Російські хакери із Sandworm та їхня «діяльність» в Україні

(©Shutterstock)

Американська компанія iSight Partners стверджує, що російська група хакерів, відома як Sandworm, причетна до відключення електроенергії у Західній Україні 23 грудня

Російська група хакерів, відома як Sandworm, причетна до відключення електроенергії у Західній Україні наприкінці грудня 2015 року. На цьому наполягають американські дослідники з iSight Partners. Українські фахівці з кібербезпеки кажуть, що знайти замовників і виконавців кібератаки буде вкрай складно та й стовідсоткових доказів причетності до неї російських хакерів чи самої Росії наразі немає, хоча вони й визнають, що активність хакерів із Sandworm відчувається в Україні впродовж кількох років.

Американська компанія iSight Partners, яка спеціалізується на питаннях кіберрозвідки, стверджує, що російська група хакерів, відома як Sandworm, причетна до безпрецедентного відключення електроенергії у Західній Україні 23 грудня 2015 року. Тоді українська компанія «Прикарпаттяобленерго» повідомила про вимкнення електроенергії, що вразило Івано-Франківськ і ще частину Прикарпаття (Яремчанська зона та Городенківський, Калуський, Долинський, Косівський, Тисменицький, Надвірнянський райони області). Причиною аварії назвали втручання сторонніх осіб у роботу телемеханіки – автоматичної системи контролю та управління енергообладнанням. Крім того, компанія повідомила і про технічні збої в роботі свого call-центру.

Служба безпеки України 28 грудня звинуватила в цьому Росію. СБУ повідомила, що йшлося про кілька українських енергокомпаній. Незалежних повідомлень про причетність Москви до хакерської атаки дотепер не було.

Компанія iSight та інші компанії з кібербезпеки схиляються до того, що втручання в роботу об’єктів енергетики здійснено угрупованням під умовною назвою Sandworm із використанням шкідливого програмного забезпечення BlackEnergy2.

Микола Коваль, генеральний директор CyS Centrum LLC (ООО «Сайбер Сек’юріті Центрум») каже, що немає стовідсоткових доказів того, що до відімкнення електрики на Прикарпатті (та в інших регіонах України) причетні саме російські хакери з угруповання Sandworm, чи сама Росія.

«Ми є технічними фахівцями і такі твердження робимо лише тоді, коли маємо докази. Наразі, причетність Російської Федерації чи будь-якої іншої країни до здійснення цих атак не встановлено. Звісно, щось може здаватись очевидним, але цього не достатньо, щоб висунути звинувачення. Так, я чув про угруповання Sandworm – цю назву придумали іноземні компанії, які опікуються APT-загрозами. Вони роблять атрибуцію до Російської Федерації. Можливо, воно так і є, але, ще раз повторюсь, я, як технічний фахівець, таких доказів не маю. Ми добре знаємо про цю активність і відслідковуємо її не один рік. Це правда, що в Україні досить велика кількість важливих об’єктів уражена шкідливим програмним забезпеченням BlackEnergy2», – зазначив Микола Коваль.

Він також зауважив, що шкідлива програма BlackEnergy2, варіанти якої є для багатьох платформ, маючи модульну структуру, дійсно є основним інструментом зловмисників із угруповання Sandworm. Із самого початку BlackEnergy був DDoS-ботом, тобто використовувався для здійснення розподілених атак на відмову в обслуговуванні (DDoS) шляхом вичерпання обчислювальних ресурсів атакованого об’єкту. Але з того часу програмне забезпечення було докорінно змінено; більш детальна інформація з приводу еволюції BlackEnergy може бути знайдена в дослідженнях антивірусних компаній.

З метою інформування українських громадян з приводу цієї атаки, а також для підвищення загального рівня обізнаності з кібернетичних загроз, компанією CyS Centrum було підготовлено оглядовий звіт, в якому відображені етапи, порядок реалізації та індикатори ком’ютерних атак, здійснюваних із застосування шкідливої програми BlackEnergy2. Фахівці зауважили, що після публікації цієї статті щонайменше в трьох організаціях було підтверджено ураження BlackEnergy2. У разі виявлення ознак присутності шкідливої програми в локальних мережах і/або, з метою отримання допомоги щодо її виявлення/ліквідації, CyS Centrum рекомендує звертатися за вказаними на веб-сайті компанії контактними даними.

«Через мотивацію можна сказати, що це Росія»

Гліб Пахаренко, експерт з питань кібербезпеки, директор по роботі з учасниками громадської організації «ІСАКА Київ», Київського відділення міжнародної асоціації аудиту інформаційних технологій переконує, що знайти автора кібератаки майже неможливо, а тим більше його покарати.

Точно сказати, хто, буває важко. Дослідники кажуть, що це – російський вірус
Гліб Пахаренко

«З якоюсь імовірністю можна сказати, що вони (кібератаки) розроблені в якійсь країні, а саме якоюсь групою цієї країни, до того ж, це можуть бути інтернаціональні команди, коли люди просто, як найманці, пишуть окремі компоненти цих вірусів, а потім вони просто збираються в окремому місці. А саму атаку, тобто оperation цього вірусу, використання, можуть робити зовсім інші люди – ще треті. І плоди їхньої праці ще четверті будуть використовувати. Це все дуже розподілено і точно сказати, хто, буває важко. Але справді дослідники кажуть, що це – російський вірус», – розповідає Гліб Пахаренко.

