Вторжение. Краткая история русских хакеров - [40]

. что курсор на его мониторе дернулся, хотя сам оператор ничего не делал. Курсор двинулся в сторону переключателя, отвечающего за рубильник на одной из подстанций, и отключил его. Оператор попытался исправить положение, но компьютер его не слушался; потом его и вовсе выкинуло из системы управления подстанциями. Вскоре во всей Ивано-Франковской области исчезло электричество.

Как считает специалист по безопасности Роберт Ли из компании Dragos Security, ко взлому хакеры готовились не меньше полугода. Сначала они внедрили на компьютеры программу Blackenergy 3. Для этого они использовали проверенный способ: пользователям сети отправляли фишинговые письма с файлами Microsoft Word, которые при открытии предлагали установить макрос. Тот, в свою очередь, устанавливал вредоносную программу.

Внутренние сети распределительных центров были хорошо отделены от системы управления подстанциями при помощи файрволов. Журнал Wired отмечал, что эта защита лучше, чем та, что стоит в компаниях, управляющих американскими электросетями. Тем не менее хакерам удалось ее взломать — они получили данные обычных пользователей и могли при подключении притворяться ими.

На изучение того, как устроена сеть распределительных центров и как она связана с системой управления подстанций, у злоумышленников ушло несколько месяцев. За это время они также написали новую прошивку для конвертеров на подстанциях, которые получают сигнал через интернет и передают его рубильникам. Как отмечают эксперты, это был первый взлом, когда хакеры сумели перепрошить само оборудование.

Начав атаку, хакеры отключили источники бесперебойного питания у двух из трех распределительных центров, в сеть которых у них был доступ. После этого они запустили гигантский поток звонков в колл-центр «Прикарпатьеоблэнерго», чтобы жители не могли сообщить об отключении энергии. Одновременно они отключили 30 подстанций и перепрошили там конвертеры таким образом, что операторы перестали видеть их состояние удаленно. Переключить рубильник стало возможно только руками. На компьютерах операторов хакеры запустили программу, которая сделала невозможной перезагрузку.

Восстановить подачу света в регион удалось только через шесть часов, а возможность удаленно переключать рубильники восстановить так и не удалось — энергетикам придется заменить конвертеры, испорченные хакерами. Wired отмечает, что в США последствия такой атаки были бы куда серьезнее: там на подстанциях рубильники попросту нельзя переключить руками.

Украинские власти считают, что этой атакой стояла Россия. Reuters также указывал, что программу Blackenergy ранее использовали российские хакеры. Кроме того, название Blackenergy принадлежало группе хакеров, которая разработала вирусы массового поражения Bad Rabbit и Petya: они шифровали данные на зараженных компьютерах и требовали от пользователей выкуп за разблокировку. Так или иначе, специалисты, опрошенные Wired, не смогли точно сказать, кто организовал атаку на Ивано-Франковскую область: нельзя исключать варианта, при котором хакеры сначала взломали украинскую энергосистему, а потом продали свои наработки России.

6 февраля 2016 года сотрудник расследовательской команды Conflict Intelligence Team Руслан Левиев засиделся у компьютера до ночи. Утром он собирался выпустить громкий материал. В нем рассказывалось [141] об участии российской 6-й танковой бригады из-под Нижнего Новгорода в боях под Иловайском и Дебальцевом на Донбассе. Одним из доказательств участия российских военных в украинском конфликте была найденная Левиевым фотография, на которой министр обороны Сергей Шойгу награждает часами одного из раненых солдат в клиническом госпитале имени Бурденко в Москве. Публикацию Левиев проанонсировал в своем твиттере.

К тому моменту он уже привык публиковать тексты с серьезными обвинениями российских властей, которые отрицали присутствие кадровых российских военных в Донбассе. Он чувствовал себя в относительной безопасности в своей московской квартире на юге Москвы, хотя ему не раз угрожали, а на улице он замечал слежку.

Последние годы Левиев сотрудничал с командой Bellingcat — она, используя открытые источники вроде выложенных в социальные сети фотографий, расследовала участие российских военных в конфликтах на Украине и в Сирии. Нидерландские власти использовали [142] данные Bellingcat в расследовании крушения малайзийского «Боинга», сбитого неподалеку от Донецка в июле 2014 года; в 2018 году именно Bellingcat сумели доказать, что обвиненные в отравлении российского перебежчика Сергея Скрипаля и его дочери Руслан Боширов и Александр Петров были агентами ГРУ действовавшими под этими вымышленными именами.

Представляя уровень возможного внимания к себе, Левиев — на случай визита правоохранительных органов и отключения электричества — установил в квартире четыре запасных аккумулятора и продублировал подключение к интернету, дополнив связь по кабелю модемом «Йоты».

Около трех часов ночи Левиев продолжал перепроверять текст и верстку расследования. Рядом спали два кота — Котопус и Десантник. В этот момент экран мобильного телефона, лежавшего у Левиева на столе, засветился.