Высказывалось мнение, что за атаками на украинскую энергосистему в 2015 и 2016 годах стояло российское правительство. Вскоре после взлома 2016 года администрация президента Украины Петра Порошенко выступила с заявлением, в котором прямо не упомянула об отключениях электроэнергии, но сообщила о проводимом в стране «расследовании ряда инцидентов, указывающих на прямое или косвенное участие российских спецслужб в кибервойне, ведущейся против [Украины]»[343]. В частности, исследователи обнаружили некоторые косвенные свидетельства связей хакеров с Россией: например, справочная страница, сопровождавшая вирус BlackEnergy, была написана на русском языке[344]. Американская компания FireEye, работающая в сфере кибербезопасности, заявила, что нашла описание ключевого элемента, задействованного в тактике злоумышленников, в презентации с российской хакерской конференции[345]. Поток автоматизированных звонков, который в 2015 году вывел из строя коммутатор в кол-центре одной из электростанций, предположительно исходил из России[346]. Исследователи кибербезопасности также отмечают очевидную вещь: из всех стран мира именно Россия пребывает в состоянии глубочайшего конфликта с Украиной. Кому еще, спрашивают они, понадобилось бы вывести из строя украинскую энергосистему?
Впрочем, британское правительство не совсем в этом уверено. В октябре 2018 года Национальный центр кибербезопасности опубликовал пресс-релиз о российских кибератаках. В нем перечислялись хакерские группы, которые, по данным Центра, работали в российской военной разведке. Разумеется, среди них были BlackEnergy и Sandworm, которых многие обвиняли в атаках на украинскую энергетику. Но в релизе не говорилось о том, что они непосредственно связаны со взломами 2015 и 2016 годов[347].
Некоторые британские исследователи кибербезопасности, однако, твердо убеждены, что российские хакеры не только атакуют электростанции, но и взяли на мушку Великобританию и проникли в целый ряд компаний, играющих ключевые роли в работе британской энергетической сети. Они утверждают, что в ходе атак хакеры подобрались опасно близко к сердцу британской атомной инфраструктуры.
В феврале 2018 года в компанию Secureworks, работающую в сфере технологической безопасности, обратилась за помощью одна британская фирма, которая поставляет оборудование и оказывает услуги предприятиям британского нефтегазового сектора.
Специалисты из Secureworks быстро установили, что компьютерная сеть этой компании оказалась взломана и, вероятно, использована для рассылки убедительных фишинговых писем, похожих на сообщение от сотрудника атомной электростанции, описанное в начале этой главы. Мало того, что сама компания стала жертвой хакеров, так с помощью нее в ловушку стали заманивать новых жертв.
Список целей расширялся. В апреле сотрудники Secureworks нашли еще одну компанию, обслуживающую нефтегазовый сектор и пострадавшую в ходе той же атаки, и это привело их к двум следующим жертвам. Все атакованные фирмы являлись ключевыми поставщиками британского энергетического сектора и снабжали в том числе и атомные электростанции. (Представители Secureworks не раскрыли названия этих компаний, ссылаясь на конфиденциальность клиентской информации.)
Все жертвы были атакованы с помощью одной вредоносной программы, которая была уже знакома исследователям Secureworks. Они – как и сотрудники других компаний, работающих в сфере кибербезопасности, – следили за ней еще с 2010 года, наблюдая за тем, как она развивается и возникает во множестве компаний, часто связанных с энергетической отраслью. Поскольку ее всегда использовали одинаково, а ее текущая версия не продавалась в киберпреступном подполье, исследователи полагали, что программу контролирует одна группа. И теперь эта группа наносила удары по Великобритании. Одной из хитростей хакеров стал взлом американского издательского дома CFE Media, который публикует специальную литературу для инженеров. Злоумышленники разместили зараженные файлы в издававшихся компанией онлайн-журналах, которые скачивали посетители сайта.
Это называется «атакой у водопоя» – при такой охоте, вместо того чтобы преследовать одного зверя, охотник отравляет воду, которую пьют все. «Под удар попадает все нужное сообщество», – говорит Рэйф Пиллинг, исследователь информационной безопасности из Secureworks. Используя эту тактику, хакер не знает, кто окажется заражен, но высока вероятность, что жертвой станет человек, полезный для злоумышленника.
И тактика сработала. Летом 2016 года посетители сайта журнала Consulting-Specifying Engineer, чьи компьютеры не были защищены, невольно отправляли свои логины и пароли Windows на сервер, управляемый хакерами[348]. Впоследствии эти данные можно было использовать для входа в учетные записи на рабочих компьютерах инженеров, что давало хакерам отправную точку для атаки на энергетический сектор.
