Андрей Старостин, для UBR
Вашингтон предотвратил масштабную кибератаку, нацеленную на Украину
24 мая 2018 года ФБР США сумело остановить грозившую всему миру атаку компьютерного вируса, который был злонамеренно внедрен в миллионы WiFi-роутеров по всей планете. В ходе расследования бюро выяснило, что львиная доля зараженной зловредом аппаратуры была сконцентрирована в Украине. В СМИ вирус обозвали «VPN Filter», а специалисты сочли его куда более опасным, чем нашумевший в 2016-2017 годах Petya A.
Главной целью тогдашней глобальной кибератаки принято считать именно нашу страну. Ведь невзирая на тот факт, что от различных вариаций Petya досталось всем государствам, только в Украине они нанесли максимальный урон. Привели к локальным существенным сбоям энергоснабжения и создали драматическую угрозу судоходству. В том числе для танкеров-аммиаковозов, которые ходят в Украину десятками.
Между тем, сбой в работе навигационных систем в результате работы вируса вполне реален. А авария даже одного такого судна, скажем, под Одессой способна привести к тысячам жертв. К счастью, в 2016-2017 годах этого удалось избежать. Но то, что тогда не сумел сделать почтовый вирус Petya, ныне вполне мог бы осуществить более сложный «роутерный» вирус VPN Filter.
UBR.ua выяснил, почему морское навигационное оборудование заражалось в прошлые годы, и что делается сейчас, чтобы предотвратить технологическую катастрофу.
Кибершпионы и новые санкции
История с массированной кибератакой двухлетней давности либо в самом деле была умело купирована, либо властям удалось скрыть от общественности реальные ее последствия. Но замолчать масштаб нынешней атаки будет не так уж просто.
Все потому, что по разработчикам злонамеренных компьютерных программ начали бить санкции. Так, 11 июня власти США опубликовали новый санкционный список российских компаний. В который угодили несколько мощных IT-предприятий.
По сравнению с другими волнами американских санкций, нынешний список выглядит весьма скромно и помещается всего на одной странице. Заметно и еще одно отличие. Так вышло, что практически все фигуранты нынешнего санкционного списка оказались в той или иной мере объединены одной тематикой - деятельностью в сфере морского инжиниринга или навигации.
С одним исключением: около трети подсанкционных предприятий являются крупными российскими компаниями, специализирующимися на вопросах кибербезопасности.
Каким образом в один пакет попали специфические морские услуги и кибербезопасность – до конца неясно. Официально на этот вопрос не отвечают ни в Вашингтоне, ни в других столицах. Так что экспертам остается лишь гадать, как в списке очутились крупные игроки IT- рынка стран бывшего СССР.
Это, в частности, израильская компания, оказывающая услуги киберзащиты Embedi, международная корпорация ErpSсan, и ее материнская российская компания Digital Security. Объединяет их общий сооснователь Игорь Медведенков, который еще в 1990-е годы получил государственный заказ от российской службы спецсвязи ФАПСИ, и с тех пор сумел заметно нарастить свой бизнес.
Военные водолазы и ядерщики
Наряду с этими компаниями в список вошли несколько жителей портовых городов Ливии и Эритреи. Судя по шифру категории санкций, эти физические лица нарушили действующие на международном рынке вооружений ограничения против этих стран. Поставлять оружие, военный софт или спецтехнику в страны с гражданскими конфликтами запрещено уставом ООН и рядом международных соглашений.
Вслед за африканцами и «киберзащитниками» под санкции попали три уникальные предприятия российской оборонной промышленности. Их соседство с IT-компаниями выглядит весьма зловеще. Речь идет о группе компаний «Дайв Тек», работающей в сфере промышленных водолазных работ, и подмосковном государственном НИИ «Квант» из города Мытищи.
Первая продает технику для боевых пловцов ВМФ РФ. Они подчинены ГРУ и среди прочего делают врезки в подводные кабели связи. Вторая трудится в этой же сфере - «Квант» входит в холдинг «Информационные спутниковые системы» (ИСС), который уже давно под санкциями США. Холдинг работает в сибирском закрытом административном образовании ЗАТО Железногорск, который в СССР носил имя Красноярск-26.
Мишень санкций - производители «грязных бомб»
Указанный российский НИИ и холдинг производят то, что с легкой руки экологических организаций пресса всего мира давно называет громким термином «грязные атомные бомбы». Сталкеры незаконной добычи радиоактивных материалов называют их чуть скромнее – «термосы». По сути, они представляют собой передвижные радиоизотопные термоэлектрические генераторы (РИТЭК), которые производит холдинг ИСС. А его дочерний НИИ разрабатывает и выпускает автономные источники электроэнергии. Говоря по-простому это атомные батарейки.
В масс-медиа портативные генераторы часто путают с миниатюрными ядерными реакторами. Наподобие тех, которые США устанавливали в Антарктиде в середине ХХ века. Но такое сравнение не совсем верно. Поскольку портативные ядерные термосы одноразовые, то есть заряжаются изотопами единожды. Тогда как мини-реакторы могут загружаться множество раз, причем куда менее радиоактивным топливом, чем генераторы.
Потому-то реакторы малой мощности намного безопаснее по всему циклу использования, чем портативные РИТЭКи.
В гражданской сфере экономики портативные генераторы используются гораздо реже, чем в военной. В основном, они нужны для питания космических аппаратов, удаленных морских маяков, или необитаемых научных станций. В армии же и спецслужбах без погружаемых термосов и атомных батареек невозможна работа глубоководных сетей противолодочной обороны (ПЛО). Наземные портативные генераторы в свою очередь нужны для питания удаленных станций дальней тропосферной связи, и станций радиоэлектронной борьбы.
