Госслужба спецсвязи Украины обнаружила вирус Black Energy в сети аэропорта «Борисполь»

Kyiv Boryspil

Специалисты Государственной службы специальной связи и защиты информации Украины выявили в аэропорту “Борисполь” рабочую станцию компьютерной сети, которая была инфицирована вирусом Black Energy, что может указывать на диверсию со стороны Российской Федерации, сообщил спикер администрации президента Украины по вопросам АТО Андрей Лысенко.

“Специалисты Госслужбы спецсвязи предотвратили возможную хакерскую атаку со стороны России. Вчера специалисты связи обнаружили, что одна из рабочих станций в аэропорту “Борисполь” была инфицирована вирусом Black Energy. Инфицированный компьютер был изъят из компьютерной сети аэропорта, а об инциденте были проинформировали эксперты группы CERT UA”, – сообщил А.Лысенко на брифинге в Киеве в субботу.

По его словам, сейчас проходит расследование этого инцидента А.Лысенко также напомнил, что подобный тип вируса был выявлен во время хакерской атаки на облэнерго в Ивано-Франковске, что может указывать на целенаправленный характер акций как диверсии со стороны РФ.

Напомним, что 23 декабря 2015 года большая часть Прикарпатья осталась без электроснабжения. Причина – вмешательство посторонних лиц в работу автоматической системы контроля и управления энергооборудованием с помощью вредоносного ПО BlackEnergy. Служба безопасности Украины обвинила в кибератаке Россию, а Министерство энергетики и угольной промышленности создало специальную комиссию, которая должна была провести расследование. Специалисты ESET заявили, что подобные атаки предпринимались и на два других облэнерго, где было обнаружено аналогичное вредоносное ПО. Но критический сбой произошёл лишь на Прикарпатьеоблэнерго.

Источник: Интерфакс


  • Тарас Онищенко

    Почитал что такое Black Energy. обычный DDOS бот.
    Какая нафиг хакерская атака

    • Mantikor

      А тепер почитайте уважно http://habrahabr.ru/company/eset/blog/274469/

      В 2015 г. злоумышленники начали использовать для BlackEnergy новый плагин для выполнения разрушительных действий в системе… Основная задача этого компонента заключается в порче хранимых на диске файлов: он перезаписывает документы произвольными данными и выводит ОС из строя.

      • Yu Ra

        плагин для вируса?

        теперь я видел всё…

      • fredrt5trg

        BlackEnergy хранит данные конфигурации в формате XML внутри динамической DLL-библиотеки полезной нагрузки)))) Мне интересно а долбо#бы юзера такое слово как КЛОНИРОВАНИЕ компьютера в своей жизни хоть раз слышали? У меня при малейшем подозрении на любую херню- компы (система)восстанавливались с нажатия одной кнопки.

        • Mantikor

          Ви кожен день робите резервні копії десятків компів?

          • fredrt5trg

            недавно да,делал. Клонируется один или сколько нужно компьютеров. Резервная копия создается в конце дня, (я делал раз в три дня) автоматом в облако или в security zone если это например Акронис,локально. Клонировать/восстанавливать из облака,если сеть быстрая. Короче весь процесс никогда больше 15 минут не занимал. Но в статье просто бред написан, это если серьезно сеткой заниматься -тогда имеет смысл.

          • Mantikor

            Треба мати де це все зберігати. В статті на хабрі йде мова про державні організації, де з фінансуванням завжди жопа.

          • fredrt5trg

            в облаке можно. Акронис сжимает образ, если места мало для хранения.
            Локально можно, на сетевом диске можно, короче нет такого вопроса -где хранить.

          • Mantikor

            При чому тут домашній комп? Йдеться про організацію в 50-100 машин. А це мінімум 20-25Гб на кожну. Для того щоб це все зберігати потрібно або купити місце в хмарі, або купити харди(nas) щоб зберігати все локально. А в державних організаціях на таке грошей не дають.