Издательство CFE Media отказалось прокомментировать этот инцидент для книги.
Специалисты Secureworks начали замечать другие признаки того, что злоумышленники были не новичками в своем деле: среди прочего они использовали тактику, доступную только хакерам, получающим лучшее финансирование в мире. Она эксплуатирует частые обновления программного обеспечения наших компьютеров. iTunes, FlashPlayer, Java – какая-нибудь из программ всегда требует обновления. Для взлома хакеры перехватывали запросы на обновления и отправляли жертвам зараженные файлы. Для этого им необходим был доступ к интернет-роутеру, обеспечивающему подключение жертв к интернету. Подобно домашнему пользователю, компания тоже подключается к интернету через роутер, поэтому, взломав его, можно отслеживать запросы на обновления – и управлять ими.
Об этом трюке с перехватом запросов общественность впервые узнала от Эдварда Сноудена, подрядчика американского Агентства национальной безопасности, который в 2013 году опубликовал в интернете засекреченные документы. Он заявил, что АНБ использует тактику QuantumInsert. Она требует серьезной огневой мощи, ведь хакерам, по сути, приходится соперничать с ведущими мировыми производителями программного обеспечения, чтобы доставлять свои обновления первыми. Для победы в этой гонке необходимы навыки, скорость и ресурсы, доступные только лучшим из лучших.
«Это по плечу большинству государственных хакерских групп, – говорит Дон Смит, технологический директор Secureworks. – Тут нужны большие „трубы“ [быстрое интернет-соединение со взломанным роутером]. Вам нужно ответить на запрос быстрее, чем с этим справится настоящий поставщик обновления».
К тому времени стало понятно, что компании британского энергетического сектора атакует группа, имеющая серьезные ресурсы. Когда специалисты Secureworks принялись изучать, какие цели преследуют хакеры, их озабоченность возросла. Они обнаружили следы документов, похищаемых злоумышленниками: в них содержалась конфиденциальная информация не только о попадающих под удар компаниях, но также обо всем британском энергетическом секторе, который эти компании обслуживали.
В обычном инциденте со взломом компании, работающие в сфере технологической безопасности, порой позволяют злоумышленникам некоторое время продолжать работу. На это есть веские причины: у исследователей появляется возможность изучить тактики хакеров, составить полное представление о том, насколько глубоко они проникли в системы жертв, и собрать данные, чтобы снова обнаружить этих злоумышленников в будущем. Но только не в этом случае. Связи жертв с важнейшими объектами британской энергетической инфраструктуры внушали такие опасения, что сотрудники Secureworks поспешили вытеснить хакеров из систем. Но хакеры не собирались сдаваться без боя.
«Они знали, что мы систематически их вытесняем, – вспоминает Смит. – Они не хотели расставаться с тем, что оказалось у них в руках. В какой-то момент мы заметили, что [хакеры загружают] новый вирус, созданный накануне ночью. Началась игра в кошки-мышки, где одни шли в атаку, а другие держали оборону».
В конце концов победа досталась Secureworks. К тому времени исследователи установили, что одним и тем же штаммом вируса заражены четыре компании, обслуживающие британскую нефтегазовую и атомную энергетику, но у них возникли опасения, что на самом деле это лишь часть гораздо более масштабного взлома.
Подобно тем, кто расследовал атаки на украинские электростанции, специалисты Secureworks нашли свидетельства, которые, по их мнению, указывают на российское вмешательство. Они полагают, что обнаруженный ими вирус был инструментом единственной хакерской группы, цель которой состояла в том, чтобы «собирать информацию об энергетическом секторе (в частности, в Европе), чтобы содействовать российским государственным и частным компаниям в принятии решений и получать доступ к АСУ [автоматизированным системам управления], связанным с энергетикой»[349].
Российское правительство не ответило на запрос об интервью для этой книги, отправленный в посольство Российской Федерации в Лондоне, а также напрямую в российское Министерство иностранных дел.
Исследователи Secureworks подчеркивают, что у них не было никаких оснований полагать, что хакеры собираются устроить катастрофические атаки, подобные украинским. Британская энергетическая система не стояла на пороге отключения. Напротив, они считают, что наблюдали за шпионскими маневрами. Но полученные в ходе взломов данные, разумеется, можно было однажды использовать и для атаки.