Как целая страна стала российским полигоном по подготовке к кибервойне

На модерации Отложенный

Когда погас свет, на часах была полночь.

Это случилось в декабре прошлого года субботним вечером, когда худощавый инженер с рыжеватыми волосами Алексей Ясинский с женой и сыном-подростком сидел на диване в гостиной своей киевской квартиры. 40-летний украинский специалист по кибербезопасности вместе с семьей смотрел фильм Оливера Стоуна «Сноуден», и вдруг у них в доме отключили электричество.

«Хакеры не хотели, чтобы мы досмотрели это кино», — пошутила жена Ясинского. Она имела в виду событие, произошедшее годом ранее, за два дня до Рождества в 2015 году. Тогда почти четверть миллиона украинцев из-за кибератаки лишились электричества. Но Ясинскому, который работает главным аналитиком в киевской фирме кибербезопасности, было не до смеха. Он посмотрел на часы, стоявшие на столе. Они показывали 00:00. Ровно полночь.


Телевизор Ясинского был подключен к стабилизатору напряжения с батареей, и поэтому комнату теперь освещали только блики изображения с экрана. Источник бесперебойного питания жалобно запищал. Ясинский поднялся и выключил его, чтобы не разрядилась батарея. В комнате сразу стало тихо и темно.


Он пошел на кухню, достал пачку свечей и зажег их. Затем подошел к окну. Выглянув из него, он увидел нечто такое, с чем не сталкивался никогда прежде. Здания вокруг его дома погрузились во тьму. От облачного неба отражался лишь серый свет далеких огней, благодаря которому были немного видны современные жилые комплексы и многоэтажки советской постройки.


Ясинский отметил точное время и дату происшествия. Почти ровно год с момента предыдущей декабрьской атаки на электросеть. Ясинский был уверен, что это не простое отключение электричества. Он подумал о том, что на улице сейчас минус 17 градусов, и что температура в тысячах домов начинает медленно понижаться. Пошел обратный отсчет времени до того момента, когда из-за отключившихся насосов должны были замерзнуть трубы водяного отопления.


В этот момент в голове у Ясинского возникла другая неотступная мысль. Последние 14 месяцев он находился в эпицентре усиливавшегося кризиса. Представители украинских компаний и государственных учреждений все чаще обращались к нему с просьбой проанализировать волну кибератак, которые происходили в стремительной и беспощадной последовательности. Похоже, что за всем этим стояла одна группа хакеров. Он не мог подавить ощущение, что те самые призраки, чьи отпечатки пальцев он обнаружил год назад, вернулись и проникли через интернет в его дом.


Киберпредсказатели говорили, что это случится. На протяжении десятилетий они предупреждали, что хакеры скоро сделают скачок вперед и будут не только наводить хаос в цифровом мире, но и причинять вполне реальный материальный ущерб. Когда в 2009 году вредоносная программа АНБ Stuxnet молча раскрутила несколько сотен иранских ядерных центрифуг, пока они сами себя не разрушили, казалось, что это предвестие новой эпохи. «Это напомнило август 1945 года, — сказал в одной из своих речей бывший директор АНБ и ЦРУ Майкл Хейден (Michael Hayden). — Кто-то применил новое оружие, и это оружие уже не засунешь обратно в ящик».


Теперь на Украине разыгран по сути дела реальный сценарий кибервойны. Дважды. В обоих случаях невидимые диверсанты лишили электричества сотни тысяч человек. Каждое отключение длилось лишь несколько часов, потому что инженеры в срочном порядке вручную возобновили подачу электроэнергии. Но эти атаки создали новый прецедент, как бы доказывая саму идею: в тени России стал реальностью предсказанный десятки лет назад кошмар, когда хакерам удалось остановить рычаги современного общества.

Эти отключения не были отдельными и единичными атаками. Все это часть цифрового блицкрига, который продолжается на Украине вот уже три года. Это долговременное и настойчивое кибернаступление, какого мир еще не видел. Армия хакеров систематически проводит диверсии практически против всех секторов на Украине, осуществляя атаки на средства массовой информации, финансы, транспорт, армию, политику, энергетику. Вторжения идут одно за другим. Хакеры удаляют данные, выводя из строя компьютеры, а в некоторых случаях парализуют работу важных организаций. «На Украине невозможно найти ни единого места, где бы не было атак», — говорит представитель НАТО Кеннет Гирс (Kenneth Geers), специализирующийся на кибербезопасности.


В своем декабрьском официальном заявлении украинский президент Петр Порошенко сообщил, что только за два предыдущих месяца на Украине было совершено 6 500 кибератак против 36 украинских объектов. Зарубежные аналитики по вопросам кибербезопасности не решились приписывать все эти атаки Кремлю, однако Порошенко колебаться не стал. Проведенные на Украине расследования, заявил он, указывают на «прямую и опосредованную причастность российских спецслужб, которые развязали кибервойну против нашей страны». (Российское Министерство иностранных дел не откликнулось на многочисленные просьбы прокомментировать эти заявления.)


Чтобы уяснить значимость этих нападений и в целом понять, что же происходит в сегодняшнем мировом геополитическом порядке (скорее, беспорядке), нужно знать, насколько оскорбительно и непристойно Россия относится к своему самому крупному соседу на западных рубежах. Москва давно уже считает, что Украина по праву принадлежит российской империи и является важным территориальным активом, составляя стратегический буфер между Россией и странами НАТО, а также высокодоходным трубопроводным маршрутом в Европу и тем местом, где размещается один из немногих незамерзающих российских портов. По этим причинам Москва на протяжении столетий держала Украину на положении послушной младшей сестры.


