Передріздвяна кіберактивність. Хто і навіщо атакує українські обленерго

Передріздвяна кіберактивність. Хто і навіщо атакує українські обленерго

Середа, 6 січня 2016, 15:17 -
У грудні хакери здійснили на українські обленерго кілька потужних кібератак. Як виявилося, це вже друга хвиля активності кіберзлочинців. Подібні атаки вже раніше здійснювалися на українські телеканали під час місцевих виборів.(Рос.)

В декабре хакеры совершили против украинских облэнерго несколько мощных кибератак, способных вывести их из строя.

Накануне об это сообщило агентство Reuters. По данным издания, речь идет о Прикарпатьеоблэнерго и еще как минимум двух предприятиях.

Так, 23 декабря 2015 года большая часть Прикарпатья осталась без электроснабжения. Причина – вмешательство посторонних лиц в работу автоматической системы контроля и управления энергооборудованием с помощью вредоносного ПО BlackEnergy.

Служба безопасности Украины обвинила в кибератаке Россию, а Министерство энергетики и угольной промышленности создало специальную комиссию, которая должна была провести расследование

Есть вероятность, что атаковали облэнерго те же хакеры, которые раньше атаковали украинские телеканалы. Двумя месяцами ранее, 25 октября 2015 года в день местных выборов тот же вирус, который был использован против облэнерго, атаковал компьютерные сети телеканалов СТБ, 5 канала, ICTV, Украины, ATR и UBR.

Атака на компьютерную инфраструктуру телеканалов, по мнению эксперта привлеченного к расследованию одного из эпизодов, была осуществлена в результате многоступенчатой секретной инфекции информационных сетей.

Инструментом нападения стал новый очень сложный вирус-троян, который в качестве одной из своих подсистем использует root-kit BlackEnergy. Что это?

Первый детальный анализ BlackEnergy был опубликован компанией Arbor Networks еще в 2007 году. Именно тогда появилось это вредоносное ПО, а его "вторая" жизнь началась в 2014 году с выходом новой модификации.

В случае с телеканалами и энергокомпаниями злоумышленники при помощи BlackEnergy доставляли на компьютеры жертв специальный компонент KillDisk, специализирующийся на уничтожении файлов на диске.

Так после заражения компьютеров ряда украинских телеканалов вирус "уснул", а в день выборов 25 октября активировался и начал выводить из строя ПК. В частности, уничтожал системные файлы, после чего компьютер переставал загружаться

Причем атака была направлена конкретно против информационных сетей украинских телеканалов: внутри вируса был код, который пытался выяснить, какой компьютер он заразил, и относится ли этот компьютер к медиа-индустрии Украины.

Официально телеканалы не сообщали о данном инциденте. Но ЭП стало известно, что представитель одного из телеканалов обратился за помощью к специалистам по кибербезопасности компании SOC Prime. Они на своем сайте опубликовали первые результаты расследования.

Свои выводы об этом событии также опубликовала CERT-UA — специализированное структурное подразделение Государственного центра киберзащиты и противодействия киберугрозам Госслужбы специальной связи и защиты информации Украины.

В отчете CERT-UA, в частности, сказано, что угроза носит характер хорошо спланированного заказа с целью продемонстрировать способность нарушать работоспособность скомпрометированных корпоративных сетей СМИ с помощью такого инструмента хакеров, как Black Energy.

"24 и 25 октября 2015 (день выборов) на серверном оборудовании телеканала Х была зафиксирована атака в результате выхода из строя нескольких серверов. Некоторые телеканалы не публиковали и не разглашали дополнительные подробности, однако имеющиеся у нас данные свидетельствуют, что пострадала значительное количество видеоматериалов и другие виды информационных материалов", - говорится в отчете CERT-UA.

"Собственное расследование специалистов по безопасности телеканала Х показало наличие на пораженных серверах файлов с названиями: ololo.exe, trololo.exe и других", — говорится также в отчете.

Вероятно, вдохновленные частично успешной атакой на компьютерные системы телеканалов, злоумышленники решили нанести удар и по энергетической инфраструктуре Украины.

Эксперты по компьютерной безопасности считают, что по сложности атака на Прикатьеоблэнерго находится уровне атак спецслужб США на урановые центрифуги Ирана в 2009-2010 годах.

Тогда пять промышленных комплексов в Иране подверглись нападениям компьютерного червя Stuxnet. Он был разработан с целью выведения из строя центрифуг, на которых иранцы обогащают уран. Тогда Иран заявил, что центрифуги подверглись нападению, а ООН сообщила, что их работа была временно приостановлена.

По данным экспертов компьютерной безопасности, нападение на Прикарпатьеоблэнерго может стать первым случаем, когда посредством кибератаки удалось прекратить электроснабжение.


powered by lun.ua
Підпишіться на наші повідомлення!