Эксперты назвали возможных виновников хакерских атак на энергосети США

МОСКВА, 24 июл — РИА Новости. Атаки на энергосети США могли совершить русскоязычные хакеры, базирующиеся в Восточной Европе, заявили РИА Новости эксперты из "Лаборатории Касперского" и Group-IB.

Газета Wall Street Journal со ссылкой на министерство внутренней безопасности (МВБ) США написала в понедельник, что "российские хакеры" получили доступ к энергосетям США и могут вызвать отключение электроэнергии. По мнению сотрудников ведомства, группа Dragonfly, которую ранее МВБ и ФБР называли российской, в ходе продолжительной кампании проникла в сети сотен электроэнергетических компаний США, ряд из которых до сих пор могут не знать о вмешательстве хакеров в их системы.

Эксперты Group-IB сообщили, что группа Dragonfly известна также под именами Energetic Bear, Crouching Yeti, Group 24, Koala Team и Anger Bear. Впервые она была замечена в 2010 году. Группа совершала атаки на различные объекты в США и Европе. В 2014 году Dragonfly атаковали строительную компанию в России, которая специализируется на проектировании конструкций.

"Учитывая временные метки компиляции вредоносного программного обеспечения, используемого Dragonfly, исследователями было выдвинуто предположение, что злоумышленники базируются в Восточной Европе", — рассказали в Group-IB.

"По нашим данным, за этими APT-атаками (целевыми атаками — ред.) стоят русскоговорящие авторы. Первые инциденты датируются 2010 годом, "Лаборатория Касперского" обнаружила атаки Crouching Yeti/Energetic Bear (она же Dragonfly — ред.) в 2014 году", — сообщили в "Лаборатории Касперского".

Как это работает?

По словам экспертов Group-IB, группа Dragonfly использует единую отработанную схему кибератак.

"Группа Dragonfly использует методы атаки, которые построены главным образом на установке вредоносных программ в систему и запуске исполняемых файлов на зараженных компьютерах. Они способны запускать дополнительные плагины, такие как инструменты для сбора паролей и снятия скриншотов на зараженных машинах", — рассказали они.

Первая серия атак Dragonfly состояла из отправки вредоносных программ в фишинговых письмах работникам целевых организаций. Затем, на втором этапе группа добавляла атаки методом "watering hole" — злоумышленники заражали вредоносным ПО веб-сайты, часто посещаемые их потенциальными жертвами. К таким веб-ресурсам относятся сайты компаний-партнеров или подрядчиков, общественных организаций и правительственных учреждений.

"Третий этап кампании состоял в "троянизировании" (заражении троянами — ред.) пакетов легитимного программного обеспечения, принадлежащих различным производителям Industrial Control System (ICS) оборудования", — сообщили они.

Незащищенная инфраструктура

Специалисты "Лаборатории Касперского" отметили, что в последнее время все чаще можно услышать об атаках злоумышленников на объекты критической инфраструктуры. "Один из нашумевших примеров проникновения на энергетические объекты – атака BlackEnergy, которая привела к отключению электроэнергии в нескольких районах Украины в 2015 году", — напомнили они.

Угрозы от таких кибератак очень велики, считают эксперты. Так, атаки на промышленные системы могут повлиять не только на отдельно взятое предприятие, но и на жизнь обычных людей.

"На сегодняшний день довольно сложно судить о том, насколько часто происходят подобные инциденты, так как зачастую пострадавшие организации о них не сообщают", — сообщили они.