За його словами, в Росії вже впродовж 5-7 років залучають талановитих молодих спеціалістів для розробки вірусів. Він пояснив, як вираховують російських хакерів.

Через мотивацію можна сказати, що це Росія. ФСБ весь час всіх дослідників вербує
Гліб Пахаренко

«Те, що були задіяні росіяни, як знаходять у вірусах? Залишилась якась назва російська, кирилицею – значить ця людина думає російською мовою. А де вона мешкає? І в Україні може сидіти, писати шматок, цей модуль. Потім час, коли цей модуль створюється, співпадає з робочим московським часом. Коли експерти вказують на якусь країну, що кібератака була розроблена у якомусь місці, вони пояснюють, чому вони так думають, подібні ознаки наводять, щоб можна було сказати, що з якоюсь імовірністю воно було там. Через мотивацію можна сказати, що це Росія. По-друге, там є багато програм. Там ФСБ весь час всіх дослідників вербує, вони платять їм, шукають персональний підхід до кожного, комусь гроші платять, комусь славу обіцяють, комусь патріотизм, комусь надзвичайно цікаві проекти, які вони не можуть зробити. І вони вже років 5-7 активно залучають молодих талановитих людей до розробки вірусів. Там різні агенції є, для себе пишуть і використовують для своїх потреб. Але вказати, яка точно агенція, чи ГРУ чи ФСБ, чи міліція, важко», – сказав Гліб Пахаренко. Він дослідив кібератаки в Україні під час Революції гідності і втручання Росії на територію Україну.

Sandworm в Україні помітили в 2014-му

Тим часом Микола Коваль розповів Радіо Свобода, що вперше діяльність угруповання Sandworm в Україні помітили навесні в 2014 року, коли хакери атакували низку підприємств, що належали до сфери залізничних перевезень.

За кордоном діяльність цього угруповання помітили ще у 2009 році. Про це написало інтернет-видання Wired. Зокрема, за їхніми даними кібершпигуни Sandworm із Росії проникали впродовж усього цього часу в комп’ютерні мережі енергетичних компаній, оборонних організацій і навіть в мережі НАТО і Євросоюзу. Такого висновку дійшли фахівці вже згаданої американської компанії iSight Partners. Вони тоді заявляли, що для заманювання жертв використовували файли, які могли б зацікавити «недругів Росії», а для кодування використовували численні посилання на романи із серії «Хроніки Дюни».

Промислові об’єкти зазнають найрізноманітніших атак, продовжує Гліб Пахаренко. За його словами, саме росіяни добре знаються на захисті промислових об’єктів.

«Наприклад, можуть знайти якийсь сенсор, який винесений далеко за об’єкт, наприклад, лічильник струму, лічильник газу. Він просто лежить поза периметром, який охороняється, і він з’єднаний, наприклад, одним кабелем, по якому просто іде струм і все одно можна модулюючий цей сигнал (навіть росіяни це показували, як вони це робили, бо вони активно займаються безпекою промислових об’єктів) зламати через цей сенсор, просто окремий провід долучить у цю мережу всередині компанії. І атака, наприклад, на модеми, тобто цей сенсор підключений модемом через станцію, росіяни можуть свою якусь поруч поставити станцію, перехопити цей сигнал, це взагалі операторів вони контролюють, і так це зробити. Ламають через модем, котрим сенсори з’єднуються з інтернетом, посилають сигнали, а потім через цей сенсор вже залазять всередину мережі. Купа є варіантів атаки і потрібна багаторівнева система захисту, яка враховує ці ризики», – сказав він.

Як убезпечитися?

Гліб Пахаренко говорить про необхідність реформи галузі захисту інформації в Україні. Він разом з іншими членами громадської організації «ІСАКА Київ» детально дослідив безпеку індустріальних систем і має свої рекомендації. Фахівці з ІТ-безпеки «ІСАКА Київ» наразі співпрацюють з урядом і є членами Громадської ради при Держспецзв’язку, який офіційно відповідає за безпеку інформації.

Микола Коваль наполягає, щоб убезпечитися від подальших кібератак, потрібно спершу звернути увагу на цю загрозу. І користуючись, зокрема, дослідженнями CyS Centrum, ESET тощо, перевірити свої мережі на ознаки ураження, чи могли вони бути.

Кіберзлочинцям можуть, зокрема, бути цікаві, як йдеться у статті CyS Centrum, державні установи (в тому числі обласні державні адміністрації), державні банки, об’єкти критичної інформаційної інфраструктури, наземний, підземний і водний транспорт, архіви, телерадіокомпанії, телеканали, підприємства газової та нафтової галузі тощо.

Чи причетні російські урядові хакери до кібератак на українські електромережі в грудні 2015 року, розслідують, зокрема, й фахівці зі Сполучених Штатів: Центральне розвідувальне управління, Агентство національної безпеки, Департамент внутрішньої безпеки США.

Крім того Міністерство енергетики та вугільної промисловості України створило робочу комісію для розслідування інциденту. Очікують, що результати роботи комісії будуть оприлюднені після 18 січня. Серед іншого, планують перевірити надійність програмного забезпечення компаній.

На цю ж тему:

05.01.2016
Відімкнення електрики у Прикарпатті мало бути «різдвяним подарунком» від хакерів – експерти

Проти енергетиків використали складний продукт, створений спеціально для враження українських енергетичних та медійних компаній далі