Всего несколько дней назад украинская энергосистема подверглась атаке, когда Sandworm попытался развернуть вредоносное ПО под названием Industroyer2 против операций поставщика энергии в стране. Industroyer2, обнаруженный в ходе реагирования с участием ESET и CERT-UA, является новым вариантом сложного вредоносного ПО под названием Industroyer, которое отключило свет в частях Киева в декабре 2016 года.
Кроме того, в декабре 2015 года операторы BlackEnergy прервали поставки электроэнергии сотням тысяч людей в Ивано-Франковской области Украины на несколько часов после саботажа систем нескольких энергораспределительных компаний.
Эти инциденты стали неприятным пробуждением для тех, кто считал подобные события научной фантастикой. И все же, ни один из них не был первым случаем использования вредоносного ПО в атаке на критическую инфраструктуру.
Еще в июне 2010 года иранский объект по обогащению ядерного топлива в Натанзе подвергся атаке Stuxnet — сложного вредоносного ПО, которое уничтожило множество центрифуг, сократив в результате мощность Ирана по производству обогащенного урана. Stuxnet сегодня известен как первое обнаруженное вредоносное ПО, нацеленное на промышленные системы, и вредоносное ПО, стоящее за первой кибератакой на современную критическую инфраструктуру.
Эти атаки в совокупности напоминают нам о рисках, с которыми сталкиваются различные типы критической инфраструктуры. Действительно, история показывает, что в некотором смысле это восходит к временам задолго до появления современных цифровых компьютеров.
Кибератаки на критическую инфраструктуру – угроза, которой 200 лет?
К концу XVIII века французский император Наполеон Бонапарт построил коммуникационную сеть, чтобы обеспечить свою армию быстрой и надежной системой передачи секретной информации. Система оптического телеграфа, названная «семафором», была изобретена французским инженером Клодом Шаппом и позволяла осуществлять зашифрованные оптические коммуникации, которые можно было расшифровать только с помощью секретной кодовой книги, которой владели избранные офицеры башен.
Система полагалась на сеть башен, построенных на высоких холмах на расстоянии 16 километров друг от друга. На вершине каждой башни находились две механические деревянные руки, которые двигались, как марионеточные, и управлялись офицером с телескопом. Сообщение, закодированное положением рук, копировалось от башни к башне до достижения пункта назначения.
И вот так французское правительство могло отправлять сообщения на большие расстояния со скоростью, намного превышающей скорость любого конного гонца. Достигнув последней башни, офицер переводил символы на французский язык, используя кодовую книгу.
Это была настоящая революция в то время – у армии Наполеона теперь была секретная и эксклюзивная линия связи. Или так они думали. Несколько лет спустя первая междугородняя коммуникационная сеть стала одной из первых систем критической инфраструктуры, которую взломали. В 1834 году два брата, Франсуа и Жозеф Блан, совершили то, что часто называют первым случаем мошенничества с использованием проводов, или даже первой кибератакой.
Братья торговали государственными облигациями на Бордоской фондовой бирже, которая использовала Парижскую фондовую биржу в качестве индикатора колебаний своих курсов. Однако эта информация передавалась на лошадях, и ее доставка на юго-запад Франции занимала до пяти дней. Если бы только мы знали, что происходит на Парижской бирже раньше всех, вероятно, подумали они.
Семафор представлял собой идеальное решение, и трюк был прост: обычное сообщение, содержащее специальный символ, созданный Бланами, доставлялось сообщником из парижской башни, пока оно не достигало их. Этот крошечный код был сделан так, чтобы выглядеть как невинная ошибка, и, согласно протоколу семафора, такие ошибки должны были проверяться и исправляться только управляющими станциями, расположенными в нескольких пунктах крупных городов. По пути в Бордо на башне в Туре находился один из таких управляющих, поэтому Франсуа и Жозеф подкупили его, чтобы он не исправлял их сигнал.
Тем временем последний сообщник в Бордо следил за башней, чтобы обнаруживать эти ошибки и передавать их Бланам. Франсуа и Жозефу удалось получить инсайдерскую информацию о последних данных с Парижской фондовой биржи, не будучи замеченными в течение долгого времени. Они воспользовались дорогостоящей государственной сетью в личных целях, получая большую прибыль и одновременно нарушая связь французской армии.
В течение двух лет они заработали столько денег, что люди начали сомневаться в их удаче. В конце концов, мошенничество было раскрыто.
В наши дни злоумышленники могут проводить свои атаки новыми и более коварными способами.
Срыв работы парламентов, банков и исследовательских институтов – и повышение цен на топливо
История может многому научить, но, возможно, прежде всего тому, что история повторяется – или, по крайней мере, рифмуется. В настоящее время кибератаки поражают тысячи малых частных предприятий, частных лиц и крупных государственных и правительственных организаций.
Согласно исследованию 2021 года, проведенному Claroty, в котором приняли участие 1000 ИТ- и ОТ-специалистов по безопасности, работающих в критической инфраструктуре США, Великобритании, Германии, Франции и Австралии, 65% выразили обеспокоенность по поводу атак на критическую инфраструктуру. Девяносто процентов из них сообщили, что подверглись атаке в 2021 году.
Хотя телекоммуникационное мошенничество братьев Блан не затронуло широкую общественность, атаки на электросеть в Украине повлияли на сотни тысяч людей. Риск таких прямых последствий становится все более острым.
