Украинская компания "Прикарпатьеоблэнерго" 23 декабря сообщила об отключении электроэнергии в Ивано-Франковске и еще части Прикарпатья, причиной аварии назвали вмешательство посторонних лиц в работу телемеханики. СБУ обвинила в атаке российские спецслужбы. В США изучали эту хакерскую атаку. По данным американского журнала Wired, ко взлому готовились не менее полугода.
По данным издания, нападение обнаружили, когда оператор одного из центров управления подстанциями заметил, как курсор на его мониторе дернулся, хотя он не шевелил мышкой. Курсор передвинулся в сторону переключателя, отвечающего за рубильник на одной из подстанций, и дернул его. Оператор попытался управлять мышью, но курсор его не слушался. Оператора выбросило из системы управления подстанциями.
Как рассказал журналу специалист по безопасности Роберт Ли компании Dragos Security, ко взлому хакеры готовились не менее полугода. Сначала они внедрили на компьютерах программу Blackenergy 3. Для этого пользователям сети отправляли фишинговые письма (вид интернет-мошенничества, с помощью которого злоумышленники получают доступ к личным данным, в частности, логинам и паролям. – "ГОРДОН") с файлами Microsoft Word, которые при открытии предлагали установить макрос. Тот, в свою очередь, вызывал вредоносную программу.
По данным Wired, украинская защита была лучше, чем в компаниях США, управляющих электросетью. Тем не менее хакерам удалось получить данные пользователей для подключения к системе управления подстанциями через VPN, и они смогли подключиться под видом обычных пользователей.
Журнал сообщает, что на изучение устройства сети распределительных центров и ее связи с системой управления подстанций у хакеров ушло несколько месяцев. За это время они также написали новую прошивку для конвертеров на подстанциях, которые получают сигнал через интернет и передают его рубильникам. По словам экспертов, это был первый взлом, когда перепрошивалось оборудование.
В начале атаки хакеры отключили источники бесперебойного питания у двух из трех распределительных центров, в сеть которых они получили доступ. После этого они запустили гигантский поток звонков в колл-центр "Прикарпатьеоблэнерго", чтобы жители не могли сообщить об отключении энергии, говорится в статье.
Одновременно злоумышленники отключили 30 подстанций и перепрошили там конвертеры таким образом, что операторы перестали видеть их состояние удаленно. Переключить рубильник стало возможно только физически. Кроме того, на компьютерах операторов хакеры запустили программу, которая сделала невозможной перезагрузку. Из-за этого операторы остались без компьютеров и без возможности включить рубильники удаленно, уточняет журнал.
Свет восстановили через шесть часов. До сих пор рубильники на подстанциях невозможно переключить удаленно, только физически. Энергетикам придется заменить конвертеры, испорченные хакерами. Wired отмечает, что в США последствия такой атаки были бы куда серьезнее, так как там на подстанциях рубильники нельзя переключить вручную.
Украинские власти считают, что за атакой стоит Россия. По данным Reuters программу Blackenergy ранее использовали российские хакеры. В пользу того, что следы ведут в Россию, говорит время отключения энергии: это произошло вскоре после того, как украинские активисты обесточили Крым, говорится в статье.
Тем не менее, специалисты, опрошенные Wired, не смогли точно сказать, кто стоит за атакой. Они считают, что хакеры могли взломать украинскую энергосистему, а потом продать свои наработки России.
Wired предполагает, что обесточивание Ивано-Франковской области могло быть связано с планами Украины национализировать энергоактивы, принадлежащие российскому олигарху, связанному с президентом РФ Владимиром Путиным, однако издание не называет его имя.
Одной из крупнейших в Украине электроэнергетических групп является VS Energy, ей принадлежит восемь предприятий облэнерго. Компания принадлежит российским бизнесменам Евгению Гинеру, Михаилу Воеводину и Александру Бабакову.