Энергообъекты под угрозой
Компания Symantec объявила, что целый ряд энергетических компаний в США, в Европе и как минимум одна компания в Турции стали объектами кибератак. Не менее чем в 20 случаях злоумышленники смогли проникнуть во внутренние сети энергопроизводителей. В нескольких случаях речь идет об эксплуатационном контроле: хакеры смогли получить доступ к средствам управления оборудованием, отвечающим за подачу электроэнергии.
По данным Symantec, за атаками стоит группировка Dragonfly, действующая как минимум с 2011 г. Активность группы возросла после 2015 г.
Характерными особенностями этой группировки является использование общедоступных хакерских и административных инструментов — PowerShell, PsExec, Bitsadmin и другие. Группировка также не использует никаких уязвимостей нулевого дня. По мнению экспертов, такой выбор участники группировки сделали с тем, чтобы затруднить атрибуцию.
В некоторых вредоносных программах, используемых Dragonfly, обнаружены комментарии на русском и французском языках. Очевидно, один из этих языков используется для отвода глаз.
Русский след
Министерство внутренней безопасности США, тем не менее, полагает, что Dragonfly является APT-группировкой, связанной с российскими спецслужбами.
Ранее фирмы FireEye и Dragos заявили, что нашумевшие атаки на украинские энергоркомпании производила некая группировка Sandworm, также считающаяся российской. Эрик Цзянь (Eric Chien), эксперт по безопасности Symantec, со своей стороны, отмечает, что прямых связей между Sandworm и атаками Dragonfly не отмечено, как нет прямых и однозначных указаний на то, что именно Dragonfly занималась взломом офисных сетей ядерной электростанции в Канзасе Palmetto Fusion — этот инцидент случился в июле 2017 г. Американские чиновники позднее заявляли, что за этими атаками стоит именно Россия.
Цзянь, тем не менее, отметил сходство в методах атак на Palmetto Fusion и действиями Dragonfly, однако заявил, что с наибольшим успехом злоумышленники атаковали именно неядерные энергокомпании, чьи сети защищены менее эффективно.
"Есть разница между тем, чтобы быть в одном шаге от возможности совершить саботаж, и действительно обладать такой возможностью... возможностью перевести рубильник, отвечающий за выработку энергии, в другое положение, — отмечает Эрик Цзянь. — Сейчас мы говорим о технических уликах, полученных на месте, которые свидетельствуют, что нечто подобное может случиться в США, и что этому не может помешать ничего, кроме мотивации некоторой действующей стороны". |