Но в последние 15 лет российская удавка на шее Украины ослабла, и страна при поддержке украинского народа начала сближаться с НАТО и с Евросоюзом. В 2004 году толпы украинцев в оранжевых шарфах вышли на улицы в знак протеста против действий Москвы по подтасовке результатов выборов. В том же году российские агенты предположительно дошли до того, что отравили набиравшего популярность прозападного кандидата в президенты Виктора Ющенко. Прошло 10 лет, и украинская революция 2014 года окончательно свергла прокремлевского президента Виктора Януковича (давний политический советник этого руководителя Пол Манафорт потом руководил предвыборным штабом Дональда Трампа). Российские войска стремительно аннексировали Крымский полуостров, что на юге Украины, и вторглись в русскоязычный восточный регион Донбасс. С тех пор Украина завязла в необъявленной войне с Россией, из-за которой в стране появилось почти два миллиона беженцев и погибло почти 10 тысяч украинцев.


С самого начала киберпространство стало одним из главных фронтов в этой войне. Накануне послереволюционных выборов на Украине в 2014 году пророссийская группировка «Киберберкут», связанная с кремлевскими хакерами (которые позднее проведут кибератаки против демократов на президентских выборах 2016 года в США), атаковала вебсайт центральной избирательной комиссии этой страны, чтобы объявить победителем кандидата в президенты ультранационалиста Дмитрия Яроша. Администраторы заметили вторжение менее чем за час до официального объявления результатов голосования. Эта атака была всего лишь прелюдией к самому амбициозному эксперименту России в цифровой войне, каким стал шквал кибератак, которые усилились осенью 2015 года и с тех пор не стихают.

Ющенко, занимавший пост президента Украины с 2005 по 2010 годы, считает, что у российской тактики в интернете и вне его единая цель: «Дестабилизировать ситуацию на Украине, чтобы ее правительство выглядело некомпетентным и уязвимым». Он ставит отключения электроэнергии и прочие кибератаки в один ряд с российской дезинформацией, переполняющей украинские СМИ, с террористическими кампаниями на востоке и со своим собственным отравлением, называя это коварными действиями, имеющими целью показать Украину раздробленной и ослабленной страной. «Россия никогда не согласится с тем, чтобы Украина была суверенной и самостоятельной, — говорит Ющенко, на лице у которого еще остались следы шрамов от отравления диоксином. — После распада Советского Союза прошло уже 25 лет, а Россия по-прежнему болеет этим империалистическим синдромом».


Но многие специалисты по глобальной кибербезопасности придерживаются другой, более масштабной теории о хакерской эпидемии на Украине. Они считают, что Россия использует эту страну в качестве полигона для подготовки к кибервойне и лаборатории, где отрабатываются и совершенствуются новые формы глобальной битвы в онлайне. Те цифровые бомбы, которые Россия неоднократно взрывала на Украине, она как минимум однажды применила против гражданской инфраструктуры в США.


Одним воскресным утром в октябре 2015 года, за год с лишним до отключения электричества в квартире у Ясинского, он сидел у себя на кухне, пил чай и ел кукурузные хлопья. Зазвонил телефон. Звонок был с работы. В то время он работал директором по информационной безопасности в крупнейшей на Украине медиагруппе StarLightMedia. Ночью по непонятным причинам отключились два сервера StarLightMedia. Звонивший администратор заверил его, что серверы удалось восстановить при помощи резервных программ.


Но Ясинский почувствовал тревогу. Два сервера выключились почти одновременно. «Бывает такое, когда отключается один сервер, — сказал он. — Но два сервера сразу? Это подозрительно».

Сокрушаясь по поводу пропавшего выходного, Ясинский вышел из дому и отправился на метро в офис StarLightMedia. Приехав туда, он вместе с системными администраторами изучил изображение, сохранившееся на одном из поврежденных серверов. Его главная загрузочная запись, находящаяся на жестком диске и указывающая машине, где искать свою операционную систему, была полностью переписана и заполнена нулями. Это вызвало у Ясинского серьезную тревогу, так как два пострадавших сервера были доменными контроллерами, компьютерами с большими привилегиями, которые можно использовать для проникновения в сотни других машин из корпоративной сети.


Ясинский быстро выяснил, что эта атака намного серьезнее и опаснее, чем казалось. Два поврежденных сервера установили вредоносные программы на ноутбуках 13 сотрудников StarLight. Из-за заражения была переписана загрузочная запись и повреждены компьютеры — как раз тогда, когда сотрудники готовили утреннюю программу теленовостей перед выборами в местные органы власти.


Тем не менее, Ясинский понял, что ему крупно повезло. При просмотре сетевых журналов StarLight возникало впечатление, что контроллеры доменов совершили самоубийство преждевременно. Они должны были заразить или вывести из строя 200 или даже более компьютеров. Вскоре Ясинский узнал у фирмы-конкурента ТРК, что ей повезло меньше: во время аналогичной атаки она потеряла более 100 компьютеров.


