Українці можуть залишитися без світла взагалі: як РФ руйнує енергетичний сектор України

Під час повномасштабної війни енергетика часто стає ціллю російських військ, і шкоди завдають не тільки ракети або дрони. Фокус довідався, як кібератаки можуть залишити українців без світла та опалення, і як цього не допустити.

Хакерська атака 23 грудня 2015 року: як це було

Хакерські атаки проводяться постійно, однак злочинці нечасто досягають успіху. 23 грудня 2015 року енергетична компанія "Прикарпаттяобленерго" повідомила про втручання у роботу її системи, внаслідок чого обслуговувана нею територія на заході України, в тому числі місто Івано-Франківськ, залишилася без електропостачання.

Приблизно у той же період жертвами атак стали "Чернівціобленерго" та "Київобленерго". Загалом від хакерської кампанії постраждали 16 підстанцій і близько 225 тисяч українців.

Як повідомили пізніше міністерство енергетики та вугільної промисловості України, хакери готувалися близько півроку і розсилали працівникам енергетичних компаній листи з вірусними програмами BlackEnergy. Після запуску вірус дозволяв зловмисникам збирати інформацію про структуру інформаційних систем, програмне забезпечення, облікові записи для віддаленого доступу до інфраструктури. Крім того, він встановлював іншу програму — KillDisk, здатну видаляти та перезаписувати файли.

Після отримання доступу хакери захопили керування автоматизованою системою диспетчерського управління та віддалено вимкнули підстанції, вивели з ладу джерела безперебійного живлення, модеми, комутатори та інше обладнання для зв'язку. Зловмисники також знищили інформацію на серверах і робочих станціях (утилітою KillDisk), а потім обдзвонювали кол-центри, щоб відмовитися від обслуговування від особи постраждалих.

Директор з аналітики шпигунства американської компанії iSight Partners, яка спеціалізується на захисті кіберінформації, Джон Халтквіст повідомив, що атаку на енергосистему організувала хакерська група Sandworm, пов'язана з Росією. Експерти зробили такий висновок, вивчивши ПЗ BlackEnergy й KillDisk.

Заступник глави Держдепартаменту США з питань енергетики Елізабет Шервуд-Рендалл також припустила, що за вірусною атакою стоїть Росія.

Кібератаки на енергетику України сьогодні

За даними консалтингової компанії DataDriven Research & Consulting, станом на 2022 рік енергетика входить у список 5 основних цілей хакерів, знаходячись приблизно на одному рівні з медіа. Найбільш поширеними видами кібератак є: DDoS, Ransomware (вимагання викупу), фішинг. Згідно зі звітом IBM Security, у 2024 році енергетика посіла друге місце серед секторів із найбільшим числом кіберзагроз.

У звіті SecurityScorecard за 2024 рік вказано, що 90% провідних світових енергетичних компаній зіткнулися з витоками даних, що сталися з вини третіх осіб. Багато з цих атак стали прямим наслідком залежності від хмарних сервісів та інтеграції зі сторонніми компаніями для управління мережевими системами, яка тільки зростає.

Керівник управління забезпечення діяльності Національного координаційного центру кібербезпеки (НКЦК) профільної служби Апарату РНБО України Сергій Прокопенко розповів на Київському міжнародному форумі кіберстійкості у березні 2025 року, що Росія часто координує кібератаки з військовими та інформаційними кібератаками, передає "Межа".

Наприклад, коли минулої зими в Україні було похолодання, російські хакери здійснили кілька кібератак на об'єкти енергетичної інфраструктури й теплопостачання, а одночасно з цим завдали кінетичних ударів.

"Росія збільшує і кількість деструктивних кібератак. Якщо раніше вони більше намагалися атакувати державні установи, то зараз пріоритетом є бізнес", — зазначив Сергій Прокопенко.

За його словами, кібератаки здійснюються як на комп’ютери, так і на мобільні телефони, в тому числі із використанням і комерційного шпигунського ПЗ такого як Pegasus.

У жовтні 2024 року заступник міністра енергетики Роман Андарак заявив, що в Україні захист енергетики від кібератак посилюється завдяки постійному навчанню фахівців. Здобуті знання допомагають підтримувати стабільну роботу інформаційних систем, не допускати ворога до чутливої інформації, раніше виявляти спроби втручання.

Компанія Radiy, виробник інформаційно-цифрових систем безпеки для українських електростанцій, зазначає, що вимоги із кібербезпеки вже зафіксовані на рівні законодавства. Щоб запобігти кібератакам, впроваджуються:

• багаторівневі системи захисту внутрішніх цифрових мереж та даних;
• шифрування даних, яки передаються по загальним цифровим мережам;
• використання сучасних технологій кіберзахисту;
• регулярне тестування на стійкість до кібератак.

Рівень захисту знижується через використання застарілого обладнання, програмного забезпечення і комп'ютерів, незахищених корпоративних мереж, а також відсутність системи моніторингу ІТ-безпеки. Встановлювати нові цифрові системи у старі мережі небезпечно, бо ставить під загрозу їх надійне функціонування.

Як росіяни атакують енергетичний сектор під час війни і як його захищають

Як зазначив Петро Охотін, офіцер Сил Оборони України, фахівець з інформаційної безпеки, режим Путіна підтримує хакерські групи, тому що бачить кібератаки складовою боротьби з Заходом. Російська теорія гібридної війни виникла як реакція на ненасильницькі революції, зокрема, події 2004 року в Україні. Саме тоді помітна активізація вуличних прокремівлських рухів і пошук протидії опозиційним і прозахідним рухам у інтернет-мережі. Російські хакерські групи стали помітними уже у квітні 2007 року під час атак на сайти Естонії.

"Російські експерти вживають поняття «мережецентричної війни», де об’єктом атаки є особи, інституції та складові критичної інфраструктури. Кібератаку на енергетику України в 2015 році потрібно розглядати саме як продовження експериментів Кремля у так званих мережецентричних війнах проти Заходу. На підтвердження цієї думки додам, що у 2015 році також були здійснені атаки з «російським слідом» на французький канал ‘TV5 Monde’ та на інформаційну мережу німецького парламенту ‘Parlakom’. Таким чином, у 2015 році російські спецслужби відтестували наступальні кібердії проти медіа, урядової інституції та енергетики" — сказав експерт.

Інструментарій російських хакерів – програми-вимагачі, фішинг і програми віддаленого доступу. Вірус ‘NotPetya’, яким енергетика України була атакована в 2017 році, вже був вірусом-винищувачем даних, що мімікрував під програму-вимагач.

Вразливі ланки – неоновлене програмне забезпечення, програми з закладеним у прошивку шкідливим кодом і людина, яка здійснює свідомі або несвідомі дії, даючи доступ зловмисникам.

Петро додає, що Україна зараз використовує усі можливі тактики та техніки кіберзахисту. Проте ворог також вдосконалюється. Протидія можливим атакам має відбуватися за допомогою симуляції атак на цифрових двійниках критичної інфраструктури, відпрацюванні можливих атак і спроб проникнення за допомогою wargame, симуляції на кіберполігонах. Окремим напрямком роботи є навчання кіберграмотності співробітників і їх перевірка, адже саме наявність інсайдера – людини, яка може скомпрометувати захист усієї організації, є загрозою, що може звести нанівець зусилля технічних фахівців.

Раніше писали, як військові використовують кіберзброю на війні в Україні. Хакерські атаки мають безпосередній вплив на успіхи на полі бою, за словами фахівця з кібербезпеки Євгена Поремчука.