Официальные представители США утверждают, что государственные хакеры России стояли за недавними кибервторжениями в бизнес-системы ядерной энергетики США и других энергетических компаний, похоже, с целью проникнуть в их компьютерную сеть.
Должностные лица США заявили, что нет никаких доказательств того, что хакеры взломали или нарушили работу основных систем, контролирующих операции на предприятиях, поэтому общественность не подвергалась риску. Скорее, хакеры вторглись в системы, связанные с деловыми и административными задачами, такими как управление персоналом.
В конце июня ФБР и Департамент внутренней безопасности направили совместное предупреждение компаниям энергетического сектора о том, что «продвинутые, постоянные участники угрозы» — выражение, используемое для определения иностранных хакеров — крадут информацию о входе в сеть и пароль, чтобы получить плацдарм для проникновения в сеть компаний. Россия, при этом, напрямую не упоминалась.
Отмечается, что это первая попытка проникновения российских государственных хакеров в сети американских ядерных компаний. Так заявили представители нескольких штатов США и промышленности. И подобное проникновение может быть признаком того, что Россия пытается заложить основу для более серьезных хакерских атак.
По словам двух официальных лиц, Агентство Национальной Безопасности заметило специфическую деятельность российского спец.агентства, ФСБ, направленную на энергетические компании. При этом АНБ отказалось от дальнейших комментариев. Ранее уже сообщалось о попытках проникновения, но должностные лица США ранее не связывали подобную деятельность с Россией.
В совместном предупреждении ФБР и ДВБ, впервые опубликованном Reuters 30 июня, говорится, что хакеры нацеливаются на эту отрасль, по крайней мере, с мая. Несколькими днями ранее в публикации E & E News сообщалось, что власти США расследуют кибервторжения, затрагивающие несколько объектов ядерной энергетики.
По заявлению, сделанному гос.секретарем, Рексом Тиллерсоном в общении с репортёрами, президент Трамп и президент России Владимир Путин в пятницу согласились о том, что злонамеренная деятельность является основным «вызовом со стороны киберугроз» и «достигли согласия относительно создания исследовательской структуры» для того, чтобы лучше справляться с подобными угрозами, особенно с теми, которые наносят ущерб критической инфраструктуре, такой как ядерная энергия. В субботу Путин сказал журналистам, что они с Трампом договорились о создании рабочей группы «для совместного контроля безопасности в киберпространстве».
Российское правительство, которое является главным противником Соединенных Штатов в киберпространстве, нацелилось на инфраструктуру США в ходе широкомасштабной кампании в 2014 году.
Москва продемонстрировала, какой ущерб она может принести другим странам, когда дело доходит до энергетических систем.
В декабре 2015 года российские хакеры взломали электрическую систему Украины, погрузив в темноту 225 000 человек. В декабре прошлого года они протестировали новое кибероружие в Киеве, столице Украины, способное разрушить энергетические сети по всему миру.
Недавняя деятельность соответствует выводам развед.сообщества США о том, что Кремль стоял за кампанией по вмешательству в выборы в 2016 году путем взлома и информационной войны. Путин отрицал подобное вмешательство.
Созданная рабочая группа также рассмотрит вопрос о том, «как предотвратить вмешательство во внутренние дела иностранных государств, прежде всего в России и США», — сказал Путин.
Должностные лица США подчеркнули, что последние вторжения не оказали влияния на системы, контролирующие производство ядерной или электрической энергии.
«Нет никаких свидетельств об угрозе общественной безопасности, поскольку любое потенциальное воздействие, по-видимому, ограничивается лишь административными и деловыми сетями», — говорится в совместном заявлении, сделанном в пятницу Департаментом Национальной Безопасности и ФБР.
Одна из компаний, переживших вторжение хакеров, Wolf Creek Nuclear Operating Corp. в Канзасе, опубликовала заявление, в котором говорилось, что «на Wolf Creek не было оказано никакого оперативного воздействия», благодаря тому, что операционные компьютерные системы предприятия полностью отделены от корпоративных. Об этом сообщила пресс-секретарь Дженни Хагеман. «Системы безопасности и контроля работы ядерного реактора и других жизненно важных компонентов предприятия не связаны с бизнес-сетями или интернетом», — сказала она.
«В целом, около 100 коммерческих атомных электростанций страны находятся в относительно более безопасном положении, чем другие энергетические установки, поскольку они изолировали свои системы управления от открытого доступа в интернет», — сказал Билл Гросс, ответственный за готовность к инцидентам в Институте ядерной энергии.
По словам официальных представителей США, менее десятка энергетических компаний, в том числе несколько атомных энергетических компаний, пострадали от недавней российской киберразведывательной кампании.
Эксперты утверждают, что, хотя ядерные энергетические компании защищены достаточно хорошо, электростанции защищены гораздо в меньшей степени.
«Это правдоподобный сценарий, согласно которому злоумышленники, проникшие в бизнес сети, могут далее проникнуть и в промышленную сеть», — говорит Роберт М. Ли, основатель и главный исполнительный директор компании Dragos, которая фокусируется на промышленных системах управления.
В прошлом месяце компания Dragos опубликовала отчет, в котором проанализировано новое российское кибероружие, которое может нарушить работу электрических сетей. Известно, что вредоносная программа CrashOverride затронула только одну энергосистему — в Украине в декабре. «При наличии модификаций она может быть использована против электрических сетей США», — пришли к выводу специалисты компании Dragos.
Хотя нынешние действия не проявляют – по крайней мере, пока — никаких признаков нарушения обычной работы ядерных компаний, все же неясно, каков истинный мотив противника, заявляют официальные представители.
В своем предупреждении, ДВБ и ФБР заявили, что хакеры используют электронные письма, чтобы подловить своих жертв. В этом случае хакеры часто использовали приложения Microsoft Word, которые выдавались за резюме от соискателей работы. Злоумышленники стремятся получить данные о входе в систему и пароль для того, чтобы проникнуть в сеть.
Галина Антова, соучредитель фирмы Claroty, сказала: «Нет необходимости в шумихе и истерии, но это проблема, которую следует воспринимать всерьез из-за состояния промышленных сетей».
По словам официальных лиц, нынешняя киберкампания, получившая название Palmetto Fusion, носит предупредительный характер. «Она сигнализирует о возможности проникнуть в систему. Потенциальное присутствие в системе может быть в будущем использовано для эффективной атаки с разрушительными последствиями».