Ясинскому удалось вытянуть из сети StarLight копию разрушительной программы. Вернувшись домой, он начал разбираться в ее коде. Его поразили многочисленные и очень умные ухищрения: программа уклонялась от всех проверок на вирусы и даже могла выдавать себя за антивирус Microsoft Windows Defender. Когда семья легла спать, Ясинский распечатал код и разложил бумаги на кухонном столе, вычеркивая строки маскирующих символов и выделяя команды, чтобы понять его истинную форму. Информационной безопасностью Ясинский занимался 20 лет. Он управлял огромными сетями и отбивался от атак самых изощренных хакеров. Но инженер никогда не сталкивался с таким совершенным цифровым оружием.


Под слоями маскировки и ложных указаний Ясинский увидел вредоносную программу KillDisk, которая уничтожает данные и используется хакерами уже почти 10 лет. Чтобы понять, как она попала к ним в систему, Ясинский со своими коллегами из StarLight стал внимательно и дотошно изучать сетевые журналы компании, прочесывая их снова и снова ночами и в выходные дни. Найдя признаки хакерских отпечатков (кто-то украл корпоративные аккаунты в YouTube, сетевой логин администратора, который был активен даже тогда, когда Ясинский был на больничном), компьютерщики осознали, что хакеры сидели в их системе более полугода. Со временем Ясинский выявил вредоносную программу, которая стала для них первоначальным плацдармом для проникновения: это был универсальный троян BlackEnergy.

Вскоре коллеги Ясинского из других компаний и из государственных органов стали рассказывать ему, что у них тоже случаются хакерские взломы, причем почти точно так же. Одну атаку злоумышленники провели против крупнейшей железнодорожной компании страны «Укрзалызниця». Другие пострадавшие просили Ясинского сохранить в тайне проведенные против них атаки. Снова и снова хакеры использовали для входа и проведения разведки BlackEnergy, а для своих разрушительных действий KillDisk. Их мотивы оставались загадкой, однако следы злоумышленников были повсюду.


«С каждым шагом становилось все яснее, что наш „Титаник" нашел свой айсберг, — говорит Ясинский. — Чем глубже мы заглядывали, тем больше он становился».


Но даже теперь Ясинский не имел представления о истинных масштабах угрозы. Так, он не знал, что к декабрю 2015 года BlackEnergy и KillDisk были внедрены в компьютерные системы по меньшей мере трех крупных электроэнергетических компаний Украины, где они ждали своего часа.


Вначале Роберт Ли (Robert Lee) во всем винил белок.


Был канун Рождества 2015 года, и так уж получилось, что Ли предстояла свадьба в его родном городе Калмэн, штат Алабама. Рыжий, плотный и бородатый Ли незадолго до этого ушел с важной должности в американской спецслужбе из трех букв, где он занимался вопросами кибербезопасности на важнейших объектах инфраструктуры. Теперь Ли решил начать собственное дело, учредить компанию по обеспечению кибербезопасности и жениться на подружке из Голландии, с которой он познакомился в зарубежной командировке.


Когда Ли готовился к свадьбе, ему на глаза попали газетные сообщения, в которых утверждалось, что хакеры только что отключили электроэнергетическую систему на западе Украины. Значительная часть страны осталась без света на шесть часов. Ли махнул на эту новость рукой, поскольку у него была масса других дел, и кроме того, он много раз слышал ложные утверждения о хакерских атаках на электросети. Обычно причиной блэкаута оказывалась какая-нибудь крыса или птица. Дежурной шуткой среди айтишников стало утверждение о том, что белки для электросетей намного опаснее, чем хакеры.


Но на следующий день, а это был канун свадьбы, Ли получил сообщение о предполагаемой кибератаке от Майка Ассанте (Mike Assante), работавшего научным сотрудником в институте SANS, который является элитным учебным центром по кибербезопасности. Оно привлекло внимание Ли, поскольку Ассанте один из самых авторитетных в мире экспертов по угрозам для электроэнергетических сетей. Он написал Ли, что хакерская атака на Украине кажется ему вполне реальной.

Когда Ли дал клятву верности и поцеловал невесту, он получил еще одно сообщение от своего украинского знакомого. Этот человек написал, что вызвавшая сбой электросети хакерская атака самая настоящая, и что ему нужна помощь Ли. Роберт всю свою карьеру посвятил подготовке к кибератакам на объекты инфраструктуры, и вот наступил момент, которого он ждал долгие годы. Поэтому он, проигнорировав гостей, отошел в укромный уголок и прямо в свадебном костюме начал переписываться с Ассанте.


Затем он пересел за компьютер своей матери в родительском доме неподалеку. Работая в тандеме с Ассанте, который отправился на Рождество в Айдахо к своему другу, он просмотрел карты Украины и схему ее энергосистемы. Пострадавшие подстанции трех электроэнергетических компаний находились в разных областях страны, в сотнях километров друг от друга, и никак не были связаны между собой. «Это не белка», — решил Ли, и его охватила нервная дрожь.


В ту ночь Ли постарался разобраться в программе KillDisk, которую его украинский знакомый взял из взломанных компьютеров энергетических компаний и отправил ему в Америку. Точно так же несколькими месяцами ранее поступил Ясинский после атаки на StarLightMedia. («У меня очень терпеливая жена», — говорит Ли.)


