Минэнерго рассказало о подробностях кибератаки на энергосистему Украины и объявило о создании группы противодействия

Bad code

Решение о создании специальной группы по изучению возможностей предотвращения хакерских атак на энергосистему Украины было принято по результатам анализа информации, полученной в результате расследования обстоятельств несанкционированного вмешательства в систему диспетчерского и технологического управления электрическими сетями трех энергоснабжающих компаний ОЭС Украины.

Рабочая группа работала с 18 января 2016 по 3 февраля 2016 года. По результатам расследования, компрометация информационных сетей облэнерго произошла как минимум за 6 месяцев до основных событий с помощью методов социальной инженерии – рассылкой поддельных писем с телом загрузчика вируса семейства BlackEnergy на электронные адреса сотрудников компаний, которые были в открытом доступе в сети Интернет. После запуска вируса злоумышленники получили возможность собирать информацию о структуре информационных сетей, программных средств, а также данные об учетных записях удаленного доступа к инфраструктуре, пароли и т.д.

В кибератаке участвовало несколько человек, так как действия злоумышленников были скоординированы и направлены на информационную инфраструктуру одновременно трех энергопоставщиков – «Прикарпатьеоблэнерго», «Черновцыоблэнерго» и «Киевоблэнерго». По информации одного из облэнерго, подключение злоумышленников к его информационной сети происходило из подсетей глобальной сети Internet, которые принадлежат провайдерам из России.

В общем кибератака имела комплексный характер и состояла как минимум из следующих составляющих:

  • Предварительное заражение сетей с помощью поддельных писем электронной почты с использованием методов социальной инженерии.
  • Захват управления АСДУ с выполнением операций отключений на подстанциях.
  • Вывод из строя элементов IT-инфраструктуры (источники бесперебойного питания, модемы, RTU, коммутаторы).
  • Уничтожение информации на серверах и рабочих станциях (утилитой KillDisk).
  • Атака на телефонные номера call-центров, с целью отказа в обслуживании обесточенных абонентов.

Общий перерыв в электроснабжении составил от 1 до 3,5 часов. Общий недоотпуск энергии – 73 МВтч (0,015% от суточного объема потребления Украины).

Злоумышленники с использованием полученного заранее удаленного доступа к административным компьютерам АСДУ, находящихся внутри корпоративных сетей облэнерго, или непосредственно к серверам АСДУ с использованием клиентского программного обеспечения АСДУ, выполнили операции по управлению выключателями на распределительных подстанциях, что привело к краткосрочному отключению потребителей различных категорий.

Кибератака также сопровождалась массированными звонками с номеров РФ на номера колцентра облэнерго с целью их перегрузки. Кроме того, в результате заранее выполненных операций по заражению части серверов и рабочих станций, был выведен из строя целый ряд серверов и рабочих мест систем АСДУ облэнерго, а также часть оборудования телекоммуникационной сети. Дополнительно злоумышленники вынудили технический персонал облэнерго, с целью стабилизации ситуации с неконтролируемыми отключениями и взятия ее под контроль, вывести АСДУ из работы и перевести управление переключениями в распределительных сетях в ручной режим.

По заключению рабочей комиссии, причинами несанкционированного вмешательства стали отсутствие общих обязательных требований к энергетическим компаниям по обеспечению IT-безопасности систем автоматизации производства, недостаточная осведомленность и подготовка технического персонала в части кибербезопасности, отсутствие внутренних структур контроля по кибербезопасности, независимых от системных администраторов, и тому подобное.

Также рабочая группа предоставила предложения относительно первоочередных действий для предотвращения в дальнейшем постороннего вмешательства в системы управления электросетями энергоснабжающих компаний ОЭС Украины, среди которых: информирование предприятий отрасли о порядке взаимодействия с подразделением CERT-UA государственной службы специальной связи и защиты информации Украины в случае выявления попыток вмешательства в работу их информационных систем сторонних лиц, в том числе попыток заражений вредоносным программным обеспечением Black Energy; проверка актуальности антивирусного ПО всех компьютерных средств; обязательная изоляция от сети Internet серверов и рабочих станций промышленных систем управления, включая станции, с которых выполняются функции по администрированию и поддержке этих систем; замена всех учетных записей пользователей и установка сложных паролей; запрет на удаленный доступ с правом управления комплексом телемеханики и другие.