          • fredrt5trg

            да хоть 300 машин.) Бэкапить достаточно только системный раздел диска.Если это винда 7 ка то 5….ну пусть 10 гигов с огромным запасом вам хватит,даже если хранить образ на рабочих станциях. А если сжимать образ (займет больше времени) то и 2-3 гигов хватит

          • Mantikor

            Який тоді сенс? Вірус перезапише документи і образи випадковими даними, і ти ним вже не скористаєшся.

            он перезаписывает документы произвольными данными

          • fredrt5trg

            вам нужно отключить вот этот диалог- что если и что будет если то или если это))) Все будет отлично. Так работают уже много лет.
            Для вас это теория а для меня многолетняя практика. Не перезапишет. Вот увидите.))

          • Anton Potashov

            поддерживаю. Чтобы делать быстрый бэкап.рестор на такое количество компов нужен профессиональный софт что-то типа TSM от IBM а или другой подобный плюс соотевтсвующее хранилище, хоnя бы NAS на 8-16TB Не у верен что в Борисполе используют что-то подобное, максиму арендуют несколько серверов в датацентре.

          • fredrt5trg

            если вы хотите домашний комп клонировать, 50 гигов бесплатных для хранения чего угодно дают у тима доткома на mega.co.nz

    • fredrt5trg

      очевидно кое кому надо оправдать свое существование. Очевидно этот кто-то настолько не в теме что просто взял первое название которое нашел при проверке антивирус,немного фантазии, и обана! атака террористов предотвращена))

    • Yuriy Pylypenko

      Нет, это не бот и не DDOS.

      Black Energy это опенсорс платформа (кит, конструктор) для создания вирусных атак.

      В атаке на Укрэнерго была применена социальная инженерия.

      В документе Ворд был набран вот такой текст, в котором были пошаговые инструкции как включить Макросы и отключить антивирус

      http://www.welivesecurity.com/wp-content/uploads/2016/01/BlackEnergy.png

      Вообще BlackEnertgy Lite не имеет единственного метода заражения, эта “аптечка юнната” имеет десятки методов распространения. Например в 2014 кто-то рассылал вируса просто как ЕХЕ файл с иконкой Word:

      http://www.welivesecurity.com/wp-content/uploads/2014/09/4.png

      Есть варианты заражения используя TeamViewer, есть Макросы в Поверпойнт презентациях, есть использования уязвимостей в Sun Java, есть на уязвимостях Word

      Заражение серверов ICTV и удаление оттуда всех файлов было после открытия вложения из эмейла на адрес финотдела телеканала.

      Детальнее что за вирус и что он может делать:

      1) Вирус старый 2007 года, типа “бекдор” – устанавливается с правами администратора и может выполнять любые запрограмированные комманды, которые скачивал в формате XML из HTTPS.

      Список использованных IP во время атаки на Укрэнерго: 5.149.254.114, 5.9.32.230, 31.210.111.154, 88.198.25.92, 146.0.74.7, 188.40.8.72

      2) Вирус BlackEnergy – опенсорс бесплатная платформа для создания вирусной атаки. “Аптечка юного взломщика”

      3) Версии 2015 года устанавливает в систему известное легальное по: KillDisk (утилита для удаления файлов, в т.ч. защищенных)

      4) Во время выборов 2015 года KillDisk искал на локальных дисках и удалял файлы с 4000 расширениями (документы, видео, фото и т.д.)

      5) Во время атаки на Укрэнерго искал на локальных дисках и удалял файлы с 40 расширениями (документы, архивы и фото), искал два процесса komut.exe, sec_service.exe, принудительно завершал их и удалял файлы.

      sec_service.exe это Industrial control systems (ICS), ELTIMA Serial to Ethernet Connector

      6) удаление файлов могло быть мгновенным (в случае со СМИ) и отложенным на определенную дату (в случае Укрэнерго)

      7) Вирус умеет увеличивать привилегии (руткит), умеет обходить проверку UAC и умеет отключать проверку цифровых подписей для драйверов