За несколько дней Ли получил образец кода BlackEnergy и данные об атаках. Он понял, что взлом начался с фишинговых почтовых сообщений, якобы из украинского парламента. Вредоносное приложение незаметно установило командный файл на машинах жертв, запустив заражение BlackEnergy. Захватив этот плацдарм, хакеры по всей видимости начали проникновение в сети электроэнергетических компаний и через какое-то время взломали виртуальную частную сеть, которой эти компании пользовались для удаленного доступа. Среди прочего, они проникли в специальное промышленное программное обеспечение, позволяющее операторам дистанционно управлять таким оборудованием как автоматические выключатели цепи.


Изучая методы работы злоумышленников, Ли начал постепенно понимать, с кем он столкнулся. Его поразили сходства между тактикой хакеров, устроивших блэкаут, и действиями группы, которая недавно приобрела скандальную известность в мире кибербезопасности. Речь идет об объединении хакеров Sandworm. В 2014 году фирма кибербезопасности FireEye выступила с предостережением о действиях команды хакеров, которая внедряла вредоносную программу BlackEnergy в различные организации, среди которых были польские энергетические компании и украинские государственные ведомства. Было похоже, что эта группа разрабатывает методы хакерских взломов специализированной компьютерной архитектуры, которая используется для дистанционного управления промышленным оборудованием. Свое название Sandworm (песчаный червь) эта группа взяла из фильма «Дюна». В своих кодах она использовала такие слова из фильма как Харконнены (злобная династия) и Арракис (безводная планета, в пустынях которой ползают огромные песчаные черви).


Никто не знает, каковы намерения этой группы. Но все указывает на то, что эти хакеры — русские. Фирма FireEye выяснила, что характерные методы взломов Sandworm были изложены в презентации на российской хакерской конференции. А когда инженеры FireEye сумели попасть на один из незащищенных командных серверов Sandworm, они обнаружили инструкции по использованию BlackEnergy на русском языке, а также русскоязычные файлы.


Больше всего американских аналитиков встревожило то, что Sandworm осуществляла хакерские атаки по обе стороны Атлантики. В 2014 году американское правительство сообщило, что хакеры заразили вирусом BlackEnergy сети американских компаний электро- и водоснабжения. Проанализировав выводы правительства, FireEye определила, что и эти проникновения осуществила группа Sandworm.


Ли сложил все кусочки головоломки воедино. Похоже, что группа, которая лишила электричества почти четверть миллиона украинцев, недавно заразила компьютеры американских компаний коммунального хозяйства тем же самым зловредом.


С момента рождественского отключения электричества прошло всего несколько дней, и Ассанте подумал, что пока слишком рано винить в атаке конкретную хакерскую группу, а тем более, целое государство. Но по мнению Ли, сигнал тревоги уже прозвучал. Атака на Украине представляла собой нечто большее, чем единичный случай в какой-то далекой стране. «Противник, уже нападавший на американские электроэнергетические компании, пересек черту и отключил целую сеть электроснабжения, — сказал он. — Это была непосредственная угроза Соединенным Штатам».


Спустя несколько недель холодным солнечным днем в Киев прибыла группа американцев. Они собрались в отеле Hyatt, что в одном квартале от Софийского собора с его золочеными куполами. В состав группы входили сотрудники ФБР, Министерства энергетики, Министерства внутренней безопасности и Североамериканской корпорации по вопросам надежности энергоснабжения, которая отвечает за устойчивую работу американской энергосети. Эта делегация получила задачу разобраться во всех деталях украинской аварии.


Федералы также привезли с собой Ассанте из Вайоминга. Ли оказался вспыльчивее своего друга и начал борьбу с американскими ведомствами, стремившимися сохранить завесу секретности, требуя немедленно обнародовать все подробности проведенной атаки. Его в Киев не пригласили.


В тот первый день сотрудники спецслужб собрались в стерильном конференц-зале отеля вместе с представителями региональной компании энергоснабжения «Киевоблэнерго», которая стала одной из жертв атак на энергосистему. В течение нескольких часов руководители и инженеры компании терпеливо и подробно излагали все детали этого всеохватывающего и мучительного нападения на их сеть.

Как заметили Ли и Ассанте, во вредоносной программе, установленной на компьютерах энергетических компаний, не было никаких команд, способных реально управлять устройствами отключения. Тем не менее, 23 декабря сотрудники «Киевоблэнерго» беспомощно наблюдали за тем, как на десятках подстанций их области размером с Массачусетс один за другим срабатывали автоматические выключатели — как будто по команде с компьютеров их сети, которую они не замечали. Инженеры «Киевоблэнерго» определили, что злоумышленники создали собственную идеально скомпонованную и настроенную копию управляющего программного обеспечения, сделав это на удаленном компьютере, а затем воспользовались этим клоном для подачи команд на отключение электроэнергии.

Когда сработали автоматы защиты, и десятки тысяч украинцев лишились электричества, хакеры приступили к следующей фазе атаки. Они перезаписали встроенные программы преобразователей на подстанциях. Это крошечные коробочки в шкафах серверов, переводящие межсетевые протоколы для связи с более старым оборудованием. Переписав сложные коды этой аппаратуры (на это у них могло уйти несколько недель), хакеры программными средствами привели ее в трудновосстановимое состояние, отключив операторов от цифрового управления автоматическими выключателями. Сидя за столом в конференц-зале, Ассанте восхищался скрупулезностью и основательностью хакеров.