Источник: Министерство энергетики и угольной промышленности

  • Andrew Ermak

    Интересно…
    Насмотрелись, наверное, четвертую часть Крепкого Орешка.)
    Вместо Уилиса, Ляшко бы всех спасал.))

    • Підпільний Кіндрат

      Крепкий ОРЕШЕК, Ляшко в главной роли, кхм, мне кажется это не боевик, а немножко другой жанр.

      • PSDCoder

        хард порно?)

  • S.65241

    “…проверка актуальности антивирусного ПО всех компьютерных средств; обязательная изоляция от сети Internet серверов и рабочих станций промышленных систем управления, включая станции, с которых выполняются функции по администрированию и поддержке этих систем; замена всех учетных записей пользователей и установка сложных паролей; запрет на удаленный доступ с правом управления комплексом телемеханики и другие.”
    Безопасней деревянные счеты, дуракам ничего сложнее давать нельзя.
    Ибо если мозгов нет то все напрасно.

    • UsrFrm

      Не, это москали виноваты, что у этих дебилов элементарные политики ИТ-безопасности не реализованы.

  • dobrodum

    Братья расеяне! Только добра нам желают. И делают все возможное что мы и они, жили лучше. Все что в их силах.

    • Змей Горыныч
      • http://shepetko.com/ Alexander Shepetko

        Годится :)

    • puma

      как там клевый монолог обычного рускаго – который все же слегка обижен на правительство из-за кредита в валюте…
      Он несет вот такое: “мы Донбасу помогаем, Сирии… а себе нет”.
      Да… он прав, еще себя ебаните градами и смерчами. Ато придурки думают что в белых камазах 5летний запас гречки увезли бедным донбасовцам… )

  • Rabzy Skicha

    Перше завдання на профпридатність для нової КіберПоліції. Правда, вона ще не зовсім сформована

    • Nic

      Первое и последнее

    • http://shepetko.com/ Alexander Shepetko

      Зачем “кибер-что-то-там” какие-то задания? Бабло пилится и норм. Что ещё нужно?

    • http://www.msi.com/ GRaFkiyv

      Тут не КиберПолиция нужна а КиберМоссад для обработки АЭС РФ.

  • noangeell@gmail.com

    помню такую замечательную прогу называется дарккомет, все это умеет делать, но её любой антивирус палит, а на машинах без антивирусняков работает на ура:-)

  • RockeT

    Блин, даже АРМ фасовочных линий не подключают к интернет, а тут управление целой энергетической инфраструктурой области/ей было выведено во всемирную сеть. Если они такие бараны, то пускай платят потребителям неустойки, а гос-во должно выписать штраф и предписания на устранения несоответствий с последующими ежеквартальными проверками.

    • NYA5H

      Эти бараны еще много чего хотят к онлайну по-подключать, и чтобы по вайфаю и 3жы всё было -_-

  • Slava Novorossii

    LOOOOOOL. takaja netrivial’naja ataka i vdrug palili rossijskie ip i nomera, kogda ljuboe shkololo znaet kak ih prikryt’. Davajte bol’she ohuitel’nyh istorij.

  • Morons, sir!

    LOOOOOOL. takaja netrivial’naja ataka i vdrug hakery-duraki palili rossijskie ip i nomera, kogda ljuboe shkololo znaet kak ih skryt’. Davajte bol’she ohuitel’nyh istorij.

  • engineeryuriy

    Живу в Белгороде-Днестровском, у нас электричество отключают без предупреждения, внезапно и бывает что на 4-5 часов. Примерно каждый второй день. Летом каждый день. И это с 1992 года. Ситуация в деревнях по Одесской обл. вообще катастрофическая. Я так понимаю что вирус используется ещё с тех времён, а если нет то тогда не ясно что опасней – враги снаружи или идиоты внутри страны.

