Взлом Департамента водоснабжения и энергетики Лос-Анджелеса в 2018 году занял всего шесть часов. В начале 2021 года взломщики проникли в сотни компьютеров, связанных с системами водоснабжения по всей территории Соединенных Штатов. А в Портленде, штат Орегон, они подключили зараженные компьютеры в энергосистему, обеспечивающую электроэнергией часть Северо-Запада США.
Два из этих случаев — в Лос-Анджелесе и в Портленде были контролируемыми. Но «водная» угроза была реальной, её обнаружила компания Dragos, которая занимается кибербезопасностью.
Все эти три случая указывают на давно известный, но оставленный без внимания факт: цифровая безопасность компьютерных сетей США, управляемых машинами, производящими и распределяющими воду и электроэнергию, является крайне неадекватной, так как не уделяет должного внимания работе операторов системы и регулирующих органов, что создаёт угрозу национальной безопасности.
Андреа Каркано — соучредитель компании Nozomi Networks, которая занимается обеспечением безопасности систем управления, отметил, что: «Если завтра нас ждёт новая мировая война и придётся беспокоиться о защите инфраструктуры от кибератак со стороны России или Китая, то не думаю, что мы находимся там, где хотели бы быть».
Хакеры уже давно угрожают американским информационным системам. Но в последние шесть месяцев они активно атаковали компании, управляющие операционными системами, такие как топливная система компании Colonial Pipeline (Colonial Pipeline — крупнейшая трубопроводная система в США. Она поставляет газ и нефтепродукты с заводов Мексиканского залива на Восточное побережье Америки). Это системы, в которых вода может быть загрязнена, газовая линия может вызвать утечку или подстанция может взорваться.
Угроза существует уже, как минимум, десять лет — но цена вопроса и равнодушие — создают препятствия для действий.
Остается непонятным, почему мелкие хакеры-вымогатели, использующие вредоносное программное обеспечение для получения денежного выкупа за разблокировку зараженных компьютерных систем от небольших университетов, банков и местных органов власти, перешли на уровень энергетических компаний, мясокомбинатов и предприятий коммунального хозяйства. Эксперты подозревают в этом рост конкуренции, увеличение выплат хакерам, а также участие в этом иностранного правительства. И это, наконец, привлекло внимание к проблеме.
Правительство США начало предпринимать небольшие шаги по защите кибербезопасности ещё в 1998 году, когда администрация Клинтона отнесла 14 частных секторов экономики к критически важным, включая: химическую промышленность, оборону, энергетику и финансовые услуги. Это привело к их регулированию в сфере финансов и управления. По словам Роба Ли, основателя компании Dragos, другие отрасли экономики, в том числе, нефтегазовый сектор, медленнее защищали свои компьютеры.
Одна из причин этого — операционное и финансовое бремя приостановки производства и установки нового оборудования.
Большая часть инфраструктуры, в которой работают технологические системы, слишком устарела для сложных инструментов кибербезопасности. Копирование и замена оборудования обходятся дорого, равно, как и перебои в обслуживании. Сетевые администраторы опасаются, что выполнение работы по частям может быть хуже, поскольку это может увеличить уязвимость сети для хакеров, сказал Андреа Каркано из компании Nozomi Networks.
Хотя бюджет администрации Байдена выделил 20 миллиардов долларов на модернизацию энергосистемы страны, но это произошло слишком поздно. Даже в тех случаях, когда компании в недостаточно регулируемых секторах (как, например, нефтегазовая) уделяют приоритетное внимание кибербезопасности, они не получают должной поддержки.
Возьмём, к примеру, компанию ONE Gas Inc. в Талсе, штат Оклахома.
Нийо Литтл Тандер Пирсон курировал там кибербезопасностью в январе 2020 года, когда его команда была предупреждена о вредоносном ПО, пытающихся проникнуть в ту часть операционной системы, которая контролирует движение природного газа через Оклахому, Канзас и Техас.
В течение двух дней его команда боролась с хакерами, которые перемещались по сети. В конечном итоге команде Пирсона удалось «прогнать» злоумышленников.
Когда Ричард Робинсон из компании Cynalytica загрузил поврежденные файлы ONE Gas Inc. в свою программу идентификации, он понял, что имеет дело с вредоносным ПО, способным запускать программы-вымогатели, эксплуатировать системы управления производством и собирать учётные данные пользователей. В его основе лежали цифровые следы, обнаруженные в одном из самых вредоносных кодов последнего десятилетия.
Нийо Литтл Тандер Пирсон пытался передать данные Федеральному бюро расследований, но они могли принять их только на компакт-диске. Его же система не могла записать данные на компакт-диск. Когда он предупредил Министерство внутренней безопасности и отправил данные через их защищенный портал, он так и не получил ответа.
