Расследование череды взломов украинских электростанций русскими хакерами

 2015 год стал по истине важным для развития сферы кибербезопасности Украины. За прошедший год произошел ряд ключевых событий, которые не раз подчеркнули актуальность киберугроз и необходимость защищать киберпространство страны.

 
А именно такие события:
  1. Объявление о создании  киберполиции.
  2. Ряд крупных конференций по информационной безопасности: встречи сообщества  R0-Crew , сообщества   OWASP  в разных городах Украины,0xdec0de, международный   форум  по кибербезопасности, BIP001HackITUISGCON , где постепенно формировалось украинское комьюнити.
  3. Реформы в сфере образования для направления «Информационная безопасность».
  4. Взлом  личных страниц в социальных сетях высокопоставленных лиц страны.
  5. Ну и в конце года случилось то, чего никак нельзя было ожидать, самая весомая отечественная кибератака, из-за которой без электричества остались около миллиона человек.

23 декабря 2015 года большая часть Прикарпатья осталась без электричества. Как сообщает украинская компания «Прикарпатьеоблэнерго», причиной аварии было названо вмешательство посторонних лиц в работу телемеханики – автоматической системы контроля и управления энергетическим оборудованием.


Служба безопасности Украины незамедлительно занялась расследованием этого инцидента и уже 28 декабря обвинила российские спецслужбы в атаке на системы управления энергетического комплекса Украины.

Беспочвенны ли эти обвинения, могли ли российские спецслужбы совершить такую атаку? На эти вопросы ответил руководитель компании ProtectMaster в интервью изданию Gordon. Он считает , что российским хакерам такая атака была под силу, ввиду того, что в странах бывшего СССР используется стандартизированная (однообразная) система управления, российские электростанции работают на тех же системах управления, что и украинские  – в силу исторических причин и помимо этого, уровень компетенции российских специалистов достаточно высокий.

Это событие вызвало резонанс как в украинских интернет-изданиях, так и в иностранных. Исследованием случившегося занялись несколько компания по информационной безопасности, такие как: ESET, iSight, Trend Micro и украинская компания CyS Centrum.

Помимо этого, как сообщает The Daily Beast, исследованием так же занялся Департамент внутренней безопасности США, так как этот вирус ранее применяли для атак на американские энергетические системы.

Что же произошло на самом деле?

В сообщениях СМИ говорится о том, что отключение энергии в Прикарпатье было вызвано хакерской атакой, в которой использовался вирус. Исследователи компании ESET выяснили , что для выведения из строя автоматизированной системы управления в «Прикарпатьеоблэнерго» использовался уже известный троян BlackEnergy. Впервые этот троян упоминался еще в 2007 году и за последние несколько лет были выявлены неоднократные случаи его использования для кибератак в Украине. Забавно что Росийский антивирус Касперского внес сигнатуру по BlackEnergy самым последним, многие эксперты объясняют это тесным взаимодействием Касперского с ФСБ , в данном случае возможным заказчиком вируса.

Специалисты украинской компании CyS Centrum выделяют следующие объекты атак и такую хронологию событий:

1. 12.05.14 – попытка доставки трояна посредством электронной почты украинским предприятиям, занимающимся железнодорожными перевозками, помимо этого в список компаний так же входило «Прикарпатьеоблэнерго», взлом которого произошел 23.12.15. Т.е. попытки атак начались полтора года назад. По полученным данным стало известно, что для отправки писем с вредоносным ПО использовался один из серверов Португальского университета "University of Beira Interior".

Пример письма (Скриншот взят из https://cys-centrum.com/ru/news/black_energy_2_3)
2. 13.08.14 – волна атак, затронувшая несколько областных государственных администраций Украины и архивно-исторические организации. Если в прошлый раз троян детектировался 16 из 52 антивирусных программ, то в этом случае использовалась усовершенствованная версия BlackEnergy, которая использовала 0-day уязвимость и не обнаруживалась ни одной антивирусной программой.
3. Начало марта 2015 г. – целью на этот раз стали радиовещательные компании Украины.
4. Конец марта 2015 г. – объекты атак теперь государственное учреждение Украины, занимающееся архивно-библиотечной деятельностью и одно из западных облэнерго.
5. 25.10.15 – атака была осуществлена в отношении телевизионных каналов Украины как раз во время выборов. Результатом атаки ставало уничтожение видеоматериалов, серверного оборудования и вывод из строя функционально значимых узлов сети.
6. 23.12.15 – атака на АСУТП (автоматизированная система управления технологическим процессом) электростанций. Официально о произошедшем заявили только 2 компании: «Киевоблэнерго» и «Прикарпатьеоблэнерго». Остальные компании никаких комментариев не дали.
 

И так, сценарий атаки во всех вышеописанных случаях был идентичным. Компания-жертва получала фишинговое электронное письмо, содержащее вредоносное вложение. Отправителем письма были адреса, похожие на адреса Верховной Рады Украины и других государственных органов. Тело письма содержало текст, который убеждал жертву открыть вложение. В качестве вектора заражения использовались файлы Microsoft Office, содержащие вредоносные макросы.


BlackEnergy использовался для того, чтобы добраться до компьютерных сетей и установить в ней вредоносную программу KillDisk, которая предназначена для модификации/удаления более 4000 типов файлов и вывода из строй операционной системы в целом. В ходе анализа декабрьской атаки была обнаружена новая версия KillDisk, способная активироваться в конкретный момент времени. На одной из зараженных машин так же был выявлен SSH-бэкдор. Это делает неоднозначным вывод о том, что послужило причиной отказа «Прикарпатьеоблэнерго», ведь как троян BlackEnergy, так и SSH-бэкдор могли предоставить прямой доступ злоумышленникам к управлению критическими узлами, которые, в этом случае, можно было отключить вручную (если бы они были подключены к интернету, что маловероятно). А потом для затруднения восстановления работы системы использовать KillDisk.


Команда ProtectMaster активно принимает участие в расследовании декабрьской атаки и, помимо этого, занялась расследованием проблемы заражения региональных энергетических и промышленных компаний, которые являются критическими областями инфраструктуры Украины.


По предварительной информации данный вирус с очень высокой вероятностью может содержаться и на Харьковском Обл Энерго. После того как специалисты ESET (именно они первыми обнаружили вирус) передали в СБУ необходимую для идентификации вируса информацию, специалисты СБУ тут же уведомили об этом всех возможных жертв. В настоящий момент специалистами компании ProtectMaster проводится исследование исходных кодов вируса с целью создания сигнатурной базы для антивирусных компаний и патча для удаления вируса. Планируется детально изучить поведение вируса и способ заражения чтобы предоставить информацию о непосредственном разработчике и заказчике.




Использованные материалы: 
 
1. https://www.facebook.com/oe.if.ua/photos/a.515092128501128.126555.376549135688762/1117302284946773
2. http://www.sbu.gov.ua/sbu/control/uk/publish/article?art_id=170951&cat_id=39574
3. http://ru.tsn.ua/ukrayina/iz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406.html
4. http://eset.ua/ru/news/view/395/KillDisk_cyberattack
5. https://cys-centrum.com/ru/news/black_energy_2_3 

 




Поделиться или сохранить: