Министерство юстиции США обнародовало обвинительные заключения против трех россиян, которые, как утверждается, несут ответственность за длительную и постоянную кампанию по выявлению и проникновению в сети критически важной инфраструктуры в Соединенных Штатах и во всем мире.
В обвинениях утверждается, что Павел Александрович Акулов, Михаил Михайлович Гаврилов и Марат Валерьевич Тюков были частью оперативного подразделения российской разведки, которое эксперты по безопасности окрестили «Стрекоза», «Берсеркский медведь», «Энергичный медведь» и «Крадущийся йети».
Подразделение является частью организации под названием Центр 16 в Федеральной службе безопасности России (ФСБ) — агентстве-преемнике советского КГБ.
Предполагаемая операция проходила в два этапа.
Первый включал в себя развертывание пользовательского вредоносного имплантата, известного экспертам по кибербезопасности как Havex, который заразил значительное количество организаций в глобальном энергетическом секторе.
Второй этап включал в себя целенаправленные компрометации предприятий энергетического сектора и физических лиц и инженеров, которые работали с промышленными системами управления (АСУ ТП) и системами диспетчерского управления и сбора данных (SCADA).
В совокупности эти вторжения могли оказать разрушительное воздействие на доставку энергии во всем мире.
Первый этап растянулся по крайней мере между 2012 и 2014 годами и привел к загрузке Havex на более чем 17 000 уникальных устройств в Соединенных Штатах и других странах.
Аналитик разведки ФБР, который работал над этим делом, сказал, что группа использовала комбинацию методов для развертывания Havex, в том числе широкие усилия по созданию широкой сети в глобальном энергетическом секторе, а также хорошо изученные и целенаправленные методы для охвата конкретных компаний и частных лиц.
Среди наиболее тревожных методов, используемых с Havex, был компрометация заговором компании, которая производит оборудование и программное обеспечение, используемое системами ICS / SCADA.
Это механизмы контроля и безопасности, которые существуют на объектах по производству энергии и в других операционных средах.
По соображениям безопасности это, как правило, закрытые системы. Но поскольку группа получила доступ к системам компании, которая предоставляет компонент этих систем, они смогли скрыть свое вредоносное ПО в обновлениях программного обеспечения, предлагаемых компанией — метод, известный как атака на цепочку поставок.
Независимо от того, как было развернуто вредоносное ПО Havex, аналитик сказал, что оно может быть адаптировано для различных применений, включая сбор учетных данных и сканирование человеко-машинных интерфейсов.
«Это означает, что человек может взаимодействовать с системой, чтобы сказать ей, что делать», — сказал он.
«Если этот интерфейс подключен к сети, у вас есть возможность для удаленного субъекта отправлять инструкции в критически важную сеть».
В 2014 году группа прекратила использование Havex после того, как он был публично разоблачен, и они начали развивать операцию.
Второй этап включал целенаправленные вторжения компаний энергетического сектора, включая вторжение в 2017 году в деловую сеть атомной электростанции в Канзасе.
Эта бизнес-сеть не была напрямую подключена к каким-либо устройствам ICS/SCADA.
Специальный агент ФБР, который расследовал это дело, сказал, что они не нашли никаких доказательств того, что хакеры забрали какие-либо конфиденциальные данные, представляющие разведывательную ценность, и, похоже, целью было просто получить и сохранить доступ.
«Это означает, что позже они могли бы использовать этот доступ, чтобы повлиять или повредить энергетическую сеть или другие критически важные операции в Соединенных Штатах», — пояснил агент.
Вторжение в Канзас в 2017 году было частью многосторонней атаки. «Когда мы убрали луковицу, мы обнаружили, что это была гораздо более масштабная кампания, нацеленная на глобальный энергетический сектор, в которой приняли участие около 500 компаний по всему миру», — сказал агент.
«Мы считаем, что они нацелились на почти 3 300 человек в ходе многомесячной кампании по целевому фишингу».
В рамках этого этапа группа также обвиняется в нарушении сети американской строительной компании.
Доступ к этой сети позволил группе отправлять законно выглядящие электронные письма с резюме человека, утверждающего, что он обладает отраслевыми навыками.
Резюме содержало вредоносный код, который жертвы могли непреднамеренно загрузить при просмотре документа.Группа также скомпрометировала многочисленные веб-сайты, в том числе отраслевые публикации, читаемые инженерами энергетического сектора.
Эти сайты стали тем, что эксперты по кибербезопасности называют водопоями, где сам сайт засеян вредоносным кодом, который посетители могут непреднамеренно загрузить.
Следователи пришли к пониманию, что усилия группы в 2017 году были продолжением деятельности, восходящей к использованию Havex за несколько лет до этого, демонстрируя согласованные усилия России на протяжении многих лет по получению доступа к критической инфраструктуре США.
Эта группа все еще действует, и она продолжает развиваться.