      8) во время атаки на Укрэнерго бекдор запустил VBS скрипт который скачал и установил легальный телнет-сервер “Dropbear SSH” на порту 6789 (открытый наружу) для того, чтобы злоумышленники могли пользоваться командной строкой на зараженных ПК

      9) Заражение происходило после открытия документа Ворд, который требовал включения макросов

      10) Для того чтобы пользователь включил Макросы (по умолчанию выключены) в тексте Ворд документа была набрана инструкция на украинском языке с картинками, как включать Макросы

  • finalplayer

    Специалисты ESET? А где специалисты Зилля? :)

    • Leonid Marchenko

      Помоему можно найти более квалифицированного первокурсника на специальности защита информации

      • fredrt5trg

        похоже по повадкам на какого то старпера которому даже облом загуглить что такое блек энерджи и он назвал его вирусом.

  • Змей Горыныч

    все чаще из россии слышны всхлипы – будут страдать простые люди.
    не верьте – простые люди год назад радовались каждому убитому украинцу

    • Юрий Данилов

      сделай лицо попроще…так завернул…..

  • Юрий Данилов

    – Кто всрався?
    – Невiстка.
    – Вона ж гусей пасе.
    – Оттуда несе.

  • Kirill Dnepropetrovets-Ts

    Только они не предотвратили атаку – одна станция-то была заражена. Скорее, предотвратили дальнейшее распространение.
    Интересно, как оно вообще туда попало и почему первое заражение провтыкали.

    З.Ы. А вообще я бы не называл этих людей “хакерами”. Это скорее террористы. Потому что сбой в том же аэропорту может привести к столкновению самолетов и гибели людей. А кто ставит под угрозу жизни людей? Правильно, террористы.

    • UsrFrm

      Думаете все рабочие станции в аэропорту изолированы от “большого” Инет? Кто-то из “бухгалтерии” неудачно сходил на какой-нибудь порносайт, либо курсач скачал, и понеслось – атака РФии на инфраструктуру аэропорта, ДСТЗИ спешит на помощь …

      • Віктор Бутко

        А нефиг винду на таких компах держать. На них должны быть *unuix ОС с шифрованием начиная от файловой системы.

        • UsrFrm

          Мы даже не знаем о каком компе идет речь, может это комп девочки, которая такси прилетевшим пассажирам заказывает. ;-)

          Ну и погуглите под какой ОС работал Червь Морриса …

          • Віктор Бутко

            И при чем здесь это?

          • UsrFrm

            Зачем офисному планктону шифровать ФС?

          • Віктор Бутко

            Затем, что комп планктона является частью сети, которая должна быть в безопасности от глупостей, которые может создать этот планктон. Или хакер может использовать комп такого планктона.

          • UsrFrm

            Может логичнее и дешевле критичные сегменты сети изолировать и защищать, а не “шифровать” каждый ПК в дьютифрии?

          • Віктор Бутко

            нет, если вы не знаете то линукс такая система, которой не нужно “ручное” обслуживание. установка и обновление (и удаление) программ происходит одной командой для всех юзеров или какой-то группы, например “планктон”. Т.е. один раз запускается сетевая установка и больше к этому компьютеру подходить не нужно.

          • fredrt5trg

            Дааа. Как все запущено. Какой хакер. Какой юникс на компах…) Человеческие придатки к компу-вот главная проблема, а не хакеры.)) Назвать безобидный бэкдор ВИРУСОМ и с серьезным видом вещать об этом на весь мир? Позорище

          • Anton Potashov

            безобидный бэкдор звучит так же смешно как и безобидный кейлоггер :)

          • fredrt5trg

            просто они же пугают мир “неизвестным вирусом” а кейлоггеры или бэкдоры,это все лечится за полчаса

          • fredrt5trg

            чувак,это до конца дней прийдется ставить линуксы бухгалтершам.
            Естественно если что -виноват будет тот кто все это придумал. ))
            Эта система Просто.Должна.Подохнуть.

        • fredrt5trg

          какой юникс. К юниксу вам прийдется еще двух специалистов к каждому компу прикрепить)))

      • Kirill Dnepropetrovets-Ts

        Кхм.
        Однако это все-таки аэропорт и если бы там все плохо было с безопасностью, то нечто подобное всплыло бы гораздо раньше.