Робинсон из Cynalytica был уверен, что национальный государственный оператор атаковал регионального поставщика природного газа. Поэтому он по конференц-связи провёл презентацию для Министерства внутренней безопасности, Министерства энергетики и обороны и разведывательного сообщества США. Ответа он тоже не получил.
«Мы получили ноль, и это было действительно удивительно», — сказал он. «Никто не обратился к нам, чтобы узнать больше о том, что случилось с ONE Gas Inc».
Эти органы не реагируют на просьбы о комментариях. Такое официальное безразличие и даже враждебность — не редкость.
Еще пример -— вторжение в систему водо- и электроснабжения Лос-Анджелеса в 2018 году.
Это не были преступники, а были наеёмные хакеры, которым платили за взлом системы, чтобы помочь ей повысить безопасность.
После первоначального вторжения служба безопасности города попросила хакеров предположить, что начальный источник взлома был обнаружен (на самом деле это было не так), пока они искали другие. Они нашли их много.
По словам человека, знакомого с этим тестом, но который не имел права публичного выступления, в период с конца 2018 года по 2019 год, наёмные хакеры обнаружили 33 пути взлома. Bloomberg News рассмотрели доклад, подготовленный хакерами для офиса мэра Лос-Анджелеса — Эрика Гарсетти.
В нём описаны 10 уязвимостей, обнаруженных в ходе их собственного теста, а также 23 проблемы, обнаруженные исследователями ещё в 2008 году. (Bloomberg News не будет публиковать информацию, которую хакеры могут использовать для атаки на утилиту). Человек, знакомый с проведённым тестом, обнаружил, что лишь немногие из 33 пробелов в системе безопасности были исправлены с момента предоставления этого отчёта в сентябре 2019 года.
Дальше — хуже. Вскоре после того, как хакеры подготовили отчёт, мэр Гарсетти расторг контракт, — согласно с данными предварительного судебного иска, поданного хакерами, нанятыми компанией Ardent Technology Solutions в марте 2020 года. Компания утверждает, что мэр уволил хакеров в качестве «ответной меры» за резкий отчёт.
Представитель коммунального предприятия Эллен Ченг признала, что контракт с Ardent Technology Solutions был расторгнут, но заявила, что это не имеет никакого отношения к содержанию отчёта.
По её словам, коммунальное предприятие часто сотрудничает с государственными учреждениями для повышения безопасности, включая и проверку на предмет потенциальных киберугроз.
«Мы хотим заверить наших клиентов и заинтересованные стороны, в том, что кибербезопасность имеет первостепенное значение для Департамента водоснабжения и, что были предприняты соответствующие меры для обеспечения того, чтобы наша кибербезопасность соответствовала всем действующим нормам и стандартам безопасности», — сказал Ченг в заявлении.
Офис мэра Гарсетти не ответил на просьбу прокомментировать расторжение контракта.
Случай с сетью штата Орегон — Энергетическая администрация Бонневилля потеряла лицо.
Тестирование продолжалось, начиная с 2014 года, и обнаружило шокирующий уровень вторжений, в результате этого была представлена пара публичных отчётов. В одном из них, опубликованном в 2017 году, агентство было предупреждено о неоднократном бездействии.
К 2020 году две трети, из более ста изъянов, выявленных Министерством энергетики и собственной службой безопасности коммунального предприятия, не были устранены, — из интервью с более дюжиной бывших и нынешних сотрудников службы безопасности Бонневиля и подрядчиков, а также бывших членов кибер-группы Министерства энергетики. И это — в дополнение к документам, доступ к которым был получен согласно Закону о свободе информации.
Даг Джонсон, представитель Энергетической администрации Бонневилля, так и не ответил на запросы о том, были ли устранены уязвимости, в том числе и те, которые подробно описаны в документах, рассмотренных Bloomberg в 2020 году.
В своём отчёте о кибербезопасности за 2020 год компания Dragos отметила, что 90 процентов новых клиентов практически «не видны» внутри своих промышленных систем управления. Это означает, что, оказавшись внутри, хакеры получают полную свободу действий для сбора конфиденциальных данных, исследования конфигурации системы и выбора подходящего времени для атаки.
Индустрия, наконец, сфокусировалась на сопротивлении.
«Если плохие парни придут к нам, то получат «око за око и зуб — за зуб», — заметил Том Фаннинг, генеральный директор Southern Co., на конференции. «Мы должны убедиться, что плохие парни понимают, что для них будут последствия».
Источник:
