Диана Михайлова (diana_mihailova) wrote,
Диана Михайлова
diana_mihailova

Categories:

Россия воспользовалась уязвимым черным ходом американской электросети



Однажды утром в марте 2017 года телефон Майка Вителло (Mike Vitello) стал надрываться. Клиенты хотели узнать подробности о странном письме, которое только что получили. Что за договор он собирался с ними подписывать? Где приложение, о котором шла речь в письме?

Господин Вителло не имел никакого понятия, о чем шла речь. Орегонская строительная компания «Олл Уэйз Экскавейтинг США» (All-Ways Excavating USA), в которой он работает, провела проверку. Электронное письмо было фальшивкой, сообщили они клиентам господина Вителло. Просто проигнорируйте его.

Далее, несколько месяцев спустя, департамент внутренней безопасности США направил команду провести проверку компьютеров компании. Против вас была проведена атака, сообщил агент коллеге господина Вителло, Дон Кокс (Dawn Cox). Возможно, со стороны России. Злоумышленники пытались взломать электросеть. «Они перехватывали все мои электронные письма, — рассказывает господин Вителло. — Какого черта? Я же не какая-то там шишка». «Дело не в вас, а в тех, кого вы знаете», — говорит Дон Кокс.

Кибератака в отношении компании со штатом в 15 человек недалеко от Салема, штат Орегон, работающей в сфере коммунальных услуг и сотрудничающей с правительственными агентствами, стала первым нападением в рамках крупнейшего из известных хакерских взломов, совершенных иностранным правительством в отношении сети электроснабжения США. Атака вызвала такую тревогу, что американские чиновники пошли на необычный шаг в начале 2018 года, публично обвинив во взломе российское правительство.

Реконструкция взлома выявила бросающуюся в глаза уязвимость в самом сердце системы электроснабжения Америки. Вместо того чтобы нанести удар непосредственно по коммунальным услугам, хакеры бросили силы против не имевшего никакой защиты уязвимого места сектора — сотен подрядчиков и субподрядчиков, таких как компания «Олл Уэйз», у которых не было никаких оснований находиться в полной боеготовности, опасаясь иностранных агентов. С этих ничтожных стартовых позиций хакеры пробрались вверх по системе снабжения. По оценкам некоторых экспертов, в результате атаки было взломано более двух десятков коммунальных служб.

Успех схемы был связан не столько с технической подкованностью — хотя хакеры и использовали ряд тонких тактик — сколько с тем, как они воспользовались доверительными бизнес-отношениями при помощи анонимности и мошенничества.
Хакеры разместили вредоносное программное обеспечение на сайтах с публикациями, которые часто читали инженеры коммунальных служб. Они высылали фальшивые резюме с зараженными приложениями, притворяясь соискателями вакансий. Как только они получали данные о компьютерной сети, они проникали в закрытые порталы, используемые техниками коммунальных служб, а в ряде случаев — проникли в компьютерные системы, отслеживающие и контролирующие протекание тока.

«Уолл-Стрит Джорнал» воссоздал в этой статье, как разворачивалась эта атака, при помощи документов, компьютерных записей и интервью с людьми, работающими в компаниях, ставших жертвами взлома, с действующими и бывшими правительственными чиновниками и следователями в области безопасности.

Под прицелом

Российские хакеры пытаются просочиться в компьютерные сети компаний, связанных с сетью энергоснабжения, действующих, по меньшей мере, в 24 штатах Америки, в Канаде и в Великобритании.



Американское правительство не называло компании из сферы коммунальных услуг и другие, которые попали под прицел. «Уолл-Стрит Джорнал» идентифицировал в их числе маленькие компании, такие как «Коммершал Контрэкторз» (Commercial Contractors Inc.) в Риджфилде, штат Вашингтон, и «Карлсон Тестинг Инк.» (Carlson Testing Inc.) в Тигарде, штат Орегон, а также крупные компании в сфере коммунальных услуг, такие как находящаяся в федеральной собственности «Бонневилль Пауэр Администрейшн» (Bonneville Power Administration) и «ПасифиКорп» (PacifiCorp), принадлежащая компании «Беркшир Хэтэуэй» (Berkshire Hathaway). Две компании из числа подвергшихся атаке занимаются строительством систем, обеспечивающих аварийное энергоснабжение военных баз.