    • Граф Бульба

      Скорее последнее ))))))

    • Артур Дент

      Я тоже живу в Белгороде-Днестровсктом на улице Победы электричество выключали последний раз где то месяц назад и не надолго.

    • http://www.msi.com/ GRaFkiyv

      Звоните в каллцентры города, пишите письма, приходите на встречи с депутатами, иначе главной проблемой города так и останутся облагораживания парковых зон и прочая муть.
      (Был в вашей ситуации 3-4 года назад когда каждый второй день с октября по февраль с 20-00 по 1-00 вырубался свет из-за перенагрузок.)

    • ihorila Z

      Я живу в Одесской обл. Периодически посещаю деревни на севере области. Что вы несете? Или вы до сих пор живете в прошлой зиме?

    • Fletch

      Ох сказки Вы рассказываете! Сказки!
      Кто же терпит такое обращение с клиентами!
      Вы либо врете, либо это деревня из одного дома, но даже если так. К примеру Нам хватило Месяц пониженного, что бы собрать подписи и обратится в РЭС с жалобой, так через день все починили!!!

    • UsrFrm

      В Киеве на Академгородке тоже отключается достаточно регулярно, не так часто как у вас, но раз в месяц-два бывает, и часа на два-три, особенно в межсезонье, когда еще/уже холодно, а отопление уже/еще отключено.

  • Граф Бульба

    Как всегда, виновные извне, но не мы!

  • Kirill Dnepropetrovets-Ts

    Боюсь представить, в каком состоянии находится система безопасности на наших АЭС и на какой бомбе мы все сидели до этого…

    • odyssey

      Почему сидели? Сидим и эти бомбы повсюду.

      • Kirill Dnepropetrovets-Ts

        Спасибо, утешили. х)

    • http://www.msi.com/ GRaFkiyv

      Ну по автоматике безопасности вроде там всем намылили по-полной после ЧАЭС, а с ПК – вопрос.

      • Kirill Dnepropetrovets-Ts

        Вопрос, который нужно проверить первым делом. Потому что отключение электростанций – это одно, а радиоактивный выброс – это совсем другое.

    • Серёга

      В таком же как и во всём мире. Почти всё ПО выходит дырявое(главное конкурентов опередить!), в персонале стада лентяев и идиотов(даже у фбр были проблемы с наёмом нормальных айтишников,зп не устраивала гг).

      • Kirill Dnepropetrovets-Ts

        Ну, на данный момент я не слышал такого, чтобы российские хакеры вырубили электростанции где-нибудь в США или Германии.

        • Серёга

          Потому-что от сша или германии сразу ответка будет.А наши раше никогда даже на годы экономических войн не ответили,че бояться то.

          • Alexey

            Какая ответка? Если запрос пришёл с русского адреса, так сразу ответка русским? По таким рассуждениям детского сада уже весь мир бы погряз в “ответке” ))

          • Серёга

            Пошла нах чукча.

          • Alexey

            аргументы типичного быдла необразованного ))

          • Серёга

            То что тебя ублюдка послали нах лишь говорит о том что ты ублюдок и другого отношения не заслужил. О моем образовании это не говорит никак. Я могу иметь десяток дипломов и посылать нах таких каких как ты пидарасов. И даже о моей культурности никак не говорит. Я могу пропускать вперед женщин и обращаться к старшим(незнакомым) на “вы” и посылать нах таких как ты чукч.

          • Alexey

            дурачёк неотёсанній, ты что уже пришёл со школы и первое что сделал – опять начал “какать” в интернете? иди лучше маме помоги, – посуду что ли помой, за дурной головой хоть какая полезная работа )

          • Fletch

            Танки на восток Украины тоже из Китая приехали, да?

    • MVM

      На порядок лучше. АСУ, например, автономна…

  • Алекс

    ХЗ как они так прое….ли )) У нас сервак отключен от сети

    • http://shepetko.com/ Alexander Shepetko

      Тут страну проеб@ли, а вы про сервак…

      • Буба

        Кацапстан?

        • http://shepetko.com/ Alexander Shepetko

          Где?

