекты энергетического сектора Соединённых Штатов и их союзников с целью получения доступа и осуществления воздействия на системы управления данных объектов. Эксперты считают, что такая деятельность может привести к авариям на крупных энергетических объектах этих государств, соответственно, к прекращению подачи электроэнергии в стране и огромному ущербу национальной экономике и людским ресурсам.
Анализ крупных аварий в энергетическом секторе показывает, насколько большим может быть урон, нанесённый в результате этих катастроф. Так, очень много материалов на Западе посвящено крупной аварии, произошедшей на Саяно-Шушенской ГЭС в России в 2009 г. До инцидента электростанция являлась самой крупной в Российской Федерации и шестой по мощности гидроэлектростанцией в мире. Неполадки в турбинах привели к взрыву трансформаторов, значительным разрушениям и гибели порядка 76 человек. Помимо этого, эксперты говорят об огромном экономическом ущербе, по оценкам западных специалистов, около 310 миллионов долларов, потерях в производстве алюминия в объёме около 500 тыс. тонн и масштабных негативных экологических последствиях[1].
В том, что ущерб от подобного рода аварий чрезвычайно значителен, согласны и российские специалисты. Вот как оцениваются, к примеру, пять самых крупных аварий в российской энергетике с 2005 по 2015 гг., включая и вышеописанную:
25 мая 2005 года в результате аварии на подстанции Чагино (500 кВт) компании «Мосэнерго» без света остались несколько районов Москвы, Подмосковья, а также Тульская, Калужская и Рязанская области. В 2006 году подстанция была модернизирована. Сумма ущерба оценивалась в 2,5 млрд. руб.
20 декабря 2006 года произошло возгорание на Рефтинской ГРЭС в Свердловской области (ОГК-5, в 2007 году приобретена компанией Enel), что привело к разрушению кровли и энергоблока мощностью 500 МВт. Ремонт завершился в марте 2008 года, стоимость превысила 2 млрд. руб.
17 августа 2009 года в Хакасии после аварии была остановлена Саяно-Шушенская ГЭС «РусГидро» мощностью 6,4 ГВт. На тот момент станция несла нагрузку 4,1 ГВт. Полное восстановление ГЭС завершилось в 2014 году и обошлось в 41 млрд. руб.
21 июля 2010 года группа боевиков устроила теракт на Баксанской ГЭС «РусГидро» (установленная мощность станции составляла около 25 МВт, рабочая — 14 МВт). Восстановление завершилось в декабре 2012 года и стоило до 1,5 млрд. руб.
4 января 2015 года от пожара пострадал четвертый блок самой мощной в РФ тепловой электростанции — Сургутской ГРЭС-2 («Э.Он Россия»). Его мощность составляла 800 МВт. Ущерб оценивался в 1 млрд. руб[2].
В связи с вышеизложенным, нанесение ущерба посредством вывода из строя объектов энергетики становится перспективным направлением и с военной точки зрения, а получение доступа к управлению такими объектами открывает практически безграничные возможности противоборствующим сторонам. Именно поэтому данному вопросу уделяется повышенное внимание со стороны специалистов. Как отмечала министр внутренней безопасности США Кирстен Нильсен на национальном саммите по кибербезопасности в июле 2018 г., «…киберугрозы в целом сейчас превосходят опасность физических атак против нас…Атака на одну технологическую компанию, к примеру, может быстро развиться в кризис, затрагивающий энергосети и системы водоснабжения…»[3].