В результате организованной Россией кампании Федеральное бюро расследований и департамент внутренней безопасности попытались пойти по следам взломщиков и оповестить возможных жертв. Некоторые компании не знали о взломе, пока им не сообщили об этом следователи государственных служб, другие не знали, что они стали жертвами взлома, пока с ними не связалась наша редакция.

«Россия подготовила поле боя, но не спустила крючок», — говорит Роберт П. Силверс (Robert P. Silvers), бывший заместитель секретаря по киберполитике в департаменте внутренней безопасности, а теперь бизнес-партнер в юридической компании «Пол Хейстингс» (Paul Hastings LLP).

Пресс-служба российского посольства в Вашингтоне не ответила на многочисленные просьбы прокомментировать представленную информацию. Россия ранее отрицала атаки в отношении жизненно важной инфраструктуры.

Первые жертвы

Летом 2016 года сотрудники американской разведки заметили признаки кампании по взлому американских коммунальных служб, рассказывает Жанетт Манфра (Jeanette Manfra), заместитель секретаря Агентства внутренней безопасности по вопросам кибербезопасности и коммуникациям. Использованные при атаке инструменты и тактика позволили предположить, что за попытками взлома стоят русские. Разведывательные агентства оповестили департамент внутренней безопасности, рассказывает госпожа Манфра.

В декабре 2016 года в расположенном в небольшом здании офисе в Доунерз-Гроув, Иллинойс, чуть меньше часа езды к западу от Чикаго, появился агент. Здесь размещалась небольшая частная компания «СФЕ Медиа» (CFE Media LLC), публикующая отраслевые журналы, такие как «Техника автоматизированного управления» и «Инженерный консалтинг».

Орудия труда

В ходе кибератак в отношении американских коммунальных служб российские хакеры украли реквизиты сотрудников для того, чтобы получить доступ к корпоративным системам, утверждают американские чиновники.

Адресный фишинг

Хакеры отправляли электронные письма с зараженными ссылками или приложениями, помогавшими украсть реквизиты адресата

«Водопой»

Хакеры разместили вредоносный код на сайтах, которые пользовались в компаниях доверием, например, в профессиональных публикациях, надеясь, что их посетят потенциальные жертвы. Код списывал конфиденциальную информацию посетителей.

Удаленный доступ

Получив реквизиты, хакеры использовали частные виртуальные сети и удаленные программы, размещающиеся на рабочем столе компьютера, чтобы оставаться незамеченными и сохранять доступ к внутренним сетям.

Как следует из электронного письма компании «СФЕ Медиа», агент рассказал сотрудникам, что «весьма сведущие лица» загрузили вредоносный файл на сайт журнала «Техника автоматизированного управления». Агент предупредил, что файл может использоваться для совершения враждебных действий в отношении третьих лиц.

Стив Рурк (Steve Rourke), один из основателей «СФЕ Медиа», говорит, что его компания предприняла ряд действий по отладке зараженного сайта. Вскоре, однако, хакеры заразили другие специализированные издания компании вредоносным контентом, по данным специалистов по безопасности в подразделении «айДефенс» (iDefense) компании «Эксенчер» (Accenture) и «РискАйКью» (RiskIQ), компании по кибербезопасности из Сан-Франциско, которая позже проанализировала подробности атаки.

Подобно львам, преследующим жертву у водопоя, хакеры следовали за посетителями этих и других специализированных сайтов, надеясь зацепить инженеров и других специалистов и проникнуть в компании, где те работали. Русские могли в потенциале уничтожить «любого в этом секторе», говорит исследователь компании «РискАйКью» Йонатан Клийнсма (Yonathan Klijnsma).

