Глава 23 Электричество кончилось

Война в Украине началась весной 2014 года, вскоре после нескольких недель антиправительственных протестов сторонников интеграции страны в Европу. Митинги закончились массовым расстрелом протестующих, в стране произошел переворот, президент Украины сбежал в Россию. После этого в городах Донбасса пророссийские активисты и военные начали захватывать административные здания; российские войска инкогнито высадились в Крыму и в итоге «присоединили» полуостров к России. Параллельно с этим связанные с российскими войсками хакеры начали тестировать в Украине кибероружие.

В мае 2014 года, накануне президентских выборов, хакеры атаковали ЦИК Украины. Организация, называвшая себя «Киберберкут» (аналитики связывали ее с российскими спецслужбами), блокировала работу сайтов МВД и Генпрокуратуры Украины, украинских телеканалов, взламывала почтовые ящики украинских политиков. Российских хакеров также обвиняли [139] во взломе приложения для расчета баллистических траекторий, которым пользовались украинские артиллеристы, — из-за этого войска потеряли до 80 % гаубиц; видимо, из-за ошибки в траекториях могли погибнуть и люди, невольно ставшие жертвами хакерских атак.

Самый же серьезный эпизод в кибервойне произошел в конце декабря 2015 года — вскоре после того, как на некоторое время остался без света присоединенный Россией Крым.

Днем 23 декабря оператор одного из центров управления энергетическими подстанциями Ивано-Франковской области заметил [140]. что курсор на его мониторе дернулся, хотя сам оператор ничего не делал. Курсор двинулся в сторону переключателя, отвечающего за рубильник на одной из подстанций, и отключил его. Оператор попытался исправить положение, но компьютер его не слушался; потом его и вовсе выкинуло из системы управления подстанциями. Вскоре во всей Ивано-Франковской области исчезло электричество.

Как считает специалист по безопасности Роберт Ли из компании Dragos Security, ко взлому хакеры готовились не меньше полугода. Сначала они внедрили на компьютеры программу Blackenergy 3. Для этого они использовали проверенный способ: пользователям сети отправляли фишинговые письма с файлами Microsoft Word, которые при открытии предлагали установить макрос. Тот, в свою очередь, устанавливал вредоносную программу.

Внутренние сети распределительных центров были хорошо отделены от системы управления подстанциями при помощи файрволов. Журнал Wired отмечал, что эта защита лучше, чем та, что стоит в компаниях, управляющих американскими электросетями. Тем не менее хакерам удалось ее взломать — они получили данные обычных пользователей и могли при подключении притворяться ими.

На изучение того, как устроена сеть распределительных центров и как она связана с системой управления подстанций, у злоумышленников ушло несколько месяцев. За это время они также написали новую прошивку для конвертеров на подстанциях, которые получают сигнал через интернет и передают его рубильникам. Как отмечают эксперты, это был первый взлом, когда хакеры сумели перепрошить само оборудование.

Начав атаку, хакеры отключили источники бесперебойного питания у двух из трех распределительных центров, в сеть которых у них был доступ. После этого они запустили гигантский поток звонков в колл-центр «Прикарпатьеоблэнерго», чтобы жители не могли сообщить об отключении энергии. Одновременно они отключили 30 подстанций и перепрошили там конвертеры таким образом, что операторы перестали видеть их состояние удаленно. Переключить рубильник стало возможно только руками. На компьютерах операторов хакеры запустили программу, которая сделала невозможной перезагрузку.

Восстановить подачу света в регион удалось только через шесть часов, а возможность удаленно переключать рубильники восстановить так и не удалось — энергетикам придется заменить конвертеры, испорченные хакерами. Wired отмечает, что в США последствия такой атаки были бы куда серьезнее: там на подстанциях рубильники попросту нельзя переключить руками.

Украинские власти считают, что этой атакой стояла Россия. Reuters также указывал, что программу Blackenergy ранее использовали российские хакеры. Кроме того, название Blackenergy принадлежало группе хакеров, которая разработала вирусы массового поражения Bad Rabbit и Petya: они шифровали данные на зараженных компьютерах и требовали от пользователей выкуп за разблокировку. Так или иначе, специалисты, опрошенные Wired, не смогли точно сказать, кто организовал атаку на Ивано-Франковскую область: нельзя исключать варианта, при котором хакеры сначала взломали украинскую энергосистему, а потом продали свои наработки России.