        • UsrFrm

          Думаете аэропорт заинтересован по каждому такому случаю размахивать грязными трусами?
          Вы часто слышите о найденных вирусах в банках Украины? А инциденты регулярны, при том что тоже борются и контролируют, и риски не маленькие.

          • Kirill Dnepropetrovets-Ts

            Но тут ведь помахал. :)

          • UsrFrm

            Значит кому-то надо было изобразить результаты работы. ;-)

          • fredrt5trg

            ясное дело. И этот кто то оказался слишком туп даже для данной задачи)))

      • Soroka

        так-так, й енергетики також порнуху дивилися. І російських військ на Донбасі також нема.

      • Yuriy Pylypenko

        в Ивано-Франковске (облэнерго) и на телеканале ICTV (финотдел) заражение было через открытие в почтовом клиента присланного на e-mail файла DOCX с макросами

    • genauk

      Ну такі атаки успішно проводились навіть на ядерні об’єкти. А тут простий аеропорт.

      • Kirill Dnepropetrovets-Ts

        Подобную атаку “отбить” должны были что на ядерном объекте, что в аэропорту.

        • genauk

          Я про те, що навіть найкращий захист не гарантує стовідсоткову гарантію безпеки. Тут навіть встигли запобігти можливим наслідкам, а от Іран на своїх ядерних об’єктах не зумів.

    • IDDQD

      Поддерживаю каждое слово.

    • Fletch

      Возможно это было сделано с флешки, умышленно.

      Хакеры-террористы.

      • Kirill Dnepropetrovets-Ts

        Если с флешки, то найти человека, который мог это сделать, не представляет труда – там же везде камеры.

    • fredrt5trg

      Специалисты Государственной службы специальной связи и защиты информации Украины тупо не знают в чем отличие вируса от бэкдора. И очевидно даже не знают как пользоватся гуглом чтобы найти описание данного “вируса”

    • Yuriy Pylypenko

      “Интересно, как оно вообще туда попало и почему первое заражение провтыкали”

      Рассылается как E-mail с вложением DOCX файла, в котором илюстрированная инструкция как включить Макросы для возможности прочтения документа

  • Юрий Данилов

    – Кто всрався?
    – Невiстка.
    – Вона ж гусей пасе.
    – Оттуда несе.

  • UsrFrm

    ДСТЗИ стоило бы привлечь к сотрудничеству таких “экспертов”: https://www.youtube.com/watch?v=RirqnBUQTEU – а то мало ли … :-))))

  • Maxim Babochkin

    Говорят, есть даже видео, где видно, как Путин пробирается к рабочей станции аэропорта Борисполь с флешкой на шее, на которой было написано “Transcend Black Energy 128Mb”.

    • BondD

      Касьянов же

  • Spase

    Мориарти ты что ли ?

  • GrandBoo

    Настало время ох***льных историй!

  • vxa

    наверняка сами накосячили, а валят на Россию) вполне типично для каклошвайнов.

  • dom3d

    Касперский чудит.

  • fredrt5trg

    какой то бред)))

  • fredrt5trg

    это бэкдор , а чтобы он заработал нужно открыть вложение(как правило вордовский файл) в письме.Для этого человек долежн быть полным,законченным дибилом без антивируса на компьютере.) Разумеется никакой диверсии не было и быть не могло и никакого вреда кроме как Ддосить или рассылать спам данный бэкдор делать по умолчанию не может)

    • Yuriy Pylypenko

      Открыть вложение недостаточно.
      Надо ещё зайти в настройки Ворд и включить макросы.
      Присланный документ содержал инструкцию на украинском языке в картинках как включать Макросы в Ворд

  • sbt

    небось сами себя взломали, а валят на Россию.

  • OMLM

    По рукам юзерам.
    По голове админам.
    Ну и ликбез…
    С занесением в личное дело , штрафными санкциями и выговором – всем.