Те, кто думают, что нападение на гражданскую инфраструктуру является военным преступлением, безусловно, правы. Тем не менее, шпионы из самых разных стран постоянно ведут тихую и грязную войну, подбираясь к гражданской инфраструктуре (в том числе и к гражданским атомным станциям, производящим электроэнергию), с тем чтобы иметь возможность совершить диверсию при возникновении геополитической напряженности.
Давайте проанализизуруем, как была взломана индийская АЭС Куданкулам (Kudankulam Nuclear Power Plant, KNPP) и как этого легко можно было бы избежать.
Взлом KNPP
Новость появилась, как это часто бывает в наши дни, в Twitter. По информации The New Indian Express, Пухрадж Сингх (@RungRage), известный специалист в области киберразведки, сыгравший важную роль в формировании центра кибервоенных операций в американской Национальной организации технических исследований (National Technical Research Organisation, NTRO), писал в Twitter: «Итак, теперь это становится достоянием общественности. Выявлен несанкционированный доступ к Kudankulam Nuclear Power Plant на уровне контроллера домена. Правительственные структуры были уведомлены давным-давно. Поражены критически важные цели». Сингх указал, что знал о нападении еще 7 сентября 2019 года, назвав его casus belli – событием достаточно серьезным для того, чтобы спровоцировать войну.
В своем последнем твите он пояснил, что не занимался изучением вредоносной программы лично: «Со мной связались представители третьей стороны, и 4 сентября (дата очень важна) я уведомил координатора по вопросам национальной кибербезопасности (National Cyber Security Coordinator). После этого мои информаторы поделились с офисом NCSC сведениями о признаках взлома. В 'Лаборатории Касперского' вредоносная программа чуть позже получила название DTrack».
Поначалу в Индийской национальной компании по атомным электростанциям (Nuclear Power Plant Corporation of India, NPCI) все отрицали. В своем пресс-релизе они осудили «ложную информацию», распространяемую в социальных сетях, и настаивали на том, что атомная станция Куданкулам «полностью автономна и не имеет внешних подключений к киберсетям и Интернету», а следовательно, «никакие кибератаки на систему управления атомной электростанцией невозможны в принципе».
Однако в дальнейшем там отказались от своих слов. Уже 30 октября в NPCI подтвердили, что вредоносная программа была обнаружена их системами, а уведомление CERT-India было направлено 4 сентября 2019 года. В заявлении говорилось, что зараженный компьютер был подключен к административной сети, «изолированной от критически важной внутренней сети. Расследование подтвердило, что системы станции не затронуты».
Целенаправленная атака
По данным исследователей из CyberBit, вредоносная программа вопреки первоначальным сообщениям была нацелена именно на KNPP. Методом обратного проектирования им удалось обнаружить в программном коде учетные данные администратора сетей KNPP (имя пользователеля: /user:KKNPP\\administrator; пароль: su.controller5kk), а также внутренние IP-адреса RFC 1918 (172.22.22.156, 10.2.114.1, 172.22.22.5, 10.2.4.1, 10.38.1.35), которые по определению не могут маршрутизироваться через Интернет.
Все это с высокой долей вероятности означает, что атакующий сначала сумел проникнуть в сети KNPP, просканировал устройства NAT, завладел учетными данными администратора, после чего использовал полученные данные в своей вредоносной программе, предназначенной для более глубокой и тщательной разведки сетей KNPP.
«Целью атаки была именно атомная станция, – утверждает Ход Гэвриел, занимающийся в CyberBit анализом кода вредоносных программ. – Возможно, речь здесь идет уже о втором ее этапе».
Исследованная вредоносная программа, впрочем, не включала аналогичный Stuxnet функционал, направленный на уничтожение систем KNPP. «На этой стадии все ограничивалось только сбором информации, никакого деструктивного вмешательства не было», – добавил Гэвриел.
Виновата ли Северная Корея?
В результате многочисленных исследований и анализа вредоносной программы, проведенного VirusTotal, было выявлено сходство кода с вредоносными программами, распространявшимися ранее северокорейской группой Lazarus. Аналитики «Лаборатории Касперского» обнаружили сходные черты еще с программами 2013 года: «Полученные образцы Dtrack показывают, что группа Lazarus отличается наиболее высокой активностью в части разработки вредоносного программного кода для проникновения в автоматизированные системы предприятий».
Однако с учетом того, что с геополитической точки зрения Индия не слишком интересует северокорейских хакеров, высока вероятность специального использования их кода другими группами для маскировки и направления следствия по ложному пути.
Анализ вредоносной программы
Вредоносная программа скрывалась внутри модифицированных копий вполне легитимного программного обеспечения, такого как 7Zip и VNC. Зачастую такая технология помогает избежать обнаружения вредоносных программ антивирусными сканерами. Отражать атаки можно за счет адекватной проверки сигнатур – модифицированная хеш-сумма программы отличается от хеш-суммы, подписанной поставщиком программного обеспечения. Успешное же проведение атаки подобного рода свидетельствует о том, что проверка хеш-сумм файлов программного обеспечения на станции не осуществлялась.
При пассивной защите выявить атаку очень сложно. «Эффективное обнаружение целенаправленных атак такого типа, как правило, сопряжено с большим количеством ложных срабатываний и требует тщательного анализа, – указал Гэвриел. – Службы, обеспечивающие безопасность критически важной инфраструктуры, должны постоянно проводить мониторинг сети, выявляя подозрительную деятельность и блокируя ее еще до того, как она успеет причинить реальный ущерб».