Торговый и сервисный оборот изотопов жестко контролируется МАГАТЭ. И если уж в Вашингтоне не стали жаловаться этой организации, а сразу включили российские атомные предприятия в санкционный список, значит на руках у Госдепа есть очень веские доказательства серьезных нарушений.
В РФ, изотопное топливо для генераторов выпускает уральский завод «Маяк». А сборку разработанных холдингом ИСС и «Квантом» передвижных генераторов производит главный российский производитель ядерных боезарядов, электрохимический комбинат «Авангард» в Нижегородской области. Он работает в ЗАТО Кремлев, которое более известно прессе по старому советскому имени Арзамас-16.
Вирусные фабрики страшнее ядерщиков?
Кроме РФ, легальным и согласованным с МАГАТЭ серийными производствами генераторов владеют всего несколько государств мира. Это все члены глобального военно-ядерного клуба: США, Великобритания и Франция. Подобной атомной отраслью двойного назначения обладают Германия и Япония, которые не имеют ракетно-ядерного статуса. При поддержке и финансировании США определенные шаги на пути к производству РИТЭКов предпринимает и безъядерная Украина.
Все это лишний раз доказывает, сколь серьезно в США относятся к исходящей от РФ киберугрозы. Ведь не случайно в одном ряду с грозными ядерными технологиями, опасность которых не вызывает сомнений, очутились IT-компании. Едва ли Штатам пришло бы в голову вносить в один список предприятия ядерного машиностроения и производителей охотничьих ружей или матрешек.
А главное, что утечки ядерных технологий контролирует МАГАТЭ, пусть и с прорехами, как в случае с Ираном либо КНДР. В то же время межправительственные организации или соглашения очень слабо контролируют IT-сектор. Поэтому исходящие из этой отрасли опасности намного более глубоки и непредсказуемы, чем угрозы режиму ядерного нераспространения, которые давно и детально квалифицированы.
Вирусные удары по Украине
Чтобы понять насколько опасны угрозы в электронной сфере, можно привести детали вирусных атак, которые происходили в Украине в 2016-2017 годах. Тогда украинские власти были склонны утаивать от общественности масштаб угроз, которые несли вирусные атаки для объектов критической инфраструктуры. Однако недавние события, которые произошли накануне новой волны американских санкций, показывают, что скрывать масштаб вирусной угрозы становится все сложнее.
Почти за месяц до того, как ФБР США 24 мая презентовало прессе итоги отражения атаки нацеленного на Украину вируса VPN Filter, украинские правоохранители салютовали об обнаружении зловредного российского ПО на одном из стратегически важных украинских предприятий. Как удалось выяснить UBR.ua у источников в Николаеве, под ним подразумевалось дочернее предприятие «Дельта Лоцман» Администрации морских портов Украины морских портов Украины (АМПУ).
Это ДП от лица государства отвечает за безопасность мореплавания в украинских водах. Фактически, предприятие собирает воедино данные радиолокации различных ведомств, управляет станциями идентификации суден и отвечает за работу Системы регулирования движением суден.
Но если с мишенью атаки российских хакеров все более-менее ясно, то с инициатором нападения все сложнее - пока что он не назван. По заявлениям властей, СБУ «информировала руководство госпредприятия об обнаруженных угрозах. Использование программы производства РФ прекращено, заблокированы каналы ее связи с внешним сетями, принимаются меры для замены российского IT-продукта на альтернативные программы».
Вот только менеджмент ДП вряд ли нуждался в предупреждениях силовиков. Уже более десяти лет главным поставщиком софта «Дельты-Лоцман» является российская электронная компания «Транзас». Вместе с компаниями «Трансконтейнер» и «Трансбункер», она была одним из трех российских инвесторов, которые пришли в Украину в 2006-2007 годах благодаря поддержке тогдашнего министра транспорта Евгения Червоненко.
Найдут ли в Киеве связь между двумя «киберзащитниками», Digital Securites и «Транзас» - вопрос дискуссионный.
После 2014 года над скрытым дистанционным управлением российскими специалистами аппаратуры украинской «Дельта Лоцман» нависла угроза. Ведь ни много ни мало, доступ российских хакеров к данным украинской навигации сыграл очень важную роль в аннексии Крыма.
Очевидно потому «Транзас» спешно выделила свое сугубо военное подразделение «Транзас Кронштадт Технологии» в новую формально независимую компанию «Группа Кронштадт». А за месяц до того, как СБУ заявило о выявлении нарушений в Николаеве, частные российские акционеры «Транзас» и вовсе заявили, что продали компанию финскому судостроительному гиганту, корпорации Wärtsilä.
То есть Украине, по большому счету, стало некому предъявлять претензии к поставке зловредного софта: ведь финны-моторостроители к ней явно не имеют никакого отношения.
Между тем, с распродажи российских электронных активов началась вполне логичная цепочка событий. Сначала в прессе появились сообщения о смене владельца «Транзас». Затем СБУ, не назвав компанию, нашла зловредный навигационный софт в Николаеве. Потом ФБР ликвидировала очаги эпидемии нового вируса. А в довесок США впервые в истории санкций объединили в одном списке две группы предприятий: российские компании атомного машиностроения и российские международные компании киберзащиты.
Судя по медлительности Киева в предыдущий период, вряд ли стоит ожидать что украинские власти после такого потока событий как-то активизируют меры по предупреждению киберугроз. Чтобы подобные истории больше нигде не повторялись. Но скорее всего, уже второй раз избежав массовой вирусной атаки, Украина снова не сделает корректных выводов. А украинские силовики лишь получат хороший повод снова шерстить украинский IT-сектор. Благо, он растет гораздо быстрее многих других отраслей украинской экономики.