Разместив код в несколько строк на сайтах, хакеры незаметно для ничего не подозревавших посетителей захватили пользовательские имена и пароли, согласно материалам правительственных совещаний и мнению экспертов по безопасности, анализировавших вредоносный код. Эта тактика дала русским возможность доступа к еще более чувствительным системам, говорили сотрудники департамента внутренней безопасности на производственных совещаниях в прошлом году.

2 марта 2017 года хакеры воспользовались аккаунтом господина Вителло, чтобы осуществить массовую рассылку клиентам с целью направить адресатов в массовом порядке на сайт, тайно взломанный хакерами.

В электронном письме получателям сообщалось, что документ загрузится немедленно, но ничего не происходило. Получателей просили пройти по ссылке, по которой они могли «загрузить файл непосредственно». Тут капкан открывался, и адресат попадал на сайт imageliners.com.

Этот сайт, зарегистрированный на тот момент на имя Мэтта Хадсона (Matt Hudson), веб-разработчика в Колумбии, Южная Каролина, изначально был задуман как ресурс, позволяющий найти сдельную работу, делая комментарии к трансляциям. Однако в этот период сайт уже не действовал. По словам господина Хадсона, он не имел ни малейшего понятия, что русские захватили его сайт.

В день, когда были разосланы электронные письма — в тот же день, когда в Орегоне надрывался телефон в офисе господина Вителло — взлетела активность на сайте, искавшем комментаторов: сюда заходили пользователи с более, чем 300 IP-адресов, при том что за весь предыдущий месяц посетителей сайта можно было посчитать по пальцам одной руки. Многие из посетителей были потенциальными жертвами хакеров. Около 90 из всех IP-адресов — кодов, помогающих компьютерам находить друг друга в интернете — были зарегистрированы в Орегоне, как выяснилось при анализе, проведенном нашей редакцией.

График активности сайта imageliners.com 2 марта 2017 года после рассылки писем с электронного ящика господина Вителло

Компания «Олл Уэйз Экскавейтинг» является государственным подрядчиком, предлагая свои услуги разным агентствам, в том числе Инженерному корпусу армии США, в распоряжении которого находятся десятки гидроэлектростанций федерального подчинения.

Около двух недель спустя хакеры снова использовали аккаунт господина Вителло, чтобы отправить множество электронных писем.

Одно из них было доставлено в компанию «Дэн Каффман Экскавейтинг Инк» (Dan Kauffman Excavating Inc.) в Линкольн-Сити, штат Орегон, в теме письма значилось: «Пожалуйста, подписанное соглашение с электронной подписью — проект финансирования».

Офис-менеджер Коринна Сойер (Corinna Sawyer) сочла формулировку странной и написала электронное письмо господину Вителло: «Только что получила ваше письмо, насколько я поняла, ваш ящик взломали».

В ответ ей пришло сообщение от злоумышленников, в распоряжении которых находился аккаунт господина Вителло: «Я действительно его отправил». Госпожа Сойер, которую эти слова все равно не убедили, позвонила господину Вителло, и тот сообщил ей, что, как и предыдущее письмо, это было фальшивкой.

Атака набирает обороты

Одной из компаний, получивших фальшивое электронное письмо, была маленькая фирма, предоставляющая специализированные услуги в Корваллисе, штат Орегон. В июле того года здесь появились агенты ФБР и рассказали сотрудникам компании, что ее система была повреждена в ходе «масштабной кампании», направленной против фирм в области энергоснабжения, по словам владельца самой фирмы.

Получив первое фальшивое электронное письмо от господина Вителло 2 марта, как говорится в соответствующем докладе о расследовании департамента внутренней безопасности, сотрудница фирмы в Корваллисе кликнула по ссылке, ведущей к взломанному сайту Хадсона. Ей предложили ввести имя пользователя и пароль. К вечеру того дня киберпреступники получили доступ к сети компании, согласно докладу, это не предавалось огласке, но освещалось нашим изданием.

Далее они взломали портал в защитной системе компании, отделяющей уязвимые внутренние сети от интернета, и создали новый аккаунт с широким доступом для администраторов, который они спрятали.

«Мы не знали и не зафиксировали этого», — говорит владелец компании.

В июне 2017 года хакеры использовали системы компании из Корваллиса для «охоты». За следующий месяц они десятки раз выходили в сеть орегонской компании с компьютеров с IP-адресами, зарегистрированными в таких странах, как Турция, Франция и Нидерланды, нанеся удар, по меньшей мере, по шести компаниям в сфере энергоснабжения.

В ряде случаев хакеры просто изучали сайты своих новых мишеней, возможно, проводя таким образом разведку для нанесения новых ударов. В других случаях, как указано в отчете о следствии, они могли отталкиваться от систем своих жертв. Две из компаний, ставших мишенями, помогали армии США организовывать независимое электроснабжение на внутренних базах.

15 июня хакеры посетили сайт компании «РеЭнерджи Холдингз» (ReEnergy Holdings LLC). Компания, специализирующаяся на возобновляемых источниках энергии, построила небольшую электростанцию, позволяющую военному гарнизону Форт Драм в западном Нью-Йорке функционировать даже в случае перебоев в общедоступной электросети. В Форте Драм располагается одна из наиболее часто развертываемых дивизий армии США. Рассматривается предложение по строительству здесь системы перехвата (ПРО) стоимостью 3,6 миллиарда долларов для защиты Восточного побережья от межконтинентальных баллистических ракет.

Компания «РиЭнерджи», принадлежащая частному инвестору «Риверстоун Холдингз» (Riverstone Holdings LLC), пережила вторжение, но ее генерирующие мощности не были затронуты, рассказывает источник, знакомый с данным вопросом. Армия знала об инциденте, рассказал пресс-секретарь, отказавшись, однако, предоставить дальнейшие подробности.

Компания «Атлантик Пауэр» сообщила в своем письменном заявлении, что она регулярно сталкивается с попытками злоумышленных деяний, но не комментировала их в деталях. «Насколько мы знаем, ни одна из систем компании ни разу не была взломана», — говорилось в заявлении.

Наше издание идентифицировало, по меньшей мере, три компании в сфере коммунальных услуг, получивших такие электронные письма: вашингтонскую «Франклин» (Franklin PUD), «Дэарилэнд Пауэр Кооператив» (Dairyland Power Cooperative) в Висконсине и нью-йоркскую «Государственную корпорацию электричества и газа» (State Electric & Gas Corp.). Все три компании утверждают, что они знали о хакерской кампании, но не считают, что они стали ее жертвами.

Один из сотрудников «ДеВандж» рассказал, что в компанию приходили федеральные агенты. Владелец компании Джим Белл (Jim Bell) отказался обсуждать этот инцидент.

На сайте компании говорится, что одним из ее клиентов является Форт Детрик, военная база в Мэриленде, где располагаются сложные лаборатории, защищающие США от биологического оружия. Форт Детрик передал наши вопросы официальным представителям армии, рассказавшим, что они серьезно относятся к кибербезопасности, но отказавшимся давать дальнейшие комментарии.

Летом 2017 года хакеры избрали в качестве своей мишени компании, помогающие коммунальным службам управлять своими компьютерными системами контроля. 1 июля хакеры использовали компанию в Корваллисе, чтобы нанести удар по двум английским компаниям, «Северн Контролз» (Severn Controls Ltd.) и «Оукмаунт Контрол Системз» (Oakmount Control Systems Ltd.). Далее они нанесли удар по «Симкисс Контрол Системз» (Simkiss Control Systems Ltd.), также в Англии, и получили доступ к «информации об аккаунтах и управлении системой», по данным правительственного отчета.

На сайте компании «Симкисс» говорится, что она предлагает на рынке инструменты, позволяющие получать удаленный доступ к промышленным системам управления. Среди их клиентов числятся крупные производители электрооборудования и коммунальные компании, в том числе «Национальная сеть электроснабжения», отвечающая за линии электропередач в Великобритании и в некоторых частях США, где ей принадлежат коммунальные компании в Нью-Йорке, на Род-Айленде и в Массачусетсе.

