Электроэнергетическая сеть Украины вновь подверглась кибератаке спустя всего месяц после того, как в результате аналогичного инцидента часть системы вышла из строя, оставив миллионы жителей без света.
Ситуация усугубляется тем, что, по словам специалистов, исследующих вредоносную программу, предположительно послужившую причиной сбоя, – новую версию так называемого трояна BlackEnergy – она могла распространиться на многочисленные электросети Европы и грозит поразить многие другие.
Кибератаки и распространение вредоносного программного обеспечения (ПО) поставили перед аналитиками в области кибербезопасности задачу не только установить, какие из систем подвержены наибольшему риску, но и кто может нести за это ответственность.
«Необходимо исходить из предположения, что это ПО уже распространяется по Европе, – считает сооснователь и директор по безопасности компании SentinelOne Уди Шамир. – Это кибервойна. Пора осознать, что это война».
Шамир и его коллеги недавно завершили полную обратную разработку нового трояна BlackEnergy3. Этой технологией аналитики часто пользуются, чтобы понять, как работает вредоносное ПО и кто его создал.
В ходе исследования аналитики выяснили, что BlackEnergy3 использует для распространения ту же слабость в программе Microsoft Office, что и более ранние версии трояна, BE1 и BE2. По словам Шамира, это весьма необычно, поскольку разработчики Microsoft устранили проблему в 2014 году.
«Есть несколько возможных объяснений, – рассказал эксперт «Голосу Америки». – Во-первых, это могут быть просто старые системы, которые никогда не обновлялись. Во-вторых, кто-то может намеренно распространять вредоносное ПО изнутри. В-третьих, есть вероятность, что трояны находились в системах в спящем режиме на протяжении нескольких месяцев, и только сейчас пришли в действие».
Определить происхождение вредоносного ПО всегда крайне сложно, в связи с чем сложно наверняка установить, кто стоит за атаками. Однако специалисты из компании iSight ранее обнаружили сходства между более ранними версиями BlackEnergy и хакерской программой Sandworm предположительно российского происхождения, которая использовалась для атак на инфраструктуру НАТО в 2014 году.
Шамир выявил аналогичные сходства с BlackEnergy3, что позволило его команде предположить причастность российских хакеров. «Стиль кода, кластеры напоминают российское ПО, – отмечает Шамир. – Я практически уверен, что программа была разработана в России, но у меня нет неопровержимых доказательств».
Большее беспокойство, по словам Шамира, вызывает тот факт, что последняя версия BlackEnergy имеет модульную структуру, в связи с чем хакерам гораздо проще быстро вносить изменения в работу ПО, а аналитикам гораздо сложнее найти и искоренить его.
«Это ПО можно обновлять, заменять, изменять, даже менять весь его функционал, – поясняет Шамир. – Так что если в одной промышленной сети есть спящий троян, он может получить совершенно новый командный модуль и заразить другие системы».
Именно из-за изменчивой структуры ПО так сложно определить, как именно оно работает, и какие системы поражены.
Самое страшное, по словам Шамира, состоит в том, что большая часть кода BlackEnergy3 не касается заражения промышленных командных систем, управляющих работой электросетей и других объектов тяжелой промышленности, а также вмешательства в их работу. Судя по всему, код создан для проведения тщательного мониторинга и сбора данных, так называемого «сниффинга».
«Это ПО способно выявлять сетевой трафик и делать записи о нем, похищать учетные данные пользователей и документы, если они работают в незашифрованном режиме, а также просачиваться в эти данные, – поясняет Шамир. – Это может позволить хакерам вносить поправки в BlackEnergy3 на ходу. Очевидно, программа нацелена скорее на шпионаж, и это нас беспокоит, поскольку мы не знаем, где она сейчас».
Обычно коммунальные предприятия и государства избегают публично признавать, что из ключевая инфраструктура подвержена кибератакам, из-за чего исследователям сложнее отслеживать распространение и работу BlackEnergy3.
Впрочем, Шамир, как и многие эксперты в сфере кибербезопасности, не сомневается в том, что троян будет распространяться и дальше, приводя к дальнейшим перебоям с электроэнергией и «загадочным» сбоям в работе электроэнергетических систем, транспорта и другой промышленной инфраструктуры.