Хакеры также оставили одну из своих визитных карточек, включив KillDisk, чтобы вывести из строя несколько компьютеров «Киевоблэнерго». Но самой опасной составляющей этого взлома стал удар по аварийному аккумуляторному питанию станций управления. Когда в области отключили электричество, станции сами стали обесточиваться, погружаясь в темноту.

Хакеры с предельной четкостью устроили блэкаут внутри блэкаута.


«Сигнал был предельно ясен: вы почувствуете это повсюду. Бум, бум, бум, — говорит Ассанте, представляя, что мог об этом подумать недоумевающий оператор. — Эти нападавшие наверняка казались себе богами».


В тот вечер американская команда полетела на запад Украины в город Ивано-Франковск, расположившийся у подножья Карпатских гор. В крошечном аэропорту советской эпохи их ждала настоящая снежная буря. На следующее утро они посетили штаб-квартиру электроэнергетической компании «Прикарпатьеоблэнерго», которая приняла на себя основной удар предрождественской атаки.


Руководство компании вежливо приветствовало американцев в своем современном здании, расположившемся рядом с высокими дымовыми трубами заброшенной угольной электростанции, находящейся на той же территории. Затем оно пригласило их в зал заседаний, на стене которого висели картины средневековой битвы, и усадило за длинный деревянный стол.


Та атака, о которой они рассказали, была практически идентична нападению на «Киевоблэнерго»: BlackEnergy, поврежденное аппаратно-программное обеспечение, сбои в работе резервного электропитания, KillDisk. Но в данной операции хакеры пошли еще дальше, забросав справочно-информационные службы компании ложными телефонными звонками. Возможно, это было сделано для того, чтобы потребители не могли дозвониться и сообщить об отключении электричества, а возможно, чтобы просто усилить хаос и еще больше унизить энергетиков.


Было еще одно отличие. Американцы спросили, не рассылало ли клонированное управляющее программное обеспечение команды на отключение электроэнергии, как это было в Киеве. Специалисты «Прикарпатьеоблэнерго» ответили, что нет, и что их автоматы защиты были отключены другим способом. В этот момент в разговор вмешался технический директор компании, высокий и серьезный мужчина с темными волосами и голубыми глазами. Вместо того, чтобы объяснять американцам методы работы хакеров через переводчика, он вызвался показать их, включив сделанную им видеозапись на своем видавшем виды iPhone 5.


Запись длилась 56 секунд. На ней было видно, как на экране одного из компьютеров в диспетчерской компании движется курсор. Стрелка приближается к иконке одного из выключателей, подается команда, и цепь размыкается. Камера переходит с монитора компьютера на мышку, кнопки которой не шевелятся. Затем видно, как курсор снова перемещается как бы сам по себе, зависает над выключателем и снова пытается разомкнуть цепь, в то время как инженеры в диспетчерской спрашивают друг друга, кто этим курсором управляет.


В данном случае хакеры не подавали команды на отключение через автоматизированные вредоносные программы и через компьютер-клон, как они сделали в «Киевоблэнерго». На сей раз взломщики воспользовались средствами службы поддержки клиентов, чтобы взять управление мышками операторов под свой прямой контроль. Они отключили операторов от их пользовательского интерфейса. Теперь прямо на глазах у энергетиков руки-призраки кликали мышками и один за другим отключали десятки выключателей, через которые электроэнергия подавалась в разные районы области.

В августе 2016 года, спустя восемь месяцев после первого предновогоднего отключения, Ясинский уволился из StarLightMedia. Он решил, что недостаточно защищать одну-единственную компанию от натиска злоумышленников, наносивших удары по всем звеньям украинского общества. Чтобы не отстать от хакеров, ему нужна была более целостная картина их работы, а Украина нуждалась в более последовательных и связных мерах защиты от наглой и вездесущей организации, какой стала Sandworm. «Светлая сторона по-прежнему расколота, — говорит он, имея в виду неодинаковую реакцию жертв на действия хакеров. — Темная же сторона объединилась».

По этой причине Ясинский занял должность руководителя киевской фирмы Information Systems Security Partners, которая занимается исследованиями и анализом в области безопасности информационных систем. Это была малоизвестная компания, но Ясинский превратил ее в главного защитника жертв цифровой осады на Украине.


Вскоре после перехода Ясинского на другую работу страна как нарочно подверглась очередной, еще более мощной волне кибератак. Он перечисляет пострадавших: украинский пенсионный фонд, государственное казначейство, управление портов, министерства инфраструктуры, обороны и финансов. Хакеры снова нанесли удар по украинской железнодорожной компании, на несколько дней отключив ее онлайновую систему бронирования. Сделали они это как раз посреди сезона отпусков. Как и в 2015 году, большинство атак заканчивалось уничтожением данных на жестком диске в манере KillDisk. В министерстве финансов эта логическая бомба удалила терабайты данных — как раз тогда, когда оно готовило бюджет на следующий год. При этом новое зимнее наступление хакеров не уступало предыдущему и даже превосходило его вплоть до грандиозного финала.


16 декабря 2016 года, когда Ясинский с семьей смотрел «Сноудена», молодой инженер по имени Олег Зайченко работал в 12-часовой ночной смене на передающей станции «Укрэнерго» к северу от Киева. Он сидел в старой диспетчерской советской эпохи, у стен которой стояли бежево-красные аналоговые панели управления высотой от пола до потолка. Жившая на станции полосатая кошка Аза отправилась на охоту, и Зайченко остался в компании телевизора, по которому показывали концерт поп-музыки.