Что касается конкретно американской энергетической сети, то она представляет собой огромную взаимосвязанную систему, состоящую из более чем 7 тыс. электростанций, 55 тыс. подстанций, порядка 260 тыс. километров высоковольтных линий передач и миллионов километров линий низкого напряжения[4]. Совершенно очевидно, что защите такого объёмного механизма от внешнего воздействия придается огромное значение. На заседании Президентского консультативного совета по национальной инфраструктуре США в июне 2018 г. было заявлено, что, «учитывая взаимосвязанность структуры критических систем и сетей, необходимы новые широкомасштабные подходы для соразмерной подготовки, ответа и восстановления после катастрофических аварий, которые могут быть вызваны значительными сбоями в энергоснабжении с серьёзными вытекающими из этого последствиями для многочисленных критических отраслей[5]». Число же компьютерных атак на энергетический сектор США возросло с 87 в 2015 г. до 140 в 2018 г.[6]
Так, согласно опубликованному в 2017 г. докладу ведущей американской компании в области кибербезопасности Symantec, хакеры получили доступ к сетям управления энергетикой, группа Dragonfly 2.0 (также известная как Berserk Bear) весной и летом 2017 г. атаковала сети различных компаний в США и как минимум одной компании в Турции, в том числе попыталась взломать промышленную сеть атомной станции в Канзасе. Хакеры получили возможность отключать электричество, посылая команды на соответствующее промышленное оборудование[7]. Более подробно данный доклад и затронутые в нём вопросы, равно как и документы, связанные с этим обвинением, будут рассмотрены ниже.
Как пишут американские аналитики, ранее, в 2015 и 2016 гг., подобные атаки были зарегистрированы в отношении энергетических сетей Украины – ответственными считаются хакеры из группы Sandworm, предположительно из России[8].
С 2010 по 2014 гг. такие атаки на компании в Европе и Северной Америке осуществляли хакеры из группы Dragonfly, они же Energetic Bear, Iron Liberty или Koala[9]. Компания Symantec тогда также выявила и анализировала угрозу, однако прямым текстом с Россией её не связывала, ограничившись замечаниями, что, возможно, группа поддерживается на государственном уровне и что время её наибольшей активности приходится на часовой пояс UTC+4 (с 2011 по 2014 гг. – московское время)[10]. Целями Dragonfly были энергетическая инфраструктура, объекты производства электроэнергии, поставщики промышленного оборудования и операторы трубопроводов. Как указывает Symantec, изначально целями атак хакеров были компании в США и Канаде, занимавшиеся обороной, а непосредственно на энергетику Dragonfly переключилась с начала 2014 г.[11]
Согласно исследованию Министерства внутренней безопасности (Department of homeland security) США (МВБ), с марта 2016 г. хакеры, контролируемые российским правительством, атакуют американские организации и компании в секторе энергетики и другие критические объекты инфраструктуры, получая доступ к промышленным системам управления.[12].
Данное исследование, опирающееся в том числе и на доклад Symantec, было опубликовано 15 марта 2018 г. в форме официального «Технического предупреждения» на сайте МВБ за № ТА18-074А («Киберактивность российского правительства, нацеленная на энергетику и другие критические отрасли инфраструктуры»)[13]. Утверждается, что МВБ и ФБР «выявили многоэтапную кампанию вторжения киберагентов Российского правительства, направленную против сетей небольших коммерческих предприятий, в ходе которой они размещали вредоносное ПО, осуществляли фишинговые операции и получали удалённый доступ к сетям энергетического сектора. После получения доступа, киберагенты проводили сетевую разведку, изучали и собирали данные о системах промышленного контроля».
Использовался фишинг, вредоносные коды, так называемые атаки “watering hole” (заражение вредоносным ПО сайтов, часто посещаемых потенциальными жертвами), похищение личных данных, замена файлов и кода, модификация реестра и т.п. Хакеры осуществляли взлом систем управления объектов энергетики на уровне SCADA (supervising control and data acquisition — диспетчерское управление и сбор данных) и ICS (industrial control system — системы промышленного контроля).
На предварительном этапе атаке подвергались периферийные организации, такие как сторонние поставщики со слабо защищёнными сетями. Первичные цели были выбраны таким образом, чтобы впоследствии с их помощью было возможно взломать более значимые объекты. Сети первоначальных жертв использовались в качестве отправных точек и хранилищ вредоносных программ для последующих основных атак.
