Сутринта на 29 декември миналата година беше тиха. В цяла Полша вятърните и слънчеви паркове стояха до голяма степен празни, наблюдавани чрез отдалечени връзки и автоматизирани табла. В мрежите, свързващи ги с операторите, някой вече беше влязъл в системата, разказва Balkan Insight.
Нападателят е бил тук много преди този ден - макар и не навсякъде едновременно. Месеци по-рано, непознати потребителски имена започнаха да се появяват в корпоративната мрежа на голяма комбинирана топлоелектрическа централа, която по-късно щеше да се превърне в една от основните цели.
Разследващите проследиха активността до март 2025 г.: скрийншотове, заснети от индустриални системи, списъци с работещи процеси, експортирани във файлове, и идентификационни данни, събрани в мрежи - бавно картографиране на инфраструктурата, което се слива с рутинния административен трафик. До края на декември операцията се разшири.
Най-малко 30 обекта за възобновяема енергия - вятърни и фотоволтаични паркове, разпръснати из Полша - станаха достъпни чрез VPN шлюзове, изложени на интернет. Някои акаунти нямаха многофакторно удостоверяване и идентификационните данни бяха използвани повторно в различни съоръжения - малки пропуски, които, след като бъдат открити, позволиха на нападателите да се придвижват тихо от една инсталация към друга.
Цифрови актове на палеж
Разрушителната фаза започна сутринта на 29 декември. В отдалечени подстанции, свързващи възобновяеми енергийни паркове с разпределителната мрежа, устройствата започнаха да се изключват едно по едно - последователност, по-късно реконструирана подробно от националния екип за реагиране при инциденти на Полша, CERT Polska.
Използвайки администраторски акаунти по подразбиране, нападателите качиха повреден фърмуер върху контролерите - системите, които позволяват на инженерите да управляват подстанциите дистанционно - принуждавайки ги към безкрайни цикли на рестартиране и отстранявайки операторите от надзор. В мрежата други промишлени устройства бяха тихо нулирани, паролите променени, а връзките изтласкани извън обсег.
Външно изглеждаше малко нередно: производството на електроенергия продължи и националната преносна мрежа остана стабилна. И все пак вътре в контролния слой връзките изчезнаха - цифровият еквивалент на инструменти, които затъмняват, докато турбините продължават да се въртят. По-късно следователите обобщиха намерението директно:
"Всички атаки бяха чисто разрушителни по природа; по аналогия с физическия свят, те могат да бъдат сравнени с умишлени актове на палеж."
Източник: iStock
Варшава, Полша
Обектите за възобновяема енергия бяха само един фронт на по-широка кампания. В същия ден се разрази отделна ескалация в голяма когенерационна централа, обслужваща близо половин милион клиенти. Там нападателите се придвижиха през корпоративни системи, използвайки администраторски привилегии, получени месеци по-рано.
След това те превърнаха собствената система за актуализиране на компанията в канал за доставка, разпространявайки злонамерен архив през мрежата, сякаш беше рутинен софтуер. Файлът съдържаше програма за изтриване на данни, по-късно наречена DynoWiper - предназначена не да краде информация или да изисква откуп, а да изтрива данни за постоянно.
Разследващите в крайна сметка идентифицираха същото семейство злонамерен софтуер в инсталации за възобновяеми енергийни източници, свързвайки инцидентите в една координирана операция. В началото изглеждаше като рутинна административна работа. Едва когато злонамереният софтуер започна да презаписва файлове, се задействаха предупреждения, спирайки атаката, преди да се стигне до мащабно разрушение.
До края на деня инженерите бяха овладели щетите. Мрежата остана стабилна и производството на топлина продължи - но последователността разкри нещо необичайно: кампания, изградена върху месеци разузнаване, използваща разрушителни инструменти не за да предизвика незабавен хаос, а за да демонстрира колко дълбоко един противник може да достигне до системите, които поддържат осветлението и отоплението на Европа включени.
Размиване на границите
Сняг падна в голяма част от Полша онази сутрин, като температурите се задържаха малко под нулата преди Нова година. Ако атаката беше успешна, близо половин милион души щяха да останат без отопление. И все пак, освен малък кръг инженери и служители, никой не знаеше, че нещо се е случило, докато две седмици по-късно министърът на енергетиката Милош Мотика не застана пред репортери.
"Не сме виждали подобни атаки преди. За първи път няколко обекта бяха ударени едновременно", каза министърът.
Часове по-късно вицепремиерът Кшищоф Гавковски описа операцията като "акт на руски саботаж" с "ясна цел: да предизвика спиране на електрозахранването". Първоначално подозрение падна върху Sandworm, свързано с ГРУ звено, известно с разрушителни кибероперации срещу енергийния сектор на Украйна. Наличието на зловреден софтуер, подобен на wiper, изглеждаше да отговаря на модела.