Он заполнял журнал, коротая время в этот не отмеченный никакими событиями субботний вечер, как вдруг на станции оглушительно зазвенел сигнал тревоги. Справа от себя Зайченко увидел два световых индикатора, показывавших состояние сетей магистральных ЛЭП, которые вдруг загорелись зеленым цветом. На универсальном языке инженеров-электриков это означало, что сети выключились.


Инженер поднял трубку черного телефона и позвонил диспетчеру в центральный офис «Укрэнерго», чтобы предупредить его о рутинном сбое. Но в этот момент включился еще один зеленый индикатор. Потом еще один. Зайченко встревожился. Он торопливо объяснял ситуацию оператору, а индикаторы продолжали переключаться с дежурного красного на аварийный зеленый. Восемь отключений, потом 10, потом 12.


Ситуация усугублялась, и оператор приказал Зайченко выбежать наружу и посмотреть, нет ли внешних повреждений оборудования. В этот момент отключилась двадцатая и последняя цепь, а вместе с ней компьютер и телевизор. Затем в комнате погас свет. Зайченко накинул пальто на свою сине-желтую униформу и бросился к двери.


Передающая станция в обычной ситуации представляет собой настоящие джунгли из электрооборудования, размещенного на восьми гектарах земли, что превышает размер 12 футбольных полей. Но когда Зайченко вышел из здания в морозную ночь, обстановка показалась ему еще более жуткой, чем прежде. Установленные вдоль здания три трансформатора размерами с танк, отвечающие за пятую часть электрической мощности столицы, полностью замолчали. До этого Зайченко механически просчитывал в уме действия в аварийной ситуации. Но пробегая мимо парализованных трансформаторов, он впервые подумал: это снова хакеры.


На сей раз удар был нанесен по кровеносной системе украинской сети энергоснабжения. Вместо того, чтобы отключать распределительные станции, подающие электричество в капилляры линий электропередачи, диверсанты перерезали артерию. Мощность этой обеспечивавший Киев станции превышает 200 мегаватт. Это больше электрической нагрузки, чем у всех 50 распределительных станций, обесточенных во время атаки 2015 года. К счастью, система отключилась лишь на час. Этого не хватило для того, чтобы трубы начали замерзать, а местные жители паниковать. Инженеры «Укрэнерго» стали вручную включать цепи и восстанавливать подачу электроэнергии.


Но непродолжительность отключения стала единственным моментом, который был менее опасен, чем авария 2016 года. Проанализировавшие эту атаку фирмы кибербезопасности говорят, что она была намного изощреннее, чем в 2015 году. Осуществили ее при помощи очень сложной и легко адаптируемой вредоносной программы CrashOverride, которая является автоматическим средством для нарушения работы электросетей.

Стартап Ли под названием Dragos занимается обеспечением безопасности важнейших объектов инфраструктуры. Это одна из двух фирм, занявшаяся изучением кода зловреда, который она получила от словацкой компании кибербезопасности ESET. Они выяснили, что во время атаки CrashOverride «говорил» на языке сложных протоколов системы управления, посылая команды напрямую на оборудование электросети. В отличие от трудолюбивой призрачной мыши и методов клонирования ПК, которыми хакеры воспользовались в 2015 году, эту новую программу можно было использовать для сканирования сети жертвы, чтобы наметить цели, а затем в определенное время нанести удар, отключив цепи по условному сигналу даже без интернет-соединения. Иными словами, это первая со времен Stuxnet программа, которая может самостоятельно осуществлять диверсии на объектах материальной инфраструктуры.

CrashOverride это не одноразовый инструмент, созданный исключительно для сетей «Укрэнерго». Это гибкое многоразовое оружие, предназначенное для нарушения работы систем энергоснабжения, говорят исследователи. Модульная структура этой вредоносной программы позволила с легкостью поменять протоколы системы управления «Укрэнерго» на те, которые используются в других странах Европы и в США.


Эксперт по безопасности систем управления производственными процессами Марина Кротофил (Marina Krotofil), работающая в фирме Honeywell и анализировавшая атаку на «Укрэнерго», рассказала, что методы работы хакеров проще и намного эффективнее тех, что применялись во время предыдущей атаки. «В 2015 году они действовали как банда жестоких уличных хулиганов, — говорит она. — В 2016-м они стали как воины ниндзя». Но это наверняка одни и те же люди. Исследователи из Dragos установили, что создатели CrashOverride входили в группу Sandworm, основываясь на уликах, раскрыть которые компания пока не готова.


По мнению Ли, все это — тревожные признаки успехов группы Sandworm. Я встретился с ним в аскетичном офисе его балтиморской фирмы кибербезопасности Dragos. За окном кабинета виднелись опоры линий электропередач. Ли рассказал мне, что по ним подается электричество в самое сердце Вашингтона на расстояние около 30 километров.


Ли отметил, что впервые в истории группа хакеров продемонстрировала свою способность и готовность атаковать важнейшие объекты инфраструктуры. Они усовершенствовали свои методы в ходе многочисленных атак. И они один раз уже внедряли зловред BlackEnergy в американскую электроэнергетическую систему. «Люди, которые разбираются в энергосистеме США, знают, что здесь такое возможно», — сказал Ли.


