В декабре хакеры совершили несколько мощных кибератак против украинских облэнерго, способных вывести их из строя. Накануне об это сообщило агентство Reuters. По данным источника, речь идет о Прикарпатьеоблэнерго и еще как минимум двух предприятиях.
Так, 23 декабря 2015 года большая часть Прикарпатья осталась без электроснабжения. Причина – вмешательство посторонних лиц в работу автоматической системы контроля и управления энергооборудованием с помощью вредоносного ПО BlackEnergy. Служба безопасности Украины обвинила в кибератаке Россию, а Министерство энергетики и угольной промышленности создало специальную комиссию, которая должна была провести расследование. Специалисты ESET заявили, что подобные атаки предпринимались и на два других облэнерго, где было обнаружено аналогичное вредоносное ПО. Но критический сбой произошёл лишь на Прикарпатьеоблэнерго.
Есть вероятность, что атаковали облэнерго те же хакеры, которые раньше атаковали украинские телеканалы. Двумя месяцами ранее, 25 октября 2015 года в день местных выборов тот же вирус, который был использован против облэнерго, атаковал компьютерные сети телеканалов СТБ, «5 канал», ICTV, «Украина», ATR и UBR. Атака на компьютерную инфраструктуру телеканалов, по мнению эксперта, была осуществлена в результате многоступенчатой секретной инфекции информационных сетей.
Инструментом нападения стал новый очень сложный вирус-троян, который в качестве одной из своих подсистем использует root-kit BlackEnergy. Первый детальный анализ BlackEnergy был опубликован компанией Arbor Networks еще в 2007 году. Именно тогда появилось это вредоносное ПО, а его «вторая» жизнь началась в 2014 году с выходом новой модификации.
В случае с телеканалами и энергокомпаниями злоумышленники при помощи BlackEnergy устанавливали на компьютеры жертв специальный компонент KillDisk, специализирующийся на уничтожении файлов на диске. После заражения компьютеров ряда украинских телеканалов вирус затаился, а в день выборов 25 октября активировался и начал выводить из строя ПК. В частности, он уничтожал системные файлы, после чего компьютер переставал загружаться
Причем атака была направлена конкретно против информационных сетей украинских телеканалов: внутри вируса был код, который пытался выяснить, какой компьютер он заразил, и относится ли этот компьютер к медиа-индустрии Украины.
Официально телеканалы не сообщали о данном инциденте. Но источнику стало известно, что представитель одного из телеканалов обратился за помощью к специалистам по кибербезопасности компании SOC Prime. Они на своем сайте опубликовали первые результаты расследования.
Свои выводы об этом событии также опубликовала служба CERT-UA. В отчете CERT-UA сказано, что угроза носит характер хорошо спланированного заказа с целью продемонстрировать способность нарушать работоспособность скомпрометированных корпоративных сетей СМИ с помощью такого инструмента хакеров, как Black Energy.
«24 и 25 октября 2015 (день выборов) на серверном оборудовании телеканала Х была зафиксирована атака в результате выхода из строя нескольких серверов. Некоторые телеканалы не публиковали и не разглашали дополнительные подробности, однако имеющиеся у нас данные свидетельствуют, что пострадало значительное количество видеоматериалов и другие виды информационных материалов», — говорится в отчете CERT-UA.
«Собственное расследование специалистов по безопасности телеканала Х показало наличие на пораженных серверах файлов с названиями: ololo.exe, trololo.exe и других», — говорится также в отчете.
Вероятно, вдохновленные частично успешной атакой на компьютерные системы телеканалов, злоумышленники решили нанести удар и по энергетической инфраструктуре Украины.
Эксперты по компьютерной безопасности считают, что по сложности атака на Прикатьеоблэнерго находится на уровне атак спецслужб США на урановые центрифуги Ирана в 2009-2010 годах. Тогда пять промышленных комплексов в Иране подверглись нападениям компьютерного червя Stuxnet. Он был разработан с целью выведения из строя центрифуг, на которых иранцы обогащают уран. Тогда Иран заявил, что центрифуги подверглись нападению, а ООН сообщила, что их работа была временно приостановлена.
По данным экспертов компьютерной безопасности, нападение на Прикарпатьеоблэнерго может стать первым случаем, когда посредством кибератаки удалось прекратить электроснабжение.
Источник: Reuters, «Экономическая правда»