Аналитик сказал, что некоторые из наиболее тревожных элементов в этом случае были признаками того, что по мере развития усилий группы они искали способы повторного доступа к этим системам, не оставляя обнаруживаемых доказательств.
«По сути, они хотели украсть ключи от двери, поэтому им больше не нужно было втыкать что-то в дверной косяк или оставлять что-то еще», — сказал он.
«Это более скрытый способ поддержания долгосрочного доступа и четкое указание на то, что намерение состояло в том, чтобы иметь этот доступ, если он им понадобится в будущем».
Все это подчеркивает, почему действия правоохранительных органов так важны.
Называя имена этих людей, мы ограничиваем их способность выезжать за пределы России, ограничиваем их будущую полезность для их работодателя в разведывательной службе и ограничиваем будущие варианты трудоустройства в законопослушных организациях частного сектора.
Все это также может привести к тому, что другие российские граждане с кибер-навыками выберут более респектабельный путь трудоустройства, который не ограничивает их будущие возможности.
Это также оказывает больше внимания и давления в международном сообществе на национальные государства и киберпреступников, которых они спонсируют, поскольку разоблачение деятельности России против энергетических секторов и критической инфраструктуры стран во всем мире показывает готовность и намерение России участвовать в подрывной, дестабилизирующей и часто контрнормативной деятельности, даже в мирное время.
Этот случай также является напоминанием о том, что кибербезопасность должна быть приоритетом для каждой организации, даже для тех, кто не работает с конфиденциальными материалами или критически важной инфраструктурой.
«В этом случае и во многих других случаях компании-жертвы, которые обеспечивают более легкую точку входа, могут предоставить преступникам путь к более высоким, более критически важным целям», — сказал агент. «Кибербезопасность просто лежит в основе нашей национальной безопасности».
Министерство юстиции также предъявило обвинение сотруднику исследовательской организации в Министерстве обороны России по обвинению в том, что он проник и скомпрометировал критически важное оборудование безопасности на энергетическом объекте в идентифицированном иностранном государстве и, в рамках того же заговора, пытался сделать то же самое с оборудованием аналогичных объектов в Соединенных Штатах.
Евгения Гладких обвиняют в использовании вредоносного ПО Triton для получения контроля над системами, используемыми для обеспечения безопасной работы иностранного газоперерабатывающего завода.
Заговорщики разработали вредоносное ПО, чтобы, среди прочего, отключить контроль безопасности на физическом оборудовании, не предупреждая сотрудников, контролирующих это оборудование. Вредоносное ПО привело к тому, что система безопасности дважды ненадолго отключилась и могла вызвать взрыв или выброс токсичного газа, повлияв на усилия завода по извлечению серы и механизмы управления горелкой.
Более поздние попытки Гладкиха проникнуть в американскую компанию, которая управляла аналогичными заводами в Соединенных Штатах, не увенчались успехом.
Специальный агент киберотдела ФБР, который работал над этим делом, сказал, что у ФБР есть несколько важных целей, связанных с этим объявлением.
Во-первых, помочь американской общественности лучше понять сохраняющуюся угрозу со стороны кибер-акторов, поддерживаемых Россией. Отключение средств управления безопасностью на электростанции может не только отключить питание, но и нанести физический ущерб станции, выброс токсичных химических веществ, физические травмы или смерть.
Министерство обороны России, стоящее за «Тритоном», имеет более чем вековую историю разработки передового оружия, как кибернетического, так и физического.
«Мы видели атаки вымогателей и другие вредоносные программы, которые могут закрыть объект», — сказал агент.
«Потенциальное воздействие здесь более опасно. Это может фактически позволить актеру обмануть операторов завода, заставив их думать, что завод функционирует нормально, в то время как актор использует доступ к системе завода для разрушительного воздействия, что имеет последствия для жизни и безопасности человека как на заводе, так и на территориях, которые он обслуживает».
Второй ключевой целью является повышение осведомленности в энергетическом секторе о рисках кибератак.
«Мы видим, что вредоносное ПО разрабатывается специально для этой отрасли», — сказал агент. Вредоносное ПО Triton было создано для нацеливания на промышленные системы управления на этих заводах, которые специально разработаны для поддержки их безопасной работы. «Отрасль должна серьезно отнестись к рискам».
«Простои — это действительно тревожная вещь для этих объектов», — пояснил агент. Это распространенная причина, по которой компании сопротивляются борьбе с растущей киберугрозой. Необходимое время и ресурсы нелегко поглотить любому бизнесу или организации, а для энергетической компании или поставщика критически важных услуг это еще сложнее.
Конечная цель — продолжать накладывать определенные санкции на киберпреступников и национальные государства, которые поддерживают эту деятельность. «Наше намерение состоит в том, чтобы отбить охоту у субъектов, которые совершили или рассматривают возможность совершения подобных кибератак», — сказал агент. «Если они когда-либо хотели участвовать в жизни международного сообщества — через работу, путешествия или иным образом — эти возможности исчезнут».