По его словам, для хакеров Sandworm в США есть еще более удобный набор мишеней, по которым они смогут нанести удар в случае принятия соответствующего решения. Американские электроэнергетические компании внимательнее других относятся к вопросам кибербезопасности, Но там выше степень автоматизации, и они более современные, чем украинские; а это значит, что в США существует больше возможностей для проведения цифровых атак. А американские инженеры не обладают достаточным опытом работы по восстановлению работы сетей в ручном режиме в случае частых аварий.


Никто не знает, как и где Sandworm нанесет следующий удар. Такая атака может быть нацелена не на распределительную или передающую станцию, а на генерирующие мощности, то есть, на электростанцию. Либо же в ходе такой атаки оборудование будет не просто отключаться, а выводиться из строя. В 2007 году группа исследователей из Национальной лаборатории Айдахо, в состав которой входил Майк Ассанте, продемонстрировала, что хакеры вполне могут разрушать электроэнергетическую инфраструктуру. В ходе эксперимента под названием «Аврора» использовались только цифровые команды, при помощи которых был безвозвратно выведен из строя дизельный генератор на 2,25 мегаватт. На видеозаписи эксперимента видно, как машина размером с гостиную начинает чихать, и в предсмертных судорогах изрыгает клубы белого и черного дыма. Такой генератор мало чем отличается от оборудования, подающего сотни мегаватт электроэнергии американским потребителям. При правильных действиях вполне можно привести в негодность генерирующее оборудование или массивные трансформаторы, которые составляют основу нашей системы электропередачи, и которые очень трудно заменить. «Вашингтон, округ Колумбия? Враждебное государство может отключить их на два месяца без проблем», — говорит Ли.


Анализируя CrashOverride, команда из ESET выяснила, что в эту вредоносную программу уже могли быть включены некие ингредиенты для проведения разрушительной атаки такого рода. Исследователи ESET заметили, что CrashOverride содержит код, нацеленный против вполне конкретного устройства компании Siemens, которое работает на электростанциях. Это оборудование действует как аварийный выключатель, предотвращающий опасные скачки напряжения на линиях электропередачи и в трансформаторах. Если CrashOverride сможет вывести из строя это защитное оборудование, аппаратуре электросети будет нанесен непоправимый ущерб. Возможно, зловреду это уже по силам.


Отдельный случай физического уничтожения это далеко не худшее из того, что могут сделать хакеры. Американское сообщество кибербезопасности часто говорит о «современных непреходящих угрозах», создаваемых изощренными злоумышленниками, которые не просто проникают в систему ради одной атаки, а остаются в ней, тихо и незаметно контролируя свою цель. В таком кошмарном сценарии, говорит Ли, американская инфраструктура взламывается упорно и последовательно. Это транспортные сети, трубопроводы, линии электропередачи, которые глубоко внедрившийся противник выводит из строя снова и снова. «Если делать это в нескольких местах, то отключения будут длиться в целом регионе на протяжении до месяца, — отмечает Ли. — А теперь подумайте, какие будут драматические перемены, если ключевые города на половине территории США на месяц лишатся электроэнергии».

Но одно дело размышлять о том, что может сотворить с американской энергосистемой такая страна как Россия, и совсем другое — понять, зачем ей это нужно. Комплексная атака на американскую энергосистему наверняка вызовет незамедлительные и очень серьезные ответные действия со стороны США. Некоторые аналитики из сферы кибербезопасности утверждают, что цели у России ограниченные: помешать американской стратегии ведения кибервойны. Отключив свет в Киеве и показав свою способность проникнуть в американскую сеть, Москва подает предупредительный сигнал, демонстрируя США, что им не стоит и пытаться проводить атаки по образу и подобию Stuxnet против России и ее союзников, таких как сирийский диктатор Башар аль-Асад. С ее точки зрения, все это — тактика сдерживания и устрашения.


Но Ли, принимавший участие в разработке сценариев военных игр во время своей службы в разведке, считает, что Россия все же может нанести удар по американским объектам электроэнергетики в качестве ответной меры, если поймет, что ее загнали в угол, скажем, если США пригрозят помешать военным действиям Москвы на Украине или в Сирии. «Когда ты лишаешь государство возможности играть мускулами, оно вынуждено огрызаться», — говорит он.


Конечно, такие люди как Ли уже больше десяти лет прорабатывают эти кошмарные сценарии в ходе военных игр. И несмотря на изощренность хакерских атак против украинской энергосистемы, даже они сами по себе не являются катастрофой, потому что свет в итоге все равно включился. Американские электроэнергетические компании уже усвоили горький опыт Украины, говорит Маркус Сакс (Marcus Sachs), работающий начальником службы безопасности в Североамериканской корпорации по вопросам надежности энергоснабжения. После атак 2015 года, отмечает он, его корпорация провела выездную презентацию и серию встреч с энергетическими компаниями, чтобы достучаться до их сознания и показать, что им нужно усиливать основополагающие меры кибербезопасности и чаще отключать удаленный доступ к своим важнейшим системам. «Трудно сказать, что мы неуязвимы. Уязвимо все, что связано друг с другом, — говорит Сакс. — Строить предположения и говорить о том, что сеть в миллисекундах от краха, это безответственно».


