Російські хакери зруйнували управління системою водопостачання в Техасі

Хакери опублікували в Інтернеті відео маніпуляцій міськими системами контролю води та сусіднім містом, показуючи, як вони скидають елементи керування. У відео на платформі обміну повідомленнями Telegram вони назвалися Cyber Army of Russia Reborn (CARR).

«Ми починаємо черговий рейд на США», — йдеться у підписі до відео російською мовою, а хакери кажуть, що покажуть, як вони експлуатували «пару критичних об’єктів інфраструктури, а саме системи водопостачання». За ним з’явився емодзі-смайлик.

Компанія з кібербезпеки Mandiant заявила, що переповнення резервуара для води в містечку Техасу цілком може бути пов’язане з однією з найсумніших російських державних хакерських груп.

У разі підтвердження, аналітики кажуть, що це означатиме тривожну ескалацію Москвою її спроб порушити критичну інфраструктуру США, націлившись на один із найслабших секторів: водопостачання.

Хакерська група, яку аналітики приватного сектору колись охрестили Sandworm, стала відомою тим, що на короткий час вимикала світло в деяких частинах України щонайменше три рази; злом відкриття Олімпіади в Південній Кореї в 2018 році; і запуск NotPetya , однієї з найруйнівніших кібератак, яка коштувала компаніям у всьому світі десятки мільярдів доларів.

Хоча ніхто не постраждав і обслуговування не було перервано в Muleshoe, перспектива Sandworm розширити свої сайти з українських електромереж і французьких виборів на американську критичну інфраструктуру викликає занепокоєння, сказав головний аналітик Mandiant Джон Хултквіст.

Уряд США вважає Sandworm частиною ГРУ, російського військового розвідувального агентства.

Команда Mandiant, яка належить Google, спостерігала за створенням облікових записів соціальних мереж на YouTube для CARR з використанням серверів, пов’язаних із Sandworm, сказав Халтквіст, додавши, що Mandiant також виявив, що CARR публікує в Telegram українські державні дані, вкрадені хакерами Sandworm.

«Ми вже давно говоримо, що CARR — це лише прикриття для ГРУ», — сказав Хултквіст. «Потім ми бачимо, що вони приписують собі ці дії в США проти водопровідних служб. За цими атаками стоїть ГРУ? Якщо це не ГРУ, той, хто це робить, працює з того самого клубу. Це занадто близько для комфорту».

Розвідувальна спільнота США ще не визначила, чи керує CARR ГРУ, хоча аналітики розвідки шукають підказки.

Роберт М. Лі , генеральний директор і співзасновник компанії Dragos, яка спеціалізується на кібербезпеці систем промислового контролю, сказав, що команда його фірми відстежувала діяльність CARR у січні. Він підтвердив перелив води в Мулешу, але не зміг уточнити, чи траплялося це в інших містах. «Противник, безумовно, прагнув зруйнувати систему», — сказав він, зазначивши, що за останні кілька років державні суб’єкти намагалися зруйнувати роботу систем, тоді як десять років тому вони були зацікавлені переважно в шпигунстві.

Іншою метою було сусіднє місто Абернаті. Менеджер міста Дон Провост сказав в інтерв’ю, що злом «нічого не завадив». За його словами, ФБР і Міністерство внутрішньої безпеки швидко зв'язалися.

«Насправді це виявилося добре», — сказав він. «Це показало нам, де були наші вразливі місця».

В інтерв’ю міський менеджер Muleshoe Рамон Санчес сказав, що хакери грубим шляхом підібрали пароль для інтерфейсу системи керування системою, який керував постачальник. Він визнав, що пароль не змінювався понад десять років.

«Ви не думаєте, що це трапиться з вами. Це завжди станеться з іншим хлопцем», – сказав він.

Але інцидент змусив змінитися. «Ми навчилися», - сказав Санчес. «Найбільший урок полягає в тому, що ми завжди маємо бути проактивними та постійно оновлювати нашу кібербезпеку».

Він вважає, що Мулшоу став «жертвою можливості», додаючи: «Я б ніколи не подумав, що хтось, пов’язаний із російською армією, націлиться на Мулшоу».