Российские спецслужбы кибератакуют критически важные объекты инфраструктуры Украины

Среда, 6 января 2016, 15:17 -
В декабре хакеры совершили на украинские облэнерго несколько мощных кибератак. Как оказалось, это уже вторая волна активности киберпреступников. Подобные атаки уже раньше совершались на украинские телеканалы в день выборов.

В декабре хакеры совершили против украинских облэнерго несколько мощных кибератак, способных вывести их из строя.

Накануне об это сообщило агентство Reuters. По данным издания, речь идет о Прикарпатьеоблэнерго и еще как минимум двух предприятиях.

Так, 23 декабря 2015 года большая часть Прикарпатья осталась без электроснабжения. Причина – вмешательство посторонних лиц в работу автоматической системы контроля и управления энергооборудованием с помощью вредоносного ПО BlackEnergy.

Служба безопасности Украины обвинила в кибератаке Россию, а Министерство энергетики и угольной промышленности создало специальную комиссию, которая должна была провести расследование

Есть вероятность, что атаковали облэнерго те же хакеры, которые раньше атаковали украинские телеканалы. Двумя месяцами ранее, 25 октября 2015 года в день местных выборов тот же вирус, который был использован против облэнерго, атаковал компьютерные сети телеканалов СТБ, 5 канала, ICTV, Украины, ATR и UBR.

Атака на компьютерную инфраструктуру телеканалов, по мнению эксперта привлеченного к расследованию одного из эпизодов, была осуществлена в результате многоступенчатой секретной инфекции информационных сетей.

Инструментом нападения стал новый очень сложный вирус-троян, который в качестве одной из своих подсистем использует root-kit BlackEnergy. Что это?

Первый детальный анализ BlackEnergy был опубликован компанией Arbor Networks еще в 2007 году. Именно тогда появилось это вредоносное ПО, а его "вторая" жизнь началась в 2014 году с выходом новой модификации.

В случае с телеканалами и энергокомпаниями злоумышленники при помощи BlackEnergy доставляли на компьютеры жертв специальный компонент KillDisk, специализирующийся на уничтожении файлов на диске.

Так после заражения компьютеров ряда украинских телеканалов вирус "уснул", а в день выборов 25 октября активировался и начал выводить из строя ПК. В частности, уничтожал системные файлы, после чего компьютер переставал загружаться

Причем атака была направлена конкретно против информационных сетей украинских телеканалов: внутри вируса был код, который пытался выяснить, какой компьютер он заразил, и относится ли этот компьютер к медиа-индустрии Украины.

Официально телеканалы не сообщали о данном инциденте. Но ЭП стало известно, что представитель одного из телеканалов обратился за помощью к специалистам по кибербезопасности компании SOC Prime. Они на своем сайте опубликовали первые результаты расследования.

Свои выводы об этом событии также опубликовала CERT-UA — специализированное структурное подразделение Государственного центра киберзащиты и противодействия киберугрозам Госслужбы специальной связи и защиты информации Украины.

В отчете CERT-UA, в частности, сказано, что угроза носит характер хорошо спланированного заказа с целью продемонстрировать способность нарушать работоспособность скомпрометированных корпоративных сетей СМИ с помощью такого инструмента хакеров, как Black Energy.

"24 и 25 октября 2015 (день выборов) на серверном оборудовании телеканала Х была зафиксирована атака в результате выхода из строя нескольких серверов. Некоторые телеканалы не публиковали и не разглашали дополнительные подробности, однако имеющиеся у нас данные свидетельствуют, что пострадала значительное количество видеоматериалов и другие виды информационных материалов", - говорится в отчете CERT-UA.

"Собственное расследование специалистов по безопасности телеканала Х показало наличие на пораженных серверах файлов с названиями: ololo.exe, trololo.exe и других", — говорится также в отчете.

Вероятно, вдохновленные частично успешной атакой на компьютерные системы телеканалов, злоумышленники решили нанести удар и по энергетической инфраструктуре Украины.

Эксперты по компьютерной безопасности считают, что по сложности атака на Прикатьеоблэнерго находится уровне атак спецслужб США на урановые центрифуги Ирана в 2009-2010 годах.

Тогда пять промышленных комплексов в Иране подверглись нападениям компьютерного червя Stuxnet. Он был разработан с целью выведения из строя центрифуг, на которых иранцы обогащают уран. Тогда Иран заявил, что центрифуги подверглись нападению, а ООН сообщила, что их работа была временно приостановлена.

По данным экспертов компьютерной безопасности, нападение на Прикарпатьеоблэнерго может стать первым случаем, когда посредством кибератаки удалось прекратить электроснабжение.