Atak cybernetyczny na ukraiński system energetyczny

Złośliwe oprogramowanie było przyczyną przerw w dostawach energii do około połowy domów w rejonie Iwano-Frankowska na Ukrainie. Przerwa spowodowana atakiem cybernetycznym trwała kilka godzin.

Rozległa przerwa w dostawach energii elektrycznej, która objęła około połowy domów znajdujących się w regionie Iwano-Frankowska na Ukrainie (obszar ten zamieszkuje około półtora miliona osób) nie była spowodowana klasycznym uszkodzeniem urządzeń. Kilkugodzinną przerwę 23 grudnia 2015r. spowodował atak cyberprzestępców, którzy zablokowali pracę krytycznej infrastruktury za pomocą złośliwego oprogramowania.

Początkowo nie łączono ze sobą poszczególnych awarii, ale firma ESET na podstawie informacji telemetrycznych związanych z usługami wykrywania złośliwego oprogramowania działającymi w chmurze ustaliła, że było to skoordynowane działanie. Jego celem były różne przedsiębiorstwa z sektora energetycznego na Ukrainie, wszystkie ataki odbyły się w tym samym czasie. Terroryści wykorzystali do ataku znane od pewnego czasu złośliwe oprogramowanie BlackEnergy, które z kolei zainstalowało komponent o nazwie KillDisk, blokujący ponowny start z dysku twardego komputera.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Energetyczna transformacja w Energa-Operator S.A.
  • Sztuczna inteligencja pomoże ukraińskim saperom rozbrajać miny

Wirus był już znany

Złośliwe oprogramowanie z rodziny BlackEnergy było znane od kilku lat. Pierwsze dokładniejsze opracowania przedstawiono podczas konferencji Virus Bulletin w 2014r., omawiając ataki cyberszpiegowskie przeciw istotnym celom z sektora rządowego na Ukrainie. Twórcy wykorzystali różne mechanizmy infekcji, wykorzystując przy tym niesławną podatność dnia zerowego w oprogramowaniu Microsoft Powerpoint (CVE-2014-4114). Wirusa początkowo wykorzystywano do celów szpiegowskich, ale już w 2014r. badacze wykryli składnik odpowiedzialny za infekcję urządzeń automatyki przemysłowej.

W listopadzie ubiegłego roku odkryto wykorzystanie dodatkowego składnika niszczącego dyski (KillDisk), który miał za zadanie trwale unieruchomić atakowany system operacyjny. Oprogramowanie to zostało wykorzystane do ataków przeciw firmom z sektora mediów podczas ubiegłorocznych wyborów lokalnych na Ukrainie. Ten sam mechanizm został teraz wykorzystany w ataku przeciw przedsiębiorstwom z branży dystrybucji energii elektrycznej (zaatakowano kilka firm, w tym „Prikarpatja Oblenergo”).

Jak doszło do infekcji

Jak informuje ukraińskie przedsiębiorstwo zajmujące się bezpieczeństwem teleinformatycznym CyS Centrum, wektorem infekcji był dokument pakietu biurowego Microsoft Office zawierający złośliwe makra. Scenariusz ataku obejmował wysyłanie kierowanej kampanii spear phishingowej, w której ofiara otrzymywała załącznik zawierający zainfekowany plik oraz tekst zachęcający do uruchomienia makra. Po uruchomieniu makr komputer został zainfekowany koniem trojańskim BlackEnergy. Koń trojański BlackEnergy jest oprogramowaniem modułowym, który pobiera i instaluje różne komponenty przeznaczone do wypełniania zadań. Takim modułem był KillDisk, który oprócz usuwania plików i niszczenia środowiska startowego Windows, posiadał również narzędzia przeznaczone do sabotażu systemów automatyki przemysłowej. Oprogramowanie mogło odczekać wskazany czas, a następnie przerwać dwa procesy związane z modułem komunikacji przez wirtualny port szeregowy ELTIMA lub urządzenia ASEM. Jeśli wirus wykrył odpowiednie składniki, nie tylko przerywał proces, ale także nadpisywał odpowiadające mu sterowniki, by utrudnić przywrócenie systemu do działania. Istnieje także inne wyjaśnienie istnienia modułu niszczącego – koń trojański zawarty w złośliwym oprogramowaniu służył do zdalnego dostępu, a mechanizm KillDisk posłużył na końcu ataku do zacierania śladów.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200