Блэкаут в Венесуэле привел к коллапсу: без света осталось 80% территории страны. Министр информации Венесуэлы Хорхе Родригес заявил, что причиной масштабного сбоя стала кибератака с территории США на автоматическую систему контроля ГЭС "Гури", однако лидер оппозиции Хуан Гуайдо связал отключение электроэнергии с экономическими проблемами и неэффективным управлением отраслью.
Что стало причиной блэкаута, должны выяснить технические специалисты — и криминалисты Group-IB уже сейчас, если потребуется, готовы подключиться к расследованию. Одно ясно уже сейчас: энергетический сектор находится в группе риска. Не случайно, еще в октябре прошлого года в отчете Hi-Tech Crime Trends'2018 наши эксперты предупреждали, что энергетические объекты останутся главной мишенью групп, нацеленных на саботаж и диверсии.
Объекты критической инфраструктуры — атомные электростанции, плотины, аэропорты, магистральные сети водоканалы, хладокомбинаты, транспортные объекты — становятся мишенью хакеров. Нужен будет только приказ, чтобы вывести их строя.
Например, одной из наиболее серьезных угроз для объектов критической инфраструктуры остается инструмент Industroyer или CRASHOVERRIDE, с помощью которого в декабре 2016 были выведены из строя объекты энергетической сети Украины. В 2017 году этот инструмент был подробно описан компанией ESET, а его создание связали с группой BlackEnergy. Особенностью Industroyer является возможность удаленного управления remote terminal units (RTU), которые отвечают физическое размыкание/замыкание сети. Фактически речь идет о кибероружии, которое позволит киберармиям оставлять без света и воды целые города.
Наследники Stuxnet
Завод по обогащению урана в Натанзе, Иран. Секретный объект, расположенный глубоко под землей посредине солончаковой пустыни. С воздуха его защищали артиллерийские комплексы ПВО и вертолеты ВВС. А на земле — вооруженная охрана, кодовые замки, камеры слежения и полная изоляция внутренней сети от интернета.
Все эти рубежи обороны оказались бесполезными, когда один из сотрудников вставил в рабочий компьютер флешку.
Вирус проник в систему и поразил контроллеры SIMATIC S7 Siemens, вращавшие центрифуги с ураном с частотой 1000 оборотов секунду. Так получается оружейный уран, который можно было использовать при производстве ядерных боеголовок. Stuxnet разогнал роторы центрифуг до 1400 оборотов, да так что они начали вибрировать и разрушаться. Из 5 000 центрифуг, установленных в зале, из строя были выведены около 1000 штук. Иранская ядерная программа на пару лет откатилась назад.
Этот вирус, обнаруженный летом 2010 года и названный Stuxnet, не вызвал ни огромных разрушений, ни массовых человеческих жертв. Но события в Натанзе заняли место в одном ряду с первой газовой атакой на Ипре в 1915 году, атомной бомбардировкой Хиросимы и Нагасаки в 1945 году и тараном башен-близнецов World Trade Center в 2001 году. Это был первый случай, когда цифровое оружие было использовано не для того, чтобы украсть деньги или информацию, а чтобы физически разрушить инфраструктуру ядерного объекта.
О том, что за Stuxnet — операцией под кодовым названием «Олимпийские игры» (Olympic Games) — стояли разведсообщества США и Израиля, стало известно случайно. Группировка Shadow Brokers взломала сервер Equation Group — хакеров, которые, как считается, были тесно связаны с United States National Security Agency. В открытом доступе появились наборы инструментов для проведения атак или шпионажа. Судя по опубликованным материалам, Equation Group была связана с разработкой вирусов Stuxnet, Duqu и Flame для проведения целевых атак в Иране, России, Афганистане, Пакистане, Индии и Китае. Например, Equation Group в 2008 году использовали четыре уязвимости нулевого дня, включая две, которые в дальнейшем использовались червем Stuxnet.
Интернет стал новым полем битвы. Но в этой новой войне артиллерийскую подготовку, прорывы «танковых клиньев» и высадку морской пехоты заменяют кибердиверсии, атаки вирусов-шифровальщиков и дезинформация в соцсетях и на форумах.
Чья киберармия всех сильней?
Собственные киберармии и кибероружие создают многие: США, Китай, Северная Корея, Пакистан, Россия, Украина, Израиль, Великобритания, Франция, Индия. Их, как могут, пытаются догнать Северная Корея, Иран, Вьетнам. В топ-3 стран самых активных проправительственных хакерских групп входит Китай, Северная Корея и Иран. В отчете Group-IB «Hi-Tech Crime Trends 2018» мы назвали порядка 40 активных групп, но их гораздо больше.
Юго-Восточная Азия — самый активно атакуемый регион. Всего за год в нем была зафиксирована активность 21 APT-группы, что больше, чем в США и Европе. В феврале 2018 года атака с помощью вредоносной программы Olympic Destroyer вывела из строя официальный сайт Зимних Олимпийских игр в Пхенчхане, Wi-Fi на стадионе и вызвала сбой в прямой трансляции церемонии открытия. Этот прецедент демонстирует потенциал кибератак на объекты, имеющих не только инфраструктурное, но и имиджевое значение для страны.
Создать кибероружие под силу сейчас не только государственным структурам, но и даже отдельным группировкам. В руки киберпреступников в результате утечек попадают хакерские инструменты, разработанные по заказу спецслужб. Например, те, кто запустил шифровальщик WannaCry, использовали его в связке с кибероружием — EternalBlue, эксплойтом Агентства национальной безопасности (АНБ) США, который 14 апреля выложили в открытый доступ хакеры из группы Shadow Brokers. С помощью еще одного из засвеченных Shadow Brokers инструментов АНБ — бэкдора DoublePulsar, предназначенного для внедрения и запуска вредоносных программ, злоумышленникам удалось заразить более 47 000 компьютеров OC Windows в США, Великобритании, на Тайване.
В условиях очередного витка “холодной войны” или геополитических столкновений атаки правительственных киберармий происходят уже не с целью сбора разведданных, а для установления контроля над ресурсами политических оппонентов. Это значит, что целью кампаний все чаще будет не только шпионаж, но и получение доступа к критическим системам — количество атак на промышленные IT-системы ежегодно растет на 20% .