Получив доступ к основной цели, злоумышленники, во многих случаях, подключались к рабочим станциям и серверам корпоративной сети, связанным с управлением системами производства электроэнергии и, таким образом, могли работать с файлами уровня ICS и SCADA, копировать профили и конфигурации для входа в системы управления. Например, скопированные профили виртуального сетевого соединения (VNC) содержали информацию по конфигурации доступа к ICS. МВБ реконструировало фрагмент интерфейса человек-машина, доступ к которому получили хакеры:
В докладе Symantec от 6 сентября 2017 г. отмечается, что в последнее время энергетический сектор стал предметом повышенного внимания кибервзломщиков, и действия Dragonfly направлены как на изучение принципов работы предприятий энергетики, так и на получение доступа к операционным системам этих предприятий[14].
По мнению Symantec, такой доступ предоставляет группе потенциальную возможность проведения саботажа и инициализации аварий, подобных тем, которые происходили на Украине в 2015 и 2016 гг. и привели к отключениям электроэнергии, затронувшим сотни тысяч человек. В качестве причин этих аварий называются кибератаки. Symantec утверждает, что в числе последних жертв хакеров значатся цели в США, Турции и Швейцарии.
Мотивы: сбор данных и саботаж, методы: фишинговые письма, заражённое троянами программное обеспечение, сайты “watering hole”.
Новая кампания хакерской деятельности, по мнению специалистов Symantec, началась в декабре 2015 г. с рассылки в адрес целевых предприятий и организаций энергетической сферы вредоносных писем, замаскированных под приглашения на новогодние праздники. Похищенные личные данные позже использовались для атак на эти организации. Например, одна из жертв посетила скомпрометированный сервер, а через одиннадцать дней после этого на её компьютер с помощью PowerShell было установлено вредоносное ПО Backdoor.Goodor. Данный инструмент обеспечил взломщикам удалённый доступ к компьютеру жертвы. Кроме этого троянского ПО, злоумышленниками использовались и другие вредоносные программы: Trojan.Karagany.B, Trojan.Heriplor (Oldrea), Backdoor.Dorshel, Trojan.Listrix, Trojan.Phisherly и др.
Сравнивая текущую хакерскую кампанию Dragonfly 2.0 с предыдущей, эксперты отмечают, что если раньше злоумышленники только пытались получить доступ к операционным системам, то в этот раз они, возможно, успешно выполнили данную задачу. На это, в частности, указывает использование ими снимков экрана, в одном из случаев хакеры применяли к этим снимкам определённый формат наименования: [описание компьютера и местоположение][название организации]. При этом во многих описаниях использовалась строка “cntrl”, что может означать наличие доступа этих машин к операционным системам. Как заявил технический директор по технологии безопасности и реагированию Symantec Эрик Чьен в интервью изданию Fortune, «раньше речь шла о том, чем может быть чревата кибератака – она может отключить энергетическую сеть. Всё это было гипотезой. Теперь мы наблюдаем такие действия, при которых, если честно, если бы они хотели что-то разрушить в энергетической сети, они бы могли сделать это вчера[15].»
Symantec и в этот раз конкретно не указывает на российское происхождение хакеров, однако упоминает «участки кода на русском языке» во вредоносных программах. При этом выясняется, что наряду с русским, в коде есть и французские строки [16]. Но, к примеру, Адам Мейерс, вице-президент по сбору данных известной американской компании CrowdStrike, занимающейся кибербезопасностью, непосредственно утверждает, что «российские игроки атакуют глобальную энергетику и сопутствующую промышленность, поскольку эти атаки совпадают со стратегическими интересами Москвы»[17]. Многие эксперты уверены, что интересы поддерживаемых на государственном уровне российских хакеров теперь сосредоточены не на вмешательстве в выборы, а на демонстрации того, что в случае возникновения конфликта Россия может разрушить американскую систему энергоснабжения. В частности, об этом пишет известный писатель и журналист New York Times Дэвид Сэнгер[18], автор книги «Совершенное оружие: война, шпионаж и страх в кибервеке».
