Atak cybernetyczny na ukraiński system energetyczny

Złośliwe oprogramowanie było przyczyną przerw w dostawach energii do około połowy domów w rejonie Iwano-Frankowska na Ukrainie. Przerwa spowodowana atakiem cybernetycznym trwała kilka godzin.

Zachęcamy do skorzystania z bezpłatnej prenumeraty
elektronicznej magazynu Computerworld!
Zabezpieczanie infrastruktury sieci i aplikacji

Zabezpieczanie infrastruktury sieci i aplikacji

Z kilku powodów największym zagrożeniem w nowoczesnej infrastrukturze sieci i aplikacji stały się aplikacje. Jednym z nich jest niezwykle szybki ich przyrost spowodowany coraz łatwiejszym ich opracowywaniem. W typowym środowisku biznesowym jest coraz więcej aplikacji, które dodatkowo...

Integracja bezpiecznego środowiska testowego z infrastrukturą zabezpieczeń

Integracja bezpiecznego środowiska testowego z infrastrukturą zabezpieczeń

W przypadku sprzętu komputerowego angielski termin „sandbox” od dawna oznaczał bezpieczne, odizolowane środowisko, w którym uruchamiano złośliwy kod w celu jego analizy. Zabezpieczenia sieciowe korzystają obecnie z tego rozwiązania — mogą bowiem wówczas emulować i analizować...

Zapora ISFW - ochrona przed propagacją zagrożeń i uszkodzeniami w sieci wewnętrznej

Zapora ISFW - ochrona przed propagacją zagrożeń i uszkodzeniami w sieci wewnętrznej

Liczba, zaawansowanie i oddziaływanie cyberataków stale się zwiększa. Z tego względu firmy i instytucje od dawna inwestują w mechanizmy ochrony granic sieci na różnych poziomach, aby uniemożliwiać przedostanie się zagrożeń zewnętrznych do infrastruktury wewnętrznej. Konieczne okazuje...

Rozległa przerwa w dostawach energii elektrycznej, która objęła około połowy domów znajdujących się w regionie Iwano-Frankowska na Ukrainie (obszar ten zamieszkuje około półtora miliona osób) nie była spowodowana klasycznym uszkodzeniem urządzeń. Kilkugodzinną przerwę 23 grudnia 2015r. spowodował atak cyberprzestępców, którzy zablokowali pracę krytycznej infrastruktury za pomocą złośliwego oprogramowania.

Początkowo nie łączono ze sobą poszczególnych awarii, ale firma ESET na podstawie informacji telemetrycznych związanych z usługami wykrywania złośliwego oprogramowania działającymi w chmurze ustaliła, że było to skoordynowane działanie. Jego celem były różne przedsiębiorstwa z sektora energetycznego na Ukrainie, wszystkie ataki odbyły się w tym samym czasie. Terroryści wykorzystali do ataku znane od pewnego czasu złośliwe oprogramowanie BlackEnergy, które z kolei zainstalowało komponent o nazwie KillDisk, blokujący ponowny start z dysku twardego komputera.

Zobacz również:

Wirus był już znany

Złośliwe oprogramowanie z rodziny BlackEnergy było znane od kilku lat. Pierwsze dokładniejsze opracowania przedstawiono podczas konferencji Virus Bulletin w 2014r., omawiając ataki cyberszpiegowskie przeciw istotnym celom z sektora rządowego na Ukrainie. Twórcy wykorzystali różne mechanizmy infekcji, wykorzystując przy tym niesławną podatność dnia zerowego w oprogramowaniu Microsoft Powerpoint (CVE-2014-4114). Wirusa początkowo wykorzystywano do celów szpiegowskich, ale już w 2014r. badacze wykryli składnik odpowiedzialny za infekcję urządzeń automatyki przemysłowej.

W listopadzie ubiegłego roku odkryto wykorzystanie dodatkowego składnika niszczącego dyski (KillDisk), który miał za zadanie trwale unieruchomić atakowany system operacyjny. Oprogramowanie to zostało wykorzystane do ataków przeciw firmom z sektora mediów podczas ubiegłorocznych wyborów lokalnych na Ukrainie. Ten sam mechanizm został teraz wykorzystany w ataku przeciw przedsiębiorstwom z branży dystrybucji energii elektrycznej (zaatakowano kilka firm, w tym „Prikarpatja Oblenergo”).

Jak doszło do infekcji

Jak informuje ukraińskie przedsiębiorstwo zajmujące się bezpieczeństwem teleinformatycznym CyS Centrum, wektorem infekcji był dokument pakietu biurowego Microsoft Office zawierający złośliwe makra. Scenariusz ataku obejmował wysyłanie kierowanej kampanii spear phishingowej, w której ofiara otrzymywała załącznik zawierający zainfekowany plik oraz tekst zachęcający do uruchomienia makra. Po uruchomieniu makr komputer został zainfekowany koniem trojańskim BlackEnergy. Koń trojański BlackEnergy jest oprogramowaniem modułowym, który pobiera i instaluje różne komponenty przeznaczone do wypełniania zadań. Takim modułem był KillDisk, który oprócz usuwania plików i niszczenia środowiska startowego Windows, posiadał również narzędzia przeznaczone do sabotażu systemów automatyki przemysłowej. Oprogramowanie mogło odczekać wskazany czas, a następnie przerwać dwa procesy związane z modułem komunikacji przez wirtualny port szeregowy ELTIMA lub urządzenia ASEM. Jeśli wirus wykrył odpowiednie składniki, nie tylko przerywał proces, ale także nadpisywał odpowiadające mu sterowniki, by utrudnić przywrócenie systemu do działania. Istnieje także inne wyjaśnienie istnienia modułu niszczącego – koń trojański zawarty w złośliwym oprogramowaniu służył do zdalnego dostępu, a mechanizm KillDisk posłużył na końcu ataku do zacierania śladów.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.