12 июня 2017 года исследователи ESET опубликовали свои выводы об уникальном вредоносном ПО, способном вызвать масштабное отключение электричества. Industroyer, как они его назвали, стало первым известным вредоносным ПО, разработанным специально для атак на энергосистему.
Действительно, Industroyer был развернут с немалым эффектом за несколько месяцев до этого – 17 декабря 2016 года он вызвал отключение электроэнергии у тысяч домов в некоторых районах Киева, Украина, примерно на час, после того как вредоносное ПО атаковало местную подстанцию. Через несколько дней исследователь вредоносного ПО ESET Антон Черепанов начал разбирать Industroyer.
Тикающая бомба
Попав в сеть, Industroyer распространялся по сети подстанции, ища конкретные устройства промышленного управления, протоколы связи которых он мог понимать. Затем, словно сработавшая бомба замедленного действия, он одновременно открывал все автоматические выключатели, мешая операторам подстанции легко восстановить контроль: если оператор пытался закрыть выключатель, вредоносное ПО снова открывало его.
Чтобы замести следы, вредоносное ПО использовало wiper (стиратель данных), предназначенный для вывода из строя компьютеров подстанции и замедления возвращения к нормальной работе. Хотя wiper часто давал сбой, если бы он сработал более успешно, последствия могли бы быть гораздо серьезнее – особенно зимой, когда из-за отключения электричества трубы с водой могут замерзнуть и лопнуть.
Последним злонамеренным действием вредоносного ПО было отключение некоторых защитных реле на подстанции, но и это не удалось. Без работающих защитных реле оборудование подстанции могло оказаться под высоким риском повреждения, когда операторы в конечном итоге восстановили бы передачу электроэнергии.
Как отметили Черепанов и его коллега-исследователь ESET Роберт Липовски
в то время, сложность Industroyer позволяет адаптировать вредоносное ПО к любой аналогичной среде. На самом деле, промышленные протоколы связи, которые использует Industroyer, применяются не только в Киеве, но и «по всему миру в инфраструктуре электроснабжения, системах управления транспортом и других критически важных инфраструктурных системах (таких как водо- и газоснабжение)».
С другой стороны, учитывая сложность Industroyer, его реальное воздействие оказалось довольно скромным, как отметили сами исследователи ESET еще в 2017 году. Возможно, это была лишь репетиция для будущих атак, или, возможно, это был знак того, на что способна группа, стоявшая за этим.
Работа Sandworm
Поведение вредоносного ПО, как отметили исследователи ESET, отражает злонамеренные намерения его создателей. На конференции Virus Bulletin в 2017 году Липовски подчеркнул, что «злоумышленникам пришлось разбираться в архитектуре энергосистемы, какие команды отправлять и как это будет достигнуто». Создатели приложили немало усилий для разработки этого вредоносного ПО, и их целью было не просто отключение электричества. «Некоторые намеки в конфигурации Industroyer предполагают, что они хотели вызвать повреждение оборудования и сбои в его работе».
На Black Hat 2017 Черепанов также отметил, что «очень маловероятно, чтобы кто-то мог написать и протестировать такое вредоносное ПО без доступа к специализированному оборудованию, используемому в конкретной, целевой промышленной среде».
В октябре 2020 года Министерство юстиции США возложило ответственность за атаку на шестерых офицеров, принадлежащих к подразделению 74455, известному как Sandworm, подразделению российской военной разведки ГРУ.
Возвращение Industroyer
Перенесемся в 2022 год, и неудивительно, что за несколько недель до и после вторжения России 24 февраля, телеметрия ESET показала увеличение числа кибератак, нацеленных на Украину.
12 апреля совместно с CERT-UA исследователи ESET объявили, что они выявили новую версию Industroyer, нацеленную на поставщика энергии в Украине. Industroyer2 должен был отключить электричество в одном из регионов Украины 8 апреля; к счастью, атака была пресечена до того, как она могла нанести дальнейший ущерб разоренной войной стране. Исследователи ESET с высокой степенью уверенности заявили, что Sandworm снова несет ответственность за эту новую атаку.
Предвестник грядущего
В последние годы стало более чем очевидно, что критически важные инфраструктурные службы мира подвергаются серьезному риску сбоев. Серия инцидентов, затронувших критическую инфраструктуру в Украине (и, действительно, в других частях мира), заставила значительную часть общественности осознать риски отключений электроэнергии, перебоев в водоснабжении, сбоев в распределении топлива, потери медицинских данных и многих других последствий, вызванных кибератаками, которые могут сделать гораздо больше, чем просто нарушить наши повседневные привычки – они могут быть по-настоящему опасными для жизни.
Еще в 2017 году и Черепанов, и Липовски завершили свой блог с исследованиями предупреждением, которое пять лет спустя по-прежнему остается актуальным: «Независимо от того, была ли недавняя атака на украинскую энергосистему испытанием, она должна послужить тревожным звонком для тех, кто отвечает за безопасность критически важных систем по всему миру».
