Передріздвяна кіберактивність. Хто і навіщо атакує українські обленерго
В декабре хакеры совершили против украинских облэнерго несколько мощных кибератак, способных вывести их из строя.
Накануне об это сообщило агентство Reuters. По данным издания, речь идет о Прикарпатьеоблэнерго и еще как минимум двух предприятиях.
Так, 23 декабря 2015 года большая часть Прикарпатья осталась без электроснабжения. Причина – вмешательство посторонних лиц в работу автоматической системы контроля и управления энергооборудованием с помощью вредоносного ПО BlackEnergy.
Служба безопасности Украины обвинила в кибератаке Россию, а Министерство энергетики и угольной промышленности создало специальную комиссию, которая должна была провести расследование
Есть вероятность, что атаковали облэнерго те же хакеры, которые раньше атаковали украинские телеканалы. Двумя месяцами ранее, 25 октября 2015 года в день местных выборов тот же вирус, который был использован против облэнерго, атаковал компьютерные сети телеканалов СТБ, 5 канала, ICTV, Украины, ATR и UBR.
Атака на компьютерную инфраструктуру телеканалов, по мнению эксперта привлеченного к расследованию одного из эпизодов, была осуществлена в результате многоступенчатой секретной инфекции информационных сетей.
Инструментом нападения стал новый очень сложный вирус-троян, который в качестве одной из своих подсистем использует root-kit BlackEnergy. Что это?
Первый детальный анализ BlackEnergy был опубликован компанией Arbor Networks еще в 2007 году. Именно тогда появилось это вредоносное ПО, а его "вторая" жизнь началась в 2014 году с выходом новой модификации.
В случае с телеканалами и энергокомпаниями злоумышленники при помощи BlackEnergy доставляли на компьютеры жертв специальный компонент KillDisk, специализирующийся на уничтожении файлов на диске.
Так после заражения компьютеров ряда украинских телеканалов вирус "уснул", а в день выборов 25 октября активировался и начал выводить из строя ПК. В частности, уничтожал системные файлы, после чего компьютер переставал загружаться
Причем атака была направлена конкретно против информационных сетей украинских телеканалов: внутри вируса был код, который пытался выяснить, какой компьютер он заразил, и относится ли этот компьютер к медиа-индустрии Украины.
Официально телеканалы не сообщали о данном инциденте. Но ЭП стало известно, что представитель одного из телеканалов обратился за помощью к специалистам по кибербезопасности компании SOC Prime. Они на своем сайте опубликовали первые результаты расследования.
Свои выводы об этом событии также опубликовала CERT-UA — специализированное структурное подразделение Государственного центра киберзащиты и противодействия киберугрозам Госслужбы специальной связи и защиты информации Украины.
В отчете CERT-UA, в частности, сказано, что угроза носит характер хорошо спланированного заказа с целью продемонстрировать способность нарушать работоспособность скомпрометированных корпоративных сетей СМИ с помощью такого инструмента хакеров, как Black Energy.
"24 и 25 октября 2015 (день выборов) на серверном оборудовании телеканала Х была зафиксирована атака в результате выхода из строя нескольких серверов. Некоторые телеканалы не публиковали и не разглашали дополнительные подробности, однако имеющиеся у нас данные свидетельствуют, что пострадала значительное количество видеоматериалов и другие виды информационных материалов", - говорится в отчете CERT-UA.
"Собственное расследование специалистов по безопасности телеканала Х показало наличие на пораженных серверах файлов с названиями: ololo.exe, trololo.exe и других", — говорится также в отчете.
Вероятно, вдохновленные частично успешной атакой на компьютерные системы телеканалов, злоумышленники решили нанести удар и по энергетической инфраструктуре Украины.
Эксперты по компьютерной безопасности считают, что по сложности атака на Прикатьеоблэнерго находится уровне атак спецслужб США на урановые центрифуги Ирана в 2009-2010 годах.
Тогда пять промышленных комплексов в Иране подверглись нападениям компьютерного червя Stuxnet. Он был разработан с целью выведения из строя центрифуг, на которых иранцы обогащают уран. Тогда Иран заявил, что центрифуги подверглись нападению, а ООН сообщила, что их работа была временно приостановлена.
По данным экспертов компьютерной безопасности, нападение на Прикарпатьеоблэнерго может стать первым случаем, когда посредством кибератаки удалось прекратить электроснабжение.