Эстония: первый случай кибератаки на сеть целой страны
Утром 27 апреля 2007 года, словно домино, правительственные коммуникации Эстонии, банки, телефонные операторы, новостные сайты, банкоматы и веб-сайт парламента, наряду со многими другими онлайн-сервисами, просто перестали работать. Все ощутили бесконечную силу атаки, которая продлилась 22 дня.
Цифровизированная страна столкнулась с атакой на свое киберпространство. Уже к 2007 году Эстония была одной из самых цифровизированных стран мира. Люди использовали свои телефоны для оплаты парковки, государственные услуги были онлайн, даже система голосования была онлайн, и повсюду был Wi-Fi! Но в одно мгновение балтийская страна из онлайн-страны грез превратилась в цифровой хаос.
Злоумышленники использовали несколько известных тактик, от ping-флудов, типа атаки типа «отказ в обслуживании» (DoS), до искаженных веб-запросов и спама по электронной почте, большинство из которых исходило из-за пределов Эстонии. Такая обширная и постоянная активность встретила лишь несколько защитных слоев, безусловно, меньше, чем могло быть внедрено. Это испытание должно было стать архетипом, который должен был предупредить другие страны об их собственных уязвимостях в безопасности.
Не было немедленных решений, и, по сути, атаки продолжались столько, сколько хотели злоумышленники. Но поскольку большинство из них совершались из-за границы, государственные и частные организации начали блокировать весь внешний трафик на свои веб-сайты, чтобы выиграть время для идентификации и фильтрации вредоносных источников трафика с помощью интернет-провайдеров по всему миру.
Последующее уголовное расследование, как и следовало ожидать, привело лишь к немногим выводам из-за отсутствия правовых механизмов и невозможности отследить конкретные адреса и людей. Дмитрий Галушкевич, 20-летний студент эстонского университета, был единственным идентифицированным злоумышленником, потому что он действовал изнутри Эстонии. Галушкевич использовал свой ПК для атаки на веб-сайт партии премьер-министра Эстонии, Реформистской партии Эстонии, и был приговорен к штрафу в размере 17 500 крон (примерно 700 долларов США по курсу того времени).
COVID-19: Гонка за информацией
Ничто так не объединило мир, как потребность в разработке вакцины от COVID-19. Однако подходы к этой задаче были разными. Многие лаборатории по всему миру начали марафон, чтобы получить первый и самый безопасный укол. 23 апреля 2020 года Всемирная организация здравоохранения сообщила о «пятикратном увеличении числа кибератак» на своих сотрудников, надеясь, что этот отчет послужит предупреждением на предстоящие месяцы.
Всего через несколько дней Национальный центр кибербезопасности Великобритании (NCSC) предупредил, что британские университеты и лаборатории, проводящие исследования COVID-19, подвергаются многочисленным попыткам взлома, в том числе со стороны других стран, стремящихся собрать данные, связанные с разработкой вакцин.
Через несколько месяцев, 9 декабря, регулятор здравоохранения ЕС, Европейское агентство лекарственных средств (EMA), сообщило о кибератаке на него. В тот же день BioNTech подтвердило, что некоторые документы, хранящиеся на серверах EMA для одобрения их вакцины, были «незаконно доступны». Согласно последующему сообщению EMA от 22 декабря 2020 года, хакеры целенаправленно атаковали информацию о COVID-19, взломав одно неуказанное ИТ-приложение. Украденные данные были затем опубликованы 13 января 2021 года.
Делом занимался CERT-EU совместно с голландской полицией. Однако выводы официально так и не были раскрыты. Согласно голландской газете deVolkskrant, злоумышленники получили доступ к системам EMA, украв токен, используемый для настройки многофакторной аутентификации для новых сотрудников. Публикация также сообщает, что люди, близкие к делу, считают, что инцидент был вопросом государственного шпионажа, направленного против стратегии ЕС по борьбе с COVID-19.
Потеря контроля над топливными поставками
7 мая 2021 года группа ransomware DarkSide атаковала Colonial Pipeline, использовав несколько уязвимостей и скомпрометированных паролей. Этого было достаточно, чтобы вывести из строя крупнейшую в США систему распределения топлива на пять дней. Это был первый случай в 57-летней истории компании, и он потребовал прямого вмешательства Белого дома.
Эта ransomware-атака имела серьезные последствия, вынудив несколько крупных сетей АЗС временно закрыться из-за нехватки топлива. Цены на топливо в США взлетели до максимума с 2014 года.
Хотя первоначально масштаб атаки заставил все усилия сосредоточиться на расследовании возможного спонсируемого государством взлома, оказалось, что он был мотивирован желанием заработать. DarkSide признала свою ответственность за атаку, но отрицала какую-либо политическую мотивацию: «Наша цель — заработать деньги, а не создавать проблемы для общества», — заявили они. Однако группа, как известно, предоставляет ransomware как услугу аффилированным лицам и получила выкуп в размере 4,4 миллиона долларов США, половина которого позже была изъята ФБР.
Кибератаки никуда не денутся
Невероятная мощь, которая позволяет нам всем мгновенно подключаться, имеет свою цену. Большая связность также означает больше уязвимостей, больше атак и более изощренные стратегии. Такая возросшая взаимосвязь между цифровым и реальным миром оказывает давление на государственные и частные инфраструктурные секторы, заставляя их принимать новые правила безопасности.
Хотя в последние годы операторы объектов критической инфраструктуры предприняли значительные усилия по обеспечению безопасности, эти службы часто остаются легкой мишенью для кибератак, что еще раз подчеркивает необходимость лучшей защиты основных служб общества от вреда.
