Стали известны новые подробности о хакерской атаке, которая привела к отключению электроэнергии на западе Украины в декабре прошлого года.
Об этом пишет Апостроф со ссылкой на портал Wired.
Согласно информации, оператор одного из центров управления подстанциями около 15:30 заметил, как курсор на его мониторе дернулся, хотя сам он не шевелил мышкой. Курсор двинулся в сторону переключателя, отвечающего за рубильник на одной из подстанций. И дернул его. Когда оператор схватил мышь, то понял, что курсор его не слушался. Оператора выкинуло из системы управления подстанциями.
Специалист по безопасности Роберт Ли из компании Dragos Security утверждает, что к взлому хакеры готовились не меньше полугода. Сначала они внедрили на компьютеры программу Blackenergy 3. Для этого они использовали старый способ: пользователям сети отправляли фишинговые письма с файлами Microsoft Word, которые при открытии предлагали установить макрос. Тот, в свою очередь, вызывал вредоносную программу.
В то же время, внутренние сети распределительных центров были хорошо отделены от системы управления подстанциями при помощи файерволов. Издание утверждает, что защита была лучше, чем в американских компаниях, управляющих американской электросетью, однако хакерам удалось ее взломать. Они получили данные пользователей для подключения к системе управления подстанциями через VPN и могли подключаться под видом добросовестных пользователей.
Эксперты считают, что на изучение того, как устроена сеть распределительных центров и как она связана с системой управления подстанций, у злоумышленников ушло несколько месяцев. За это время они также написали новую прошивку для конвертеров на подстанциях, которые получают сигнал через интернет и передают его рубильникам. При этом взломе впервые перепрошивалось непосредственно оборудование.
Изначально хакеры отключили источники бесперебойного питания у двух из трех распределительных центров, в сеть которых у них был доступ. После этого они запустили гигантский поток звонков в колл-центр "Прикарпатьеоблэнерго", чтобы жители не могли сообщить об отключении энергии. Тогда одновременно они отключили 30 подстанций и перепрошили там конвертеры таким образом, что операторы перестали видеть их состояние удаленно. Переключить рубильник стало возможно только физически. Кроме того, на компьютерах операторов хакеры запустили программу, которая сделала невозможной перезагрузку.
Издание объясняет, что таким образом, операторы остались без компьютеров и без возможности включить рубильники удаленно. Свет восстановили через шесть часов. До сих пор рубильники на подстанциях невозможно переключить удаленно, только физически. Энергетикам придется заменить конвертеры, испорченные хакерами. Более того, Wired отмечает, что в США последствия такой атаки были бы куда серьезнее: там на подстанциях рубильники нельзя переключить руками.
Как сообщалось, в США обнаружили доказательства, которые свидетельствуют о причастности к этой атаке российских хакеров.