          • Fletch

            Область Украины в которой Вы живете?

        • Серёга

          Там на лбу жирным шрифтом “ОЛЬГИНО”.

  • dartman79ua

    упсы ломать вирусом это что-то

    • Alexander Zabolotnyi

      Лучше не писать, коль не знаешь. Промышленные УПСы можно выключить и сменить пароли доступа, без которых их не включишь обратно.

      • Fletch

        Так можно сделать с любым УПС, который подключен к ПК по дата/usb кабелю.

  • http://www.msi.com/ GRaFkiyv

    “…0,015% от суточного объема потребления Украины” КПД атаки не сравним с КПД вони в информпространстве.
    Ещё раз надо поблагодарить федерастов за жиденькое неудобство повлекшее серьёзное внимание к проблеме.

  • IC Rainbow

    > malicious virus

    кто-то видел добрые вирусы?..

    • Kote

      https://geektimes.ru/post/263312/
      Добрых людей мало, чтоб писать добрые вирусы.

    • Lokc Ljk

      да видел для линукса просил чтоб я обновил прошивку на роутере

  • shashilx

    прочитал статью. ааа подробности где? где поминутное разложение событий? а то одна научная фантастика. статью сохранил, замечательный шаблон для любой отмазки, почему чтото пошло не так.

    • Fletch

      А где подробности того как ВВП пришел к власти?
      Посекундно, если можно.

      • shashilx

        ни дня чтоб не помянуть божество всуе? )))

        • Fletch

          Да триста лет он мне сдался!
          О нем вообще нужно просто забыть и нигде не упоминать и нигде не писать о нем и не говорить и даже не здороваться, и рано или поздно оно само згниет.

          • shashilx

            Выдыхай уже, ёпта, оно ж ща разорвёт! ;)

  • Олексій

    Читав першоджерело, потім ваш переклад… itc вже перетворилось в бюро перекладів? й сенс вас тоді читати.

    • puma

      в первоисточнике говорят что-то кардинально другое ? а не то, что работники облэнерго открывают вложения какие попало ? )

  • rfn163

    есть такое выражение: “пи#деть как xaxол”.

    • rfn163

      типа такая нетривиальная атака и вдруг хакеры-дураки спалили росссийские айпишники и номера, скрыть которые способен любой школьник. в общем ваша “правда” отдает легким пи#дежом ))

      • Fletch

        Вы еще скажите, что Киселев Д.К. только правду и ничего кроме правды говорит с экрана ТВ!!!

        • puma

          а они если и подозревают, что им лапшу вешают, всеравно общим мелким мозгом мыслят а не своим ) типа: “так надо.. мы великие” ) Так что уповать на мозг к русским бесполезно.

      • puma

        да че там, дрыщь… когда рашн хацкер выходит бомбить.. следы только с марса.. не ближе! это ж сцуко рашн хакер… это ж мля ацкая школа – непобедимое быдло человечества )

    • Vladimir Kurg

      Ага, вербальный кацап-рефлекс на всё – вплоть до высказываения “2*2=4” :)

  • puma

    есть такое выражение – тупой как русский.

  • puma

    “Захват управления АСДУ с выполнением операций отключений на подстанциях.” – схренали это доступно через инет ? )))
    По старинке, тумблер, дядя с бортжурналом, дисковый телефон. Вопросы. Не нужно делать “умный дом” из неумного советского облэнерго…

    • Yuriy Pylypenko

      Не обязательно доступно через инет. В локальной сети предприятия могли быть компьютеры с функциями АСУП без выхода в инет, и компьютеры для чтения электронной почты. Получив доступ к консоли через DropBeat SSH одного из компьютеров, злоумышленники полгода собирали его активность (например пароли).
      А потом используя зараженную машину и собранные пароли сделали что-то с машиной, которая имеет влияние на технологию.

  • Yev Anders

    А кто является владельцем данных компаний “ххх_Облэнерго”?
    Что-то мне подсказывает, что компании не государственные…
    И при этом прибыль будет получать частная компания, а деньги на нее (ПО на ИХ серверах, “кибервойска” и пр.), будет тратить государство?