Третий год подряд перед встречей Владимира Путина и Дональда Трампа западные СМИ выходят с громкими заголовками об угрозе хакеров. Но если раньше писали, что российские киберпреступники угрожают США блэкаутом, то в этом году ситуация прямо противоположная: журналисты утверждают, что американцы взломали энергосети России.
Сорвать встречу любой ценой
Два года назад за неделю до встречи Путина и Трампа на саммите G-20 в Гамбурге агентство Bloomberg сообщило, что «русские хакеры» планируют атаковать американские АЭС. Журналисты ссылались на источники в Белом доме, якобы установившие причастность Москвы к попыткам получить контроль над АЭС Wolf Creek в штате Канзас. В статье подчеркивалось, что кибератаки на критически важную инфраструктуру — а это электростанции, АЭС, больницы, школы, транспорт — напрямую угрожают национальной безопасности. Доказательств причастности России к предполагаемым кибервзломам ни источники, ни журналисты не приводили, но призывали власти к жесткому ответу.
В прошлом году опробованную схему повторили: перед российско-американским саммитом в Хельсинки издание The Wall Street Journal предупредило о возможном блэкауте. Информаторами снова выступили источники в администрации президента. Они сообщили, что злоумышленники проникли в компьютерные сети ТЭС и ГЭС и могут оставить без света всю страну. Доказательств опять не предоставили, но сразу назначали виновных: «За атаками стоят русские». Более того, из публикации следовало, что все инструкции хакеры получают напрямую из Кремля. Лейтмотивом в СМИ звучал вопрос: зачем Трампу говорить с Путиным, если Москва так себя ведет?
В этом году схему модифицировали: в преддверии саммита G-20 в Осаке, где может состояться двусторонняя встреча президентов России и США, газета The New York Times заявила, что американцы взломали компьютерные системы российских электростанций. Источники издания — опять сотрудники администрации — назвали и организаторов операции: это не хакеры-одиночки, а киберкомандование вооруженных сил США. Кроме электростанций, кибервзломам подверглись и другие объекты российской критически важной инфраструктуры. Собеседники издания уточнили, что атаки не преследовали цель устроить в России блэкаут.
«Взлом уязвимых сетей России призван предупредить Кремль и предотвратить возможное вмешательство в предстоящие в 2020 году президентские выборы», — говорится в публикации NYT.
Трамп не в курсе
Но сенсацию вызвала не столько опубликованная информация, сколько неосведомленность президента Трампа. Источники пояснили, что взломы компьютерных сетей России — часть новой стратегии американского военного командования, а президента намеренно не ввели в курс дела. Военные опасались, что тот ненароком проболтается об этом иностранным делегациям.
Пока американская общественность удивлялась, что Трамп не знает, какие операции за его спиной проводят военные, последовала и реакция самого президента. Он расценил все это как предательство.
«The New York Times теряет популярность и в погоне за ней сообщает, что США усилили кибератаки против России. Это акт виртуального предательства, и это неправда! Коррумпированные медиаресурсы готовы на все! Они трусы и враги народа!» — Трамп в твиттере не сдерживал эмоций.
Повлияет ли этот скандал на подготовку к встрече Трампа и Путина и не сорвется ли все в последний момент, пока непонятно. Опыт предыдущих лет показывает, что провокационные публикации ожидаемого эффекта не производили.
Блэкаут по-украински
Хакеры по всему миру не оставляют попыток взломать информационные системы ГЭС, АЭС, школ, больниц, аэропортов. Одна из таких атак на Украине в 2015 году закончилась блэкаутом. Хакеры группировки BlackEnergy запустили в компьютерные сети энергетической компании «Прикарпатьеоблэнерго» троянскую вирусную программу, которая за несколько недель вывела из строя 30 распределительных подстанций. В итоге без света остались почти 300 тысяч человек. На восстановление ушло больше месяца.
«Посмотрев на наши компьютеры, мы увидели, что курсоры мышек сами хаотично двигаются по разным подстанциям. Они выключали линии, трансформаторы», — рассказывали сотрудники «Прикарпатьеоблэнерго».
Расследование так и не выявило виновных. Не удалось определить и страну, откуда велись хакерские атаки. Вскоре BlackEnergy снова напомнила о себе. При помощи таких вирусов и специальных программ, как Industroyer или Crash Override, они не раз блокировали компьютерные сети в государственных учреждениях, телефонную связь и интернет-соединения по всей Украине. Самое масштабное отключение компьютеров на объектах критически важной инфраструктуры произошло в 2017 году.
Виртуальный червь угрожает АЭС
В 2010 году компьютерные системы, контролирующие иранский завод по обогащению урана в Натане, поразил вирус Stuxnet. В результате из пяти тысяч центрифуг из строя вышли около тысячи. Иранская ядерная программа откатилась назад на пару лет.
Как долго червь находился в сетях, до сих пор непонятно. Но то, что он собирал информацию об атомных мощностях и отправлял ее на определенные интернет-адреса, иранцы установили почти сразу. Определили и источник заражения — одна-единственная не проверенная на вирусы флешка.
После предварительного расследования власти обвинили в диверсии США и Израиль. Отмечалось также, что техническое содействие кибератаке оказала немецкая компания Siemens — поставщик информационной системы SCADA, через которую и был запущен Stuxnet. Ни США, ни Израиль вину не признали.
Через несколько лет на Ближнем Востоке появились вирусы DUQU и Flame. Как и Stuxnet, их запустили в промышленные объекты для сбора секретной информации. Эти черви делали скриншоты экранов компьютеров, записывали аудио, скрытно передавая данные на командно-контрольный сервер. Последствия не были столь разрушительными, как от Stuxnet, благодаря тому, что специалисты вовремя обнаружили эти вирусы и обезвредили их.
Доступные инструменты
Кибератакам подвергались и больницы. В январе 2016 года хакеры взломали информационные сети Королевского госпиталя в канадском Мельбурне. Работа всего медицинского учреждения была надолго парализована. Позже выяснилось, что вирус проник через устаревший софт, установленный на медицинское оборудование, скорее всего — на магнитно-резонансные томографы, устройства для ЭКГ и УЗИ.
Не прошло и месяца, как в Голливудском пресвитерианском медицинском центре вирус-вымогатель заблокировал все информационные системы учреждения, потребовав за доступ к ним 3,6 миллиона долларов.
В мае того же 2016-го группировка Anonymous парализовала работу 33 турецких больниц и похитила личные данные пациентов.
По мнению экспертов, большинство хакерских атак происходит из-за того, что на критически важных объектах инфраструктуры не соблюдаются элементарные правила безопасности. Причем многие из этих предприятий не переведены на цифровые системы управления.
Специалисты указывают на то, что можно повредить и системам, не подключенным к интернету: для этого достаточно заразить вирусом сервер сборки или обновление ПО. Еще одна проблема — доступность в Сети практически всех инструментов взлома. А в последние годы появился и новый инструмент — геополитика. Но тут технари бессильны.