Российские хакеры снова атаковали электросети Украины

Версия для печати

Электроэнергетическая сеть Украины вновь подверглась кибератаке спустя всего месяц после того, как в результате атаки, инициированной россиянами, часть системы вышла из строя, оставив миллионы жителей без света.

Как сообщает Голос Америки, ситуация усугубляется тем, что, по словам специалистов, исследующих вредоносную программу, предположительно послужившую причиной сбоя, – новую версию так называемого трояна BlackEnergy – она могла распространиться на многочисленные электросети Европы и грозит поразить многие другие.

Сооснователь и директор по безопасности компании SentinelOne Уди Шамир, считает, что подобные атаки - это кибервойна.

В ходе исследования, проведенного аналитиками компании выяснили, что есть несколько возможных объяснений происходящему. Во-первых, это могут быть просто старые системы, которые никогда не обновлялись. Во-вторых, кто-то может намеренно распространять вредоносное ПО изнутри. В-третьих, есть вероятность, что трояны находились в системах в спящем режиме на протяжении нескольких месяцев, и только сейчас пришли в действие.

Определить происхождение вредоносного ПО всегда крайне сложно, в связи с чем сложно наверняка установить, кто стоит за атаками. Однако специалисты из компании iSight ранее обнаружили сходства между более ранними версиями BlackEnergy и хакерской программой Sandworm предположительно российского происхождения, которая использовалась для атак на инфраструктуру НАТО в 2014 году.

Шамир выявил аналогичные сходства с BlackEnergy3, что позволило его команде предположить причастность российских хакеров. «Стиль кода, кластеры напоминают российское ПО, – отмечает Шамир. – Я практически уверен, что программа была разработана в России, но у меня нет неопровержимых доказательств».

Большее беспокойство, по словам Шамира, вызывает тот факт, что последняя версия BlackEnergy имеет модульную структуру, в связи с чем хакерам гораздо проще быстро вносить изменения в работу ПО, а аналитикам гораздо сложнее найти и искоренить его.

«Это ПО можно обновлять, заменять, изменять, даже менять весь его функционал, – поясняет Шамир. – Так что если в одной промышленной сети есть спящий троян, он может получить совершенно новый командный модуль и заразить другие системы».

Именно из-за изменчивой структуры ПО так сложно определить, как именно оно работает, и какие системы поражены.

Самое страшное, по словам Шамира, состоит в том, что большая часть кода BlackEnergy3 не касается заражения промышленных командных систем, управляющих работой электросетей и других объектов тяжелой промышленности, а также вмешательства в их работу. Судя по всему, код создан для проведения тщательного мониторинга и сбора данных, так называемого «сниффинга».

«Это ПО способно выявлять сетевой трафик и делать записи о нем, похищать учетные данные пользователей и документы, если они работают в незашифрованном режиме, а также просачиваться в эти данные, – поясняет Шамир. – Это может позволить хакерам вносить поправки в BlackEnergy3 на ходу. Очевидно, программа нацелена скорее на шпионаж, и это нас беспокоит, поскольку мы не знаем, где она сейчас».

Обычно коммунальные предприятия и государства избегают публично признавать, что из ключевая инфраструктура подвержена кибератакам, из-за чего исследователям сложнее отслеживать распространение и работу BlackEnergy3.

Впрочем, Шамир, как и многие эксперты в сфере кибербезопасности, не сомневается в том, что троян будет распространяться и дальше, приводя к дальнейшим перебоям с электроэнергией и «загадочным» сбоям в работе электроэнергетических систем, транспорта и другой промышленной инфраструктуры.

«Аргумент»

 В тему: 

• ЦРУ изучает причастность России к хакерским атакам на украинские облэнерго