Угруповання Energetic Bear (також відоме під назвами Dragonfly і Crouching Yeti) проявляє активність щонайменше з 2010 року. Його цілями переважно є енергетичні та промислові підприємства. Вашингтон вважає, що діяльність угруповання спонсорує РФ.

Варто зазначити, що загроза реальних масштабних відключень енергопостачання цілком реальна. На жаль, першим “піддослідним кроликом” стала Україна. 23 грудня 2015 року пов’язаним з РФ хакерам вдалось успішно атакувати комп’ютерні системи управління трьох українських енергопостачальних компаній. Найбільше постраждали споживачі “Прикарпаттяобленерго”: було вимкнено близько 30 підстанцій, майже 230 тис. людей залишались без світла протягом шести годин. Синхронних атак (але з меншими наслідками) зазнали також “Чернівціобленерго” та “Київобленерго”. Атака відбувалась із використанням троянської програми BlackEnergy.

Було встановлено, що вірус потрапив у мережі обленерго за допомогою спеціальних листів із використанням методів соціальної інженерії, надісланих на комп’ютери працівників електронною поштою. Листи мали вкладений документ-приманку, при перегляді якого жертві пропонується активувати макрос для коректнішого зображення вмісту.

Після цього на комп’ютері жертви створюється і запускається завантажувач шкідливої програми, причому звичайний користувач (нефахівець із кібербезпеки) цього навіть не помічає. Так само не реагують і стандартні антивірусні програми. Після цього група хакерів методом віддаленого доступу вручну починала роздавати системі неправильні команди, одночасно блокуючи системи контролю та знищуючи за допомогою утиліти KillDisk потрібну інформацію на серверах та робочих станціях. Одночасно група підтримки атакувала телефонні номери кол-центрів з метою відмови в обслуговуванні знеструмлених абонентів.

Це була, так би мовити, проба пера. 17 грудня 2016 року сталося раптове відключення частини київської енергомережі, яке тривало рівно одну годину. В результаті збою автоматики управління були повністю знеструмлені кілька підстанцій ПАТ “Київенерго” і ВАТ “Київобленерго”, в результаті чого без світла залишилися приблизно п’ята частина споживачів Київської агломерації (загальна кількість мешканців – 3,7 млн осіб). Також була знеструмлена Київська ГАЕС (гідроакумулювальна електростанція).

Ситуація зацікавила фахівців американської компанії Dragos та їхніх колег зі словацької ESET. Вони провели власне розслідування та дійшли висновку, що кібератаку здійснила команда хакерів під назвою Electrum, яка з високою часткою ймовірності пов’язана з хакерами з групи Sandworm, що виконує завдання спецслужб РФ.

На думку команди міжнародних експертів, ця атака була лише “показовим тренуванням” російських хакерів. “Їхньою метою було випробування нового шкідливого програмного забезпечення (ПЗ), що здатне спричинити масові відключення електроенергії в ме­жах цілої країни. В майбутньому під загрозою можуть опинитися енергосистеми не тільки України, але й країн Європейського Союзу та навіть США”, – йшлося у звіті команди експертів.

Для атаки група Elec­trum використовувала шкідливе ПЗ під назвою CrashOverride. Причому це був лише третій в історії випадок застосування комп’ютерного вірусу, призначеного для руйнування фізичних об’єктів. Уперше з такою метою програмне забезпечення під назвою Stuxnet було використане при спробі знищення центрифуг (через подачу неправильних команд, які розганяли центрифуги до критичних швидкостей) на ядерному об’єкті в Ірані у 2009 році. Тоді Тегеран в усьому звинуватив США та Ізраїль, але жодних доказів так і не навели.

Експерти вважають, що вірус на основі Crash­Override, який був випробуваний в Україні у грудні 2016 року, набагато небезпечніший, адже може автоматизувати масові відключення електроенергії, даючи можливість одночасно атакувати багато об’єктів. Фахівці ESET і Dragos виокремили головну відмінність між атаками на українські обленерго у грудні 2015-го року та енергосистему Києва наприкінці 2016-го. Якщо в першому випадку хакерам потрібно було вручну давати неправильні команди, одночасно блокуючи захисні зусилля системних адміністраторів атакованих мереж, то в другому випадку атака була повністю автоматизована. “Тепер атаки стануть набагато масштабнішими, – заявив тоді представник Dragos Роб Лі. – Якщо у 2015 році в атаці на три обленерго України брали участь 20 осіб, то тепер ці 20 чоловік можуть одночасно атакувати 10-15 обленерго”. За його словами, під час атаки на київську енергосистему вірус CrashOverride використовував поширені в Україні протоколи. “Водночас дизайн програми дозволяє легко адаптувати її під протоколи енергосистем країн ЄС та Сполучених Штатів”, – впевнений експерт.

Наслідки від атаки CrashOverride можуть виявитися значно серйознішими, ніж тимчасова втрата контролю над енергосистемою. Фахівці ESET стверджують, що шкідлива програма має потенціал для завдання фізичної шкоди устаткуванню. За їхніми даними, CrashOverride може використовувати відому уразливість цифрового реле Siprotec. Такі реле встановлені для захисту, контролю й управління лініями електропередач. 

Майк Ассанте, працівник американської компанії у сфері кібербезпеки SANS Institute, каже, що відімкнення цифрового реле може призвести до теплового перевантаження ліній електропередач. Це своєю чергою означатиме провисання або розплавлення дротів, ушкодження трансформаторів, генераторів, перемикачів та іншого обладнання, яке перебуває під напругою. Ще страшніший варіант: зовнішнє управління графітовими стрижнями, що “гасять” ядерний реактор. Теоретично в такий спосіб можна “розігнати” АЕС до технологічно не­передбаченої швидкості – саме це й стало причиною вибуху в Чорнобилі.

Таким чином Crash­Override може забезпечити проведення спланованої атаки одночасно на багато об’єктів енергосистеми. Отже, це спричиняє ризик віялових відімкнень по всій країні, коли перевантаження “перетікає” з одного регіону в інший.