Среди получателей были сотрудники «ПасифиКорп», коммунальной службы, работающей в нескольких штатах; «Бонневилль Пауэр администрейшн», базирующаяся в Портленде, штат Орегон, управляющая 75% высоковольтных линий передач, и Инженерный корпус армии США.

Федеральные чиновники говорят, что хакеры хотели найти способ объединить корпоративные сети коммунальных служб, подключенные к интернету, и их аварийные сети, защищенные от сети в целях безопасности.

Такие «соединения» порой принимают форму «джамп-боксов», компьютеров, дающих техникам способ действовать в обеих системах. В отсутствие должной системы защиты эти соединения позволят злоумышленникам пройти под крепостным рвом и проникнуть в замок.

Как говорят в компании «ПасифиКорп», там используется многослойная защита в системе управления рисками, и она не подвергалась нападениям при каких-либо хакерских кампаниях.

Начальник отдела информационной безопасности компании «Бонневилль» Гэри Додд (Gary Dodd) говорит, что не верит, что его компания была взломана, хотя там получили подозрительные электронные письма и от «Олл Уэйз Экскавейтинг», и от «Дэн Кауффман Экскавейтинг». «Возможно, что-то просочилось, но я так не считаю», — говорит он.

Армейский корпус также не дает никаких комментариев по вопросам кибербезопасности.

Огласка

Американские власти предупредили общественность о хакерской кампании в информационном письме, опубликованном в октябре 2017 года. Они связали ее с подпольной группой, называемой то «Овод» (Dragonfly), то «Энергичный мишка» (Energetic Bear), которую исследователи в сфере безопасности связали с российскими властями.

В марте 2018 года США пошли еще дальше, опубликовав отчет, где ответственность за враждебные действия возлагалась на «киберпреступников», работающих на российское правительство, утверждалось также, что хакеры действовали, по меньшей мере, с марта 2016 года. Власти обычно не называли стран, замешанных в кибератаках, не желая предавать огласке известную им информацию.

Короткое замыкание

Российские хакеры нанесли удар по системам управления компьютеров.

Хакер

Российские хакеры используют вредоносные электронные письма, чтобы получить информацию о реквизитах работников компании коммунальных услуг.

Компьютер сотрудника

Используя украденные реквизиты, хакеры осуществляют удаленный доступ к рабочим станциям энергоснабжения и вводят вредоносный код.

Scada-сервер

С зараженной рабочей станции хакеры могут получить доступ к системе диспетчерского управления и сбора данных (Scada).

Электрическое оборудование

Scada контролирует активы компании коммунальных услуг, включая подстанции и электроэнергетическое оборудование.

Источники: департамент внутренней безопасности (хакерская атака), министерство энергетики (сеть Scada).

В апреле 2018 года ФБР письменно оповестило по меньшей мере две компании о том, что они могли получить вредоносные электронные письма от господина Вителло из компании «Олл Уэйз экскавейтинг».

Господин Коив говорит, что он продолжил получать вредоносные письма в 2018 году. «Русские они или нет, я не знаю. Но кто-то до сих пор пытается проникнуть в наш сервер».

Осенью прошлого года в отношении компании «Олл Уэйз Экскавейтинг» снова была организована хакерская атака.

Эксперты в этой сфере говорят, что работающие на российское правительство хакеры, вероятно, остаются внутри некоторых систем, пока их не распознали, и ждут дальнейших указаний.

Tags: Россия, США, ЧП, кибербезопасность, спецоперации
Subscribe
promo diana_mihailova март 13, 2018 23:11 582
Buy for 250 tokens
Отметка MAS17 - рейс МН17, отметка RSD316 - Ил-96-300 авиакомпании «Россия » Малазийский Boeing 777 рейса МН17 из Амстердам - Куала-Лумпур должен был столкнуться в небе над Польшей с российским «бортом №1» - самолетом Ил-96-300, на котором президент Российской…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 3 comments