Решение о создании специальной группы по изучению возможностей предотвращения хакерских атак на энергосистему Украины было принято по результатам анализа информации, полученной в результате расследования обстоятельств несанкционированного вмешательства в систему диспетчерского и технологического управления электрическими сетями трех энергоснабжающих компаний ОЭС Украины.
Рабочая группа работала с 18 января 2016 по 3 февраля 2016 года. По результатам расследования, компрометация информационных сетей облэнерго произошла как минимум за 6 месяцев до основных событий с помощью методов социальной инженерии — рассылкой поддельных писем с телом загрузчика вируса семейства BlackEnergy на электронные адреса сотрудников компаний, которые были в открытом доступе в сети Интернет. После запуска вируса злоумышленники получили возможность собирать информацию о структуре информационных сетей, программных средств, а также данные об учетных записях удаленного доступа к инфраструктуре, пароли и т.д.
В кибератаке участвовало несколько человек, так как действия злоумышленников были скоординированы и направлены на информационную инфраструктуру одновременно трех энергопоставщиков — «Прикарпатьеоблэнерго», «Черновцыоблэнерго» и «Киевоблэнерго». По информации одного из облэнерго, подключение злоумышленников к его информационной сети происходило из подсетей глобальной сети Internet, которые принадлежат провайдерам из России.
В общем кибератака имела комплексный характер и состояла как минимум из следующих составляющих:
- Предварительное заражение сетей с помощью поддельных писем электронной почты с использованием методов социальной инженерии.
- Захват управления АСДУ с выполнением операций отключений на подстанциях.
- Вывод из строя элементов IT-инфраструктуры (источники бесперебойного питания, модемы, RTU, коммутаторы).
- Уничтожение информации на серверах и рабочих станциях (утилитой KillDisk).
- Атака на телефонные номера call-центров, с целью отказа в обслуживании обесточенных абонентов.
Общий перерыв в электроснабжении составил от 1 до 3,5 часов. Общий недоотпуск энергии — 73 МВтч (0,015% от суточного объема потребления Украины).
Злоумышленники с использованием полученного заранее удаленного доступа к административным компьютерам АСДУ, находящихся внутри корпоративных сетей облэнерго, или непосредственно к серверам АСДУ с использованием клиентского программного обеспечения АСДУ, выполнили операции по управлению выключателями на распределительных подстанциях, что привело к краткосрочному отключению потребителей различных категорий.
Кибератака также сопровождалась массированными звонками с номеров РФ на номера колцентра облэнерго с целью их перегрузки. Кроме того, в результате заранее выполненных операций по заражению части серверов и рабочих станций, был выведен из строя целый ряд серверов и рабочих мест систем АСДУ облэнерго, а также часть оборудования телекоммуникационной сети. Дополнительно злоумышленники вынудили технический персонал облэнерго, с целью стабилизации ситуации с неконтролируемыми отключениями и взятия ее под контроль, вывести АСДУ из работы и перевести управление переключениями в распределительных сетях в ручной режим.
По заключению рабочей комиссии, причинами несанкционированного вмешательства стали отсутствие общих обязательных требований к энергетическим компаниям по обеспечению IT-безопасности систем автоматизации производства, недостаточная осведомленность и подготовка технического персонала в части кибербезопасности, отсутствие внутренних структур контроля по кибербезопасности, независимых от системных администраторов, и тому подобное.
Также рабочая группа предоставила предложения относительно первоочередных действий для предотвращения в дальнейшем постороннего вмешательства в системы управления электросетями энергоснабжающих компаний ОЭС Украины, среди которых: информирование предприятий отрасли о порядке взаимодействия с подразделением CERT-UA государственной службы специальной связи и защиты информации Украины в случае выявления попыток вмешательства в работу их информационных систем сторонних лиц, в том числе попыток заражений вредоносным программным обеспечением Black Energy; проверка актуальности антивирусного ПО всех компьютерных средств; обязательная изоляция от сети Internet серверов и рабочих станций промышленных систем управления, включая станции, с которых выполняются функции по администрированию и поддержке этих систем; замена всех учетных записей пользователей и установка сложных паролей; запрет на удаленный доступ с правом управления комплексом телемеханики и другие.