Для тех, кто следит за Sandworm почти три года, разговоры о вероятности нападения на американскую энергосистему это уже не ложная тревога. Джон Халтквист (John Hultquist), руководящий командой исследователей FireEye, которая первой обнаружила группировку Sandworm и дала ей описание, считает, что враг уже у ворот. «Мы видим, как эти силы демонстрируют свою способность отключать электроэнергию, и проявляют интерес к американским системам», — говорит он. Спустя три недели после атаки в Киеве в 2016 году он написал в Твиттере предсказание и прицепил его к своему профилю в назидание грядущим поколениям: «Когда команда Sandworm пригвоздит, наконец, важнейшие объекты западной инфраструктуры, а люди будут реагировать на это с большим удивлением, клянусь, это будет для меня поражением».


Офис фирмы Ясинского Information Systems Security Partners занимает невысокое здание в промышленном районе Киева, окруженное грязными спортивными площадками и ветхими серыми многоэтажками, доставшимися Украине в наследство от Советского Союза. Ясинский сидит в слабоосвещенной комнате за круглым столом, на котором лежат огромные схемы энергосети, где показаны сложные узлы, точки разветвления и соединения. Каждая схема представляет собой график вторжения Sandworm. Он уже почти два года исследует работу этой хакерской группы, начав с той первой памятной атаки на StarLightMedia.


Ясинский говорит, что старается бесстрастно анализировать действия злоумышленников, которые терроризируют его страну. Но когда четыре месяца назад свет отключили в его собственном доме, у него возникло такое ощущение, что его ограбили. «Это было как насильственное действие, момент, когда ты осознаешь, что твое личное пространство это просто иллюзия».


Ясинский говорит, что невозможно точно узнать, сколько именно украинских организаций подверглись кибератакам в ходе это неослабевающей кампании. Любой подсчет наверняка окажется недооценкой. На каждый известный объект нападения приходится как минимум одна жертва, не желающая признаваться, что она подверглась хакерскому взлому. А ведь есть еще и другие объекты, на которых действия хакеров пока не обнаружены.


Как раз во время встречи с Ясинским на Украине идет новая волна цифрового вторжения. Рядом с ним сидит пара бородатых сотрудников, которые прилипли к клавиатурам и экранам, разбираясь во вредоносной программе, которую их компания получила за день до этого с новой партией фишинговых сообщений. Ясинский заметил, что эти атаки носят сезонный и цикличный характер: в начале года хакеры закладывают основы, тихо проникая на объекты и расширяя свой плацдарм. А в конце года они наносят удар с задействованием всех сил и средств. Ясинский уже знает: пока он анализирует прошлогоднюю атаку на электроэнергетическую систему, хакеры уже готовят почву для декабрьских сюрпризов 2017 года.


По словам Ясинского, ожидание новой волны атак похоже на подготовку к приближающемуся заключительному экзамену. Но по большому счету он считает, что события последних трех лет на Украине это просто серия практических тренировок и испытаний.


Действия атакующих он называет одним русским словом: полигон. Украина стала испытательной площадкой и тренировочной базой. В ходе самых разрушительных атак, отмечает Ясинский, хакеры могли зайти намного дальше. Они могли уничтожить не только данные министерства финансов, но и резервные копии. Не исключено, что у них была возможность отключить передающие станции «Укрэнерго» на больший срок или вообще вывести из строя всю сеть, говорит он. Такую сдержанность хакеров отметили и американские аналитики Ассанте и Ли. «Они все еще играют с нами», — говорит Ясинский. Всякий раз хакеры отступают, не причиняя максимально возможный ущерб. Они как будто скрывают свои истинные силы и способности для неких операций в будущем.


Многие эксперты по вопросам глобальной кибербезопасности пришли к единому мнению. Где еще обучать армию кремлевских хакеров навыкам цифрового боя, как не в сфере российского влияния, в стране, где идет реальная война и где все средства хороши? «Перчатки сняты, и начался кулачный бой. Это то место, где можно творить худшие злодеяния, не опасаясь возмездия и судебного преследования, — говорит Кеннет Гирс. — Украина это не Франция и не Германия. Многие американцы даже не могут найти ее на карте, и поэтому там можно практиковаться». (На встрече дипломатов в апреле госсекретарь США Рекс Тиллерсон даже задал вопрос: «Почему американских налогоплательщиков должна интересовать Украина?»)


В обстановке такого пренебрежения Россия не только по максимуму проверяет свои технические возможности, говорит Томас Рид (Thomas Rid), работающий на кафедре военных исследований в Королевском колледже Лондона. Она также испытывает пределы терпения международного сообщества. Кремль вмешался в украинские выборы и не понес практически никакого наказания. После этого он применил аналогичную тактику в Германии, Франции и США. Русские хакеры безнаказанно отключали электричество на Украине, и в связи с этим легко можно сделать дедуктивное заключение. «Они проверяют красные линии, пытаясь понять, что можно делать безнаказанно, — говорит Рид. — Они бьют и ждут, не нанесем ли мы ответный удар. Если нет, можно делать следующий ход».


Каким он будет, этот следующий ход? Сидя в темной лаборатории своей компании в Киеве, Ясинский признается, что он этого не знает. Может, очередное отключение, может, целенаправленная атака на систему водоснабжения. «Подключите свое воображение», — сухо предлагает он.


За его спиной сквозь жалюзи пробивается тусклый вечерний свет, очерчивая его темный силуэт. «Киберпространство — это не самоцель, — говорит Ясинский. Это среда». И эта среда со всех сторон подключена к аппаратуре цивилизации.