Эксперты компании Symantec, специализирующейся на разработке систем IT-безопасности, выразили обеспокоенность в связи с сообщениями о продолжающихся кибератаках хакеров из группы, которую специалисты Symantec окрестили Dragonfly (стрекоза). Атаки хакеров направлены в первую очередь на предприятия из энергетического сектора. Первоначальными целями группы были оборонные и авиационные компании из США и Канады, но в начале 2013 года внимание хакеров переместилось на американские и европейские энергетические компании. Согласно данным Symantec, группе Dragonfly удалось получить доступ к защищенным данным ряда стратегически важных организаций, что потенциально может привести к повреждению электроэнергетической инфраструктуры и нарушению непрерывности поставок энергоресурсов.

Перебои в работе отдельных элементов энергосистем США и Европы могут иметь катастрофические последствия для владельцев корпоративных центров обработки данных, а также для поставщиков и арендаторов площадей внутри коммерческих ЦОД. Даже несмотря на то, что дата-центры характеризуются несколькими уровнями резервирования вспомогательной инфраструктуры, а также имеют резервные источники электропитания, при длительном отключении подачи электричества через центральную сеть рано или поздно ЦОД все же будут уходить в офлайн из-за нехватки топлива для ДГУ.

Обширный арсенал

Следует отметить, что в распоряжении хакерской группы Dragonfly имеется целый ряд вредоносных инструментов, при этом злоумышленники могут осуществлять атаки несколькими способами. Также известная под названием Energetic Bear, данная группа функционировала, по крайней мере, с 2011 года. Специалисты Symantec говорят о наличии косвенных доказательств того, что деятельность злоумышленников спонсируется отдельными государствами, так как хакеры демонстрируют высокий уровень технических возможностей. Основываясь на анализе периодов, когда они нападают, эксперты компании сделали вывод, что нападающие, вероятнее всего, базируются в Восточной Европе.

Группа начала с размещения ссылок на вредоносные программы в фишинговых письмах, отправляемых персоналу интересующих ее фирм. Затем хакеры перешли на атаки типа Watering Hole, суть которых заключается в заражении веб-сайтов небольших компаний зловредным программным обеспечением и получении контроля над этими веб-сайтами с тем, чтобы атаковать последующих посетителей этих ресурсов (которые являются сотрудниками других компаний). Третий этап масштабной кампании заключался в заражении троянами продуктов производителей IT-решений для промышленного контроля.

Специалисты Symantec пришли к выводу, что первой компанией, чью продукцию смогли заразить хакеры, оказался немецкий производитель промышленных маршрутизаторов и оборудования для организации удаленного доступа MB Connect Line. Второй жертвой оказалась бельгийская фирма eWon, которая производит программное обеспечение для виртуальных частных сетей, используемое для организации доступа к системам промышленного контроля. Третий поставщик пока не был идентифицирован. Благодаря троянам хакеры добились того, что компании-жертвы установили вредоносное ПО на свои машины при загрузке обновлений программного обеспечения вышеназванных вендоров.

Под угрозой все, что подключено к интернету

Как отметил IT-директор по технологиям ванкуверского колокейшн-провайдера Peer 1 Hosting Рон Брэдберн, все устройства, подключенные к сети или обладающие возможностью подключения к интернету, являются уязвимыми для атак со стороны столь организованной хакерской группы.

«Масштаб происходящего довольно крупный. При этом то, насколько эффективно хакеры используют различные типы и направления атак, говорит о высоком уровне их организованности и стратегическом характере функционирования группы», заявил Брэдберн.

Долгосрочные отключения электростанций представляют реальную угрозу для ЦОД

Было бы трудно использовать тактику, применяемую при нападениях на коммунальщиков, для целенаправленной организации даунтаймов ЦОД напрямую, но нельзя забывать и о том, что дата-центры в большинстве своем всецело полагаются на центральную электросеть, электроэнергия из которой используется для запитки серверов, сетевого и вспомогательного оборудования.

«Я не думаю, что дата-центры могут быть столь же уязвимы перед прямыми хакерскими атаками, как поставщики коммунальных услуг, потому что многие системы управления инфраструктурой ЦОД функционируют без подключения к интернету. Иными словами, у большинства дата-центров нет опции дистанционного включения и выключения «, отметил Винсент Раис, специалист по развитию бизнеса амстердамского сервис-провайдера EvoSwitch.

По мнению специалиста мичиганского хостинг провайдера Online Tech Джейсона Ейгера, «страшная правда закачается в том, что индустрия ЦОД не настолько эффективно подготовлена к такого рода сценариям развития событий в электроэнергетической системе, как ожидают клиенты».

Энергетическая компания ITC Holdings из Мичигана, где расположены дата-центры Online Tech, недавно сообщила о кибератаке, но позже представители компании сказали, что это была ложная тревога. Другие американские поставщики электроэнергии вроде Duke Energy и NRG Energy в прошлом году также рапортовали о кибератаках. Специалистам Duke Energy пришлось в экстренном порядке изолировать и вывести из эксплуатации несколько компьютеров компании, после чего все программное обеспечение с них было удалено и переустановлено, затем машины были снова протестированы на предмет наличия вирусов.

Единственный способ, с помощью которого операторы дата-центров могут добиться поддержания бесперебойной работы IT-инфраструктуры во время длительных отключений подачи электричества через центральную сеть, является подписание контрактов на поставку топлива сразу с несколькими поставщиками, что позволит подолгу эксплуатировать резервные дизельные электрогенераторы (ДГУ).

«Когда мы заключили свои контракты на поставку топлива для ДГУ, мы попытались оценить и спрогнозировать, насколько эффективно потенциальные поставщики смогут выполнять свои обязательства по SLA (с логистической точки зрения). Например, если бензовоз дистрибьютора должен будет пересечь реку чтобы добраться до дата-центра, лучше заключить договор с другим дистрибьютором, чьим грузовикам по дороге не будут попадаться реки и мосты «, отметил исполнительный вице-президент по инжинирингу и развитию инфраструктуры нью-йоркской компании Telx Майк Терлицци.

Человеческие ошибки и стихийные бедствия опаснее для ЦОД, чем Dragonfly

Операторы дата-центров в большинстве своем не исключают вероятность масштабных даунтаймов по причине хакерских атаки на электроэнергетическую инфраструктуру, но, как правило, они более озабочены «стандартными» причинами даунтаймов вроде пресловутого «человеческого фактора».

«Перебои в сетевом электроснабжении, безусловно, являются огромной проблемой, но стихийные бедствия вызывают все большее беспокойство», говорит Терлицци, добавляя, что операторы ЦОД его компании (Telx) знают о стихийных бедствиях не понаслышке. Они столкнулись с потопом в Нью-Йорке в 2012 году, когда ураган «Сэнди» обрушился на северо-восточную часть США.

По словам Терлицци, в тот раз практически весь остров Манхэттен оказался частично затоплен, но при этом Telx не лишилась доступа к электроэнергии из центральной сети – хотя владельцам других местных ЦОД повезло меньше.