Изследователи от ESET - софтуерна компания, специализирана в киберсигурността - отбелязаха прилики с по-ранни кампании на Sandworm, но подчертаха, че оценката им е само със "средна степен на доверие".
"Има силно припокриване между тактиките, техниките и процедурите, наблюдавани в полския случай, и тези, които обикновено се свързват с операциите на Sandworm в Украйна", казва пред BIRN Антон Черепанов, старши изследовател на зловреден софтуер в ESET.
Източник: iStock
Атрибуцията в киберсигурността е по своята същност сложна, добавя Черепанов. Анализаторите сглобяват фрагменти - инфраструктура, поведение, модели на изпълнение - които могат да сочат в различни посоки едновременно. Картината се промени, когато националният екип за реагиране при инциденти на Полша, CERT Polska, публикува свой собствен анализ.
Вместо да се фокусират само върху зловреден софтуер, разследващите проследиха инфраструктурата зад проникването - компрометирани сървъри, анонимизиращи възли и мрежови устройства - и я съпоставиха с клъстер от дейности, известен с няколко имена: Static Tundra, Berserk Bear, Ghost Blizzard или Dragonfly, екосистема, широко свързана с руската служба за вътрешна сигурност, ФСБ. За външни хора имена като Sandworm или Static Tundra може да звучат почти карикатурно.
Но зад брандирането се крие важна промяна. "Пясъчният червей" е широко възприеман като шумен и ориентиран към саботаж, докато свързаният с ФСБ клъстер традиционно е по-тих, фокусиран върху шпионаж. Ако атрибуцията е вярна, полският случай предполага, че тези граници може би започват да се размиват.
Дългосрочната игра
Декемврийската кибератака не започна с разрушение, а с търпение - месеци на тихо разузнаване, което според анализаторите носи белезите на операция в стил ФСБ.
"Това се вписва в класическия модел на IPOE - разузнавателна подготовка на оперативната среда", казва Джонатан Тера, политолог и бивш анализатор на НАТО.
"Става въпрос за това да се настаните в системите, да картографирате реакциите и да се подготвите за бъдещи събития."
Според Тера, нападателите са измъкнали данни, преди да пуснат "чистачката" - знак, че стойността на разузнаването е толкова важна, колкото и разрухата. Ограничените щети, причинени в крайна сметка от атаката, може би са показателни. Вместо да се стреми към хаос, казва той, операцията може да е била предназначена да тества защитните системи и да наблюдава процедурите за възстановяване.
"Операциите в стил ФСБ обикновено остават под прага на член 5 - сондиране и позициониране, вместо да задействат директен военен отговор", добавя Тера, сравнявайки ги с кампании, свързани с ГРУ, които дават приоритет на незабавния удар, или "краткосрочната игра".
Защо клъстер, свързан с ФСБ, би бил обвързан с разрушителна дейност, остава открит въпрос. "Въпреки че можете да припишете кибератаките с известна степен на увереност на конкретни участници, това, което не можете да видите, е процесът на вземане на решения зад тях", казва Киър Джайлс, асоцииран сътрудник в програмата за Русия и Евразия в Чатам Хаус.
"Просто не знаем какво се крие в черната кутия."
Някои анализатори предполагат, че може да е налице вътрешна конкуренция между руските агенции. Анджей Козловски, изследовател по киберсигурност в Университета в Лодз, отбеляза, че руските служби за сигурност често си съперничат в киберпространството и разрушителните операции могат да служат както на вътрешни борби за власт, така и на външен натиск.
"Ако ФСБ е навлязла в разрушителното киберпространство, тя може да се опитва да докаже своята стойност на Кремъл - показвайки, че може да се мери или да надмине ГРУ, за да си осигури по-големи ресурси", обяснява той, добавяйки, че ако приписването е валидно, това може да показва, че ФСБ се разширява в нова оперативна територия.
Източник: iStock
Руски хакери отдавна проникват в европейски мрежи, за да събират разузнавателна информация и да проучват слабости. Мащабните разрушителни атаки срещу критична инфраструктура обаче до голяма степен са били ограничени до Украйна - досега.
Според Тера, полският случай може да отбележи ескалация или просто да отразява по-широк модел по източния фланг на НАТО: кампании, предназначени да разширят достъпа и да тестват отбраната, без да преминават прага, който би предизвикал колективен отговор.
Един инцидент рядко решава въпроса, но траекторията става все по-ясна: кибероперациите все повече сливат шпионажа с разрушителните способности, ерозирайки границата между тайната дейност и откритата конфронтация. Дори езикът, използван за тяхното описание, може да е остарял.
"Трябва да спрем да използваме термина "хибридна война". Това рискува да тривиализира дейности, които са много по-близки до истинската война", смята Тера.
Засега нищо не е потънало в мрак, но инцидентът загатва за различен вид конфронтация - такава, която се измерва не с експлозии, а с това колко дълго противникът може да остане в системата, преди някой да го забележи.
USD
CHF
EUR
GBP
