Четыре россиянина обвиняются в хакерских атаках на энергетический сектор

Четыре гражданина россии, работавшие на свое правительство, совершили кибератаки на сотни компаний энергетического сектора по всему миру, в том числе на оператора атомной электростанции в Канзасе, объявило в четверг министерство юстиции США в рамках ряда обширных обвинительных актов, направленных на сдерживание спонсируемых государством-террористом рф кибератак. Федеральная прокуратура заявила, что сотрудник, связанный с министерством обороны россии, установил «черные ходы» в компьютерные системы и запустил вредоносное ПО, направленное на нарушение безопасности энергетических объектов.

В отдельном обвинительном заключении утверждается, что трое сотрудников Федеральной службы безопасности россии, проводили многолетнюю работу по нацеливанию и взлому компьютерных систем в энергетическом секторе.

Министерство юстиции утверждает, что оба заговора произошли в период с 2012 по 2018 год и были нацелены на тысячи компьютеров примерно в 135 странах.

Высокопоставленный сотрудник правоохранительных органов сказал, что, хотя взломы не продолжались после 2018 года, они подчеркивают сохраняющиеся угрозы для критически важной инфраструктуры. В понедельник президент Джо Байден предупредил о «растущих разведданных», что росия может предпринять ответные кибератаки против США за санкции, связанные с вторжением в Украину.

«Спонсируемые государством хакеры из россии представляют серьезную и постоянную угрозу критически важной инфраструктуре как в США, так и во всем мире», — говорится в заявлении заместителя генерального прокурора Лизы Монако.

«Хотя раскрытые сегодня уголовные обвинения отражают прошлую деятельность, они кристально ясно показывают настоятельную постоянную потребность американского бизнеса в усилении своей защиты и сохранении бдительности».

Евгений Гладких, программист, работающий в институте Министерства обороны россии, обвиняется вместе с неназванными сообщниками в использовании вредоносного ПО, известного как Triton, для взлома нефтеперерабатывающего завода за пределами США в период с мая по сентябрь 2017 года.

Согласно обвинительному заключению, нарушение привело к тому, что системы безопасности, созданные Schneider Electric, вызвали автоматическое аварийное отключение деятельности организации. По словам официальных лиц, нефтеперерабатывающий завод находился за пределами США и проводил работы с использованием серы, что может привести к взрыву, если не будет должным образом регулироваться. Вредоносное ПО предназначалось для нанесения физического ущерба путем нарушения функций НПЗ, регулирующих безопасность. Прокуратура также утверждает, что трое хакеров, связанных с ФСБ, нацеливались на программное и аппаратное обеспечение объектов электроэнергетики, чтобы предоставить российскому правительству возможность по своему усмотрению выводить из строя взломанные компьютеры.

Подсудимых — Павла Акулова, Михаила Гаврилова и Марата Тюкова — обвиняют в участии в кампаниях, в ходе которых они установили вредоносные программы на более чем 17 000 устройств в США и за рубежом.

Используя один метод, известный как атака «водопой», злоумышленники якобы пытались обмануть инженеров целевой организации, чтобы они посетили взломанный веб-сайт, где хакеры могли установить вредоносное ПО и перехватить учетные данные посетителей веб-сайта. Их тактика, по словам прокуроров, включала так называемые целевые фишинговые атаки, нацеленные на 3300 пользователей в более чем 500 американских и международных компаниях и организациях, включая Комиссию по ядерному регулированию.

Одна успешная фишинговая кампания была направлена ​​против бизнес-сети — но не промышленного контроля — корпорации Wolf Creek Nuclear Operating Corporation в Берлингтоне, штат Канзас, которая управляет атомной электростанцией, по данным США.

Подозреваемые связаны с хакерской группой, также известной как Berzerk Bear и Energetic Bear, которую исследователи кибербезопасности давно подозревали в связях с российским правительством. Правительство утверждает, что они являются членами Центра 16, оперативного подразделения ФСБ, которое занималось взломом компьютеров. Члены группы также выдавали себя за соискателей, специализирующихся на работе с диспетчерским управлением и сбором данных, или SCADA, системами, которые распространены в промышленных системах управления, или ICS.

Высокопоставленный чиновник Министерства юстиции заявил, что злоумышленников обвиняют в установке вредоносных программ в законные обновления программного обеспечения, используемые в этих системах.

«Эти обвинения являются предупредительным выстрелом, предназначенным для организаций и отдельных лиц, стоящих за двумя из трех российских групп вторжения, которые осуществляют разрушительные кибератаки, — сказал Джон Халтквист, вице-президент по анализу разведданных в компании по кибербезопасности Mandiant, чтобы дать понять всем, кто работает в этих программах, что в ближайшее время они не смогут покинуть россию».

Ни один из четырех подозреваемых в настоящее время не находится под стражей в США. «Мы решили, что будет лучше снять обвинения, чем ждать такой отдаленной возможности в будущем», — сказал высокопоставленный сотрудник правоохранительных органов США.

Также в четверг британское киберагентство заявило, что «почти наверняка» что ФСБ проводила «злонамеренную программу киберактивности», нацеленную на критически важные IT-системы и национальную инфраструктуру в Европе, Америке и Азии с 2013 года. Министр иностранных дел Великобритании Лиз Трасс также заявила, что она наложила санкции на дочернюю компанию Министерства обороны россии за предполагаемую кибератаку на нефтехимический завод в Саудовской Аравии пять лет назад.

По материалам: Bloomberg