Эксперты по кибербезопасности предупреждают о летальных последствиях атак на энергосеть Польши, предположительно организованных российской разведкой. Злоумышленники из группы Sandworm впервые атаковали распределенные источники энергии (DER), что свидетельствует об эскалации угроз.
Эксперты по кибербезопасности, участвовавшие в ликвидации последствий кибератак на электросеть Польши, заявляют, что их последствия могли быть летальными.
В отчете, опубликованном на этой неделе, компания Dragos сообщила, что сотрудничает с одним из примерно 30 объектов, пострадавших от атак, предположительно совершенных российской разведкой.
В компании назвали эти атаки безответственными, отметив, что в случае успешного вывода из строя энергосистемы страны они могли привести к гибели мирных жителей, учитывая время их проведения.
“Атака на электросеть в любое время безответственна, но проведение ее в разгар зимы потенциально смертельно для зависимого от нее гражданского населения”, — говорится в заявлении Dragos.
“Вызывает сожаление тот факт, что те, кто атакует эти системы, по всей видимости, намеренно выбирают время, максимизирующее ущерб для гражданского населения”.
Dragos, которая связывает атаки с группировкой под названием Electrum, но которую большинство других именуют Sandworm, охарактеризовала эти действия как первый в мире случай целенаправленной атаки на распределенные источники энергии (DER), представляющие собой небольшие объекты, подключенные к централизованной электросети страны.
Атаки имели сходство с действиями России десять лет назад в Украине, где злоумышленники из Sandworm, связанные с ГРУ, скомпрометировали энергосистему страны.
Использование вредоносного ПО типа wiper, в данном случае DynoWiper, соответствует предыдущим атакам Sandworm на критическую инфраструктуру, однако нацеливание на DER представляет собой эволюцию методов работы.
Dragos отмечает, что различные инциденты в Польше демонстрируют, что DER, которые часто не получают такого же уровня инвестиций в кибербезопасность, как централизованные объекты, теперь представляют собой привлекательную цель для спонсируемых государством злоумышленников.
“Хотя Dragos ранее реагировала на инциденты кибербезопасности на отдельных объектах возобновляемой и распределенной генерации, эти инциденты касались отдельных площадок или оппортунистических компрометаций”, — говорится в отчете.
“Атака на Польшу значима из-за скоординированного характера действий против многочисленных объектов одновременно и продемонстрированной нацеленности изощренного противника на систематическое поражение этой инфраструктуры”.
Как сообщалось ранее на этой неделе, попытки промышленного саботажа со стороны Sandworm не привели к отключениям электроэнергии. Тем не менее, Dragos заявила, что в некоторых случаях последствия атак привели к необратимому повреждению оборудования.
Не вдаваясь в подробности инцидента на объекте, который расследовала Dragos, в отчете отмечается, что злоумышленники захватили удаленные терминальные блоки (RTU) и коммуникационную инфраструктуру на нескольких объектах.
Они достигли этого различными способами, например, атакуя устройства, доступные через интернет, уязвимые к эксплойтам или неправильно настроенные, а также благодаря глубокому пониманию того, как эти устройства RTU развернуты в реальных условиях.
“Захват этих устройств требует более широких возможностей, чем просто понимание их технических уязвимостей”, — подчеркивает Dragos. “Это требует знания их конкретной реализации.
“Противники продемонстрировали это, успешно скомпрометировав RTU на нескольких объектах, что позволяет предположить, что они картировали общие конфигурации и операционные паттерны для систематической эксплуатации”.
Злоумышленники из Sandworm отключили некоторые устройства операционных технологий и связи во время атак, но этого само по себе недостаточно для вызова отключения электроэнергии. Вывод этих устройств из строя обычно лишь блокирует удаленный мониторинг; в большинстве случаев они продолжают работать в штатном режиме.
Однако специалисты по реагированию на инциденты все еще пытаются выяснить, пытались ли Sandworm отправлять команды скомпрометированным устройствам с целью изменения их функциональности или их целью было просто их отключение. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones