Aa Aa Aa

Российские хакеры, причастные к взлому американской избирательной системы, взламывали АЭС и энергосистемы

Романов Роман
Российские хакеры, причастные к взлому американской избирательной системы, взламывали АЭС и энергосистемы

В сентябре представители службы кибербезопасности с растущей тревогой наблюдали, как российские государственные хакеры начали рыскать по десяткам компьютерных систем государственных и местных органов власти США всего за два месяца до выборов.

Хакерская группа, известная исследователям безопасности как «Стрекоза» или «Энергетический медведь» (Energetic bear) из-за своих взломов энергетического сектора, не участвовала во взломах выборов 2016 года. Но за последние пять лет их кибератаки нарушили электросеть, водоочистные сооружения и даже атомные электростанции, в том числе одну в Канзасе .

В марте "Energetic bear" также взломала системы Wi-Fi в международном аэропорту Сан-Франциско и, по крайней мере, в двух других аэропортах Западного побережья, явно пытаясь найти одного неопознанного путешественника, что продемонстрировало силу и решимость хакеров.

Сентябрьские атаки стали первым случаем, когда исследователи поймали группу, подразделение ФСБ России, нацеленное на штаты и округа. Время совершения атак так близко к выборам, а возможность их срыва вызвали беспокойство внутри частных охранных фирм, правоохранительных органов и спецслужб.

«Одно из возможных объяснений состоит в том, что они вызывают настоящих профессионалов - команду А, которая привыкла работать в этой действительно чувствительной критически важной инфраструктуре», - сказала Сюзанна Сполдинг, бывший заместитель секретаря по кибербезопасности и критической инфраструктуры в Министерстве внутренней безопасности США.

В 2016 году российские хакеры из других групп нагло пытались проникнуть в некоторые государственные базы данных о выборах. «Можно возразить, что им было наплевать на тишину, - сказала Сполдинг. Но теперь, когда Россия была обличена и наказана за вмешательство в выборы, президент Путин «может пожелать сохранить это в секрете, пока не будут созданы обстоятельства для использования их в информационных операциях», - добавила она.

Американские официальные лица описали взломы в информационном сообщении в четверг как «оппортунистическое», а не явную атаку на избирательную инфраструктуру, но признали, что группа нацелена на десятки государственных и местных систем и украла данные по крайней мере с серверов двух целевых групп.

«Они широко ищут уязвимости и работают целенаправленно», - сказал Кристофер К. Кребс, директор Агентства по кибербезопасности и безопасности инфраструктуры, которое выпустило предупреждение вместе с ФБР.

Это вряд ли успокоило исследователей, которые годами следили за Энергетическим медведем. «Похоже, что это подготовительный этап, чтобы обеспечить доступ, когда они решат, что он им нужен», - сказал Адам Мейерс, руководитель службы разведки угроз в CrowdStrike, охранной фирме, которая следила за группой.

Energetic bear обычно бросает широкую сеть, а затем нацеливается на несколько глобальных целей. В Германии и США группа заражала веб-сайты, популярные в энергетическом секторе, загружая вредоносное ПО на машины любого, кто заходил на эти сайты, а затем разыскивая сотрудников, имеющих доступ к промышленным системам.

В других атаках группа захватывала обновления программного обеспечения для компьютеров, подключенных к промышленным системам управления. Она также атаковала цели с помощью фишинговых писем в поисках сотрудников или коллег, которые могут иметь доступ к критически важным системам на водоснабжении, электростанциях и атомных станциях.

И это было сделано с большим успехом. Тревожный снимок экрана в информационном сообщении Министерства внутренней безопасности 2018 года показывает, как хакеры группы держат пальцы на переключателях компьютеров, которые контролируют промышленные системы на электростанции.

Группа пока что не допустила саботажа, но, похоже, готовится к следующей атаке. Взломы настолько нервировали чиновников, что начиная с 2018 года Киберкомандование США, подразделение Пентагона, которое проводит наступательные кибератаки, наносило ответные удары по российской сети.

Некоторые назвали контратаки цифровой эры эквивалентом гарантированного взаимного уничтожения. Но всякая надежда американских чиновников на то, что их удары сдержат Россию, рассеялась, когда в марте группа начала атаковать американские аэропорты.

Должностные лица международного аэропорта Сан-Франциско обнаружили, что российские государственные хакеры взломали онлайн-систему, которую сотрудники аэропорта и путешественники использовали для получения доступа к Wi-Fi в аэропорту. Хакеры внедрили код в два портала Wi-Fi, которые украли имена пользователейпароли и заразили их ноутбуки.

Атака началась 17 марта и продолжалась почти две недели, пока ее не остановили. К тому времени официальные лица двух других аэропортов обнаружили, что их порталы Wi-Fi также были взломаны. Исследователи не стали называть имена других жертв, ссылаясь на соглашения о неразглашении, но сказали, что они находились на Западном побережье.

Какими бы массовыми ни были атаки, исследователи полагают, что российских хакеров интересовал только один конкретный человек, проезжавший через аэропорты в тот день.

«Якобы сотни тысяч людей могли быть скомпрометированы», - сказал Эрик Чиен, директор по кибербезопасности Symantec, который исследовал атаку. «Но только 10 были».

Команда г-на Чиена обнаружила, что хакеры «снимали отпечатки пальцев» на машинах любого, кто входил в сеть Wi-Fi, в поисках одной из более старых версий браузера Microsoft Internet Explorer. Если они находили совпадение, хакеры заражали эти ноутбуки. Если посетители Wi-Fi использовали любой другой браузер, хакеры оставляли их в покое.

«Судя по тому, что мы могли видеть, они преследовали конкретного человека», - говорит Чиен.

В правительственном сообщении в четверг официальные лица заявили, что российская группировка снова нацелена на авиационные системы. Цели не названы, но предполагается, что одним из них мог быть аэропорт в Колумбусе, штат Огайо.

В предыдущем предупреждении национальной безопасности об этой группе официальные лица заявили, что она «нацелена на небольшие сети с низким уровнем безопасности, чтобы получить доступ и перейти к сетям крупных владельцев ценных активов в энергетическом секторе».

Исследователи безопасности предупредили, что поток атак на государственные и местные системы США может отражать траекторию этих атак: российские хакеры используют свои точки опоры в сетях, казалось бы, случайных жертв, чтобы добывать более интересные цели ближе к выборам 3 ноября. Это делается для того, чтобы предпринять шаги, такие как отключение баз данных, которые проверяют подписи избирателей на отправляемых по почте бюллетенях, или, учитывая их особый опыт, отключение питания ключевых участков.

Некоторые эксперты по безопасности полагают, что Россия, возможно, хеджирует свои ставки, поручив самым скрытным хакерам ФСБ атаковать государственные и местные системы.

Если, например, Путин считает, что президент Трамп будет переизбран, и хочет наладить лучшие отношения с Соединенными Штатами, он может захотеть ограничить степень вмешательства России.

Аналогичным образом, по мнению экспертов, если будет избран бывший вице-президент Джозеф Байден-младший, кандидат от Демократической партии, Россия может попытаться использовать свои позиции в системе, чтобы ослабить или делегитимизировать результаты выборов.

По материалам: NYtimes