Украинцы могут остаться без света вообще: как РФ разрушает энергетический сектор Украины

Во время полномасштабной войны энергетика часто становится целью российских войск, и ущерб наносят не только ракеты или дроны. Фокус узнал, как кибератаки могут оставить украинцев без света и отопления, и как этого не допустить.

Хакерская атака 23 декабря 2015 года: как это было

Хакерские атаки проводятся постоянно, однако преступники нечасто достигают успеха. 23 декабря 2015 года энергетическая компания "Прикарпатьеоблэнерго" сообщила о вмешательстве в работу ее системы, в результате чего обслуживаемая ею территория на западе Украины, в том числе город Ивано-Франковск, осталась без электроснабжения.

Примерно в тот же период жертвами атак стали "Черновцыоблэнерго" и "Киевоблэнерго". Всего от хакерской кампании пострадали 16 подстанций и около 225 тысяч украинцев.

Как сообщили позже министерство энергетики и угольной промышленности Украины, хакеры готовились около полугода и рассылали работникам энергетических компаний письма с вирусными программами BlackEnergy. После запуска вирус позволял злоумышленникам собирать информацию о структуре информационных систем, программном обеспечении, учетных записях для удаленного доступа к инфраструктуре. Кроме того, он устанавливал другую программу — KillDisk, способную удалять и перезаписывать файлы.

После получения доступа хакеры захватили управление автоматизированной системой диспетчерского управления и удаленно выключили подстанции, вывели из строя источники бесперебойного питания, модемы, коммутаторы и другое оборудование для связи. Злоумышленники также уничтожили информацию на серверах и рабочих станциях (утилитой KillDisk), а затем обзванивали колл-центры, чтобы отказаться от обслуживания от лица пострадавших.

Директор по аналитике шпионажа американской компании iSight Partners, которая специализируется на защите киберинформации, Джон Халтквист сообщил, что атаку на энергосистему организовала хакерская группа Sandworm, связанная с Россией. Эксперты сделали такой вывод, изучив ПО BlackEnergy и KillDisk.

Заместитель главы Госдепартамента США по вопросам энергетики Элизабет Шервуд-Рендалл также предположила, что за вирусной атакой стоит Россия.

Кибератаки на энергетику Украины сегодня

По данным консалтинговой компании DataDriven Research & Consulting, по состоянию на 2022 год энергетика входит в список 5 основных целей хакеров, находясь примерно на одном уровне с медиа. Наиболее распространенными видами кибератак являются: DDoS, Ransomware (вымогательство выкупа), фишинг. Согласно отчету IBM Security, в 2024 году энергетика заняла второе место среди секторов с наибольшим числом киберугроз.

В отчете SecurityScorecard за 2024 год указано, что 90% ведущих мировых энергетических компаний столкнулись с утечками данных, произошедшими по вине третьих лиц. Многие из этих атак стали прямым следствием растущей зависимости от облачных сервисов и интеграции со сторонними компаниями для управления сетевыми системами.

Руководитель управления обеспечения деятельности Национального координационного центра кибербезопасности (НКЦК) профильной службы Аппарата СНБО Украины Сергей Прокопенко рассказал на Киевском международном форуме киберустойчивости в марте 2025 года, что Россия часто координирует кибератаки с военными и информационными кибератаками, передает "Межа".

Например, когда прошлой зимой в Украине было похолодание, российские хакеры совершили несколько кибератак на объекты энергетической инфраструктуры и теплоснабжения, а одновременно с этим нанесли кинетические удары.

"Россия увеличивает и количество деструктивных кибератак. Если раньше они больше пытались атаковать государственные учреждения, то сейчас приоритетом является бизнес", — отметил Сергей Прокопенко.

По его словам, кибератаки осуществляются как на компьютеры, так и на мобильные телефоны, в том числе с использованием и коммерческого шпионского ПО такого как Pegasus.

В октябре 2024 года заместитель министра энергетики Роман Андарак заявил, что в Украине защита энергетики от кибератак усиливается благодаря постоянному обучению специалистов. Полученные знания помогают поддерживать стабильную работу информационных систем, не допускать врага к чувствительной информации, раньше выявлять попытки вмешательства.

Компания Radiy, производитель информационно-цифровых систем безопасности для украинских электростанций, отмечает, что требования по кибербезопасности уже зафиксированы на уровне законодательства. Чтобы предотвратить кибератаки, внедряются:

• многоуровневые системы защиты внутренних цифровых сетей и данных;
• шифрование данных, которые передаются по общим цифровым сетям;
• использование современных технологий киберзащиты;
• регулярное тестирование на устойчивость к кибератакам.

Уровень защиты снижается из-за использования устаревшего оборудования, программного обеспечения и компьютеров, незащищенных корпоративных сетей, а также отсутствия системы мониторинга ИТ-безопасности. Устанавливать новые цифровые системы в старые сети опасно, так как ставит под угрозу их надежное функционирование.

Как россияне атакуют энергетический сектор во время войны и как его защищают

Как отметил Петр Охотин, офицер Сил Обороны Украины, специалист по информационной безопасности, режим Путина поддерживает хакерские группы, потому что видит кибератаки составляющей борьбы с Западом. Российская теория гибридной войны возникла как реакция на ненасильственные революции, в частности, события 2004 года в Украине. Именно тогда заметна активизация уличных прокремлевских движений и поиск противодействия оппозиционным и прозападным движениям в интернет-сети. Российские хакерские группы стали заметными уже в апреле 2007 года во время атак на сайты Эстонии.

"Российские эксперты употребляют понятие "сетецентрической войны", где объектом атаки являются лица, институты и составляющие критической инфраструктуры. Кибератаку на энергетику Украины в 2015 году нужно рассматривать именно как продолжение экспериментов Кремля в так называемых сетецентрических войнах против Запада. В подтверждение этой мысли добавлю, что в 2015 году также были осуществлены атаки с "российским следом" на французский канал 'TV5 Monde' и на информационную сеть немецкого парламента 'Parlakom'. Таким образом, в 2015 году российские спецслужбы оттестировали наступательные кибердействия против медиа, правительственной институции и энергетики", — сказал эксперт.

Инструментарий российских хакеров — программы-вымогатели, фишинг и программы удаленного доступа. Вирус 'NotPetya', которым энергетика Украины была атакована в 2017 году, уже был вирусом-истребителем данных, мимикрировавшим под программу-вымогатель.

Уязвимые звенья — необновленное программное обеспечение, программы с заложенным в прошивку вредоносным кодом и человек, который совершает сознательные или бессознательные действия, давая доступ злоумышленникам.

Петр добавляет, что Украина сейчас использует все возможные тактики и техники киберзащиты. Однако враг также совершенствуется. Противодействие возможным атакам должно происходить с помощью симуляции атак на цифровых двойниках критической инфраструктуры, отработке возможных атак и попыток проникновения с помощью wargame, симуляции на киберполигонах. Отдельным направлением работы является обучение киберграмотности сотрудников и их проверка, ведь именно наличие инсайдера — человека, который может скомпрометировать защиту всей организации, является угрозой, которая может свести на нет усилия технических специалистов.