***

6 февраля 2016 года сотрудник расследовательской команды Conflict Intelligence Team Руслан Левиев засиделся у компьютера до ночи. Утром он собирался выпустить громкий материал. В нем рассказывалось [141] об участии российской 6-й танковой бригады из-под Нижнего Новгорода в боях под Иловайском и Дебальцевом на Донбассе. Одним из доказательств участия российских военных в украинском конфликте была найденная Левиевым фотография, на которой министр обороны Сергей Шойгу награждает часами одного из раненых солдат в клиническом госпитале имени Бурденко в Москве. Публикацию Левиев проанонсировал в своем твиттере.

К тому моменту он уже привык публиковать тексты с серьезными обвинениями российских властей, которые отрицали присутствие кадровых российских военных в Донбассе. Он чувствовал себя в относительной безопасности в своей московской квартире на юге Москвы, хотя ему не раз угрожали, а на улице он замечал слежку.

Последние годы Левиев сотрудничал с командой Bellingcat — она, используя открытые источники вроде выложенных в социальные сети фотографий, расследовала участие российских военных в конфликтах на Украине и в Сирии. Нидерландские власти использовали [142] данные Bellingcat в расследовании крушения малайзийского «Боинга», сбитого неподалеку от Донецка в июле 2014 года; в 2018 году именно Bellingcat сумели доказать, что обвиненные в отравлении российского перебежчика Сергея Скрипаля и его дочери Руслан Боширов и Александр Петров были агентами ГРУ действовавшими под этими вымышленными именами.

Представляя уровень возможного внимания к себе, Левиев — на случай визита правоохранительных органов и отключения электричества — установил в квартире четыре запасных аккумулятора и продублировал подключение к интернету, дополнив связь по кабелю модемом «Йоты».

Около трех часов ночи Левиев продолжал перепроверять текст и верстку расследования. Рядом спали два кота — Котопус и Десантник. В этот момент экран мобильного телефона, лежавшего у Левиева на столе, засветился.

Левиев увидел, что ему пришли подряд несколько оповещений от твиттера, а через минуту — еще два оповещения от фейсбука. Во всех говорилось о попытках взлома аккаунтов. Левиев тут же поменял пароли в социальных сетях и начал проверять остальные аккаунты. С мессенджерами и рабочей почтой ничего не произошло, но хакерам удалось взломать почту Левиева на «Яндексе» — хотя как это получилось, он не понимает до сих пор: там стояла двухфакторная авторизация, привязанная к сим-карте «Мегафона».

С помощью взломанной почты хакеры восстановили доступ к «Живому журналу» Левиева и зашли через его аккаунт в административную панель Bellingcat. На странице Левиева в Bellingcat они разместили обращение: «.Bellingcat — это про-НАТО и проамериканская организация провокаторов, они врут и шпионят, проблемы других — их хлеб. Они мусорщики, а не расследователи».

Ответственность за взлом взял [143] на себя «Киберберкут». Также хакеры получили доступ к iCloud Левиева — скачанные оттуда личные фотографии, сканы паспортов и домашний адрес расследователя они позже выложили на сайте «Киберберкута».

Американская компания Threatconnect, занимающаяся расследованиями киберпреступлений, подробно разобрала [144] атаки на Левиева и Bellingcat. Регулярно приходившие им фишинговые письма выглядели как оповещения Google о том, что в аккаунт жертвы вошел посторонний. Ссылки из письма переводили на фишинговые сайты. Домены, которые, по данным Threatconnect, использовались для атаки, немецкая разведка и аналитические компании называли [145] среди принадлежащих Fancy Bear — группировки, которая примерно в то же время взломала сервера Демократической партии США. «По тому, как они действуют и какую используют инфраструктуру, можно понять, что „Киберберкут" и Fancy Bear — это либо одна группа, либо просто соратники, действующие совместно», — сказал мне ведущий аналитик Threatconnect  Рич Баргер.