Ущерб от атаки на киевскую электростанцию в 2016 году мог быть намного больше

Злоумышленники из киберпреступной группировки Electrum вызвавшие перебои в подаче электроэнергии на Украине в 2016 году, возможно, надеялись нанести гораздо больший ущерб. К такому мнению пришли исследователи из ИБ-компании Dragos.

Преступники использовали вредоносное ПО под названием Crashoverride (Industroyer) для атаки на промышленные системы управления (ICS) на электростанциях на Украине. 18 декабря 2016 года в результате кибератаки произошел сбой в автоматике управления, который нарушил энергоподачу в северную часть правобережья Киева и прилегающие районы Киевской области. Подачу энергии возобновили примерно через час после инцидента.

По словам специалиста Джо Словик (Joe Slowik), злоумышленники могли вызвать более масштабные отключения и нанести огромный ущерб, если бы не ошибки в коде вредоноса. Вредоносное ПО содержало модуль, предназначенный для того, чтобы злоумышленники могли контролировать автоматические выключатели и прерывать подачу электроэнергии, манипулируя устройствами связи с объектом. Также внутри был модуль, который удалял конфигурации и другие файлы, затрудняя восстановление системы.

В ходе анализа исследователи также обнаружили инструмент, эксплуатирующий уязвимость (CVE-2015-5374) в защитных реле Siemens SIPROTEC для вызова отказа в обслуживании системы. Инструмент должен был отключить реле, которое обеспечивает защиту от перегрузки после восстановления питания. Это могло привести к скачкам напряжения в передающем оборудовании, нанести физические повреждения и отключить системы как минимум на несколько месяцев. В данном случае бы понадобился ремонт и замена устройств.

Однако злоумышленникам не удалось отключить защитные реле из-за некоторых ошибок в коде инструмента. Более того, хакеры попытались нарушить работу сотен систем управления в целевой организации, но не смогли скомпрометировать столько, сколько планировали. В результате атака получилась намного слабее, чем они ожидали.

Даже если бы DoS-атаки на реле SIPROTEC были бы успешными, неясно, смогла бы Electrum достичь своей предполагаемой цели — причинить физический ущерб. Промышленные среды могут иметь различные системы и механизмы защиты, которые смягчили бы атаку, полагает Словик.

Компания Positive Technologies проводит исследование о том, сколько времени тратят ИБ-специалисты на работу в SIEM-системах и предлагает анонимно ответить на несколько вопросов https://surveys.hotjar.com/s?siteId=1095096&surveyId=140403 .