Вопросам защиты энергосетей и другой инфраструктуры от кибератак было посвящено учение Liberty Eclipse, проведённое министерством энергетики (Department of energy — DOE) совместно с Управлением перспективных исследовательских проектов министерства обороны США (Defense advanced research projects agency — DAPRA) в конце октября — начале ноября 2018 г.[19] Данным учением занималось созданное весной 2018 года новое подразделение министерства энергетики – офис кибербезопасности, безопасности энергетики и реагирования на чрезвычайные ситуации (CESER — Office of cybersecurity, energy security, and emergency response). В ходе учения был смоделирован инцидент с повсеместным отключением электроэнергии и газоснабжения по причине кибератак злоумышленников[20].
Что касается России, то только в 2017 г. в нашей стране произошли следующие крупные аварии в энергетическом секторе промышленности:
май 2017 г. – авария в Хакассии (из-за отсутствия электричества прекратили работу Саяногорский и Хакасский алюминиевые заводы).
июнь 2017 г. – Красноярский край (прекратили работу Братский, Иркутский и Красноярский алюминиевые заводы).
27 июля 2017 г. – Краснодарский край (в том числе обесточены 4 ветки энергомоста в Крым).
1 августа 2017 г. – авария энергосистем на Дальнем Востоке (обесточены Бурейская, Зейская ГЭС, Приморская ГРЭС, Благовещенская ТЭЦ, Нерюнгринская ГРЭС)[21].
Аварии, возможно, не такие масштабные, как катастрофа на Саяно-Шушенской ГЭС в 2009 г., упоминаний о них в западной прессе практически не было. Российские специалисты среди причин сбоев называют устаревшую нормативно-правовую базу, отсутствие обязательных требований к параметрам оборудования и их согласованной работе в составе Единой национальной энергосистемы России, а также необходимость принятия единых правил технологического функционирования электроэнергетических систем [22].
Однако, нельзя отбрасывать и возможность стороннего доступа с целью саботажа, поскольку объекты энергетики РФ однозначно рассматриваются Западом, как потенциальные цели, и установление контроля над ними, в том числе получение доступа к операционным системам, как показывает анализ складывающейся на данном этапе обстановки – первоочередная задача иностранных спецслужб.
[1] Accident at Russia’s Biggest Hydroelectric, Euler Cruz, Rafael Cesário, Brazil, 24 aug 2009
[2] https://www.kommersant.ru/doc/2990367
[3] www.dhs.gov/news/2018/07/31/secretary-kirstjen-m-nielsen-s-national-cybersecurity-summit-keynote-speech
[4] https://theconversation.com/cybersecurity-of-the-power-grid-a-growing-challenge-73102
[5] The President’s National Infrastructure Advisory Council, ‘Surviving a Catastrophic Power Outage Study: National Security Tasking’ (14 June 2018)
[6] www.bna.com/looming-cybersecurity-battle-n73014476761
[7] http://www.wired.com/story/hackers-gain-switch-flipping-access-to-us-power-systems/
[8] Wall Street Journal, 23/06/2018
[9] https://www.symantec.com/blogs/threat-intelligence/dragonfly-energy-sector-cyber-attacks
[10]“Dragonfly: Western Energy Companies Under Sabotage Threat”, 2012, Symantec corporation
[11]“Dragonfly: Cyberespionage attacks against energy suppliers. Symantec security response”, July 7, 2014
[12] http://fortune.com/2017/09/06/hack-energy-grid-symantec/
[13] www.us-cert.gov/ncas/alerts/TA18-074A
[14] Symantec. Dragonfly: Western energy sector targeted by sophisticated attack group. September 6, 2017
[15] http://fortune.com/2017/09/06/hack-energy-grid-symantec/
[16] www.bbc.com/news/technology-38573074
[17] http://fortune.com/2017/09/06/hack-energy-grid-symantec/
[18]www.nytimes.com/2018/07/27/us/politics/russian-hackers-electric-grid-elections-.html
[19] http://fifthdomain.com/thought-leadership/2018/11/16/why-grid-security-starts-with-cybersecurity-awareness/
[20] www.energy.gov/articles/national-cybersecurity-awareness-month-doe-conducts-cyberattack-exercise-electricity-oil
[21] https://www.vedomosti.ru/business/articles/2017/08/02/727603-avariya-energosisteme
[22] https://tass.ru/ekonomika/4608028
